L’arrêté du 18 juin 2024 prévoit la création d’un traitement automatisé de données à caractère personnel dénommé « Suivi des signalements de vulnérabilités par des éditeurs de logiciel ». Ce traitement est placé sous la responsabilité du directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Cet arrêté fait suite à l’adoption de la loi n°2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense qui impose aux éditeurs de logiciels de notifier les vulnérabilités et incidents significatifs à l’ANSSI.
Finalités du traitement pour le suivi des signalements de vulnérabilités
Traitement pour le suivi des signalements de vulnérabilités
Ce traitement a pour objet la collecte et le traitement des données transmises par les éditeurs de logiciels, conformément à l’article L.2321-4-1 du code de la défense, aux fins de :
- « Suivre et gérer les notifications de vulnérabilités significatives affectant un de leurs produits ou les notifications d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits ;
- En cas d’inaction de l’éditeur, à la suite d’une mise en demeure de l’Agence nationale de la sécurité des systèmes d’information, informer les utilisateurs de ce produit ou rendre publics la vulnérabilité ou l’incident ainsi que l’injonction adressée à l’éditeur de logiciel. » (arrêté du 18-06-2024, art.1).
Données personnelles collectées
Traitement pour le suivi des signalements de vulnérabilités
Le traitement pour le suivi des signalements de vulnérabilités collecte des données à caractère personnel relatives à l’identification de l’éditeur de logiciel, à la vulnérabilité ou à l’incident significatif et aux utilisateurs du produit affecté.
Ces données sont conservées pendant une durée de trois ans à compter de la clôture du traitement de la vulnérabilité ou de l’incident.
Accès et destinataires des données collectées
Traitement pour le suivi des signalements de vulnérabilités
Dans le cadre des nouvelles prérogatives de l’ANSSI, les agents de l’ANSSI sont autorisés à accéder aux données mentionnées ci-dessus afin de pouvoir procéder à l’information des utilisateurs d’un produit affecté.
En cas d’inaction de l’éditeur à la suite d’une mise en demeure de l’ANSSI, cette dernière a la possibilité de procéder à l’information des utilisateurs. Dans ce cas, les utilisateurs du produit affecté peuvent être destinataires des informations suivantes :
- • « Raison sociale et adresse postale de l’éditeur de logiciel concerné » ;
- • « Nom, prénom du dirigeant de l’éditeur de logiciel concerné ».
L’ANSSI responsable du suivi des signalements de vulnérabilités
Traitement pour le suivi des signalements de vulnérabilités
En centralisant et en gérant les signalements de vulnérabilités de manière proactive, l’ANSSI assure non seulement la protection des utilisateurs finaux mais encourage également une plus grande responsabilité de la part des éditeurs de logiciels. Ce dispositif, qui s’inscrit dans le cadre des dispositions de la loi de programmation militaire, vise à établir un environnement numérique plus sûr et à renforcer la confiance des utilisateurs dans les produits logiciels qu’ils utilisent au quotidien.
Pour en apprendre davantage
Jennifer Knight
Avocate, Responsable d’activité au sein du Pôle Informatique et Droit
Raphaël Liotier
Avocat, Directeur d’activité au sein du pôle Contentieux numérique
À l'aube d'une ère où l'intelligence artificielle (IA) est en passe de devenir un compagnon quotidien...
La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale...