Arrêté du 13 novembre 2023 portant création d'un traitement automatisé de données à caractère personnel associé au service dénommé « jecliqueoupas »
Sur l'arrêté
| Entrée en vigueur : | 20 novembre 2023 |
|---|---|
| Dernière modification : | 20 novembre 2023 |
La Première ministre,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, notamment ses articles 6 et 23 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2009-834 du 7 juillet 2009 modifiée portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information », notamment son article 3 ;
Vu le décret n° 2019-1088 du 25 octobre 2019 modifié relatif au système d'information et de communication de l'Etat et à la direction interministérielle du numérique, notamment son titre Ier bis,
Arrête :
Il est créé un portail d'analyse accessible sur internet aux agents de l'Etat, dénommé " jecliqueoupas ", leur permettant de déposer les fichiers informatiques non classifiés qu'ils ont reçus dans le cadre professionnel afin d'en vérifier l'innocuité. L'utilisation de ce portail numérique est facultative.
Les agents de l'Agence nationale de la sécurité des systèmes d'information procèdent, à travers un portail numérique dédié, à des analyses ultérieures des fichiers déposés, notamment par l'application de nouvelles règles de détection de contenus malveillants, afin de s'assurer de leur innocuité dans le temps.
I. - Il est créé, sous la responsabilité du directeur général de l'Agence nationale de la sécurité des systèmes d'information, un traitement de données à caractère personnel associé au portail " jecliqueoupas ".
II. - Ce traitement est nécessaire à l'exécution des missions d'intérêt public dont l'Agence nationale de la sécurité des systèmes d'information est investie au titre de l'article 3 du décret du 7 juillet 2009 susvisé. Il a pour finalités :
1° L'analyse des fichiers mentionnés à l'article 1er afin d'en vérifier l'innocuité, que ce soit immédiatement lors du dépôt du fichier par l'agent ou ultérieurement lors de l'application de nouvelles règles de détection de contenus malveillants par les agents de l'Agence nationale de la sécurité des systèmes d'information ;
2° L'amélioration des connaissances de l'Agence nationale de la sécurité des systèmes d'information sur les menaces à travers l'analyse des fichiers considérés comme malveillants.
Lorsqu'un agent de l'Etat s'inscrit sur le portail mentionné à l'article 1er, il est créé un lien, valable sept jours et associé à son adresse de courrier électronique professionnelle, qui lui permet de déposer un fichier à analyser. Le choix du type d'analyse est effectué par l'agent qui soumet le fichier. A l'issue de l'analyse, il est produit un rapport d'analyse du fichier professionnel soumis.
Lorsqu'un fichier est considéré comme malveillant après analyse par le portail " jecliqueoupas ", le fonctionnaire de sécurité des systèmes d'information du ministère de rattachement de cet agent de l'Etat, mentionné à l'article 4-1 du décret 25 octobre 2019 susvisé, est alerté. Ce fonctionnaire désigne les agents de son ministère qui peuvent également recevoir communication de l'alerte.
Cette alerte peut être effectuée :
1° Par l'agent de l'Etat qui a déposé le fichier, à l'invitation de l'Agence nationale de la sécurité des systèmes d'information ;
2° Par l'Agence nationale de la sécurité des systèmes d'information, dès le dépôt du fichier ou ultérieurement, après mise en œuvre d'une nouvelle règle de détection.