Cadre réglementaire
Toutes les opérations sur les données à caractère personnel des titulaires sont réalisées en vertu de la réglementation en vigueur notamment le RGPD (règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) et la Loi Informatique et Libertés (loi n°78-17 « Informatique, Fichiers et Libertés » du 6 janvier 1978).
Qui est le Responsable des traitements et le Délégué à la Protection des Données ?
Concernant le CSIRT-BFC, celui-ci étant intégré au GIP ARNia, les informations de contact sont les suivantes :
Responsable du traitement
Le responsable du traitement des données à caractère personnel est Mme Sophie VALDENAIRE. Elle peut être contactée :
- Par e-mail à l’adresse contact@arnia-bfc.fr
- Par courrier postal :
GIP ARNia
A l’attention de M. Nicolas BERTHAUT
3, bis rue du Suzon
21000 DIJON - Par téléphone au 0 970 609 609
Délégué à la Protection des Données
La personne suivante a été nommée Déléguée à la Protection des Données : Mme Ségolène PARMENTIER. Elle peut être jointe de la manière suivante :
- Par e-mail à l’adresse dpo@arnia-bfc.fr
- Par courrier postal :
GIP ARNia
A l’attention du Délégué à la Protection des Données
3, bis rue du Suzon
21000 DIJON - Par téléphone au 0 970 609 609
Quels sont vos droits concernant vos données à caractère personnel ?
- Le droit d’obtenir des informations sur les données que nous détenons sur vous et les traitements mis en œuvre;
- Lorsque le traitement est fondé sur votre consentement, vous avez le droit de retirer ce consentement à tout moment. Cette action ne portera pas atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
- Dans certaines circonstances, le droit de recevoir des données sous forme électronique et /ou de nous demander de transmettre ces informations à un tiers lorsque cela est techniquement possible (veuillez noter que ce droit n’est applicable qu’aux données que vous nous avez fournies) ;
- Le droit de modifier ou corriger vos données (veuillez noter que des dispositions légales ou réglementaires ou des raisons légitimes peuvent limiter ce droit) ;
- Le droit de demander la suppression de vos données dans certaines circonstances (veuillez noter que des dispositions légales ou réglementaires ou des raisons légitimes peuvent nous imposer de conserver ces données) ;
- Le droit de demander de restreindre ou de vous opposer au traitement de vos données, dans certaines circonstances (veuillez noter que nous sommes susceptibles de continuer à traiter vos données personnelles si nous avons une base juridique pour le faire).
- Vous disposez également du droit de déposer une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés. Pour cela, merci d’adresser un courrier à l’adresse suivante : CNIL – 3 Place de Fontenoy – TSA 80715 – 75334 Paris – Cedex 07.
Comment exercer vos droits ?
Pour faire valoir vos droits, vous pouvez contacter le Délégué à la Protection des Données du GIP ARNia cité ci-dessus.
Quelles données sont traitées et dans quelles conditions ?
Réponse à incident
Finalité | Collecter les informations concernant les bénéficiaires des services du CSIRT (Mission d’intérêt public) Collecter les informations concernant les incidents de sécurité afin d’établir la méthodologie de résolution (Mission d’intérêt public) Transmission des données aux autorités judiciaires (respect d’une obligation légale ou consentement) Transmission des données aux prestataires (consentement) |
Données collectées | Identité de base Coordonnées professionnelles Situation professionnelle Potentiellement d’autres catégories de données non connues et qui dépendent de la nature des incidents de sécurité |
Base juridique | Consentement Respect d’une obligation légale Mission d’intérêt public |
Destinataires | CSIRT-BFC Prestataires référencés. Ces prestataires ne sont pas des sous-traitants du CSIRT et de l’ARNia. Les bénéficiaires devront contractualiser avec ces prestataires. Police, gendarmerie |
Durée de conservation | 5 ans (à confirmer en fonction de la judiciarisation de l’incident) |
Source des données | Les bénéficiaires |
Annuaire des prestataires
Finalité | Collecter les informations concernant les sociétés (ou autoentrepreneur) prestataires numériques afin de les mettre en relation avec les bénéficiaires du CSIRT-BFC |
Données collectées | Identité de base Coordonnées professionnelles Situation professionnelle |
Base juridique | Consentement |
Destinataires | CSIRT-BFC Les bénéficiaires du CSIRT |
Durée de conservation | Au retrait du consentement ou à la fin de l’existence de la société |
Source des données | Les sociétés |
Alerte
Finalité | Collecter les adresses IP publiques des bénéficiaires du CSIRT afin de les avertir en cas de découverte de vulnérabilités : consentement pour faire l’association avec le dirigeant ou le contact technique, mission d’intérêt public pour la collecte des adresses IP et scans depuis internet |
Données collectées | Identité de base Coordonnées professionnelles Situation professionnelle Potentiellement d’autres catégories de données non connues et qui dépendent de la nature des incidents de sécurité |
Base juridique | Consentement Respect d’une obligation légale Mission d’intérêt public |
Destinataires | CSIRT-BFC Les bénéficiaires du CSIRT ou leur représentant si la gestion de la liste est faite par des entités type CCI, Medef etc… Agence Nationale de la Sécurité des Systèmes d’Information |
Durée de conservation | Au retrait du consentement ou à la fin de l’existence de la société |
Source des données | Les sociétés, open-data |
Communication
Finalité | Collecter les adresses de courriels des utilisateurs afin de les informer des actualités du CSIRT-BFC (consentement) Collecter les adresses de courriels des utilisateurs afin de les alerter en cas de cyberattaques (Mission d’interêt public) |
Données collectées | Identité de base Coordonnées professionnelles |
Base juridique | Consentement Mission d’intérêt public |
Destinataires | CSIRT-BFC |
Durée de conservation | A la fin de la souscription du service |
Source des données | Les bénéficiaires |
Alerte sur les fins de supports des logiciels
Finalité | Collecter les adresses de courriels des utilisateurs afin de les informer lors des fins de supports des éditeurs (consentement) |
Données collectées | Identité de base Coordonnées professionnelles |
Base juridique | Consentement |
Destinataires | CSIRT-BFC |
Durée de conservation | A la fin de la souscription du service |
Source des données | Les bénéficiaires |
Service Courriel douteux
Finalité | Analyser les courriels douteux des bénéficiaire des bénéficiaires dans le but de leur apporter une réponse sur la légitimité du courriel |
Données collectées | Identité de base Coordonnées professionnelles |
Base juridique | Consentement Mission d’intérêt public |
Destinataires | CSIRT-BFC |
Durée de conservation | 1 mois après la fin de l’analyse |
Source des données | Les bénéficiaires |
Chatbot Cybélia
Le chatbot est un assistant dont certaines fonctionnalités utilisent des services tiers.
Le module de LLM IA de Cybélia ne collecte aucune donnée à caractère personnel. Nous vous incitons fortement à ne pas en saisir. A titre d’information, le LLM est hébergé par Mistral AI.
Les données saisies sont stockées par les journaux d’événement du chatbot dans le sel but d’améliorer les réponses.
Le module de déclaration de demande ou d’incident envoie les informations saisies dans le système de gestion du CSIRT-BFC. Cette fonctionnalité est rattaché au traitement « réponse à incident »