Cadre réglementaire :
Toutes les opérations sur les données à caractère personnel des titulaires sont réalisées en vertu de la réglementation en vigueur notamment le RGPD (règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) et la Loi Informatique et Libertés (loi n°78-17 « Informatique, Fichiers et Libertés » du 6 janvier 1978).

Qui est le Responsable des traitements et le Délégué à la Protection des Données ?
Concernant le CSIRT-BFC, celui-ci étant intégré au GIP ARNia, les informations de contact sont les suivantes :

Responsable du traitement :
Le responsable du traitement des données à caractère personnel est Mme Sophie VALDENAIRE. Elle peut être contactée :
Par e-mail à l’adresse contact@arnia-bfc.fr
Par courrier postal :
GIP ARNia
A l’attention de Mme Sophie VALDENAIRE
3, bis rue du Suzon
21000 DIJON
Par téléphone au 0 970 609 609.

Délégué à la Protection des Données :
La personne suivante a été nommée Délégué à la Protection des Données : M Alexis GABRY. Il peut être joint de la manière suivante :
Par e-mail à l’adresse dpo@arnia-bfc.fr
Par courrier postal :
GIP ARNia
A l’attention du Délégué à la Protection des Données
3, bis rue du Suzon
21000 DIJON
Par téléphone au 0 970 609 609.

Quels sont vos droits concernant vos données à caractère personnel ?
Le droit d’obtenir des informations sur les données que nous détenons sur vous et les traitements mis en œuvre;
Lorsque le traitement est fondé sur votre consentement, vous avez le droit de retirer ce consentement à tout moment. Cette action ne portera pas atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci Dans certaines circonstances, le droit de recevoir des données sous forme électronique et /ou de nous demander de transmettre ces informations à un tiers lorsque cela est techniquement possible (veuillez noter que ce droit n’est applicable qu’aux données que vous nous avez fournies) ;
Le droit de modifier ou corriger vos données (veuillez noter que des dispositions légales ou réglementaires ou des raisons légitimes peuvent limiter ce droit) ;
Le droit de demander la suppression de vos données dans certaines circonstances (veuillez noter que des dispositions légales ou réglementaires ou des raisons légitimes peuvent nous imposer de conserver ces données) ;
Le droit de demander de restreindre ou de vous opposer au traitement de vos données, dans certaines circonstances (veuillez noter que nous sommes susceptibles de continuer à traiter vos données personnelles si nous avons une base juridique pour le faire).
Vous disposez également du droit de déposer une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés. Pour cela, merci d’adresser un courrier à l’adresse suivante : CNIL – 3 Place de Fontenoy – TSA 80715 – 75334 Paris – Cedex 07.

Comment exercer vos droits ?
Pour faire valoir vos droits, vous pouvez contacter le Délégué à la Protection des Données du GIP ARNia cité ci-dessus.

Quelles données sont traitées et dans quelles conditions ?
Réponse à incident :
Finalité
- Collecter les informations concernant les bénéficiaires des services du CSIRT (Mission d’intérêt public)
- Collecter les informations concernant les incidents de sécurité afin d’établir la méthodologie de résolution (Mission d’intérêt public)
- Transmission des données aux autorités judiciaires (respect d’une obligation légale ou consentement)
- Transmission des données aux prestataires (consentement)
Données collectées
- Identité de base
- Coordonnées professionnelles
- Situation professionnelle
- Potentiellement d’autres catégories de données non connues et qui dépendent de la nature des incidents de sécurité
Base juridique
- Consentement
- Respect d’une obligation légale
- Mission d’intérêt public
Destinataires
- CSIRT-BFC
- Prestataires référencés. Ces prestataires ne sont pas des sous-traitants du CSIRT et de l’ARNia. Les bénéficiaires devront contractualiser avec ces prestataires.
- Police, gendarmerie
Durée de conservation
- 5 ans (à confirmer en fonction de la judiciarisation de l’incident)
Source des données
- Les bénéficiaires

Annuaire des prestataires :
Finalité
- Collecter les informations concernant les sociétés (ou autoentrepreneur) prestataires numériques afin de les mettre en relation avec les bénéficiaires du CSIRT-BFC
Données collectées
- Identité de base
- Coordonnées professionnelles
- Situation professionnelle
Base juridique
- Consentement
Destinataires
- CSIRT-BFC
- Les bénéficiaires du CSIRT
Durée de conservation
- Au retrait du consentement, à la fin de l’existence de la société
Source des données
- Les sociétés

Alerte :
Finalité
- Collecter les adresses IP publiques des bénéficiaires du CSIRT afin de les avertir en cas de découverte de vulnérabilités : consentement pour faire l’association avec le dirigeant ou le contact technique, mission d’intérêt public pour la collecte des adresses IP et scans depuis internet
Données collectées
- Identité de base
- Coordonnées professionnelles
- Situation professionnelle
- Potentiellement d’autres catégories de données non connues et qui dépendent de la nature des incidents de sécurité
Base juridique
- Consentement
- Respect d’une obligation légale
- Mission d’intérêt public
Destinataires
- CSIRT-BFC
- Les bénéficiaires du CSIRT ou leur représentant si la gestion de la liste est faite par des entités type CCI, Medef etc…
- Agence Nationale de la Sécurité des Systèmes d’Information
Durée de conservation
- Au retrait du consentement, à la fin de l’existence de la société
Source des données
- Les sociétés, open-data

Communication :
Finalité
- Collecter les adresses de courriels des utilisateurs afin de les informer des actualités du CSIRT-BFC (consentement)
- Collecter les adresses de courriels des utilisateurs afin de les alerter en cas de cyberattaques (Mission d’interêt public)
Données collectées
- Identité de base
Coordonnées professionnelles
- Base juridique
Consentement
- Mission d’intérêt public
Destinataires
- CSIRT-BFC
Durée de conservation
- A la fin de la souscription du service
Source des données
- Les bénéficiaires