Notifications réglementaires

A destination de l’ANSSI

Vous êtes une entité manipulant des données classifiées, disposant d’un statut d’OIV, d’OSE, de FSN, de PSCE ou PSHE, ou responsable d’un produit ou d’un service qualifié par l’ANSSI, vous devez (Ouvre une nouvelle fenêtre) notifier sans délai tout incident de sécurité au CERT-FR selon les modalités suivantes.

Entité	Périmètre des incidents	Formulaire	Origine de l'obligation
Entité manipulant des données classifiées	Toute compromission d’un ACSSI	Notification via : - l’officier de sécurité - la chaîne HFDS	(Ouvre une nouvelle fenêtre) II-910 Art.20
Organisme d’importance vitale [OIV]	Tout incident affectant le fonctionnement ou la sécurité des Systèmes d’Importance Vitale [SIIV]	Formulaire papier ou (Ouvre une nouvelle fenêtre) en ligne	(Ouvre une nouvelle fenêtre) Code de la défense Art. L1332-6-2
Opérateur de service essentiel [OSE]	- Tout incident de sécurité susceptible d’impacter le fonctionnement du service essentiel - Tout incident de sécurité affectant les réseaux et systèmes nécessaire au service essentiel	Formulaire papier ou (Ouvre une nouvelle fenêtre) en ligne	(Ouvre une nouvelle fenêtre) LOI n° 2018-133 du 26 février 2018 Art. 7
Fournisseur de service numérique [FSN]	Tout incident ayant un impact significatif sur la fourniture des services	Formulaire papier ou (Ouvre une nouvelle fenêtre) en ligne	(Ouvre une nouvelle fenêtre) Décret n° 2018-384 du 23 mai 2018 Art. 20
Prestataires de services de confiance qualifiés et non qualifié d’identification électronique et les services de confiance pour les transactions électroniques ( (Ouvre une nouvelle fenêtre) PSCE et PSHE) (eIDAS)	Toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence importante sur le service de confiance fourni ou sur les données à caractère personnel	Formulaire	(Ouvre une nouvelle fenêtre) Règlement européen eiDAS Art. 19.2
Tout produit qualifié par l’ANSSI	- tout incident de sécurité affectant ou susceptible d’affecter le produit qualifié ou la gamme de produit à laquelle le produit qualifié y compris tout incident de sécurité affectant ou susceptible d’affecter un système d’information impliqué dans la spécification, la conception, le développement, la fabrication, l’exploitation, la maintenance, l’avant-vente, le support technique ou la livraison du produit qualifié ou de la gamme de produit à laquelle le produit qualifié appartient ; - tout incident de sécurité affectant ou susceptible d’affecter les données sensibles relatives aux utilisateurs du produit qualifié, que ces données soient à caractère personnel ou non.	Formulaire	(Ouvre une nouvelle fenêtre) Décret n°2009-834 du 7 juillet 2009
Tout service qualifié par l’ANSSI	- le service qualifié et particulièrement les systèmes d’information impliqués dans l’administration, l’exploitation, la maintenance, ou le support technique du service qualifié ; - les données sensibles relatives aux utilisateurs du service qualifié, que ces données soient à caractère personnel ou non	Formulaire	(Ouvre une nouvelle fenêtre) Décret n°2009-834 du 7 juillet 2009

A destination d’autres entités

CNIL / RGPD

L'autorité chargée de la protection des données personnelles en France est la (Ouvre une nouvelle fenêtre) CNIL. Vous devez leur (Ouvre une nouvelle fenêtre) signaler toute violation de données personnelles que votre organisation aurait subie dans un court délai.

Si vous n’êtes pas en mesure d’évaluer l’atteinte à des données personnelles, la CNIL peut (Ouvre une nouvelle fenêtre) enregistrer des déclarations préalables d’incident.

Obligations spécifiques

Certaines organisations sont sujettes à des règlementations supplémentaires spécifiques. Votre service juridique pourra vous aider dans cette démarche.