Recital 34 Voluntary information-sharing arrangements for financial entities

Les entités financières devraient être encouragées à échanger entre elles des informations et des renseignements sur les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; et à exploiter ensemble les connaissances et l’expérience pratique de chacune d’entre elles aux niveaux stratégique, tactique et opérationnel en vue de renforcer leur capacité à évaluer et surveiller de manière adéquate les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, ainsi qu’à s’en prémunir et à y répondre, en participant à des dispositifs de partage d’information. Il est donc nécessaire de favoriser l’émergence, au niveau de l’Union, de mécanismes volontaires de partage d’informations qui, employés dans des environnements de confiance, permettraient à la communauté du secteur financier de prévenir les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; et d’y répondre collectivement en limitant rapidement la propagation du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; et en empêchant une éventuelle contagion à travers les canaux financiers. Ces mécanismes devraient être conformes aux règles applicables du droit de la concurrence de l’Union énoncées dans la communication de la Commission du 14 janvier 2011 intitulée «Lignes directrices sur l’applicabilité de l’article 101 du traité sur le fonctionnement de l’Union européenne aux accords de coopération horizontale», ainsi qu’avec les règles de l’Union en matière de protection des données, en particulier le règlement (UE) 2016/679 du Parlement européen et du Conseil(¹³)Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).. Ils devraient fonctionner sur la base du recours à une ou plusieurs des bases juridiques énoncées à l’article 6 dudit règlement, par exemple dans le cadre du traitement de données à caractère personnel qui est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, tel que visé à l’article 6, paragraphe 1, point f), dudit règlement, ainsi que dans le cadre du traitement de données à caractère personnel qui est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ou nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique: tout gouvernement ou toute autre entité de l’administration publique, y compris les banques centrales nationales. dont est investi le responsable du traitement, visé à l’article 6, paragraphe 1, points c) et e), respectivement, dudit règlement.