Recital 121 Lawful processing of personal data

Le traitement de données à caractère personnel, dans la mesure nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des systèmes d’information par des entités essentielles et importantes, pourrait être considéré comme licite au motif qu’il respecte une obligation légale à laquelle le responsable du traitement est soumis, conformément aux exigences de l’article 6, paragraphe 1, point c), et de l’article 6, paragraphe 3, du règlement (UE) 2016/679. Le traitement des données à caractère personnel pourrait également être nécessaire à des intérêts légitimes poursuivis par des entités essentielles et importantes, ainsi que par des fournisseurs de technologies et de services de sécurité agissant pour le compte de ces entités, conformément à l’article 6, paragraphe 1, point f), du règlement (UE) 2016/679, y compris lorsque ce traitement est nécessaire à des accords de partage d’informations en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; ou à la notification volontaire d’informations pertinentes conformément à la présente directive. Les mesures liées à la prévention, à la détection, à l’identification, à l’endiguement, à l’analyse et à la réaction aux incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, les mesures de sensibilisation à des cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; spécifiques, l’échange d’informations dans le cadre de la correction des vulnérabilités et de la divulgation coordonnée des vulnérabilités, l’échange volontaire d’informations sur ces incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; et les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; et les vulnérabilités, les indicateurs de compromis, les tactiques, techniques et procédures, les alertes de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et les outils de configuration pourraient nécessiter le traitement de certaines catégories de données à caractère personnel, telles que les adresses IP, les localisateurs de ressources uniformes (URL), les noms de domaine, les adresses électroniques et, lorsqu’il révèlent des données à caractère personnel, les horodatages. Le traitement des données à caractère personnel par les autorités compétentes, les points de contact uniques et les CSIRT pourrait constituer une obligation légale ou être considéré comme nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement en vertu de l’article 6, paragraphe 1, point c) ou e), et de l’article 6, paragraphe 3, du règlement (UE) 2016/679, ou à la poursuite d’un intérêt légitime des entités essentielles et importantes comme visé à l’article 6, paragraphe 1, point f), dudit règlement. En outre, le droit national pourrait établir des règles permettant aux autorités compétentes, aux points de contact uniques et aux CSIRT, dans la mesure nécessaire et proportionnée aux fins d’assurer la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; des entités essentielles et importantes, de traiter des catégories particulières de données à caractère personnel conformément à l’article 9 du règlement (UE) 2016/679, notamment en prévoyant des mesures appropriées et spécifiques pour protéger les droits fondamentaux et les intérêts des personnes physiques, y compris des limitations techniques à la réutilisation de ces données et le recours aux mesures de sécurité et de protection de la vie privée les plus récentes, telles que la pseudonymisation, ou le chiffrement lorsque l’anonymisation peut avoir un effet important sur la finalité poursuivie.