I. - Sont autorisés à accéder à tout ou partie des données à caractère personnel et informations mentionnées à l'article 2, dans la limite de leurs besoins et à raison de leurs attributions, les agents de l'Agence nationale de la sécurité des systèmes d'information.
II. - Au titre de l'évaluation et de l'amélioration du niveau de sécurité des systèmes d'information, sont destinataires des données à caractère personnel et informations mentionnées au 1° de l'article 2, à raison de leurs attributions, les commanditaires des audits.
III. - Au titre de la supervision et de l'analyse des événements affectant ou susceptibles d'affecter la sécurité des systèmes d'information, dans la limite de leurs besoins et de leurs attributions respectifs, sont destinataires de tout ou partie des données à caractère personnel et informations mentionnées au 2° de l'article 2, les agents de l'Etat, de l'autorité publique, le personnel de l'opérateur d'importance vitale ou celui de l'opérateur de service essentiel, les personnels de leurs prestataires ou sous-traitants qui sont les interlocuteurs du service de supervision de l'Agence nationale de la sécurité des systèmes d'information dans la chaîne de traitement des incidents.
IV. - Au titre de la qualification, du traitement et de l'analyse d'un incident de sécurité affectant les systèmes d'information, sont destinataires de tout ou partie des données à caractère personnel et informations mentionnées au 3° de l'article 2 les entités contribuant au traitement de l'incident de sécurité si le bénéficiaire a donné son accord.
V. - Les données relatives à des incidents informatiques traités ou ayant vocation à être traités en coopération avec des partenaires de l'Agence nationale de la sécurité des systèmes d'information et directement utiles à la prévention ou à la caractérisation des menaces ou relatives aux victimes potentielles, sont :
a) Les adresses IP, url ou identifiants, directement ou indirectement identifiants ;
b) Les adresses de courrier électronique ;
c) Les noms, noms maritaux, prénoms, surnoms, alias.
Les destinataires de ces données sont :
1° Les partenaires nationaux de l'Agence nationale de la sécurité des systèmes d'information à des fins de défense de leurs systèmes d'information ou des systèmes d'information de leurs clients, bénéficiaires ou partenaires ;
2° Les partenaires européens de l'Agence nationale de la sécurité des systèmes d'information, notamment le réseau des centres de réponse aux incidents de sécurité informatique, et internationaux, dans le domaine de la cybersécurité.
VI. ‒ Les données à caractère personnel et informations intéressant la sûreté de l'Etat et la défense, identifiées de façon isolée ou groupée peuvent être transmises aux mêmes catégories de destinataires.