Il est créé un traitement automatisé de données à caractère personnel dénommé " Suivi des remontées de vulnérabilités par les éditeurs de logiciels ", sous la responsabilité du directeur général de l'Agence nationale de la sécurité des systèmes d'information.
Ce traitement a pour objet la collecte et le traitement des données transmises par les éditeurs de logiciels mentionnés au sixième alinéa de l'article L. 2321-4-1 du code de la défense, aux fins de :
1° Suivre et gérer les notifications de vulnérabilités significatives affectant un de leurs produits ou les notifications d'incident informatique compromettant la sécurité de leurs systèmes d'information et susceptible d'affecter significativement un de leurs produits ;
2° En cas d'inaction de l'éditeur, à la suite d'une mise en demeure de l'Agence nationale de la sécurité des systèmes d'information, informer les utilisateurs de ce produit ou rendre publics la vulnérabilité ou l'incident ainsi que l'injonction adressée à l'éditeur de logiciel.