I. - Sont autorisés à accéder, à raison de leurs attributions, à tout ou partie des données à caractère personnel mentionnées à l'article 2, les agents de l'Agence nationale de la sécurité des systèmes d'information.
II. - Peuvent être destinataires de tout ou partie des données à caractère personnel mentionnées au 1° et au 2° de l'article 2 les utilisateurs d'un produit affecté par la vulnérabilité ou l'incident ayant été notifié.