Il sera alimenté par les données personnelles issues de logiciels des deux institutions et de sources ouvertes.
La police et la gendarmerie auront bientôt une nouvelle arme pour coincer les cybercriminels. Un arrêté publié le 26 décembre va permettre la mise en œuvre d’un traitement automatisé de données à caractère personnel par le ministère de l’Intérieur. Dénommée « Malware Information Sharing Platform – Police Judiciaire » (MISP-PJ), cette base a pour objectifs de « centraliser les informations contenues dans les procédures judiciaires en matière d’atteintes aux systèmes de traitement automatisé de données » et de « faciliter l’identification de l’auteur d’une infraction et les infractions correspondantes par le recoupement et l’analyse de ces informations ».
Dans le cadre de ces missions, plusieurs données personnelles pourront être enregistrées et conservées pendant six ans. Parmi elles, se trouvent le nom et le prénom de la personne physique ou morale victime, l’adresse IP des serveurs ou des machines compromis, ainsi que la date et les circonstances des faits. Il sera aussi possible d’inclure dans cette base des informations concernant l’auteur de l’attaque (adresse électronique, nom de profil sur les réseaux sociaux…).
Un encadrement de la collecte et de l’accès aux données personnelles
Les données personnelles enregistrées dans MISP-PJ proviendront de différentes sources. Elles seront issues des logiciels de rédaction des procédures judiciaires de la police et de la gendarmerie. Elles viendront également du recueil d’informations techniques relatives aux incidents de sécurité sur les réseaux et systèmes d’information créé par le centre d’alerte et de réaction aux attaques informatiques de la police judiciaire. L’arrêté précise, d’un autre côté, que les données pourront provenir de sources ouvertes comme les articles de sociétés d’antivirus et d’entreprises de services en cybersécurité travaillant sur des logiciels malveillants.
Plusieurs personnes auront le droit d’accéder à ces informations, à commencer par les agents des organes de lutte contre la cybercriminalité de la police judiciaire, de la gendarmerie nationale et de la préfecture de police. Les magistrats du ministère public et les organismes de coopération internationale seront aussi à même de les consulter.
S’agissant de données personnelles, la Commission nationale de l’informatique et des libertés (Cnil) avait auparavant été saisie par le ministère de l’Intérieur pour ce projet. Chargée de veiller à la protection de ces informations, elle a rendu un avis favorable le 24 juin, estimant que cet outil contribuera à une lutte plus efficace contre la cybercriminalité.