Il est créé un portail d'analyse accessible sur internet aux agents de l'Etat, dénommé « jecliqueoupas », leur permettant de déposer les fichiers informatiques non classifiés qu'ils ont reçus dans le cadre professionnel afin d'en vérifier l'innocuité. L'utilisation de ce portail numérique est facultative.
Les agents de l'Agence nationale de la sécurité des systèmes d'information procèdent, à travers un portail numérique dédié, à des analyses ultérieures des fichiers déposés, notamment par l'application de nouvelles règles de détection de contenus malveillants, afin de s'assurer de leur innocuité dans le temps.

I. - Il est créé, sous la responsabilité du directeur général de l'Agence nationale de la sécurité des systèmes d'information, un traitement de données à caractère personnel associé au portail « jecliqueoupas ».
II. - Ce traitement est nécessaire à l'exécution des missions d'intérêt public dont l'Agence nationale de la sécurité des systèmes d'information est investie au titre de l'article 3 du décret du 7 juillet 2009 susvisé. Il a pour finalités :
1° L'analyse des fichiers mentionnés à l'article 1er afin d'en vérifier l'innocuité, que ce soit immédiatement lors du dépôt du fichier par l'agent ou ultérieurement lors de l'application de nouvelles règles de détection de contenus malveillants par les agents de l'Agence nationale de la sécurité des systèmes d'information ;
2° L'amélioration des connaissances de l'Agence nationale de la sécurité des systèmes d'information sur les menaces à travers l'analyse des fichiers considérés comme malveillants.

Lorsqu'un agent de l'Etat s'inscrit sur le portail mentionné à l'article 1er, il est créé un lien, valable sept jours et associé à son adresse de courrier électronique professionnelle, qui lui permet de déposer un fichier à analyser. Le choix du type d'analyse est effectué par l'agent qui soumet le fichier. A l'issue de l'analyse, il est produit un rapport d'analyse du fichier professionnel soumis.
Lorsqu'un fichier est considéré comme malveillant après analyse par le portail « jecliqueoupas », le fonctionnaire de sécurité des systèmes d'information du ministère de rattachement de cet agent de l'Etat, mentionné à l'article 4-1 du décret 25 octobre 2019 susvisé, est alerté. Ce fonctionnaire désigne les agents de son ministère qui peuvent également recevoir communication de l'alerte.
Cette alerte peut être effectuée :
1° Par l'agent de l'Etat qui a déposé le fichier, à l'invitation de l'Agence nationale de la sécurité des systèmes d'information ;
2° Par l'Agence nationale de la sécurité des systèmes d'information, dès le dépôt du fichier ou ultérieurement, après mise en œuvre d'une nouvelle règle de détection.

Les catégories de données à caractère personnel et informations collectées sont :
1° L'adresse de courrier électronique professionnelle de l'agent de l'Etat qui soumet un fichier professionnel ;
2° Les contenus figurant dans le fichier professionnel analysé.
Si un agent de l'Etat qui a soumis un fichier constate que celui-ci contient des données à caractère personnel de la nature de celles mentionnées au I de l'article 6 de la loi du 6 janvier 1978 susvisée, il le signale immédiatement au responsable de traitement afin que ce fichier puisse être retiré de la plateforme et détruit. Cette obligation est mentionnée dans les conditions générales d'utilisation du portail, dans la politique de confidentialité du portail sur la page où le fichier peut être téléversé ainsi que sur la page de résultats de l'analyse.

Sont autorisés à accéder, à raison de leurs attributions, à tout ou partie des données à caractère personnel et informations mentionnées à l'article 4, les agents de l'Agence nationale de la sécurité des systèmes d'information chargés de gérer et d'administrer le portail mentionné à l'article 1er ou d'appliquer de nouvelles règles de détection d'éléments malveillants. Les fichiers sont analysés une première fois lors de leur dépôt, puis régulièrement au moyen d'outils automatisés qui visent à déterminer, par la mise en œuvre de règles de détection de contenus malveillants, s'ils sont sains, suspects ou malveillants.

En cas de détection ultérieure par les agents de l'Agence nationale de la sécurité des systèmes d'information d'un élément malveillant dans un fichier soumis par un agent de l'Etat, sont destinataires du courrier électronique professionnel, à raison de leurs attributions respectives, le fonctionnaire de sécurité des systèmes d'information du ministère de rattachement de cet agent, ainsi que les agents qu'il désigne, mentionnés au deuxième alinéa de l'article 3.

L'adresse de courrier électronique professionnelle de l'agent de l'Etat ainsi que les fichiers soumis, qu'ils aient été analysés comme étant sains ou malveillants, sont conservés un an à compter de leur collecte sur la plateforme.
Toutefois, si l'agent de l'Etat qui a soumis le fichier en fait la demande expresse à l'Agence nationale de la sécurité des systèmes d'information, le fichier et l'adresse de courrier électronique associée sont supprimés immédiatement.

Les opérations de création, consultation, modification et suppression des données à caractère personnel du présent traitement par les agents de l'Agence nationale de la sécurité des systèmes d'information font l'objet d'un enregistrement comprenant l'identification de l'auteur, la date, l'heure et la nature de l'opération. Ces informations sont conservées pendant un an.

I. - S'agissant des données à caractère personnel des agents de l'Etat ayant déposé un fichier, l'information des personnes concernées est assurée par la politique de confidentialité du service, dans les conditions prévues à l'article 13 du règlement (UE) 2016/679 du 27 avril 2016 susvisé.
S'agissant des données à caractère personnel contenues dans les fichiers professionnels déposés, l'information des personnes concernées est assurée sur la page « Mentions légales » du site internet du service, accessible depuis la page d'accueil, en application du b du 5 de l'article 14 du même règlement.
II. - S'agissant des données à caractère personnel des agents de l'Etat ayant déposé un fichier, conformément aux dispositions des articles 15, 16, 17, 18 et 21 du même règlement, le droit d'accès, le droit de rectification, le droit à la limitation du traitement et le droit d'opposition s'exercent directement auprès du directeur général de l'Agence nationale de la sécurité des systèmes d'information aux adresses figurant dans la politique de confidentialité du service ou sur la page « Mentions légales », accessibles depuis la page d'accueil du service.
S'agissant des données à caractère personnel contenues dans les fichiers professionnels déposés, en application de l'article 23 du même règlement, ces droits ne s'appliquent pas au présent traitement. Cette limitation des droits fait l'objet d'une information sur la page « Mentions légales » du site internet du service, accessible depuis la page d'accueil.

Le directeur général de l'Agence nationale de la sécurité des systèmes d'information est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.