🟩 ArrĂȘtĂ© du 27 janvier 2023 autorisant la mise en Ɠuvre de traitements automatisĂ©s de gestion des traces relatives aux systĂšmes d’information et de communication du ministĂšre de la dĂ©fense

Références

NOR : ARMD2302467A
ELI : https://www.legifrance.gouv.fr/eli/arrete/2023/1/27/ARMD2302467A/jo/texte
Source : JORF n°0030 du 4 février 2023, texte n° 16
Délibération CNIL : JORF n°0030 du 4 février 2023, texte n° 16

En-tĂȘte

Le ministre des armées,
Vu la loi n° 78-17 du 6 janvier 1978 modifiĂ©e relative Ă  l’informatique, aux fichiers et aux libertĂ©s, notamment son article 31 ;
Vu le dĂ©cret n° 2018-532 du 28 juin 2018 modifiĂ© fixant l’organisation du systĂšme d’information et de communication de la dĂ©fense et portant crĂ©ation de la direction gĂ©nĂ©rale du numĂ©rique et des systĂšmes d’information et de communication ;
Vu le dĂ©cret n° 2019-536 du 29 mai 2019 modifiĂ© pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative Ă  l’informatique, aux fichiers et aux libertĂ©s ;
Vu l’arrĂȘtĂ© du 28 juin 2018 modifiĂ© portant crĂ©ation et organisation d’instances relatives au systĂšme d’information et de communication de la dĂ©fense ;
Vu la dĂ©libĂ©ration n° 2022-110 du 10 novembre 2022 de la Commission nationale de l’informatique et des libertĂ©s,
ArrĂȘte :

Article 1

Peuvent ĂȘtre crĂ©Ă©s, au ministĂšre de la dĂ©fense, des traitements automatisĂ©s de donnĂ©es Ă  caractĂšre personnel ayant pour objet la collecte et l’exploitation des donnĂ©es techniques relatives Ă  la traçabilitĂ© de l’utilisation des systĂšmes d’information et de communication du ministĂšre de la dĂ©fense visĂ©s Ă  l’article 1er du dĂ©cret du 28 juin 2018 susvisĂ©.
Ces traitements ont pour finalité :
1° D’assurer la sĂ©curitĂ© et la dĂ©fense de ces systĂšmes et des informations qu’ils comportent ;
2° D’assurer leur gestion et leur exploitation ;
3° D’identifier les irrĂ©gularitĂ©s d’accĂšs ou d’utilisation de ces systĂšmes et des informations qu’ils comportent contraires aux dispositions lĂ©gislatives ou rĂ©glementaires en vigueur.

Article 2

Peuvent ĂȘtre enregistrĂ©es les catĂ©gories d’informations et de donnĂ©es Ă  caractĂšre personnel suivantes :
1° DonnĂ©es d’identification (notamment nom, prĂ©nom, numĂ©ro de matricule, numĂ©ros d’identification, grade, affectation), Ă  l’exception de la photographie ;
2° DonnĂ©es d’authentification (notamment identifiant de certificat Ă©lectronique, jeton d’accĂšs) ;
3° DonnĂ©es permettant la traçabilitĂ© des accĂšs (notamment adresse IP, adresse URL, date et heure de connexion au systĂšme d’information)  ;
4° DonnĂ©es permettant la communication et les Ă©changes (notamment objet des courriels, Ă©lĂ©ments de nommage de fichiers, volume des fichiers), Ă  l’exception du contenu des courriels.

Article 3

Les informations et les donnĂ©es Ă  caractĂšre personnel enregistrĂ©es sont conservĂ©es pour une durĂ©e maximale d’un an.
Les donnĂ©es collectĂ©es au titre des finalitĂ©s du 1° et du 2° de l’article 1er peuvent ĂȘtre conservĂ©es en archivage intermĂ©diaire pour une durĂ©e ne pouvant excĂ©der cinq ans Ă  compter de leur enregistrement.
En cas de procĂ©dure contentieuse, le dĂ©lai mentionnĂ© au premier alinĂ©a peut, le cas Ă©chĂ©ant, ĂȘtre prorogĂ© jusqu’Ă  l’intervention d’une dĂ©cision juridictionnelle devenue dĂ©finitive.

Article 4

I. – Sont autorisĂ©s Ă  accĂ©der aux informations et donnĂ©es Ă  caractĂšre personnel mentionnĂ©es Ă  l’article 2, Ă  raison de leurs attributions et dans la limite du besoin d’en connaĂźtre, les agents, individuellement dĂ©signĂ©s et spĂ©cialement habilitĂ©s par le responsable de traitement, chargĂ©s de :
1° La sĂ©curitĂ© et la dĂ©fense des systĂšmes d’information et de communication du ministĂšre de la dĂ©fense, en qualitĂ© d’administrateur de sĂ©curitĂ© ;
2° La gestion et de l’exploitation de ces systĂšmes, en qualitĂ© d’administrateur systĂšme ;
3° L’identification des irrĂ©gularitĂ©s d’accĂšs ou d’utilisation de ces systĂšmes et des informations qu’ils comportent, en qualitĂ© d’administrateur systĂšme.
II. – Peuvent ĂȘtre destinataires des informations et donnĂ©es Ă  caractĂšre personnel, Ă  raison de leurs attributions respectives et du besoin d’en connaĂźtre, les agents individuellement dĂ©signĂ©s et spĂ©cialement habilitĂ©s par le responsable de traitement, chargĂ©s au titre de la finalitĂ© mentionnĂ©e au 1° de l’article 1er, des fonctions ou des missions :
1° D’officier de sĂ©curitĂ© des systĂšmes d’information ;
2° De responsable de sĂ©curitĂ© des systĂšmes d’information ;
3° De lutte informatique défensive.
III. – Peuvent ĂȘtre destinataires de tout ou partie des informations et donnĂ©es Ă  caractĂšre personnel, Ă  raison de leurs attributions respectives et du besoin d’en connaĂźtre, les agents individuellement dĂ©signĂ©s et spĂ©cialement habilitĂ©s par l’autoritĂ© dont ils relĂšvent :
1° De l’Ă©tat-major de la cyberdĂ©fense et du groupement de la cyberdĂ©fense des armĂ©es, dans le cadre de leurs missions de dĂ©fense des systĂšmes d’information mentionnĂ©s au 8° de l’article R.* 3121-2 du code de la dĂ©fense ;
2° Des services spĂ©cialisĂ©s de renseignement du ministĂšre de la dĂ©fense, dans le cadre de leurs missions de dĂ©fense et de promotion des intĂ©rĂȘts fondamentaux de la Nation mentionnĂ©s Ă  l’article L. 811-3 du code de la sĂ©curitĂ© intĂ©rieure ;
3° Des corps et services d’inspections, de contrĂŽle ou d’audit du ministĂšre de la dĂ©fense, au titre de leur mission d’inspection, de contrĂŽle ou d’audit des systĂšmes d’information et de communication du ministĂšre de la dĂ©fense.

Article 5

Toute opĂ©ration relative au traitement automatisĂ© autorisĂ© par le prĂ©sent arrĂȘtĂ© fait l’objet d’un enregistrement comprenant l’identification de l’utilisateur, la date, l’heure et la nature de l’opĂ©ration. Ces informations sont conservĂ©es pendant une durĂ©e minimale d’un an, dans la limite de trois ans.

Article 6

Les responsables de traitement informent les personnes concernĂ©es selon les modalitĂ©s dĂ©finies Ă  l’article 116 de la loi du 6 janvier 1978 susvisĂ©e.
Les droits d’opposition et d’effacement prĂ©vus aux articles 117 et 119 de la loi du 6 janvier 1978 susvisĂ©e ne s’appliquent pas au prĂ©sent traitement.
Les droits d’accĂšs et de rectification s’exercent selon les modalitĂ©s dĂ©finies Ă  l’article 119 de la loi du 6 janvier 1978 susvisĂ©e auprĂšs de chaque responsable de traitement.

Article 7

La mise en Ɠuvre des traitements mentionnĂ©s Ă  l’article 1er est prĂ©cĂ©dĂ©e de l’envoi Ă  la Commission nationale de l’informatique et des libertĂ©s d’un engagement de conformitĂ© au prĂ©sent arrĂȘtĂ©.
Un dossier technique dĂ©crivant le dispositif mis en place est Ă©tabli et conservĂ© avec la dĂ©claration d’engagement. Ces documents sont tenus Ă  la disposition de la Commission nationale de l’informatique et des libertĂ©s.

Article 8

L’arrĂȘtĂ© du 26 juillet 2013 portant crĂ©ation, par le ministĂšre de la dĂ©fense, d’un traitement automatisĂ© de donnĂ©es Ă  caractĂšre personnel relatif Ă  la gestion des traces gĂ©nĂ©rĂ©es par l’utilisation des moyens informatiques est abrogĂ©.

Article 9

Le prĂ©sent arrĂȘtĂ© sera publiĂ© au Journal officiel de la RĂ©publique française.

Date et signature(s)

Fait le 27 janvier 2023.

Pour le ministre et par délégation :
Le directeur gĂ©nĂ©ral du numĂ©rique et des systĂšmes d’information et de communication,
V. Tejedor