🟩 DĂ©cret du 7 dĂ©cembre 2021 portant autorisation d’un traitement automatisĂ© de donnĂ©es Ă  caractĂšre personnel dans le but d’identifier les ingĂ©rences numĂ©riques Ă©trangĂšres

Références

NOR : PRMD2131887D
ELI : https://www.legifrance.gouv.fr/eli/decret/2021/12/7/PRMD2131887D/jo/texte
Alias : https://www.legifrance.gouv.fr/eli/decret/2021/12/7/2021-1587/jo/texte
Source : JORF n°0286 du 9 décembre 2021, texte n° 3

Informations

Publics concernés : secrétariat général de la défense et de la sécurité nationale ; autorités administratives intervenant en matiÚre de lutte contre la diffusion de fausses informations.

Objet : crĂ©ation d’un traitement de donnĂ©es Ă  caractĂšre personnel dans le cadre de la mission de vigilance et de protection contre les ingĂ©rences numĂ©riques Ă©trangĂšres confiĂ©e au secrĂ©taire gĂ©nĂ©ral de la dĂ©fense et de la sĂ©curitĂ© nationale.

Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication.

Notice : le dĂ©cret vise Ă  autoriser le secrĂ©taire gĂ©nĂ©ral de la dĂ©fense et de la sĂ©curitĂ© nationale Ă  mettre en Ɠuvre un traitement automatisĂ© de donnĂ©es Ă  caractĂšre personnel dans le cadre de ses missions, prĂ©vues au 9° de l’article R.* 1132-3 du code de la dĂ©fense, d’identification des opĂ©rations d’ingĂ©rence numĂ©rique Ă©trangĂšres de nature Ă  porter atteinte aux intĂ©rĂȘts fondamentaux de la Nation. Ce traitement est confiĂ© au service de vigilance et de protection contre les ingĂ©rences numĂ©riques Ă©trangĂšres, service Ă  compĂ©tence nationale rattachĂ© au secrĂ©taire gĂ©nĂ©ral de la dĂ©fense et de la sĂ©curitĂ© nationale.

RĂ©fĂ©rences : le dĂ©cret et le dĂ©cret n° 2021-922 du 13 juillet 2021 qu’il modifie par celui-ci, dans sa rĂ©daction issue de ces modifications, peuvent ĂȘtre consultĂ©s sur le site LĂ©gifrance (https://www.legifrance.gouv.fr).

En-tĂȘte

Le Premier ministre,
Vu le code de la consommation, notamment son article L. 111-7 ;
Vu le code de la défense, notamment son article R.* 1132-3 ;
Vu le code Ă©lectoral, notamment son article L. 163-2 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiĂ©e relative Ă  l’informatique, aux fichiers et aux libertĂ©s, notamment ses titres Ier et IV ;
Vu la loi n° 86-1067 du 30 septembre 1986 modifiée relative à la liberté de communication, notamment ses articles 17-2, 33-1-1 et 62 ;
Vu le dĂ©cret n° 2021-922 du 13 juillet 2021 portant crĂ©ation, auprĂšs du secrĂ©taire gĂ©nĂ©ral de la dĂ©fense et de la sĂ©curitĂ© nationale, d’un service Ă  compĂ©tence nationale dĂ©nommĂ© « service de vigilance et de protection contre les ingĂ©rences numĂ©riques Ă©trangĂšres » ;
Vu la dĂ©libĂ©ration n° 2021-116 de la Commission nationale de l’informatique et des libertĂ©s en date du 7 octobre 2021,
Le Conseil d’Etat entendu,
DĂ©crĂšte :

Titre Ier : ORGANISATION ET FONCTIONNEMENT DU TRAITEMENT

Article 1

Dans l’exercice de ses attributions prĂ©vues au 9° de l’article R.* 1132-3 du code de la dĂ©fense, le secrĂ©taire gĂ©nĂ©ral de la dĂ©fense et de la sĂ©curitĂ© nationale est autorisĂ© Ă  mettre en Ɠuvre un traitement informatisĂ© et automatisĂ© de donnĂ©es Ă  caractĂšre personnel.
Ce traitement a pour finalitĂ©s la dĂ©tection et la caractĂ©risation des opĂ©rations impliquant, de maniĂšre directe ou indirecte, un Etat Ă©tranger ou une entitĂ© non Ă©tatique Ă©trangĂšre, et visant Ă  la diffusion artificielle ou automatisĂ©e, massive et dĂ©libĂ©rĂ©e, par le biais d’un service de communication au public en ligne, d’allĂ©gations ou imputations de faits manifestement inexactes ou trompeuses de nature Ă  porter atteinte aux intĂ©rĂȘts fondamentaux de la Nation, notamment lorsque ces opĂ©rations sont de nature Ă  altĂ©rer l’information des citoyens pendant les pĂ©riodes Ă©lectorales mentionnĂ©es Ă  l’article 33-1-1 de la loi du 30 septembre 1986 susvisĂ©e.
Ce traitement repose sur la collecte et l’exploitation des contenus publiquement accessibles aux utilisateurs des plateformes en ligne des opĂ©rateurs mentionnĂ©s au I de l’article L. 111-7 du code de la consommation et dont l’activitĂ© sur le territoire français dĂ©passe un seuil de cinq millions de visiteurs uniques par mois, y compris lorsque l’accĂšs Ă  ces plateformes requiert une inscription Ă  un compte. Lorsqu’elles concourent Ă  la caractĂ©risation des opĂ©rations mentionnĂ©es au deuxiĂšme alinĂ©a, les donnĂ©es ainsi collectĂ©es sont exploitĂ©es pour les seuls besoins de l’Ă©laboration de notes d’analyse.
Ce traitement est confiĂ© au service de vigilance et de protection contre les ingĂ©rences numĂ©riques Ă©trangĂšres, crĂ©Ă© par l’article 2 du dĂ©cret du 13 juillet 2021 susvisĂ©. Le chef de ce service est le responsable de traitement.

Article 2

La sĂ©lection des contenus Ă  collecter s’opĂšre de maniĂšre proportionnĂ©e et automatisĂ©e par application de critĂšres techniques dĂ©terminĂ©s Ă  l’issue de travaux de veille, dans le strict respect des finalitĂ©s mentionnĂ©es Ă  l’article 1er et Ă  l’exclusion de tout recours Ă  un systĂšme de reconnaissance faciale ou d’identification vocale.
Aucune collecte automatisĂ©e de donnĂ©es Ă  caractĂšre personnel n’est mise en Ɠuvre Ă  l’occasion des travaux de veille.
Les contenus mentionnĂ©s au premier alinĂ©a sont collectĂ©s pendant une pĂ©riode maximale de sept jours. Cette pĂ©riode peut ĂȘtre renouvelĂ©e, dans la limite d’une durĂ©e qui ne peut excĂ©der six mois Ă  compter du dĂ©clenchement de l’opĂ©ration de collecte, dĂšs lors que la collecte demeure pertinente au regard des finalitĂ©s du traitement.

Article 3

Pour la collecte des contenus mentionnĂ©s Ă  l’article 2, le service prĂ©citĂ© est autorisĂ© Ă  crĂ©er des comptes sur les plateformes mentionnĂ©es Ă  l’article 1er ainsi que des comptes destinĂ©s Ă  ĂȘtre utilisĂ©s par l’intermĂ©diaire d’interfaces de programmation mises Ă  disposition par les opĂ©rateurs de ces plateformes.
Les agents de ce service ne sont pas autorisĂ©s Ă  utiliser ces comptes pour entrer en relation avec d’autres dĂ©tenteurs de compte, ni Ă  diffuser des contenus, ni Ă  exercer une activitĂ© autre que celle prĂ©vue au premier alinĂ©a du prĂ©sent article.

Article 4

Le service prĂ©citĂ© dĂ©finit dans des tables informatiques les catĂ©gories de donnĂ©es nĂ©cessaires Ă  la rĂ©alisation des finalitĂ©s mentionnĂ©es Ă  l’article 1er et devant ĂȘtre conservĂ©es Ă  cet effet.
Ces catégories de données sont :

1° Les donnĂ©es d’identification dĂ©clarĂ©es par les titulaires de comptes ouverts sur les plateformes en ligne mentionnĂ©es Ă  l’article 1er, lorsqu’ils diffusent ou relaient des contenus publiquement accessibles ou y rĂ©agissent, telles qu’elles apparaissent sur ces comptes ;

2° Les donnĂ©es permettant de caractĂ©riser l’activitĂ© et l’audience de ces comptes, notamment les indicateurs quantitatifs relatifs au nombre d’abonnĂ©s et au nombre de publications ;

3° Les contenus publiquement accessibles dans les conditions dĂ©finies Ă  l’article 1er, diffusĂ©s ou relayĂ©s au moyen de ces comptes et les indicateurs d’audience associĂ©s.

Article 5

Les donnĂ©es collectĂ©es qui ne correspondent pas aux catĂ©gories de donnĂ©es mentionnĂ©es Ă  l’article 4 sont dĂ©truites immĂ©diatement aprĂšs leur collecte, selon un procĂ©dĂ© automatisĂ©.
Seuls les agents affectés au sein du service précité, individuellement désignés et spécialement habilités par le responsable de traitement, peuvent accéder à ce procédé automatisé et en modifier les paramÚtres.

Article 6

Il est interdit de sĂ©lectionner dans le traitement une catĂ©gorie particuliĂšre de personnes Ă  partir des seules donnĂ©es sensibles, au sens de l’article 6 de la loi du 6 janvier 1978 susvisĂ©e.

Article 7

Les donnĂ©es collectĂ©es qui correspondent aux catĂ©gories de donnĂ©es mentionnĂ©es Ă  l’article 4 sont conservĂ©es pendant la durĂ©e strictement nĂ©cessaire Ă  leur exploitation.
Elles sont dĂ©truites Ă  l’issue de cette exploitation et, au plus tard, au terme d’un dĂ©lai de quatre mois Ă  compter de la date de leur collecte, selon un procĂ©dĂ© automatisĂ©.
Seuls les agents affectés au sein du service précité, individuellement désignés et spécialement habilités par le responsable de traitement, peuvent accéder à ce procédé automatisé et en modifier les paramÚtres.

Article 8

Seuls les agents affectés au sein du service précité individuellement désignés et spécialement habilités par le responsable de traitement peuvent accéder à tout ou partie des données à caractÚre personnel conservées dans le cadre du traitement.

Article 9

Sans prĂ©judice du deuxiĂšme alinĂ©a de l’article 5, du troisiĂšme alinĂ©a de l’article 7 et de l’article 8, les opĂ©rations de collecte, d’exploitation et d’hĂ©bergement des donnĂ©es peuvent ĂȘtre sous-traitĂ©es dans les conditions prĂ©vues Ă  l’article 122 de la loi du 6 janvier 1978 susvisĂ©e.

Article 10

Les opĂ©rations de collecte, de consultation, de modification, de communication et d’effacement des donnĂ©es et informations du traitement font l’objet d’un enregistrement comprenant l’identification de l’auteur, la date, l’heure et la nature de l’opĂ©ration. Ces informations sont conservĂ©es pendant trois ans et ne sont consultables que par les agents individuellement dĂ©signĂ©s et spĂ©cialement habilitĂ©s par le responsable de traitement.

Article 11

En application du III de l’article 116 de la loi du 6 janvier 1978 susvisĂ©e, le droit d’information prĂ©vu au I du mĂȘme article ne s’applique pas au prĂ©sent traitement.
Le droit d’opposition prĂ©vu au premier alinĂ©a de l’article 117 de la loi du 6 janvier 1978 susvisĂ©e ne s’applique pas au prĂ©sent traitement.
Pour les donnĂ©es mentionnĂ©es Ă  l’article 7 du prĂ©sent dĂ©cret, les demandes tendant Ă  l’exercice du droit d’accĂšs, de rectification et d’effacement relatives au prĂ©sent traitement sont exercĂ©es dans les conditions prĂ©vues Ă  l’article 119 de la loi du 6 janvier 1978 susvisĂ©e.

Titre II : RÔLE DU COMITÉ ÉTHIQUE ET SCIENTIFIQUE

Article 12

Le prĂ©sident du comitĂ© Ă©thique et scientifique instituĂ© par l’article 5 du dĂ©cret du 13 juillet 2021 susvisĂ© est immĂ©diatement informĂ© du dĂ©clenchement de la collecte et, le cas Ă©chĂ©ant, de son renouvellement. Les critĂšres techniques mentionnĂ©s Ă  l’article 2, ainsi que les modalitĂ©s de leur dĂ©termination, lui sont communiquĂ©s simultanĂ©ment.

Article 13

L’article 6 dĂ©cret du 13 juillet 2021 susvisĂ© est complĂ©tĂ© par six alinĂ©as ainsi rĂ©digĂ©s :
« Ce rapport annuel comprend notamment :
« 1° Une synthĂšse des collectes effectuĂ©es, des conditions de leur dĂ©clenchement et des moyens mis en Ɠuvre Ă  cet effet ;
« 2° La liste des plateformes en ligne sur lesquelles des données ont été collectées ;
« 3° Des Ă©lĂ©ments chiffrĂ©s relatifs Ă  l’exercice des droits d’accĂšs, de rectification et d’effacement ;
« 4° Une information quant aux mesures de sĂ©curitĂ© mises en place afin d’assurer la confidentialitĂ© et l’intĂ©gritĂ© des donnĂ©es collectĂ©es, s’agissant notamment des conditions de sous-traitance des opĂ©rations de collecte, d’exploitation et d’hĂ©bergement ;
« 5° Une Ă©valuation gĂ©nĂ©rale de la mise en Ɠuvre du traitement de donnĂ©es Ă  caractĂšre personnel crĂ©Ă© par le dĂ©cret n° 2021-1587 du 7 dĂ©cembre 2021 portant autorisation d’un traitement automatisĂ© de donnĂ©es Ă  caractĂšre personnel dans le but d’identifier les ingĂ©rences numĂ©riques Ă©trangĂšres. »

Article 14

Les dispositions de l’article 12 et celles ajoutĂ©es au dĂ©cret du 13 juillet 2021 susvisĂ© par l’article 13 peuvent ĂȘtre modifiĂ©es par dĂ©cret.

Article 15

Le présent décret sera publié au Journal officiel de la République française.

Date et signature(s)

Fait le 7 décembre 2021.

Jean Castex