🟦 Décret du 7 décembre 2021 portant autorisation d’un traitement automatisé de données à caractère personnel dans le but d’identifier les ingérences numériques étrangères

Références

NOR : PRMD2131887D
ELI : https://www.legifrance.gouv.fr/eli/decret/2021/12/7/PRMD2131887D/jo/texte
Alias : https://www.legifrance.gouv.fr/eli/decret/2021/12/7/2021-1587/jo/texte
Source : JORF n°0286 du 9 décembre 2021, texte n° 3

Informations

Publics concernés : secrétariat général de la défense et de la sécurité nationale ; autorités administratives intervenant en matière de lutte contre la diffusion de fausses informations.

Objet : création d’un traitement de données à caractère personnel dans le cadre de la mission de vigilance et de protection contre les ingérences numériques étrangères confiée au secrétaire général de la défense et de la sécurité nationale.

Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication.

Notice : le décret vise à autoriser le secrétaire général de la défense et de la sécurité nationale à mettre en œuvre un traitement automatisé de données à caractère personnel dans le cadre de ses missions, prévues au 9° de l’article R.* 1132-3 du code de la défense, d’identification des opérations d’ingérence numérique étrangères de nature à porter atteinte aux intérêts fondamentaux de la Nation. Ce traitement est confié au service de vigilance et de protection contre les ingérences numériques étrangères, service à compétence nationale rattaché au secrétaire général de la défense et de la sécurité nationale.

Références : le décret et le décret n° 2021-922 du 13 juillet 2021 qu’il modifie par celui-ci, dans sa rédaction issue de ces modifications, peuvent être consultés sur le site Légifrance (https://www.legifrance.gouv.fr).

En-tête

Le Premier ministre,
Vu le code de la consommation, notamment son article L. 111-7 ;
Vu le code de la défense, notamment son article R.* 1132-3 ;
Vu le code électoral, notamment son article L. 163-2 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses titres Ier et IV ;
Vu la loi n° 86-1067 du 30 septembre 1986 modifiée relative à la liberté de communication, notamment ses articles 17-2, 33-1-1 et 62 ;
Vu le décret n° 2021-922 du 13 juillet 2021 portant création, auprès du secrétaire général de la défense et de la sécurité nationale, d’un service à compétence nationale dénommé « service de vigilance et de protection contre les ingérences numériques étrangères » ;
Vu la délibération n° 2021-116 de la Commission nationale de l’informatique et des libertés en date du 7 octobre 2021,
Le Conseil d’Etat entendu,
Décrète :

Titre Ier : ORGANISATION ET FONCTIONNEMENT DU TRAITEMENT

Article 1

Dans l’exercice de ses attributions prévues au 9° de l’article R.* 1132-3 du code de la défense, le secrétaire général de la défense et de la sécurité nationale est autorisé à mettre en œuvre un traitement informatisé et automatisé de données à caractère personnel.
Ce traitement a pour finalités la détection et la caractérisation des opérations impliquant, de manière directe ou indirecte, un Etat étranger ou une entité non étatique étrangère, et visant à la diffusion artificielle ou automatisée, massive et délibérée, par le biais d’un service de communication au public en ligne, d’allégations ou imputations de faits manifestement inexactes ou trompeuses de nature à porter atteinte aux intérêts fondamentaux de la Nation, notamment lorsque ces opérations sont de nature à altérer l’information des citoyens pendant les périodes électorales mentionnées à l’article 33-1-1 de la loi du 30 septembre 1986 susvisée.
Ce traitement repose sur la collecte et l’exploitation des contenus publiquement accessibles aux utilisateurs des plateformes en ligne des opérateurs mentionnés au I de l’article L. 111-7 du code de la consommation et dont l’activité sur le territoire français dépasse un seuil de cinq millions de visiteurs uniques par mois, y compris lorsque l’accès à ces plateformes requiert une inscription à un compte. Lorsqu’elles concourent à la caractérisation des opérations mentionnées au deuxième alinéa, les données ainsi collectées sont exploitées pour les seuls besoins de l’élaboration de notes d’analyse.
Ce traitement est confié au service de vigilance et de protection contre les ingérences numériques étrangères, créé par l’article 2 du décret du 13 juillet 2021 susvisé. Le chef de ce service est le responsable de traitement.

Article 2

La sélection des contenus à collecter s’opère de manière proportionnée et automatisée par application de critères techniques déterminés à l’issue de travaux de veille, dans le strict respect des finalités mentionnées à l’article 1er et à l’exclusion de tout recours à un système de reconnaissance faciale ou d’identification vocale.
Aucune collecte automatisée de données à caractère personnel n’est mise en œuvre à l’occasion des travaux de veille.
Les contenus mentionnés au premier alinéa sont collectés pendant une période maximale de sept jours. Cette période peut être renouvelée, dans la limite d’une durée qui ne peut excéder six mois à compter du déclenchement de l’opération de collecte, dès lors que la collecte demeure pertinente au regard des finalités du traitement.

Article 3

Pour la collecte des contenus mentionnés à l’article 2, le service précité est autorisé à créer des comptes sur les plateformes mentionnées à l’article 1er ainsi que des comptes destinés à être utilisés par l’intermédiaire d’interfaces de programmation mises à disposition par les opérateurs de ces plateformes.
Les agents de ce service ne sont pas autorisés à utiliser ces comptes pour entrer en relation avec d’autres détenteurs de compte, ni à diffuser des contenus, ni à exercer une activité autre que celle prévue au premier alinéa du présent article.

Article 4

Le service précité définit dans des tables informatiques les catégories de données nécessaires à la réalisation des finalités mentionnées à l’article 1er et devant être conservées à cet effet.
Ces catégories de données sont :

1° Les données d’identification déclarées par les titulaires de comptes ouverts sur les plateformes en ligne mentionnées à l’article 1er, lorsqu’ils diffusent ou relaient des contenus publiquement accessibles ou y réagissent, telles qu’elles apparaissent sur ces comptes ;

2° Les données permettant de caractériser l’activité et l’audience de ces comptes, notamment les indicateurs quantitatifs relatifs au nombre d’abonnés et au nombre de publications ;

3° Les contenus publiquement accessibles dans les conditions définies à l’article 1er, diffusés ou relayés au moyen de ces comptes et les indicateurs d’audience associés.

Article 5

Les données collectées qui ne correspondent pas aux catégories de données mentionnées à l’article 4 sont détruites immédiatement après leur collecte, selon un procédé automatisé.
Seuls les agents affectés au sein du service précité, individuellement désignés et spécialement habilités par le responsable de traitement, peuvent accéder à ce procédé automatisé et en modifier les paramètres.

Article 6

Il est interdit de sélectionner dans le traitement une catégorie particulière de personnes à partir des seules données sensibles, au sens de l’article 6 de la loi du 6 janvier 1978 susvisée.

Article 7

Les données collectées qui correspondent aux catégories de données mentionnées à l’article 4 sont conservées pendant la durée strictement nécessaire à leur exploitation.
Elles sont détruites à l’issue de cette exploitation et, au plus tard, au terme d’un délai de quatre mois à compter de la date de leur collecte, selon un procédé automatisé.
Seuls les agents affectés au sein du service précité, individuellement désignés et spécialement habilités par le responsable de traitement, peuvent accéder à ce procédé automatisé et en modifier les paramètres.

Article 8

Seuls les agents affectés au sein du service précité individuellement désignés et spécialement habilités par le responsable de traitement peuvent accéder à tout ou partie des données à caractère personnel conservées dans le cadre du traitement.

Article 9

Sans préjudice du deuxième alinéa de l’article 5, du troisième alinéa de l’article 7 et de l’article 8, les opérations de collecte, d’exploitation et d’hébergement des données peuvent être sous-traitées dans les conditions prévues à l’article 122 de la loi du 6 janvier 1978 susvisée.

Article 10

Les opérations de collecte, de consultation, de modification, de communication et d’effacement des données et informations du traitement font l’objet d’un enregistrement comprenant l’identification de l’auteur, la date, l’heure et la nature de l’opération. Ces informations sont conservées pendant trois ans et ne sont consultables que par les agents individuellement désignés et spécialement habilités par le responsable de traitement.

Article 11

En application du III de l’article 116 de la loi du 6 janvier 1978 susvisée, le droit d’information prévu au I du même article ne s’applique pas au présent traitement.
Le droit d’opposition prévu au premier alinéa de l’article 117 de la loi du 6 janvier 1978 susvisée ne s’applique pas au présent traitement.
Pour les données mentionnées à l’article 7 du présent décret, les demandes tendant à l’exercice du droit d’accès, de rectification et d’effacement relatives au présent traitement sont exercées dans les conditions prévues à l’article 119 de la loi du 6 janvier 1978 susvisée.

Titre II : RÔLE DU COMITÉ ÉTHIQUE ET SCIENTIFIQUE

Article 12

Le président du comité éthique et scientifique institué par l’article 5 du décret du 13 juillet 2021 susvisé est immédiatement informé du déclenchement de la collecte et, le cas échéant, de son renouvellement. Les critères techniques mentionnés à l’article 2, ainsi que les modalités de leur détermination, lui sont communiqués simultanément.

Article 13

L’article 6 décret du 13 juillet 2021 susvisé est complété par six alinéas ainsi rédigés :
« Ce rapport annuel comprend notamment :
« 1° Une synthèse des collectes effectuées, des conditions de leur déclenchement et des moyens mis en œuvre à cet effet ;
« 2° La liste des plateformes en ligne sur lesquelles des données ont été collectées ;
« 3° Des éléments chiffrés relatifs à l’exercice des droits d’accès, de rectification et d’effacement ;
« 4° Une information quant aux mesures de sécurité mises en place afin d’assurer la confidentialité et l’intégrité des données collectées, s’agissant notamment des conditions de sous-traitance des opérations de collecte, d’exploitation et d’hébergement ;
« 5° Une évaluation générale de la mise en œuvre du traitement de données à caractère personnel créé par le décret n° 2021-1587 du 7 décembre 2021 portant autorisation d’un traitement automatisé de données à caractère personnel dans le but d’identifier les ingérences numériques étrangères. »

Article 14

Les dispositions de l’article 12 et celles ajoutées au décret du 13 juillet 2021 susvisé par l’article 13 peuvent être modifiées par décret.

Article 15

Le présent décret sera publié au Journal officiel de la République française.

Date et signature(s)

Fait le 7 décembre 2021.

Jean Castex