Code de la défense
Section 4 : Sécurité des traitements de données personnelles dont la finalité est fondée sur la qualité de militaire
Sont soumis aux dispositions de la présente section les traitements dont la finalité exige, outre les données personnelles d'identification, d'une part, la collecte d'au moins une donnée révélant, à sa seule lecture, la qualité de militaire et, d'autre part, la collecte d'au moins une information relative à la vie privée telle que l'adresse ou la composition de la famille.
L'avis prévu au troisième alinéa du I de l'article L. 4123-9-1 est rendu par le ministre de la défense.
Le ministre se prononce dans un délai de deux mois, renouvelable une fois, à compter de la réception de la demande.
L'avis est rendu après enquête administrative portant sur les atteintes que le comportement ou les agissements du responsable de traitement sont susceptibles de porter à la sécurité des personnes, la sécurité publique ou la sécurité de l'Etat.
Le ministre se prononce dans un délai de deux mois, renouvelable une fois, à compter de la réception de la demande.
L'avis est rendu après enquête administrative portant sur les atteintes que le comportement ou les agissements du responsable de traitement sont susceptibles de porter à la sécurité des personnes, la sécurité publique ou la sécurité de l'Etat.
Pour l'application du II de l'article L. 4123-9-1, le responsable de traitement ne peut autoriser des personnes à avoir accès au contenu du traitement qu'après avoir obtenu un avis favorable du ministre de la défense.
Le ministre se prononce dans un délai de deux mois, renouvelable une fois, à compter de la réception de la demande. En l'absence de réponse, l'avis est réputé défavorable.
Le ministre se prononce dans un délai de deux mois, renouvelable une fois, à compter de la réception de la demande. En l'absence de réponse, l'avis est réputé défavorable.
Ces personnes sont également informées par le responsable de traitement de ce que cette enquête administrative peut comporter la consultation de traitements automatisés de données à caractère personnel relevant de l' article 26 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Cette consultation est assurée par des agents spécialement habilités et individuellement désignés par l'autorité dont ils relèvent.
Lorsque l'enquête administrative révèle l'existence d'une menace pour la sécurité des militaires concernés, la direction du renseignement et de la sécurité de la défense en informe sans délai le responsable de traitement. Celui-ci prend sans délai les mesures nécessaires afin que la personne concernée n'ait plus accès aux données à caractère personnel de militaires et en informe cette direction.
Ces personnes sont également informées par le responsable de traitement de ce que cette enquête administrative peut comporter la consultation de traitements automatisés de données à caractère personnel relevant de l'article 31 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Cette consultation est assurée par des agents spécialement habilités et individuellement désignés par l'autorité dont ils relèvent.
Lorsque l'enquête administrative révèle l'existence d'une menace pour la sécurité des militaires concernés, la direction du renseignement et de la sécurité de la défense en informe sans délai le responsable de traitement. Celui-ci prend sans délai les mesures nécessaires afin que la personne concernée n'ait plus accès aux données à caractère personnel de militaires et en informe cette direction.
Les personnes pouvant faire l'objet d'une enquête administrative sont informées de ce que cette enquête peut donner lieu à la consultation des traitements automatisés de données personnelles mentionnés à l'article 230-6 du code de procédure pénale.
Cette consultation est assurée par des agents spécialement habilités et individuellement désignés par l'autorité dont ils relèvent.
Cette consultation est assurée par des agents spécialement habilités et individuellement désignés par l'autorité dont ils relèvent.
Le délégué à la protection des données du ministère de la défense informe sans délai la Commission nationale de l'informatique et des libertés de l'évaluation des risques résultant de cette divulgation ou de cet accès non autorisé.
En complément du dossier produit à l'appui d'une demande d'autorisation ou d'une déclaration adressée à la Commission nationale de l'informatique et des libertés en application du I de l'article L. 4123-9-1, le responsable du traitement communique au ministre de la défense les mesures techniques et d'organisation permettant d'assurer le respect des prescriptions de sécurité propres aux traitements mentionnés à l'article R. 4123-45. Le ministre informe la Commission nationale de l'informatique et des libertés des éventuels défauts ou absences d'informations ne permettant pas d'attester de la conformité du traitement aux exigences de sécurité.
Les arrêtés fixant ces prescriptions de sécurité, prévus au IV de l'article L. 4123-9-1, sont pris conjointement par le ministre de la défense et le ministre de l'intérieur. Ils permettent d'assurer un niveau de sécurité adapté, notamment par :
1° La mise en œuvre de moyens permettant de garantir la confidentialité des données personnelles des militaires ;
2° La mise en œuvre de moyens permettant de garantir le contrôle et l'imputabilité des accès aux systèmes et aux services de traitement ;
3° La mise en œuvre de procédures visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures prises pour assurer la sécurité du traitement.
Les arrêtés mentionnés au deuxième alinéa prévoient des prescriptions adaptées au secteur, au type d'activité ou à la nature de l'opérateur mettant en œuvre le traitement.
Les arrêtés fixant ces prescriptions de sécurité, prévus au IV de l'article L. 4123-9-1, sont pris conjointement par le ministre de la défense et le ministre de l'intérieur. Ils permettent d'assurer un niveau de sécurité adapté, notamment par :
1° La mise en œuvre de moyens permettant de garantir la confidentialité des données personnelles des militaires ;
2° La mise en œuvre de moyens permettant de garantir le contrôle et l'imputabilité des accès aux systèmes et aux services de traitement ;
3° La mise en œuvre de procédures visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures prises pour assurer la sécurité du traitement.
Les arrêtés mentionnés au deuxième alinéa prévoient des prescriptions adaptées au secteur, au type d'activité ou à la nature de l'opérateur mettant en œuvre le traitement.
La Commission nationale de l'informatique et des libertés informe le ministre de la défense des autorisations qu'elle a accordées sur le fondement du premier alinéa du I de l'article L. 4123-9-1, ainsi que des déclarations qu'elle a reçues sur le fondement du dernier alinéa du I du même article.
Lorsque la Commission nationale de l'informatique et des libertés a connaissance, soit par le responsable du traitement, soit dans le cadre de ses contrôles, d'une divulgation ou d'un accès non autorisé à des données des traitements mentionnés à l'article R. 4123-45, elle informe sans délai le ministre de la défense et le ministre de l'intérieur qui évaluent si la diffusion d'une information sur cette divulgation ou cet accès non autorisé est susceptible de représenter un risque pour la sécurité des personnes, la sécurité publique ou la sûreté de l'Etat.
La Commission nationale de l'informatique et des libertés est tenue informée de cette évaluation des risques par les ministres.
Après accord de ces ministres, le responsable de traitement informe sans délai les personnes concernées par la divulgation ou l'accès non autorisé aux données.
La Commission nationale de l'informatique et des libertés est tenue informée de cette évaluation des risques par les ministres.
Après accord de ces ministres, le responsable de traitement informe sans délai les personnes concernées par la divulgation ou l'accès non autorisé aux données.