Délibération n° 2011-298 du 21 septembre 2011 portant avis sur un projet d'arrêté autorisant la création de traitements de données à caractère personnel relatifs à la gestion des habilitations au secret de la défense nationale (demande d'avis n° 1525025)

JORF n°0278 du 1 décembre 2011
texte n° 90



Délibération n° 2011-298 du 21 septembre 2011 portant avis sur un projet d'arrêté autorisant la création de traitements de données à caractère personnel relatifs à la gestion des habilitations au secret de la défense nationale (demande d'avis n° 1525025)

NOR: CNIX1132292X
ELI: Non disponible



La Commission nationale de l'informatique et des libertés,
Saisie pour avis par le premier ministre (secrétariat général de la défense et de la sécurité nationale) le 29 juillet 2010 d'un projet d'arrêté autorisant la création de traitements automatisés de données à caractère personnel relatifs à la gestion des habilitations au secret de la défense nationale ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé de données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu le code de la défense, notamment ses articles R. 1143-1 et suivants et R. 2311-1 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 26 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, notamment son article 1er ;
Vu l'arrêté du 23 juillet 2010 portant approbation de l'instruction générale interministérielle sur la protection du secret de la défense nationale, notamment les articles 12 et 30 de son annexe ;
Après avoir entendu M. Sébastien Huyghe, commissaire, en son rapport, et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie pour avis par le Premier ministre (secrétariat général de la défense et de la sécurité nationale), dans les conditions prévues au IV de l'article 26 de la loi du 6 janvier 1978 modifiée, d'un projet d'acte réglementaire unique autorisant la création de traitements automatisés de données à caractère personnel relatifs à la gestion des habilitations au secret de la défense nationale.
Ces traitements, tenus sous forme de répertoires automatisés, seront mis en œuvre dans chaque département ministériel par les hauts fonctionnaires de défense et de sécurité afin de gérer les habilitations à connaître d'informations classifiées des fonctionnaires et agents affectés au sein de ce département ministériel. En effet, conformément aux dispositions susvisées du code de la défense et de l'arrêté du 23 juillet 2010 les hauts fonctionnaires de défense et de sécurité ont notamment pour mission d'assurer, au sein de leur département ministériel, l'application des dispositions relatives à la sécurité, de défense et à la protection du secret de la défense nationale.
La nature des données sera limitée à l'identité des personnes (noms, prénoms, sexe, date et lieu de naissance, nationalités, références des documents d'identité), à leur vie professionnelle (organisme d'affectation, fonctions occupées, titre ou grade, coordonnées) et aux éléments techniques de gestion des dossiers d'habilitation (identification, instruction, durée de validité et suivi de la décision d'habilitation). La commission prend acte que le traitement ne portera pas sur les enquêtes administratives réalisées dans le cadre de la procédure d'habilitation, à l'exception du sens de l'avis de sécurité qui en est issu.
Ces données seront conservées une année à compter du terme de la validité de l'avis de sécurité délivré par le service en charge de l'enquête administrative. La commission note que, conformément aux dispositions susvisées du code de la défense, la durée de validité de ces avis dépend du niveau de classification sur lequel porte l'habilitation demandée, à savoir cinq ans pour le niveau « très secret défense », sept ans pour le niveau « secret défense » et dix ans pour le niveau « confidentiel défense ».
Seul le haut fonctionnaire de défense et de sécurité de chaque département ministériel ainsi que les personnels justifiant du besoin d'en connaître qui lui sont affectés auront directement accès au traitement. Le projet d'arrêté n'indique aucun autre destinataire des données au sens du II de l'article 3 de la loi du 6 janvier 1978 modifiée. Or, il apparaît qu'au sein de son département ministériel, le haut fonctionnaire de défense et de sécurité pourra être amené à communiquer certaines données issues du traitement à des agents ou fonctionnaires affectés dans ce ministère et justifiant du besoin d'en connaître (services de gestion des ressources humaines, services informatiques, services à l'origine de la demande d'habilitation). La commission considère que, même s'ils n'accèdent pas directement au traitement, ces personnels devraient figurer en qualité de destinataires des données dans le projet d'arrêté, conformément au 7° du I de l'article 30 de la loi du 6 janvier 1978 modifiée.
La commission prend acte que, conformément à l'article 38 de la loi du 6 janvier 1978 modifiée, le projet d'arrêté exclut le droit d'opposition des personnes au traitement de leurs données. S'agissant du droit des personnes d'accéder aux données qui les concernent, celui-ci s'exercera directement auprès des services du haut fonctionnaire de défense et de sécurité dont dépend l'intéressé, conformément au dernier alinéa de l'article 41 de la loi du 6 janvier 1978 modifiée.
Les personnes seront informées du traitement de leurs données par mention dans le formulaire de demande d'habilitation rempli par l'intéressé. La commission relève que la mention d'information envisagée ne satisfait que partiellement aux exigences du I de l'article 32 de la loi du 6 janvier 1978 modifiée et 90 du décret du 20 octobre 2005 modifié. Elle considère donc que cette mention devra être mise à jour et complétée par l'ajout des catégories de destinataires ainsi qu'en y indiquant que les droits d'accès et de rectification pourront s'exercer auprès des services du haut fonctionnaire de défense et de sécurité du département ministériel dont dépend l'intéressé.
Le projet d'arrêté indique que, lorsque le traitement sera automatisé, les consultations feront l'objet de mesures de traçabilité indiquant l'identifiant du consultant, la date, l'heure et l'objet de la consultation. Les traces ainsi collectées seront conservées durant trois ans. La commission recommande qu'une information spécifique soit délivrée aux utilisateurs sur ce point.
La commission prend acte que ces traitements seront mis en œuvre dans des conditions de sécurité renforcées, le projet d'arrêté renvoyant notamment au référentiel général de sécurité prévu par le décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. En tout état de cause, elle rappelle que des mesures spécifiques de prévention, de protection et de récupération portant sur les systèmes informatiques, l'organisation, les personnes ou les locaux doivent être prévues pour traiter les risques liés à l'accès illégitime aux données à caractère personnel, à leur modification non désirée ou à leur disparition.
La mise en œuvre de ces traitements par les hauts fonctionnaires de défense et de sécurité sera précédée d'un envoi à la commission d'un engagement de conformité aux disposition de l'arrêté, conformément au IV de l'article 26 de la loi du 6 janvier 1978 modifiée, lequel devra mentionner la dénomination du traitement concerné, le lieu exact d'implantation du traitement, la désignation du service gestionnaire, les mesures prises pour assurer la sécurité des données et le service compétent pour traiter les demandes d'accès.


Pour le président :

Le vice-président délégué,

E. de Givry