Décret n° 2016-1946 du 28 décembre 2016 relatif à la protection de données à caractère personnel de militaires prévue à l'article L. 4123-9-1 du code de la défense

NOR : DEFD1631008D
ELI : https://www.legifrance.gouv.fr/eli/decret/2016/12/28/DEFD1631008D/jo/texte
Alias : https://www.legifrance.gouv.fr/eli/decret/2016/12/28/2016-1946/jo/texte
JORF n°0303 du 30 décembre 2016
Texte n° 96

Version initiale


Publics concernés : militaires ; responsables des traitements automatisés comportant des données personnelles dont la finalité est fondée sur la qualité de militaire ; personnes ayant accès au contenu de ces traitements.
Objet : sécurité des traitements, automatisés ou non, de données personnelles dont la finalité est fondée sur la qualité de militaire.
Entrée en vigueur : le texte entre en vigueur le 1er juillet 2017.
Notice : le décret fixe les prescriptions que doivent respecter les responsables des traitements automatisés comportant des données personnelles dont la finalité est fondée sur la qualité de militaire, et les conditions de contrôle des prescriptions techniques auxquelles doivent se conformer ces traitements de données. Il détermine, en outre, les relations entre l'administration et la Commission nationale de l'informatique et des libertés.
Références : le décret est pris pour l'application de l'article L. 4123-9-1 du code de la défense dans sa rédaction issue de l'article 117 de la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale. Les dispositions du code de la défense, modifiées par le présent décret, peuvent être consultées, dans leur rédaction issue de cette modification, sur le site Légifrance (http://www.légifrance.gouv.fr).


Le Premier ministre,
Sur le rapport du ministre de la défense,
Vu le code de la défense, notamment son article L. 4123-9-1 ;
Vu le code de procédure pénale ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 8 décembre 2016 ;
Le Conseil d'Etat (section de l'administration) entendu,
Décrète :


  • Le chapitre III du titre II du livre Ier de la quatrième partie réglementaire du code de la défense est complété par une section 4 ainsi rédigée :


    « Section 4
    « Sécurité des traitements de données personnelles dont la finalité est fondée sur la qualité de militaire


    « Art. R. 4123-45.-Sont soumis aux dispositions de la présente section les traitements dont la finalité exige, outre les données personnelles d'identification, d'une part, la collecte d'au moins une donnée révélant, à sa seule lecture, la qualité de militaire et, d'autre part, la collecte d'au moins une information relative à la vie privée telle que l'adresse ou la composition de la famille.


    « Art. R. 4123-46.-L'avis prévu au troisième alinéa du I de l'article L. 4123-9-1 est rendu par le ministre de la défense.
    « Le ministre se prononce dans un délai de deux mois, renouvelable une fois, à compter de la réception de la demande.
    « L'avis est rendu après enquête administrative portant sur les atteintes que le comportement ou les agissements du responsable de traitement sont susceptibles de porter à la sécurité des personnes, la sécurité publique ou la sécurité de l'Etat.


    « Art. R. 4123-47.-Pour l'application du II de l'article L. 4123-9-1, le responsable de traitement ne peut autoriser des personnes à avoir accès au contenu du traitement qu'après avoir obtenu un avis favorable du ministre de la défense.
    « Le ministre se prononce dans un délai de deux mois, renouvelable une fois, à compter de la réception de la demande. En l'absence de réponse, l'avis est réputé défavorable.


    « Art. R. 4123-48.-Les personnes pouvant faire l'objet d'une enquête administrative sont informées de ce que cette enquête peut donner lieu à la consultation des traitements automatisés de données personnelles mentionnés à l'article 230-6 du code de procédure pénale.
    « Cette consultation est assurée par des agents spécialement habilités et individuellement désignés par l'autorité dont ils relèvent.


    « Art. R. 4123-49.-En complément du dossier produit à l'appui d'une demande d'autorisation ou d'une déclaration adressée à la Commission nationale de l'informatique et des libertés en application du I de l'article L. 4123-9-1, le responsable du traitement communique au ministre de la défense les mesures techniques et d'organisation permettant d'assurer le respect des prescriptions de sécurité propres aux traitements mentionnés à l'article R. 4123-45. Le ministre informe la Commission nationale de l'informatique et des libertés des éventuels défauts ou absences d'informations ne permettant pas d'attester de la conformité du traitement aux exigences de sécurité.
    « Les arrêtés fixant ces prescriptions de sécurité, prévus au IV de l'article L. 4123-9-1, sont pris conjointement par le ministre de la défense et le ministre de l'intérieur. Ils permettent d'assurer un niveau de sécurité adapté, notamment par :
    « 1° La mise en œuvre de moyens permettant de garantir la confidentialité des données personnelles des militaires ;
    « 2° La mise en œuvre de moyens permettant de garantir le contrôle et l'imputabilité des accès aux systèmes et aux services de traitement ;
    « 3° La mise en œuvre de procédures visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures prises pour assurer la sécurité du traitement.
    « Les arrêtés mentionnés au deuxième alinéa prévoient des prescriptions adaptées au secteur, au type d'activité ou à la nature de l'opérateur mettant en œuvre le traitement.


    « Art. R. 4123-50.-La Commission nationale de l'informatique et des libertés informe le ministre de la défense des autorisations qu'elle a accordées sur le fondement du premier alinéa du I de l'article L. 4123-9-1, ainsi que des déclarations qu'elle a reçues sur le fondement du dernier alinéa du I du même article.


    « Art. R. 4123-51.-Lorsque la Commission nationale de l'informatique et des libertés a connaissance, soit par le responsable du traitement, soit dans le cadre de ses contrôles, d'une divulgation ou d'un accès non autorisé à des données des traitements mentionnés à l'article R. 4123-45, elle informe sans délai le ministre de la défense et le ministre de l'intérieur qui évaluent si la diffusion d'une information sur cette divulgation ou cet accès non autorisé est susceptible de représenter un risque pour la sécurité des personnes, la sécurité publique ou la sûreté de l'Etat.
    « La Commission nationale de l'informatique et des libertés est tenue informée de cette évaluation des risques par les ministres.
    « Après accord de ces ministres, le responsable de traitement informe sans délai les personnes concernées par la divulgation ou l'accès non autorisé aux données. »


  • Aux articles R. 4341-2, R. 4351-2 et R. 4361-2 du code de la défense :
    1° La référence à l'article R. 4123-44 est remplacée par la référence à l'article R. 4123-51 ;
    2° Le 1° de ces articles est complété par la phrase suivante : « Les articles R. 4123-45 à R. 4123-51 sont applicables dans leur rédaction résultant du décret n° 2016-1946 du 28 décembre 2016. »


  • Le présent décret entre en vigueur le 1er juillet 2017.


  • Le ministre de la défense et le ministre de l'intérieur sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.


Fait le 28 décembre 2016.


Bernard Cazeneuve
Par le Premier ministre :


Le ministre de la défense,
Jean-Yves Le Drian


Le ministre de l'intérieur,
Bruno Le Roux

Extrait du Journal officiel électronique authentifié PDF - 252,1 Ko
Retourner en haut de la page