Décret n° 2026-70 du 11 février 2026 relatif aux missions et moyens du service de vigilance et de protection contre les ingérences numériques étrangères

Version INITIALE

Accéder à la version consolidée

NOR : PRMD2531982D

ELI : https://www.legifrance.gouv.fr/eli/decret/2026/2/11/PRMD2531982D/jo/texte

Alias : https://www.legifrance.gouv.fr/eli/decret/2026/2/11/2026-70/jo/texte

Texte n°1

Extrait du Journal officiel électronique authentifié

PDF - 236 Ko

ChronoLégi l'accès au droit dans le temps


Publics concernés : secrétariat général de la défense et de la sécurité nationale, hautes autorités de l'Etat, autorités administratives intervenant en matière de lutte contre les ingérences numériques étrangères, autorités administratives appelées à travailler avec le service de vigilance et de protection contre les ingérences numériques étrangères.
Objet : adaptation du périmètre et des moyens d'action du service de vigilance et de protection contre les ingérences numériques étrangères.
Le présent décret vise à doter le service de vigilance et de protection contre les ingérences numériques étrangères de moyens renforcés pour lutter contre les ingérences numériques étrangères, en particulier en clarifiant le cadre dans lequel il est autorisé à opérer un traitement de données à caractère personnel. Il supprime notamment la phase de veille, qui ne correspond pas à une réalité opérationnelle identifiée, les critères techniques de sélection des données collectées étant définis pour chaque opération. Il allonge par ailleurs les durées de conservation des données et de renouvellement des collectes.
Il octroie par ailleurs au service de nouvelles missions en matière de documentation des modes opératoires, de recherche et d'information du public et précise le cadre d'action de certaines missions déjà exercées, en particulier en matière électorale. Enfin, il clarifie le cadre d'action du comité éthique et scientifique en précisant son rôle de conseil du service et en détaillant les conditions dans lesquelles il se prononce sur le rapport annuel de celui-ci.
Sur le plan formel, il fusionne le décret régissant le traitement de données à caractère personnel opéré par le service avec celui régissant ses missions, dans un objectif de lisibilité.
Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication au Journal officiel de la République française.
Application : le présent décret est un décret autonome.


Le Président de la République,
Sur le rapport du Premier ministre,
Vu le règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) ;
Vu le code de la défense, notamment son article R.* 1132-1 ;
Vu le code de l'éducation, notamment son article L. 111-2 ;
Vu le code électoral, notamment son article L. 163-2 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses titres Ier et IV ;
Vu la loi n° 86-1067 du 30 septembre 1986 modifiée relative à la liberté de communication, notamment son article 33-1-1 ;
Vu la loi n° 2004-575 du 21 juin 2004 modifiée pour la confiance dans l'économie numérique, notamment la section 4 du chapitre II de son titre Ier ;
Vu le décret n° 2001-213 du 8 mars 2001 portant application de la loi n° 62-1292 du 6 novembre 1962 relative à l'élection du Président de la République au suffrage universel ;
Vu le décret n° 2021-922 du 13 juillet 2021 modifié portant création, auprès du secrétaire général de la défense et de la sécurité nationale, d'un service à compétence nationale dénommé « service de vigilance et de protection contre les ingérences numériques étrangères » ;
Vu l'avis du comité social d'administration du secrétariat général de la défense et de la sécurité nationale en date du 13 octobre 2025 ;
Vu la délibération n° 2025-108 de la Commission nationale de l'informatique et des libertés en date du 6 novembre 2025 ;
Le Conseil d'Etat (section de l'administration) entendu ;
Le conseil des ministres entendu,
Décrète :


  • L'article 3 du décret du 13 juillet 2021 susvisé est ainsi modifié :
    1° Le 1° est remplacé par les dispositions suivantes :
    « 1° Détecter, caractériser et documenter, en analysant les données accessibles publiquement sur les plateformes en ligne, sur les moteurs de recherche en ligne ainsi que sur les interfaces en ligne, au sens des i, j et m de l'article 3 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE, les opérations mentionnées au 9° de l'article R.* 1132-3 du code de la défense, notamment lorsque celles-ci sont de nature à altérer l'information des citoyens pendant les périodes électorales mentionnées à l'article 33-1-1 de la loi du 30 septembre 1986 susvisée ; »
    2° Après le 1°, il est inséré un 1° bis ainsi rédigé :
    « 1° bis Contribuer à la recherche et au développement d'outils, d'algorithmes et de modèles susceptibles d'être mobilisés dans l'exercice de sa mission mentionnée au 1° du présent article ; »
    3° Au 2°, les mots : « ces opérations » sont remplacés par les mots : « les opérations mentionnées au 1° et d'anticipation des menaces qu'elles représentent » ;
    4° Le 3° est remplacé par les dispositions suivantes :
    « 3° Fournir toute information utile :
    « a) A l'Autorité de régulation de la communication audiovisuelle et numérique dans l'accomplissement des missions qui lui sont confiées par la loi du 30 septembre 1986 susvisée, notamment son article 33-1-1, et la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, notamment le dernier alinéa de son article 7-3 en vue de participer à la supervision de la mise en œuvre effective de l'obligation d'atténuer les risques systémiques mentionnés à l'article 34 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) ;
    « b) A la Commission nationale de contrôle instituée par l'article 13 du décret du 8 mars 2001 susvisé ;
    « c) A toute autorité, y compris juridictionnelle, saisie à l'occasion d'élections politiques ; »
    5° Il est ajouté un 5° ainsi rédigé :
    « 5° Contribuer à l'information du public, ainsi qu'aux actions d'éducation aux médias conformément aux dispositions de l'article L. 111-2 du code de l'éducation. »


  • Après la première phrase du premier alinéa de l'article 5 du même décret, il est inséré une phrase ainsi rédigée : « Il contribue à identifier les enjeux éthiques ou scientifiques liés à l'exercice des missions du service, notamment en contexte électoral. »


  • L'article 6 du même décret est ainsi modifié :
    1° Le premier alinéa est complété par une phrase ainsi rédigée : « Il transmet régulièrement au comité : » ;
    2° Les deuxième et troisième alinéas sont supprimés ;
    3° Au 2°, les mots : « La liste des plateformes en ligne sur lesquelles » sont remplacés par les mots : « Une liste de plateformes en ligne, de moteurs de recherche en ligne et d'interfaces en ligne sur lesquels » ;
    4° Le 5° est abrogé ;
    5° Sont ajoutés deux alinéas ainsi rédigés :
    « Le service de vigilance et de protection contre les ingérences numériques étrangères établit un rapport annuel dressant le bilan de l'activité du service et comprenant notamment les informations mentionnées aux 1° à 4° du présent article. Le comité éthique et scientifique émet un avis motivé sur le rapport annuel du service, qu'il adresse au secrétaire général de la défense et de la sécurité nationale et qui comprend notamment une évaluation générale de la mise en œuvre du traitement de données à caractère personnel prévu au chapitre II bis.
    « Ce rapport d'activité et cet avis sont rendus publics. »


  • L'article 7 du même décret est ainsi modifié :
    1° Au deuxième et au cinquième alinéa, les mots : « du Conseil supérieur de l'audiovisuel » sont remplacés par les mots : « de l'Autorité de régulation de la communication audiovisuelle et numérique » ;
    2° Au dernier alinéa, les mots : « non renouvelable » sont remplacés par les mots : « renouvelable une fois ».


  • Après le chapitre II du même décret, il est inséré un chapitre II bis ainsi rédigé :


    « Chapitre II bis
    « Traitement automatisé de données à caractère personnel dans le but d'identifier les ingérences numériques étrangères


    « Art. 7-1. - Dans l'exercice de ses attributions prévues au 9° de l'article R.* 1132-3 du code de la défense, le secrétaire général de la défense et de la sécurité nationale est autorisé à mettre en œuvre un traitement informatisé et automatisé de données à caractère personnel. Ce traitement a pour finalités la détection, la caractérisation et la documentation des opérations impliquant, de manière directe ou indirecte, un Etat étranger ou une entité non étatique étrangère, et visant à la diffusion artificielle ou automatisée, massive et délibérée, par le biais d'un service de communication au public en ligne, d'allégations manifestement inexactes ou trompeuses de nature à porter atteinte aux intérêts fondamentaux de la Nation, notamment lorsque ces opérations sont de nature à altérer l'information des citoyens pendant les périodes électorales mentionnées à l'article 33-1-1 de la loi du 30 septembre 1986 susvisée.
    « Ce traitement repose sur la collecte et l'exploitation des données accessibles publiquement sur les plateformes en ligne, sur les moteurs de recherche en ligne ainsi que sur les interfaces en ligne, au sens des i, j et m de l'article 3 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE, y compris lorsque l'accès à ces services requiert une inscription à un compte.
    « Lorsqu'elles concourent à la caractérisation des opérations mentionnées au premier alinéa, les données ainsi collectées sont exploitées pour les seuls besoins de l'élaboration de notes d'analyse.
    « Ce traitement est confié au service de vigilance et de protection contre les ingérences numériques étrangères. Le chef de ce service est le responsable de traitement.


    « Art. 7-2. - La sélection des données à collecter s'opère de manière proportionnée et automatisée, par application de critères techniques déterminés pour les besoins de chaque opération de collecte, dans le strict respect des finalités mentionnées à l'article 7-1 et à l'exclusion de tout recours à un système de reconnaissance faciale ou d'identification vocale.
    « Les données mentionnées au premier alinéa sont collectées pendant une période maximale de quinze jours. Cette période peut être renouvelée, dans la limite d'une durée qui ne peut excéder un an à compter du déclenchement de l'opération de collecte, dès lors que la collecte demeure pertinente au regard des finalités du traitement.


    « Art. 7-3. - Pour la collecte des données mentionnées à l'article 7-2, le service précité est autorisé à créer des comptes sur les plateformes, moteurs de recherche et interfaces mentionnés à l'article 7-1 ainsi que des comptes destinés à être utilisés par l'intermédiaire d'interfaces de programmation mises à disposition par les opérateurs de ces plateformes, moteurs de recherche et interfaces.
    « Les agents de ce service ne sont pas autorisés à utiliser ces comptes pour entrer en contact, par le moyen d'échanges électroniques, avec d'autres détenteurs de compte, ni à diffuser des contenus, ni à exercer une activité autre que celle prévue au premier alinéa du présent article.


    « Art. 7-4. - Le service précité définit dans des tables informatiques les catégories de données nécessaires à la réalisation des finalités mentionnées à l'article 7-1 et devant être conservées à cet effet.
    « Ces catégories de données sont :
    « 1° Les données d'identification déclarées par les titulaires de comptes ouverts sur les plateformes en ligne mentionnées à l'article 7-1, lorsqu'ils diffusent ou relaient des contenus publiquement accessibles ou y réagissent, telles qu'ils apparaissent sur ces comptes ;
    « 2° Les données permettant de caractériser l'activité et l'audience de ces comptes, notamment les indicateurs quantitatifs relatifs au nombre d'abonnés et au nombre de publications ;
    « 3° Les contenus publiquement accessibles dans les conditions définies à l'article 7-1, diffusés ou relayés au moyen de ces comptes et les indicateurs d'audience associés ;
    « 4° Les données liées à l'infrastructure informatique des plateformes en ligne, des moteurs de recherche en ligne ainsi que des interfaces en ligne mentionnés à l'article 7-1.


    « Art. 7-5. - Les données collectées qui ne correspondent pas aux catégories de données mentionnées à l'article 7-4 sont détruites immédiatement après leur collecte, selon un procédé automatisé.
    « Seuls les agents affectés au sein du service précité, individuellement désignés et spécialement habilités par le responsable de traitement, peuvent accéder à ce procédé automatisé et en modifier les paramètres.


    « Art. 7-6. - Il est interdit de sélectionner dans le traitement une catégorie particulière de personnes à partir des seules données sensibles, au sens de l'article 6 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.


    « Art. 7-7. - Les données collectées qui correspondent aux catégories de données mentionnées à l'article 7-4 sont conservées pendant la durée strictement nécessaire à leur exploitation.
    « Elles sont détruites à l'issue de cette exploitation et, au plus tard, au terme d'un délai d'un an à compter de la date de leur collecte, selon un procédé automatisé.
    « Seuls les agents affectés au sein du service précité, individuellement désignés et spécialement habilités par le responsable de traitement, peuvent accéder à ce procédé automatisé et en modifier les paramètres.


    « Art. 7-8. - Seuls les agents affectés au sein du service précité individuellement désignés et spécialement habilités par le responsable de traitement peuvent accéder à tout ou partie des données à caractère personnel conservées dans le cadre du traitement.
    « Parmi ces agents, peuvent avoir accès aux données mentionnées au premier alinéa, lorsqu'elles concourent à la mission mentionnée au 1° bis de l'article 3, les seuls agents spécialement habilités et individuellement désignés par le responsable du traitement à raison de leurs missions et fonctions.


    « Art. 7-9. - Sans préjudice des dispositions du second alinéa de l'article 7-5, du dernier alinéa de l'article 7-7 et de l'article 7-8 du présent décret, les opérations de collecte, d'exploitation et d'hébergement des données peuvent être sous-traitées dans les conditions prévues à l'article 122 de la loi du 6 janvier 1978 mentionnée ci-dessus.


    « Art. 7-10. - Les opérations de collecte, de consultation, de modification, de communication et d'effacement des données et informations du traitement font l'objet d'un enregistrement comprenant l'identification de l'auteur, la date, l'heure et la nature de l'opération. Ces informations sont conservées pendant trois ans et ne sont consultables que par les agents du service précité, individuellement désignés et spécialement habilités par le responsable de traitement.


    « Art. 7-11. - En application des dispositions du III de l'article 116 de la loi du 6 janvier 1978 mentionnée ci-dessus, le droit d'information prévu au I du même article ne s'applique pas au présent traitement.
    « Le droit d'opposition prévu au premier alinéa de l'article 117 de la même loi ne s'applique pas au présent traitement.
    « Pour les données mentionnées à l'article 7-7 du présent décret, les demandes tendant à l'exercice du droit d'accès, de rectification et d'effacement relatives au présent traitement sont exercées dans les conditions prévues à l'article 119 de la loi du 6 janvier 1978 mentionné ci-dessus.


    « Art. 7-12. - Le président du comité éthique et scientifique mentionné à l'article 5 est immédiatement informé du déclenchement et des motivations de la collecte et, le cas échéant, de son renouvellement. Les critères techniques mentionnés à l'article 7-2, ainsi que les modalités de leur détermination, lui sont communiqués simultanément. »


  • L'article 9 du même décret est remplacé par les dispositions suivantes :


    « Art. 9. - Les articles 7-1 à 7-11 peuvent être modifiés par décret en Conseil d'Etat. Les articles 2 à 7 et 7-12 peuvent être modifiés par décret. »


  • Le décret n° 2021-1587 du 7 décembre 2021 portant autorisation d'un traitement automatisé de données à caractère personnel dans le but d'identifier les ingérences numériques étrangères est abrogé.


  • Le Premier ministre est responsable de l'application du présent décret, qui sera publié au Journal officiel de la République française.


Fait le 11 février 2026.


Emmanuel Macron
Par le Président de la République :


Le Premier ministre,
Sébastien Lecornu

Extrait du Journal officiel électronique authentifié

PDF - 236 Ko