ANNEXES

ANNEXE I. - MODALITÉS D'OBTENTION DE L'AGRÉMENT MINISTÉRIEL.
ANNEXE II. - RÉFÉRENTIEL DE CONTRÔLE INTERNE.
ANNEXE III. - CARACTÉRISTIQUES DES MESURES DE SÉCURITÉ DES SYSTEMES D'INFORMATION.
ANNEXE IV. - MISSIONS DU REPRÉSENTANT FRAUDE NATIONAL.
ANNEXE V. - CHARTE DE DÉONTOLOGIE POUR LES EXAMINATEURS DE L'EXAMEN CIVIQUE.
ANNEXE VI. - MESURES EXIGÉES DES ORGANISMES AGRÉÉS AUX FINS DE L'ORGANISATION DE L'EXAMEN CIVIQUE.
ANNEXE VII. - FONCTIONNEMENT DE L'ALGORITHME DE PASSATION DE L'EXAMEN CIVIQUE.

ANNEXE I
MODALITÉS D'OBTENTION DE L'AGRÉMENT MINISTÉRIEL

Le dossier de demande d'agrément est à adresser à « [email protected] », tel que défini à l'article 1^er du présent arrêté. Il est accompagné d'une attestation d'engagement du demandeur.
Par cette attestation, le demandeur s'engage à :

- respecter le cahier des charges ainsi que ses modifications ultérieures ;
- établir tout document, à la demande des services administratifs, se rapportant à son activité dans le domaine de l'organisation de l'examen civique ;
- réaliser, à sa charge et à la demande du ministre chargé des naturalisations et de l'accueil et de l'intégration des étrangers, un ou plusieurs audits de la sécurité des systèmes d'information (SSI). Ces audits doivent être effectués par un prestataire d'audit de la sécurité des systèmes d'information qualifié par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) conformément aux dispositions en vigueur. Ces audits portent notamment sur :
- la vérification des mesures de protection des données à caractère personnel ;
- l'examen de l'architecture et des mécanismes d'horodatage mis en œuvre ;
- l'évaluation de la conformité aux politiques de sécurité applicables ;
- l'organisme devra transmettre au ministre le rapport d'audit dans un délai de 30 jours suivant la réalisation des travaux. Les constats et recommandations formulés dans ce rapport devront être suivis d'un plan d'action correctif validé par le ministre chargé des naturalisations et de l'accueil et de l'intégration des étrangers ;
- en cas de constatation d'un incident majeur de sécurité ou de fraude affectant le système d'information, l'organisme est tenu de :
- informer sans délai le ministre chargé des naturalisations et de l'accueil et de l'intégration des étrangers ;
- mandater, sans délai, un prestataire qualifié pour la réalisation d'un audit d'investigation ciblé ;
- transmettre au ministre, dans un délai maximal de 72 heures, un rapport préliminaire présentant les éléments connus relatifs à l'incident ;
- mettre en œuvre les mesures correctives nécessaires dans les plus brefs délais.

A défaut, le ministre chargé des naturalisations et de l'accueil et de l'intégration des étrangers peut prendre l'initiative de faire réaliser un ou plusieurs audits par un prestataire qualifié aux frais de l'organisme concerné.
L'attestation mentionne que le demandeur a pris connaissance des sanctions pénales qu'il encourt en cas de fausse déclaration, prévues à l'article 441-7 du code pénal.

ANNEXE II
RÉFÉRENTIEL DE CONTRÔLE INTERNE

Les procédures d'audit et de contrôle interne s'appuient sur un référentiel de contrôle, document cadre qui prévoit a minima le contrôle de la conformité des items suivants :
S'agissant du centre d'examen :

- horaires d'ouverture ;
- l'espacement ou le cloisonnement des candidats ;
- l'affichage du règlement de l'épreuve de l'examen civique ;
- l'utilisation recommandée de la vidéo-protection en complément de la surveillance physique et le fonctionnement des caméras de vidéo-protection, le cas échéant ;
- l'emplacement pour les effets personnels des candidats.

S'agissant des examinateurs :

- l'engagement sur l'honneur du respect de la charte déontologique prévue à l'annexe VII.

S'agissant du matériel :

- l'accès à internet ;
- le stockage du matériel dans des armoires fortes pour tablettes ou pièces fermées à clé pour des postes fixes ;
- l'inventaire régulier du matériel.

S'agissant du déroulement de l'examen :

- le respect des horaires de convocation ;
- la procédure de vérification de l'identité de chaque candidat, notamment par prise d'une photo ;
- la réalité de la surveillance et l'efficience de la sécurisation de l'examen notamment au regard de la fraude ;
- le respect des principes déontologiques par les examinateurs.

ANNEXE III
CARACTÉRISTIQUES DES MESURES DE SÉCURITÉ DES SYSTÈMES D'INFORMATION
3.1. Hébergement

[1] L'hébergeur doit posséder la qualification SecNumCloud, garantissant ainsi la conformité aux normes de sécurité établies.
[2] Les services doivent être déployés sur un environnement qui soit dédié et isolé, assurant une séparation clair des ressources.
[3] Une solution antivirus doit être intégrée et active sur les équipements afin de les protéger contre les menaces malveillantes.
[4] L'hébergeur doit mettre en place les mesures et protections adéquates afin de réduire la charge d'attaques DDoS afin de garantir la disponibilité des ressources (services, matériels…).
[5] L'administration des équipements doit s'effectuer via une connexion SSH sécurisée et l'authentification doit se faire par l'intermédiaire d'un certificat et au travers d'un poste d'administration dédié, excluant l'utilisation de mots de passe. De plus, un filtrage par liste blanche des adresses IP autorisées doit être mis en œuvre.
[6] Les composants et technologies doivent être régulièrement mis à jour, et une veille technologique doit être maintenue pour suivre les évolutions du secteur.
[7] Un système de pare-feu doit être déployé pour gérer le trafic réseau et appliquer des règles d'accès, notamment à l'aide de tables IP.
[8] L'ensemble du dispositif doit faire l'objet d'une analyse de risque ainsi que d'audits réguliers, incluant des tests d'intrusion et d'audits spécifiques (configuration, architecture, code…), permettant d'évaluer et d'améliorer la sécurité.

3.2. Disponibilité

[9] Le SI support de l'ensemble du dispositif permettant les inscriptions et la planification des examens ainsi que le SI en centre d'examen doivent disposer d'un haut niveau de disponibilité. Le contrat de service doit a minima permettre une disponibilité de 98 % et un temps de réponse maximum inférieur à 2 secondes. En cas d'incident, le délai de résolution des incidents (RTO) est de 24 heures maximum afin d'assurer la continuité des traitements.
[10] Les procédures de plan de reprise d'activité et de plan de continuité d'activité (PRA/PCA) ainsi que de plan de reprise informatique et plan de continuité informatique (PRI/PCI) doivent être formalisées à la fois pour le SI support permettant les inscriptions et le SI en centre d'examen. Ces procédures doivent également être testées annuellement et après chaque changement significatif, afin d'en assurer le bon fonctionnement et le respect du RTO.
[11] Pour les centres d'examen, en cas de sinistre non lié à l'informatique (par exemple un incendie) qui empêche le bon déroulement de l'examen et nécessite son interruption, des procédures de réponse à l'incident doivent être rédigées afin de déterminer ce qu'il en suit pour l'examen en fonction du type de sinistre et de sa durée. Ces procédures doivent permettre d'arbitrer, selon la durée de l'interruption, dans quel cas il est possible de reprendre l'examen et dans quel cas celui-ci doit être replanifié.

3.3. Inscription

[12] En cas de validation de l'inscription à un examen, une convocation doit être envoyée au ressortissant étranger. Une vérification de cette convocation devra être effectuée au sein du centre d'examen.

3.4. Cloisonnement du réseau du SI support

[13] Existence d'une politique de sécurisation des réseaux de l'organisateur agréé conforme aux meilleures pratiques et régulièrement réactualisé, notamment en matière de :

- sécurisation des flux d'échange avec internet ;
- cloisonnement et de filtrage du LAN utilisateur ;
- cloisonnement et de filtrage des LANs serveurs afin de limiter l'exposition de services à des populations ou serveurs non souhaités ;
- cloisonnement et de filtrage des accès d'administration aux serveurs.

[14] Mise en place d'un dispositif de contrôle/filtrage des flux de communication entre le réseau interne de l'organisme et celui support des services délivrés, basé sur une analyse des risques potentiels.
[15] Existence d'un processus de maintien en condition de sécurité des dispositifs entrant dans l'architecture de contrôle/filtrage des flux de communication faisant l'objet d'une évaluation annuelle et/ou après chaque changement significatif.
[16] Contrôle périodique, via des audits techniques, du niveau de sécurité des dispositifs de contrôle/filtrage des flux de communication de manière annuelle et/ou après chaque changement significatif.

3.5. Contrôle des accès logiques

[17] L'accès aux comptes d'administration du système d'information est obligatoirement protégé par une authentification multifacteur (MFA) conforme aux recommandations de l'ANSSI et de la CNIL.
L'utilisation de mots de passe seuls, même complexes, est strictement interdite. Les dispositifs doivent garantir la confidentialité, l'intégrité et la traçabilité des accès, et être contrôlés régulièrement.
En complément :

- politique de gestion des comptes et accès avec traçabilité conforme aux attendus de l'ANSSI sur le sujet ;
- procédures formelles de création, renouvellement, révocation des identifiants et facteurs d'authentification, notamment pour privilèges élevés ;
- restriction des accès réseau aux uniques administrateurs (filtrage) via un poste dédié aux opérations d'administration.

[18] Traçabilité de l'ensemble des accès/actions d'administration des ressources logicielles et matérielles permettant de délivrer les services.
[19] Rapatriement en temps réel des traces d'administration des ressources logicielles et matérielles permettant de délivrer les services sur un dispositif centralisé administré de manière spécifique.
[20] Procédure formelle d'exploitation des traces d'administration des ressources logicielles et matérielles permettant de délivrer les services.

3.6. Sécurité des serveurs

[21] Existence d'une politique de sécurisation des systèmes d'exploitation conforme aux meilleures pratiques et régulièrement réactualisée, dans une logique de réduction de la surface d'exposition.
[22] Existence de guides de durcissement (ou guides de configuration sécurisée) formels et régulièrement actualisés.
[23] Existence d'un processus de maintien en condition de sécurité des systèmes d'exploitation faisant l'objet d'une évaluation annuelle et/ou après chaque changement significatif.
[24] Chiffrement intégral des disques stockant les fichiers de diapositives, utilisant des algorithmes conformes aux annexes B1, B2, B3 du RGS.

3.7. Sécurité des supports des candidats

[25] Inventaire tenu à jour des équipements ayant stocké des diapositives (serveurs, micro-ordinateurs, tablettes, supports amovibles…).
[26] Contrôle des accès aux locaux contenant des équipements (micro-ordinateurs, tablettes, supports amovibles…) stockant des fichiers de diapositives.
[27] Stockage des équipements (micro-ordinateurs, tablettes, supports amovibles…) dans des armoires fermant à clé.
[28] Procédure formelle de gestion des clés des armoires entreposant des équipements (micro-ordinateurs, tablettes, supports amovibles…) stockant des fichiers de diapositives.
[29] Durcissement des configurations des équipements (micro-ordinateurs, tablettes…) utilisés par les candidats, notamment :

- désactivation des ports et services inutiles ;
- interdiction de la prise de main à distance, sauf dans le cadre éventuel de l'administration du poste (dans ce cas, obligation de tracer les actions réalisées et de les sécuriser conformément aux règles énoncées pour la thématique « contrôle des accès logiques » ci-dessus) ;
- création de comptes utilisateurs avec des droits restreints pour les candidats ;
- mots de passe au démarrage de l'équipement et protection de l'accès au BIOS par mot de passe ;
- chiffrement intégral du disque dur ;
- désactivation des ports USB dans les BIOS via un port blocker physique. A défaut, interdiction des clés USB ;
- mise à jour automatique des socles (OS, logiciels, progiciels et BIOS si applicable) ;
- le « bureau » candidat est réduit au minimum, c'est-à-dire au seul usage de lancement de l'examen par une icône associée, et sans accès internet possible.

3.8. Echanges avec le service de gestion de l'épreuve théorique de l'examen civique

[30] Les échanges doivent être chiffrés à l'aide d'un certificat client SSL, conforme à l'annexe A4 du RGS.

3.9. Protection des données

[31] Les systèmes d'information (SI) support du système d'inscription et de planification d'examen traitent des données à caractère personnel. Ces SI sont donc soumis au RGPD et doivent respecter les exigences de sécurité prévues par la réglementation et les recommandations de la CNIL et de l'ANSSI.
[32] L'organisme est seul responsable des traitements de données à caractère personnel qu'il met en œuvre dans le cadre de ses activités. Le ministère de l'intérieur, en tant que destinataire de certaines données, devient responsable de leur traitement à compter de leur réception, dans le cadre de ses missions légales.
[33] Afin d'être en mesure de retrouver les données d'inscription d'un étranger ainsi que sa réussite ou non de l'examen civique, les données sont sauvegardées dans des bases de données. Ces données au repos doivent être chiffrées à l'aide d'un algorithme de chiffrement robuste (a minima AES256 avec une taille de clef de 256 bits).
[34] Ces données sauvegardées sont conservées pour une durée de rétention de 3 ans.
[35] Une fois le délai de rétention de sauvegarde dépassé, les données seront archivées avec une durée de rétention de 5 ans.
[36] Les sauvegardes doivent être testées et restaurées pour en assurer le bon fonctionnement. Dans le cas d'un hébergement cloud, des snapshots des machines virtuelles doivent être effectués et la restauration des snapshots doit être testée.
[37] Une analyse d'impact sur la protection des données (AIPD) doit être réalisée par l'organisme conformément aux dispositions règlementaires en vigueur, décrivant les mesures de protection des données personnelles mises en place par l'organisme pour garantir la confidentialité, l'intégrité et la sécurité des données à caractère personnel traitées dans le cadre de ses activités.
[38] L'organisme doit fournir aux personnes concernées, conformément à l'article 13 du RGPD, une information claire, transparente et accessible sur le traitement de leurs données à caractère personnel.
Cette information précise notamment :

- les finalités du traitement ;
- la ou les bases légales ;
- les catégories de destinataires ;
- la durée de conservation ou les critères permettant de la déterminer ;
- les droits des personnes concernées et les modalités pour les exercer.

3.10. Attestation

[39] Afin d'assurer l'authenticité et l'intégrité de l'attestation, l'organisme s'engage à obtenir un certificat qualifié conforme au système d'authentification des documents imprimés mis en place par le ministère de l'intérieur.
Dans l'attente de la mise en place, par le ministre de l'intérieur, d'un système d'authentification des documents imprimés, l'organisme agréé met à disposition une plateforme en ligne permettant l'authentification des attestations de réussite ou tout autre dispositif assurant la vérification de leur authenticité par les services du ministère de l'intérieur.

3.11. Protection des horodatages

[40] Mise en œuvre d'une source de temps fiable ainsi que d'un dispositif de génération des horodatages non manipulable.
[41] Traçabilité de l'ensemble des accès au dispositif d'horodatage et des actions réalisées par les acteurs autorisés.
[42] Rapatriement temps réel des traces d'administration du dispositif d'horodatage sur un dispositif centralisé administré de manière spécifique.
[43] Procédure formelle (a minima hebdomadaire) d'exploitation des traces d'administration du dispositif d'horodatage.
[44] Notifier sans délai au ministère tout incident touchant à la fonction d'horodatage.
[45] Garantir le maintien des ressources suffisantes permettant l'assurance d'une pérennité du service d'horodatage.

3.12. Sécurité de l'exploitation

[46] Procédures formelles d'administration des ressources logicielles et matérielles permettant de délivrer les services.
[47] Supervision/surveillance des ressources logicielles et matérielles permettant de délivrer les services.
[48] Procédure formelle de réaction aux alertes générées par la supervision/surveillance des ressources logicielles et matérielles permettant de délivrer les services en cas de panne/dysfonctionnement d'un composant.

3.13. Sécurité des études & développements

[49] Séparation effective des rôles relatifs au développement, à la recette, à la livraison ainsi que des données des différents environnements.
[50] Organisation/Environnement de développement « à l'état de l'art », conformément au guide de l'ANSSI « Les Essentiels de l'ANSSI - DevSecOps », notamment :

- gestion des versions ;
- procédures formelles de développement, dans le respect des meilleures pratiques de qualité - Recours à un outillage de contrôle qualité ;
- procédures formelles de codage sécurisé, dans le respect des meilleures pratiques.

[51] Procédure formelle de recette technique et fonctionnelle des composants logiciels entrant dans le périmètre du SI.
[52] Mise en œuvre d'une revue de code finale en phase de recette, intégrant les problématiques de sécurité informatique.
[53] Procédure formelle de livraison des composants logiciels entrant dans le périmètre du SI incluant un contrôle de conformité/intégrité avant déploiement.
[54] Présence d'un mécanisme de rollback permettant de revenir à une version antérieure lorsqu'une nouvelle version présente un problème technique.

3.14. Algorithmes de sélection de questions pour l'épreuve

[55] Les algorithmes doivent sélectionner le bon nombre de questions dans chaque catégorie conformément à l'annexe VI du présent document.
[56] La sélection des questions doit disposer d'un niveau d'aléa satisfaisant permettant :

- d'éviter la prévisibilité : deux candidats (ou le même candidat à deux sessions différentes) ne doivent pas systématiquement avoir exactement les mêmes questions ;
- d'assurer l'équité : tous les candidats doivent avoir des épreuves de difficulté comparable, mais composées d'ensembles différents de questions.

3.15. Transmission de la banque de questions aux organismes

[57] Afin de transmettre aux organismes l'ensemble de la banque de questions et les réponses associées, des conteneurs chiffrés zed (outil de chiffrement de la société PRIM'X utilisé par le ministère de l'intérieur) avec une sécurisation par mot de passe seront utilisés. Les mots de passe permettant l'ouverture des conteneurs seront transmis par SMS, aux personnes des organismes concernés et ayant besoin d'en avoir connaissance.
[58] Les mots de passe utilisés doivent être suffisamment robustes. Ils doivent par conséquent respecter les recommandations et bonnes pratiques de l'ANSSI.
[59] Une liste exhaustive des personnes qui recevront les conteneurs chiffrés et les mots de passe doit être rédigée pour chaque organisme. Cette liste doit être revue et validée a minima trimestriellement.

3.16. Exigences pour les candidats en situation de handicap

[60] Les candidats justifiant à l'aide d'un certificat médical une situation de handicap sont autorisés à avoir un tiers-temps supplémentaire afin de réaliser l'examen.
[61] En fonction du type de handicap, une version adaptée du test doit être proposée. Cette version adaptée peut inclure la présence d'un assistant humain.
[62] Dans les cas d'une personne mal voyante, une version adaptée du test avec un système audio et non visuel sera proposée.
[63] Il doit être possible d'adapter les couleurs de l'écran du support d'examen ainsi que de faire un zoom sur les images.

3.17. Autres acteurs liés à l'examen civique

[64] Les organismes agréés sont tenus de prendre les mesures nécessaires pour que les centres d'examen et leurs sous-traitants respectent les exigences qui relèvent de leur responsabilité.

ANNEXE IV
MISSIONS DU REPRÉSENTANT « FRAUDE » NATIONAL

Un correspondant national chargé de la lutte contre la fraude et des contrôles internes des centres d'examen est désigné par le responsable de l'organisateur agréé.
Les principales missions de ce correspondant sont les suivantes :

- garantir le respect du cahier des charges par les centres ;
- s'assurer de la conformité des éléments fournis lors de la déclaration d'ouverture, en particulier en ce qui concerne les identités des examinateurs ;
- assurer, ou superviser le cas échéant, les missions d'audits des centres d'examen ;
- s'assurer de l'accès par l'administration aux sessions d'examen ;
- veiller au respect des horaires de réalisation des sessions d'examen ;
- transmettre sans délai au ministre chargé des naturalisations et de l'accueil et de l'intégration des étrangers, les suspicions de fraude et les cas des fraudes avérées, les comptes rendus d'audit des centres d'examen ainsi que toutes les fermetures de centres initiées par le responsable de l'organisme agréé ;
- détenir et contrôler les données permettant d'identifier :
- pour chaque centre, des indicateurs relatifs à l'éloignement géographique entre le département d'origine du candidat et le centre d'examen ;
- les taux de réussite par centre et notamment les taux de réussite élevés comparativement à la moyenne établie pour tous les centres sur l'ensemble du territoire ;
- réaliser le bilan semestriel quantitatif et anonyme des cas de fraudes et le transmettre au ministre chargé des naturalisations et de l'accueil et de l'intégration des étrangers ;
- en cas de fraude, assurer le dépôt de plainte auprès des autorités compétentes ainsi que la saisine du procureur compétent en application de l'article 40 du code de procédure pénale.

ANNEXE V
CHARTE DE DÉONTOLOGIE POUR LES EXAMINATEURS DE L'EXAMEN CIVIQUE

La déontologie est l'ensemble des règles et des devoirs qui régissent une profession, la conduite de ceux qui l'exercent, les rapports entre ceux-ci et leurs usagers et le public.

- je m'engage personnellement à respecter les principes de neutralité, d'intégrité, de probité, de confidentialité, ainsi que d'égalité de traitement des candidats ;
- je m'engage à garder strictement confidentiels l'identifiant et le mot de passe de connexion attribués dans le cadre de ma mission et m'engage à ne permettre à aucun tiers de les utiliser ;
- je m'engage à respecter le secret professionnel sur l'objet de ma mission dans un cadre public ou privé quant aux informations relatives à l'examen ou aux candidats dont j'aurais eu connaissance ;
- je m'engage à garantir l'intégrité, l'utilisation conforme et la sécurisation du matériel conformément aux dispositions du cahier des charges ;
- je m'engage à alerter le responsable national en cas de suspicion ou de constatation de fraude à l'examen ;
- je m'engage à ne recevoir aucun avantage dans l'exercice de ma mission ;
- je m'engage à ne pas superviser les candidats suivants :
- mon conjoint et mon partenaire d'un pacte civil de solidarité ;
- mes ascendants et mes descendants au premier degré ;
- je m'engage à informer systématiquement le responsable du centre d'examen si un candidat appartient à mon entourage proche ;
- je m'engage à mettre en œuvre toutes les mesures nécessaires au bon déroulement de l'épreuve, à la lutte contre la fraude et à porter à la connaissance de l'administration tout incident.

Site :
Nom :
Prénom(s) :
Fait à le .
Signature précédée de la mention « Lu et approuvé » :

ANNEXE VI
MESURES EXIGÉES DES ORGANISMES AGRÉÉS AUX FINS DE L'ORGANISATION DE L'EXAMEN CIVIQUE

2.1. Les postes candidats

[1] Taille minimale de l'écran du poste candidat de 9 pouces.
[2] Résolution minimale de l'écran du poste candidat de 1 024 × 768 pixels.

2.2. Les salles d'examen

[3] L'organisme agréé doit prévoir des accès PMR (personnes à mobilité réduite) dans chacun de ses centres d'examen pour garantir l'accessibilité de ses installations.

2.3. Inscription à l'examen et communication des résultats

[4] L'inscription à l'examen est assurée par l'organisme agréé de telle façon que l'accès aux épreuves qu'il organise est égal pour l'ensemble des candidats.
Lors de son inscription à l'examen, le candidat fournit les informations suivantes :

- la mention souhaitée (« carte de séjour pluriannuelle », « carte de résident » ou « naturalisation ») ;
- le numéro d'étranger, à l'exception des ressortissants de l'Union européenne candidats à l'examen au niveau naturalisation ;
- ses nom, prénom(s), date et lieu de naissance.

[5] Une attestation de résultats est remise au candidat, par voie numérique, entre douze et quarante-huit heures après le passage de l'examen. Un espace candidat est prévu afin de pouvoir récupérer numériquement cette attestation, qui n'a pas de durée de validité limitée. L'attestation comporte les mentions suivantes :

- les nom, prénom(s), date et lieu de naissance du candidat ;
- la mention passée (« carte de séjour pluriannuelle », « carte de résident » ou « naturalisation ») ;
- le numéro d'étranger, à l'exception des ressortissants de l'Union européenne candidats à l'examen mention naturalisation ;
- la photographie du candidat prise avant le passage de l'examen ;
- la mention « Réussite » ou « Non validé », selon le résultat obtenu ;
- le score obtenu à l'examen, exprimé sur 40 points ;
- le logo de l'organisme agréé ;
- l'indication du nom et de l'adresse du centre ayant fait passer l'examen, le nom de l'organisme qui l'agrée, ainsi que la date de passation ;
- la signature du responsable du centre ;
- le numéro de l'attestation ;
- la date d'édition de l'attestation ;
- la mention suivante : « Information du ministère de l'intérieur : pour rappel, l'attestation de réussite à l'épreuve de l'examen civique devra être jointe à votre dossier de demande de titre de séjour pluriannuel ou votre dossier de demande de naturalisation. »

2.4. Protection des données à caractère personnel

[6] Le titulaire de l'agrément se conforme aux législations et réglementations françaises et européennes relatives à la protection des données à caractère personnel.
[7] Le titulaire de l'agrément respecte la législation et la réglementation françaises en cas de transfert de données à caractère personnel hors Union européenne.

ANNEXE VII
FONCTIONNEMENT DE L'ALGORITHME DE PASSATION DE L'EXAMEN CIVIQUE