Le ministre de la défense,

Vu le code de la défense ;

Vu le code du travail ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée, relative à l'informatique, aux fichiers et aux libertés, notamment son article 23. ;

Vu la loi n° 83-634 du 13 juillet 1983 modifiée, portant droits et obligations des fonctionnaires, ensemble la loi n° 84-16 du 11 janvier 1984 modifiée, portant dispositions statutaires relatives à la fonction publique de l'État ;

Vu la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (article 1er - I et article 2 - II) ;

Vu le décret n° 2005-850 du 27 juillet 2005 modifié, relatif aux délégations de signature des membres du Gouvernement ;

Vu l'arrêté du 25 janvier 2013 portant création, par le ministère de la défense, d'un traitement automatisé de données à caractère personnel dénommé « carte d'identité professionnelle multiservices » ;

Vu l'arrêté du 26 juillet 2013 portant création, par le ministère de la défense, d'un traitement automatisé de données à caractère personnel relatif à la gestion des traces générées par l'utilisation des moyens informatiques ;

Vu l'avis du 9 juillet 2014 ⁽¹⁾ du comité technique ministériel ;

Vu le récépissé n° 1799744 v 0 du 8 octobre 2014 de la Commission nationale de l'informatique et des libertés,

Arrête :

Art. 1er.

 

Est mis en œuvre, par le ministère de la défense, un traitement automatisé de données à caractère personnel dénommé « INTRANET DEFENSE » constitué de l'ensemble des infrastructures réseaux, des matériels, des logiciels et des services informatiques communs et composé, en tant que de besoin, de sous-ensembles (intranet) permettant d'une part, de traiter des informations de différents niveaux de classification et d'autre part, de respecter les prérogatives particulières de certains services et dont les finalités sont :

1. la diffusion, la transmission et la mise à disposition des utilisateurs d'informations à caractère personnel, juridique, financière, administrative, sociale, technique et pratique relative à l'activité de l'organisme ainsi que les publications, notamment le Bulletin officiel des armées et le Bulletin officiel des décorations, médailles et récompenses ;

2. la mise à disposition des utilisateurs de systèmes d'information (SI) métier accessibles sur ou via l'intranet défense ;

3. la consultation, la saisie et l'extraction de données à caractère personnel à partir d'un autre traitement autorisé par la Commission nationale de l'informatique et des libertés, dès lors que celle-ci aura donné son accord à la modification des conditions de mise en œuvre de ce traitement.

Art. 2.

 

L'intranet défense met à la disposition des utilisateurs un ensemble de services personnalisables accessibles par intranet permettant :

1. d'assurer la diffusion, la publication et l'échange d'informations entre les utilisateurs ;

2. l'accès à des portails, des services de téléphonie, d'agenda, de stockage de données, d'annuaires pages-jaunes/pages-blanches, de mobilité, de messageries, de transfert de données volumineuses, de discussions en ligne, de travail collaboratif, de réunion virtuelle, de point d'édition multifonction, de sécurité, de réservation de salles, d'enquête et sondage, de type réseau social, catalogues, magasins d'applications ;

3. d'accéder aux ressources de divers réseaux extérieurs [internet, système intégré de gestion du matériel (SIGMA), réseau interministériel de l'État (RIE), organisation du traité de l'Atlantique Nord (OTAN), union européenne (UE), etc.] ;

4. d'exercer son activité professionnelle sous la forme de « télétravail » et d'utiliser un équipement personnel, conformément à la politique de sécurité des intranets afin d'accéder aux différents SI métiers disponibles sur ou via les intranets depuis le ministère de la défense mais aussi à l'extérieur du ministère.

Art. 3.

 

Les catégories d'informations et de données enregistrées sont celles relatives :

• aux données d'identification ;

• à la situation militaire ;

• à la vie professionnelle ;

• à l'utilisation des médias et moyens de communication.

Chacun des organismes parties prenantes de « l'intranet défense » est responsable de la diffusion, de la mise à jour, de la suppression et, conformément aux dispositions de l'article 34. de la loi n° 78-17 du 6 janvier 1978 modifiée, susvisée, de la sécurité des données relevant de sa compétence.

À cet effet, chaque organisme met en œuvre, en tant que de besoin, les outils d'analyse, de filtrage, d'authentification, de signature électronique et de chiffrement nécessaires à la protection de ses systèmes de communication, de commandement ou d'information contre les menaces susceptibles d'affecter le fonctionnement de l'intranet dont il a la charge.

Art. 4.

 

Les données à caractère personnel et les informations enregistrées relatives aux personnes travaillant d'une manière permanente ou temporaire au sein du ministère de la défense sont conservées jusqu'à la rupture de tout lien avec l'administration de la défense.

Les informations non structurées relatives aux forums, aux débats, aux discussions, à la concertation et au dialogue social et syndical sont conservées trois mois au maximum après la date limite de la consultation.

Les informations juridiques, financières, administratives, sociales, techniques et pratiques sont conservées tant qu'elles sont pertinentes et les messages tant qu'ils ne sont pas effacés par les destinataires et les émetteurs, sous réserve des nécessités de leur conservation pour l'exécution d'obligations légales, judiciaires ou règlementaires.

Dans le respect du principe de proportionnalité, les données générées par les outils techniques de surveillance des réseaux, notamment celles relatives aux connexions et au trafic, sont conservées au maximum un an pour la réalisation des obligations de sécurité incombant au responsable du traitement.

Toutefois, sauf atteinte grave à la sécurité ou manquement aux obligations des fonctionnaires, à l'intégrité des systèmes ou à la confidentialité des données, aucune surveillance, aucun contrôle, aucun suivi de l'utilisation faite, par les agents, de l'intranet, des messageries et du réseau extérieur internet ne sont effectués sous une forme directement ou indirectement personnelle. Les données générées servent seulement à l'élaboration de statistiques liées à l'utilisation des ressources informatiques.

Art. 5.

 

I. Les destinataires des données à caractère personnel et des informations enregistrées sont, s'agissant de :

1. la diffusion, la transmission et la mise à disposition des utilisateurs d'informations à caractère personnel, juridique, financière, administrative, sociale, technique et pratique relatives à l'activité de l'organisme : l'ensemble des utilisateurs de l'intranet défense ;

2. la consultation, la saisie et l'extraction de données à caractère personnel à partir d'un autre traitement autorisé par la Commission nationale de l'informatique et des libertés : les agents habilités pour chacun des traitements concernés.

II. Sont destinataires de tout ou partie des données à caractère personnel et des informations strictement nécessaires à leur mission et peuvent y accéder directement pour leur constitution et leur gestion, à raison de leurs attributions respectives et du besoin d'en connaître, les personnels habilités par leurs autorités hiérarchiques chargés :

1. de la sécurité des systèmes d'information, dans le cadre de leurs missions d'inspection, de contrôle et d'audit des systèmes d'information du ministère de la défense ;

2. de la lutte informatique défensive, dans le cadre de leurs missions de surveillance, d'investigation, de détection et de défense de ces systèmes d'information ;

3. de la maintenance et de l'administration des systèmes d'information dans le cadre des opérations de gestion et d'exploitation de ces systèmes.

III. Sont en outre destinataires des données à caractère personnel et des informations, à raison de leurs attributions respectives et du besoin d'en connaître, les autorités hiérarchiques dûment habilitées, dans le cadre d'une atteinte à la sécurité et à l'intégrité des systèmes.

Art. 6.

 

Les droits d'accès et de rectification prévus aux articles 39. et 40. de la loi n° 78-17 du 6 janvier 1978 modifiée, susvisée s'exercent auprès de chaque organisme chargé de mettre en œuvre l'intranet défense.

Art. 7.

 

Le chef d'état-major des armées, le délégué général de l'armement, le secrétaire général pour l'administration et les autorités des organismes relevant du ministre de la défense qui mettent en œuvre un intranet sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté, qui sera publié au Bulletin officiel des armées.