> Télécharger au format PDF
Archivé DIRECTION DE L'ADMINISTRATION GÉNÉRALE : Sous-Direction des affaires administratives ; Bureau de la réglementation

INSTRUCTION N° 954/DEF/SGA concernant l'application au ministère de la défense des dispositions de la loi n o 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Du 13 septembre 1994
NOR D E F D 9 4 5 3 0 2 5 J

Autre(s) version(s) :

 

Référence(s) :

Convention du 28 janvier 1981 du conseil de l'Europe (mention BOC, 1994, p. 3451).

Loi N° 78-17 du 06 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Décret N° 78-774 du 17 juillet 1978 pris pour l'application des chapitres Ier à IV et VII de la loi 78-17 du 06 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Décret N° 79-1160 du 28 décembre 1979 fixant les conditions d'application aux traitements d'informations nominatives intéressant la sûreté de l'Etat, la défense et la sécurité publique de la loi n° 78-17 du 6 janvier 1978 (BOC, 1979, p. 4161) relative à l'informatique, aux fichiers et aux libertés.

Décret n° 81-514 du 12 mai 1981 (BOC, p. 2373)

Arrêté du 3 avril 1990 (BOC, p. 1287)

Arrêté du 03 juin 1992 portant organisation des sous-directions de la direction de l'administration générale. Circulaire du 12 mars 1993 du Premier ministre relative à la protection de la vie privée en matière de traitements automatisés : application aux administrations et à l'ensemble du secteur public de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; rôle des ministères et coordination par le commissaire du Gouvernement auprès de la commission nationale de l'informatique et des libertés (CNIL).

Texte(s) abrogé(s) :

Instruction n° 12467/DEF/SGA du 11 mars 1982 (BOC, p. 1381) et ses 4 modificatifs des 6 octobre 1983 (BOC, p. 5726) ; 15 février 1985 (BOC, p. 6785 ; 24 janvier 1991 (BOC, p. 382), 15 mai 1992 (BOC, p. 1996) et ses 2 errata des 22 avril 1982 (BOC, p. 1682) ; 12 février 1991 (BOC, p. 476).

Circulaire n° 50639/DEF/SGA/SCOMI du 28 septembre 1983 (BOC, p. 5706) son erratum du 29 novembre 1983 (BOC, p. 7215) et son modificatif du 25 février 1986 (BOC, p. 1380).

Circulaire n°  50293/DEF/SGA/SCOMI du 10 avril 1984 (BOC, p. 3407).

Circulaire n° 2037/DEF/SGA du 24 janvier 1991 (BOC, p. 375).

Classement dans l'édition méthodique : BOEM  160.6.1., 611.3.1.

Référence de publication : BOC, p. 3660.

PREAMBULE.

Politique de la vie privée. Champ d'application de l'instruction.

  • 1. L'article premier de la loi 78-17 du 06 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est rédigé ainsi : « l'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Il implique qu'aucun « traitement » d'informations nominatives ou indirectement nominatives et a fortiori un traitement faisant appel à des techniques pouvant porter atteinte aux libertés et à la vie privée ou collectant des « données sensibles » ne soit mis en service, même à titre expérimental, sans qu'il ait été soumis à la commission nationale de l'informatique et des libertés (CNIL), autorité administrative indépendante chargée de veiller au respect des dispositions de la loi précitée. Cette autorité dispose d'un pouvoir réglementaire dans le cadre prévu par la loi.

    Par « traitement » il faut entendre les opérations suivantes effectuées en totalité ou en partie à l'aide de procédés automatisés : collecte et enregistrement des données, application à ces données d'opérations logiques et/ou arithmétiques, leur modification, effacement, extraction ou diffusion. Les opérations de même nature se rapportant à l'exploitation de fichiers ou bases de données et notamment les interconnexions ou rapprochements, consultations ou communications d'informations sont également des traitements au sens de la présente instruction.

    Par « données sensibles » il faut entendre les données nominatives qui, directement ou indirectement, font apparaître l'origine raciale, les opinions politiques, les convictions philosophiques, religieuses ou autres convictions, les appartenances syndicales ou les mœurs des personnes ainsi que les données personnelles relatives à la santé ou à la vie sexuelle.

    Les informations nominatives concernant les infractions, condamnations ou mesures de sûreté ainsi que le numéro national d'identification des personnes physiques sont des catégories de données faisant l'objet de dispositions particulières.

    Sont réputées nominatives, au sens de la loi du 06 janvier 1978 les informations (y compris les photographies) qui permettent sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent (1).

  • 2. Au ministère de la défense, la politique générale à adopter en matière de création de traitements automatisés d'informations nominatives doit obéir aux règles suivantes :

    Concilier trois impératifs :

    • une participation active au renforcement général de la protection de la vie privée par le contrôle et la pertinence de la nature des informations collectées, une évaluation de l'intérêt de toute création nouvelle de traitement et de la nécessité des interconnexions de fichiers, le respect de la protection de la vie privée lorsque l'accès interactif aux données est mis en œuvre ;

    • une mise à disposition des nombreuses unités du ministère des moyens leur permettant d'accomplir efficacement et au moindre coût leur tâche qui consiste à protéger les citoyens contre toutes les formes d'agression et à leur sécurité et leur tranquillité ;

    • l'interdiction de tout traitement automatisé occulte d'informations à caractère nominatif.

    Maîtriser les effets possibles d'une déconcentration qu'il faut par ailleurs pratiquer et même étendre, malgré les risques de multiplication de fichiers locaux et de traitements locaux échappant à tout contrôle, risques contrebalancés par l'intérêt de la déconcentration vis-à-vis de la protection des citoyens au regard des grandes collections d'informations et des fichiers de population.

  • 3. La loi du 06 janvier 1978 et ses décrets d'application ont défini les règles que doivent respecter les autorités qui mettent en œuvre ou qui exploitent des traitements automatisés d'informations nominatives ou indirectement nominatives. La convention du conseil de l'Europe du 28 janvier 1981 (dite « convention 108 ») pour la protection des personnes à l'égard du traitement des données à caractère personnel, entrée en vigueur le 1er octobre 1985 complète la loi du 06 janvier 1978 .

    Certaines dispositions relatives à la collecte, à l'enregistrement et à la conservation des informations nominatives sont applicables aux fichiers non automatisés ou mécanographiques. Toutefois la loi du 06 janvier 1978 ne s'applique pas aux données nominatives stockées dans un dossier non relié à un fichier. Est réputé non relié à un fichier tout dossier renfermant un ou plusieurs documents, établi non pas en référence à une personne identifiée, mais en raison d'une affaire dans laquelle une ou plusieurs personnes nominativement citées sont impliquées ou concernées.

    Toute personne dispose d'un droit d'accès et de rectification des informations qui la concernent. Toute personne a le droit de connaître et de contester les informations et les raisonnements utilisés dans les traitements automatisés et dont les résultats lui sont opposés.

  • 4. L'ensemble des dispositions de la loi du 06 janvier 1978 s'applique à tous les organismes du ministère de la défense ou relevant de lui. Des adaptations permettant de respecter la confidentialité de certains traitements sont prévues par le décret 79-1160 du 28 décembre 1979 fixant les conditions d'application aux traitements nominatives intéressant la sûreté de l'Etat, la défense et la sécurité publique. Les services du ministère peuvent se prévaloir de tout ou partie de ces dispositions dérogatoires pour les traitements qui justifient les mesures de protection organisées par le décret no 81-514 du 12 mai 1981 relatif à l'organisation de la protection des secrets et des informations concernant la défense nationale et la sûreté de l'Etat.

    Les infractions aux dispositions de la loi du 06 janvier 1978 sont réprimées pénalement.

  • 5. La présente instruction a pour objet :

    • de préciser l'organisation des relations entre la commission nationale de l'informatique et des libertés, le commissariat du gouvernement auprès de la CNIL et le ministère de la défense ;

    • de décrire la procédure à suivre pour obtenir l'autorisation de mettre en œuvre des traitements automatisés d'informations nominatives (création, modification ou suppression de traitements, règles de circulation des dossiers en vue de leur présentation devant la commission) ;

    • de fixer certaines règles relatives au droit d'accès aux informations traitées par les organismes du ministère de la défense et à l'accueil des membres et agents de la CNIL ;

    • d'exprimer des directives pour l'application des articles 26, 27, 30 et 31 de la loi du 06 janvier 1978 .

Il est donc nécessaire de se reporter à la loi du 06 janvier 1978 et aux décrets d'application pour tous les points qui ne sont pas traités dans la présente instruction. Des instructions peuvent en outre être demandées par la voie hiérarchique au secrétaire général pour l'administration en cas de difficulté d'application.

1. Relations entre la commission nationale de l'informatique et des libertés, le commissaire du gouvernement auprès de la CNIL et le ministre de la défense.

1.1. Directives du Premier ministre.

Conformément aux dispositions de la circulaire du Premier ministre du 12 mars 1993 relative à la protection de la vie privée en matière de traitements automatisés d'informations nominatives, la commission nationale de l'informatique et des libertés, ainsi que le commissaire du gouvernement prévu à l'article 9 de la loi du 06 janvier 1978 connaissent pour le ministère comme interlocuteurs :

  • un conseiller du ministre, membre du cabinet, chargé de suivre les dossiers « informatique et libertés », en liaison avec le haut fonctionnaire désigné et le commissaire du gouvernement auprès de la CNIL ;

  • un haut fonctionnaire (et un suppléant) chargé de l'application de la loi du 06 janvier 1978 pour l'ensemble du ministère, y compris les organismes sous tutelle.

1.2. Le commissaire du gouvernement.

Un commissaire du gouvernement siège auprès de la commission nationale de l'informatique et des libertés et assiste à ses délibérations. Le commissaire du gouvernement et le commissaire du gouvernement adjoint appartiennent aux services du Premier ministre.

Le commissaire du gouvernement est tenu informé des modalités d'application de la loi du 06 janvier 1978 au ministère de la défense, il est destinataire d'un rapport annuel sur l'application de la loi du 06 janvier 1978 au sein du département ministériel. Il importe qu'il soit parfaitement informé des projets de mise en œuvre de traitements automatisés du département et des organismes sous tutelle afin d'être en mesure, à tout moment, d'éclairer la commission sur les orientations du gouvernement et sur les motifs qui justifient, dans une affaire donnée, la position du ministre de la défense.

1.3. Le haut fonctionnaire chargé des problèmes d'« informatique et libertés ».

Au ministère de la défense, le haut fonctionnaire chargé des problèmes d'« informatique et libertés » est, en application des dispositions de l'article 2 de l'arrêté du 3 avril 1990 relatif à l'organisation de l'informatique du ministère de la défense, le secrétaire général pour l'administration.

En application des dispositions de la circulaire du 12 mars 1993 du Premier ministre, le haut fonctionnaire dispose d'une « petite équipe » chargée de traiter les affaires relevant de l'activité « informatique et libertés ».

En application des dispositions de l' arrêté du 03 juin 1992 (modifié) portant organisation de la direction de l'administration générale, la sous-direction des affaires administratives représente le secrétaire général pour l'administration auprès de la CNIL. A ce titre cette sous-direction est saisie de toutes les questions concernant l'application au ministère de la défense des dispositions de la loi du 06 janvier 1978 . La « petite équipe » précitée relève de cette sous-direction.

1.4. Le correspondant général du ministère de la défense.

Pour faciliter les relations avec la CNIL, le secrétaire général pour l'administration désigne, parmi les officiers ou fonctionnaires de la direction de l'administration générale, un « correspondant général » par qui transitent, systématiquement, à l'aller comme au retour, tous les dossiers de déclarations de traitements automatisés d'informations nominatives préparés par les états-majors, directions et services de la défense (y compris les organismes sous tutelle).

Le correspondant général dont la fonction est confondue avec celle de suppléant du haut fonctionnaire précité, dirige la « petite équipe » dont la constitution a été prescrite par le Premier ministre.

1.5. Les correspondants particuliers des organismes.

Chacun des organismes cités à l'annexe 1 de la présente instruction dispose d'un correspondant particulier, désigné par l'autorité dont il relève. Le correspondant général du ministère de la défense est en relation directe avec ces correspondants. Les organismes sous tutelle désignent un correspondant qui relève du correspondant particulier de leur autorité de tutelle. Les organismes peuvent désigner, en interne, des correspondants subordonnés en relation avec le correspondant particulier de l'organisme.

Les coordonnées des correspondants particuliers des organismes cités à l'annexe 1 sont communiquées au secrétaire général pour l'administration par les autorités concernées.

2. Les procédures d'autorisation de création de traitements automatisés d'informations nominatives.

2.1. Généralités.

2.1.1.

Tout traitement automatisé d'informations nominatives effectué au sein du ministère de la défense est soumis :

  • soit à la procédure de demande d'avis préalable de la CNIL telle qu'elle est décrite dans les articles 15, 19 et 20 de la loi du 06 janvier 1978 : les décisions de création de ces traitements doivent alors prendre obligatoirement la forme d'un acte réglementaire (décret ou arrêté ministériel) ;

  • soit à la procédure de déclaration simplifiée si le traitement entre dans l'une des normes prévues à l'article 17 de la loi, ou peut faire l'objet d'une déclaration de conformité à un « modèle type » défense.

L'article 26 du décret 78-774 du 17 juillet 1978 avait autorisé à titre transitoire une procédure particulière de simple déclaration (appelée déclaration ordinaire) auprès de la CNIL pour les traitements mis en œuvre antérieurement au 1er novembre 1979. Ces dispositions ne sont plus applicables, les déclarations ordinaires étant réservées au « secteur privé ».

2.1.2.

La CNIL a adopté un modèle unique de formulaire de déclaration ou de demande d'avis pour la mise en œuvre des traitements automatisés d'informations nominatives. L'utilisation du formulaire est obligatoire.

Ce formulaire, agréé par le centre d'enregistrement et de révision des formulaires administratifs (CERFA) est enregistré sous le numéro 99001. L'annexe 2 ci-jointe indique les consignes particulières de rédaction du formulaire. La CNIL a également édité une notice explicative permettant de remplir le formulaire et les annexes réglementaires selon le type de déclaration : il y a lieu de se reporter à cette notice explicative pour les points qui ne sont pas développés à l'annexe 2.

Les formulaires CERFA 99001 ainsi que la notice explicative éditée par la CNIL sont disponibles :

  • au siège de la CNIL, 21, rue Saint-Guillaume, Paris-7e ;

  • dans les préfectures ;

  • dans les chambres de commerce et d'industrie ;

  • auprès de certaines fédérations professionnelles ;

  • auprès du correspondant général du ministère de la défense.

Ces documents, qui sont toujours fournis à titre gracieux, peuvent également être commandés par minitel en composant le 36 15 CNIL.

2.1.3.

Les dispositions qui suivent du présent chapitre ne concernent pas les fichiers manuels et mécanographiques.

2.2. Procédure de demande d'avis.

2.2.1.

La procédure de « demande d'avis » est utilisée lorsque le traitement ne peut pas être déclaré selon l'une des normes simplifiées établies et publiées par la CNIL en application de l'article 17 de la loi, ou encore selon l'un des « modèles types » spécifiques au ministère de la défense et agréés par la CNIL.

2.2.2.

Lorsque cette procédure est utilisée, le traitement ne peut être créé que s'il a fait l'objet d'un acte réglementaire, pris sur avis de la CNIL. L'acte réglementaire à prendre est un arrêté ministériel (cf. ANNEXE 3), sauf dans les cas suivants pour lesquels la loi du 06 janvier 1978 prévoit un décret en conseil d'Etat :

  • le traitement implique l'utilisation du répertoire national d'identification des personnes physiques (RNIPP) c'est-à-dire une consultation occasionnelle ou systématique, automatisée ou non de ce répertoire, y compris le fait de mentionner dans un fichier le numéro d'inscription au répertoire (NIR) ou ses formes dérivées (numéro de sécurité sociale par exemple). Toutefois, lorsque l'utilisation du NIR ou la consultation du RNIPP par certains organismes est autorisée par décret, un arrêté ministériel visant le décret est suffisant pour utiliser le NIR ou consulter le RNIPP si la finalité du traitement implique sa collecte ;

  • le traitement implique la transmission d'informations nominatives entre le territoire français et l'étranger. Toutefois, les flux transfrontières entre les organismes du ministère de la défense implantés sur le territoire français et ceux implantés en territoire étranger en fonction d'accords intergouvernementaux ou internationaux, ne sont pas considérés comme des flux transfrontières, que les données objet de ces flux soient individuelles ou collectives. Il en est de même en ce qui concerne les échanges de données, personnelles ou collectives, vers ou en provenance des attachés de défense des représentations diplomatiques ;

  • le traitement implique la mise en mémoire d'informations nominatives qui, directement ou indirectement font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou les mœurs des personnes. Dans ce cas, le décret exigé doit être pris sur avis conforme de la CNIL ;

  • le déclarant estime ne pas devoir suivre un avis défavorable de la CNIL.

2.2.3.

Le dossier de « demande d'avis », comprenant un projet d'arrêté et éventuellement un projet de décret accompagné d'un projet de rapport au Premier ministre, est préparé par le service déclarant. Il est établi en cinq exemplaires (un original et quatre copies).

L'annexe 3 précise les visas et rubriques à faire figurer dans un projet d'acte réglementaire.

Certaines rubriques du formulaire nécessitent des compléments d'informations ou des explications détaillées. Ces éléments sont portés sur papier libre dactylographié. Ils constituent les annexes aux rubriques telles qu'elles sont définies dans la notice explicative (cf. ANNEXE 2).

Le dossier est alors transmis pour instruction et centralisation, au correspondant particulier de l'état-major ou de la direction dont relève le déclarant.

Les dossiers de demande d'avis sont signés par les autorités délégataires de la signature du ministre, en matière d'« informatique et libertés », dont dépend le service déclarant. Les délégations de signature font l'objet d'un arrêté ministériel publié au Journal officiel de la République française. Si le traitement intéresse la sûreté de l'Etat, la défense ou la sécurité publique, la demande d'avis est soumise à la signature du secrétaire général pour l'administration. A ce niveau de la constitution des dossiers, les projets d'actes réglementaires ne sont jamais signés.

Le dossier est ensuite transmis à la direction de l'administration générale, sous-direction des affaires administratives, pour être instruit par le correspondant général du ministère de la défense. Après vérification de la conformité du dossier avec la loi du 06 janvier 1978 et après avoir obtenu les compléments et éclaircissements éventuels, ce dernier l'adresse soit au commissaire du gouvernement auprès de la CNIL, soit il le dépose directement à la CNIL.

Le commissaire du gouvernement est obligatoirement saisi des dossiers relatifs aux traitements collectant ou utilisant des données sensibles, aux traitements faisant appel à des innovations technologiques, aux traitements de fichiers de population, aux interconnexions et communications hors frontières, au moins trois semaines avant la date envisagée de dépôt du dossier à la CNIL. Le commissaire du gouvernement ayant formulé ses observations le dossier, éventuellement modifié, est déposé à la CNIL par le correspondant général du ministère de la défense, contre reçu.

Les dossiers qui ne sont pas communiqués au commissaire du gouvernement sont déposés directement à la CNIL contre reçu.

Une copie du reçu est adressée à l'autorité déclarante. Le délai de deux mois dont dispose la CNIL pour faire connaître son avis ne court qu'à compter de la date de dépôt du dossier figurant sur le reçu. A l'expiration du délai de deux mois dont dispose la CNIL, délai qui peut être renouvelé une fois par décision du président de la commission, l'avis de la CNIL est réputé favorable si elle ne s'est pas exprimée.

2.2.4.

Ce n'est qu'après avis favorable de la CNIL, ou dans les conditions prévues au paragraphe II.2.2 en cas d'avis défavorable, que le ou les actes réglementaires sont signés par les autorités délégataires précitées. Toutefois les actes réglementaires créant des traitements pour lesquels la CNIL ne s'est pas exprimée ne sont signés qu'après que le dossier de déclaration aura été soumis au secrétaire général pour l'administration pour décision.

A l'exception des actes réglementaires pour lesquels les dispositions de l'article 20, alinéa 2 de la loi du 06 janvier 1978 sont appliquées, les décrets, les arrêtés signés par le ministre de la défense ou le secrétaire général pour l'administration et les arrêtés relatifs à des traitements automatisés d'informations nominatives concernant des personnes autres que les agents publics civils et militaires relevant du ministère de la défense sont publiés au Journal officiel de la République française. Les autres arrêtés sont publiés au Bulletin officiel des armées.

Après signature par l'autorité délégataire de la signature du ministre, une copie de l'acte réglementaire signé est communiquée immédiatement au correspondant général du ministère de la défense par l'autorité déclarante, sans que cet envoi retarde les formalités de publication.

Une copie des actes réglementaires publiés est communiquée à la CNIL par le correspondant général du ministère de la défense, qui informe l'organisme déclarant de cet envoi.

2.2.5.

Les demandes d'avis relatives aux traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique doivent au minimum comporter les mentions énumérées à l'article premier du décret 79-1160 du 28 décembre 1979 . Ces demandes doivent comporter tout ou partie des autres mentions prévues à l'article 19 de la loi du 06 janvier 1978 s'il est jugé qu'il n'y a pas d'inconvénient, au point de vue de la protection du secret, à ce qu'elles soient connues des membres et agents de la CNIL.

La liste des mentions qu'il serait jugé utile de ne pas faire figurer au dossier fait l'objet d'une annexe confidentielle ou secrète destinée au secrétaire général pour l'administration, qui se réserve d'apprécier le bien-fondé du secret proposé vis-à-vis de la CNIL et de la relation affirmée entre le traitement et les notions de sûreté de l'Etat, défense et sécurité publique.

2.2.6.

Les dossiers examinés en commission le sont en présence du commissaire du gouvernement qui formule ses observations concurremment avec les représentants de l'autorité qui a présenté la demande (art. 15 du décret 78-774 du 17 juillet 1978 ).

2.3. Procédure simplifiée.

2.3.1.

Pour les catégories les plus courantes de traitements à caractère public ou privé, qui ne comportent manifestement pas d'atteinte à la vie privée ou aux libertés, la CNIL a établi des normes simplifiées publiées au Journal officiel de la République française et reprises à la brochure n° 1473 publiée par la direction des journaux officiels (2). Pour les traitements automatisés d'informations nominatives répondant strictement à ces normes, seule une déclaration simplifiée de conformité est déposée auprès de la commission.

Le dossier est établi en 3 exemplaires (un original et deux copies). Les dossiers sont complétés des annexes et documents indiqués à chacune des délibérations de la CNIL créant les normes simplifiées. A défaut d'indications particulières, ils comprennent toujours les annexes aux rubriques R. 12, R. 13 et R. 14 du formulaire de déclaration ainsi qu'un exemplaire des documents destinés à la collecte des informations si de tels documents sont utilisés.

La déclaration d'un traitement automatisé d'informations nominatives en référence à une norme simplifiée ne peut concerner qu'un seul service mettant en œuvre le traitement (la CNIL a accepté antérieurement que plusieurs services soient concernés par une seule déclaration, elle est revenue sur cette pratique contraire à la logique de la procédure de déclaration simplifiée).

2.3.2.

La procédure à suivre est la suivante :

  • préparation de la déclaration (formulaire CERFA 99001) par le service déclarant ou chargé de la mise en œuvre du traitement, en respectant les consignes de rédaction précisées à l'annexe 2 de la présente instruction ;

  • signature par l'autorité délégataire qui aurait à présenter le dossier s'il était soumis à la procédure normale de demande d'avis ;

  • transmission du dossier au correspondant général du ministère de la défense. Après vérification de la conformité du dossier avec la norme et après avoir obtenu les compléments et éclaircissements éventuels, ce dernier dépose le dossier directement à la CNIL contre reçu.

Dans la majorité des cas, la CNIL fait parvenir au correspondant général du ministère un récépissé de déclaration dans les délais brefs. La commission se réserve néanmoins le droit de demander des compléments d'information, soit de faire modifier le traitement ou même imposer la procédure normale de demande d'avis avec acte réglementaire de mise en œuvre du traitement.

Dès que le récépissé est parvenu au correspondant général, une copie en est adressée immédiatement à l'autorité déclarante : le traitement peut être mis en œuvre.

2.4. Modèles type défense.

Pour des catégories de traitements couramment mis en œuvre au ministère de la défense mais ne ressortissant pas des normes simplifiées, des « modèles types » défense, agréés par la CNIL sont créés par un arrêté du ministre ou du secrétaire général pour l'administration. Les arrêtés créant ces modèles types sont publiés au Journal officiel de la République française. L'arrêté, le dossier de déclaration auprès de la CNIL du modèle type et un guide de rédaction sont publiés au Bulletin officiel des armées.

La déclaration d'un traitement automatisé d'informations nominatives en référence à un modèle type défense ne peut concerner qu'un seul service mettant en œuvre le traitement (la CNIL a accepté antérieurement que plusieurs services soient concernés par une seule déclaration, elle est revenue sur cette pratique contraire à la logique de la procédure de déclaration simplifiée).

Les déclarations de traitements effectués en référence à ces modèles types suivent la même procédure que celle énoncée pour les normes simplifiées.

2.5. Procédure de modification ou de suppression de traitement.

2.5.1. Modification.

Lorsqu'un organisme décide de modifier un traitement automatisé d'informations nominatives, un dossier de modification doit être constitué pour ensuite être transmis à la CNIL. La logique de déclaration est identique à celle adoptée lors de la déclaration initiale (demande d'avis, déclaration simplifiée).

Il y a lieu d'établir une demande de modification à chaque fois que l'une des rubriques du formulaire de déclaration CERFA 99001 doit être modifiée, ou encore si l'une des annexes au dossier est également modifiée.

Une modification de traitement n'entraîne pas nécessairement une modification de l'acte réglementaire de création du traitement, si un tel acte a été pris.

2.5.2. Suppression.

Lorsque le traitement à supprimer a été déclaré sous l'empire d'une norme simplifiée ou d'un modèle défense, seul le formulaire de déclaration est à remplir. A l'exception de la rubrique 4 « Organisme déclarant », le contenu des rubriques doit être identique aux rubriques du dossier en cours de suppression.

Si le traitement à supprimer a été créé par un acte réglementaire, il est joint au formulaire de suppression de traitement un projet d'acte réglementaire de suppression du traitement. L'acte réglementaire de suppression du traitement sera publié dans les mêmes formes que celui pris lors de la création du traitement.

2.6. Envoi des dossiers.

Aucun organisme du ministère de la défense n'est autorisé à correspondre directement aussi bien avec la CNIL qu'avec le commissaire du gouvernement. Les correspondants particuliers des organismes cités à l'annexe 1 adressent leurs dossiers de déclarations de traitements automatisés d'informations nominatives sous bordereau ou accompagnés d'une note explicative, au correspondant général du ministère de la défense à l'adresse ci-après :

Direction de l'administration générale

(DEF/DAG/AA/2)

14, rue Saint-Dominique

00455 Armées.

3. Droit d'accès aux informations traitées et dispositions à prendre à l'occasion des investigations de la CNIL.

3.1. Le droit d'accès.

3.1.1. Le droit d'accès aux informations traitées.

Le droit d'accès organisé par la loi du 06 janvier 1978 est un droit distinct du droit de communication organisé par la loi no 78-753 du 17 juillet 1978 (BOC, p. 3463) modifiée portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal, qui permet à toute personne et sous les réserves formulées en particulier à l'article 6, de demander et d'obtenir la communication d'un document administratif dont les conclusions lui sont opposées ou des documents de caractère nominatif la concernant.

Par conséquent les services doivent rester dans chaque cas sur le terrain juridique choisi par le demandeur. En particulier, la communication des informations demandées au titre de la loi du 06 janvier 1978 ne doit être assortie de la communication de documents administratifs que s'il apparaît, à la suite d'une contestation de l'intéressé, que cette communication est nécessaire pour établir la preuve de la réalité et de la régularité des informations contestées.

En application de l'article 34 de la loi du 06 janvier 1978 , toute personne justifiant de son identité a le droit d'interroger les services ou organismes chargés de mettre en œuvre les traitements automatisés accessibles au public (traitements n'intéressant pas la sûreté de l'Etat, la défense ou la sécurité publique), en vue de savoir si ces traitements portent sur des informations nominatives la concernant et le cas échéant, d'en obtenir communication.

L'article 35 de la loi du 06 janvier 1978 énonce l'obligation de communiquer en clair au requérant les informations le concernant, mais ce dernier ne peut en obtenir copie que contre paiement d'une redevance. En outre, la CNIL, saisie contradictoirement par le responsable du fichier, peut accorder à ce dernier des délais de réponse ou même, en cas de demandes manifestement abusives par leur nombre, leur caractère répétitif ou systématique, l'autorisation de ne pas tenir compte de ces demandes. Dans ce cas, les démarches auprès de la commission sont toujours effectuées par le secrétaire général pour l'administration saisi par l'autorité sous les ordres duquel sert le requérant.

Pour faciliter l'exercice de ce droit d'accès, tous les dossiers de déclarations des traitements automatisés d'informations nominatives régulièrement déposés à la CNIL par le ministère de la défense sont conservés par le correspondant général du ministère. La liste des traitements en service au sein du département ministériel peut être consultée auprès du correspondant général sans formalités particulières. Saisi par un requérant sur un traitement déterminé ce dernier lui indique sur simple demande les coordonnées du service auprès duquel s'exerce le droit d'accès.

L'article 36 de la loi du 06 janvier 1978 ouvre au titulaire du droit d'accès celui d'exiger la rectification des informations erronées.

Le montant de la redevance forfaitaire prévue à l'article 35 de la loi du 06 janvier 1978 fait l'objet d'une délibération de la CNIL, homologuée par un arrêté du 23 septembre 1980 du ministre du budget. Les modalités de perception de cette redevance ou de son remboursement éventuel au requérant au cas où la démarche aboutirait à un redressement des informations le concernant, sont fixées par le décret 82-525 du 16 juin 1982 (BOC, p. 2645) relatif à la redevance prévue à l'article 35 (alinéa 2) de la loi 78-17 du 06 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Il est recommandé aux services du ministère de la défense de s'organiser pour que la communication des informations contenues dans leurs fichiers soit facilitée dans toute la mesure du possible afin que la mise en œuvre du droit d'accès prévu par la loi du 06 janvier 1978 ne devienne pas le mode normal d'information des administrés mais une voie de recours exceptionnelle.

Aucune mesure particulière ne peut être imposée quant aux conditions de la communication. Cependant, cette communication s'effectue en langage compréhensible au requérant, peut être accomplie oralement ou par lecture d'un écran, d'une fiche, d'un document imprimé. Elle est limitée aux seules informations non protégées, concernant le titulaire du droit d'accès, qui font habituellement l'objet du traitement. Ne sont pas communicables : les sources des informations traitées, les informations archivées ne faisant plus l'objet de traitements individualisés, les informations estimatives ou prévisionnelles tant que celles-ci ne sont pas opposables à la personne concernée, ou encore les informations conservées sous forme statistique.

Un modèle d'« accusé de réception » d'une redevance aux fins d'obtenir copie d'informations nominatives faisant l'objet d'un traitement automatisé figure à l'annexe 8 de la présente instruction. Un modèle d'« attestation de rectification » d'informations nominatives faisant l'objet d'un traitement automatisé pour lequel le droit d'accès a été invoqué figure à l'annexe 9 de la présente instruction.

3.1.2. Cas particulier des traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique.

Dans le cas particulier des traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique, la demande d'accès aux informations est adressée à la CNIL qui délègue à cet effet l'un de ses membres désignés pour effectuer les investigations utiles et faire procéder aux rectifications nécessaires. Le membre désigné peut se faire accompagner d'un agent de la CNIL, habilité au niveau de secret nécessaire (art. 3 du décret 79-1160 du 28 décembre 1979 ). Après son intervention, la CNIL se borne à notifier au requérant qu'il a été procédé aux vérifications.

Afin de faciliter leur accès dans les services, l'article 4 du décret précité impose au président de la CNIL de faire connaître chaque année au Premier ministre les noms et qualités des membres et agents de la commission désignés pour procéder à toutes investigations concernant les fichiers et traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique.

Il résulte de ces dispositions qu'en aucun cas les informations confidentielles contenues dans ces fichiers ne sont communiquées aux intéressés oralement ou par écrit et que la redevance visée à l'article 35 de la loi du 06 janvier 1978 ne doit pas être perçue.

Les demandes d'accès qui sont adressées par erreur au service sont renvoyées à leur expéditeur sans être traitées. Celui-ci doit être invité à adresser sa demande directement à la CNIL.

3.1.3. Informations couvertes par le secret médical.

Lorsque l'exercice du droit d'accès s'applique à des informations à caractère médical, celles-ci ne peuvent être communiquées au requérant que par l'intermédiaire d'un médecin qu'il désigne à cet effet et qui a accepté explicitement d'effectuer la démarche.

Cette disposition ne porte pas de préjudice aux pouvoirs de contrôle de la CNIL sur les fichiers à caractère médical car ses membres et ses agents sont liés par le secret professionnel.

3.1.4. Fichiers manuels.

Les dispositions qui précèdent sont applicables aux fichiers manuels bien que ceux-ci ne fassent, en principe, l'objet d'aucune publicité. Une collection d'informations constitue un « fichier manuel » dans la mesure où les données à caractère personnel qui y figurent sont organisées en vue de leur usage vis-à-vis des personnes concernées. En application des dispositions de l'article 45 de la loi du 06 janvier 1978 un décret en conseil d'Etat peut préciser les conditions d'exercice de ce droit d'accès particulier, qui peut également donner lieu à la perception d'une redevance.

Au cas où des demandes d'accès concerneraient des fichiers manuels dont les responsables estiment qu'ils intéressent la sûreté de l'Etat, la défense ou la sécurité publique et où il convient, par conséquent, de faire jouer les dispositions de l'article 39 de la loi du 06 janvier 1978 , l'accord de principe du ministre ou du secrétaire général pour l'administration doit être demandé préalablement.

3.2. Investigations de la CNIL.

3.2.1.

En dehors du cas visé au paragraphe III.1 qui concerne une vérification ponctuelle effectuée au profit d'un requérant, la CNIL peut procéder inopinément à des investigations auprès des services chargés de la mise en œuvre des traitements d'informations nominatives.

Les services concernés doivent prendre toutes dispositions utiles pour faciliter la tâche des membres de la CNIL désignés pour effectuer de telles investigations et des agents qui les accompagnent après s'être assurés de leur identité.

3.2.2.

Dans le cas d'investigations portant sur des traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique, qui ne peuvent être conduites que par des membres de la commission désignés spécialement à cet effet, il ne doit être exigé d'habilitation d'accès aux documents et informations classifiées « confidentiel défense », « secret défense » ou « très secret » qu'en ce qui concerne les agents accompagnant les membres de la CNIL chargés de l'investigation.

Dans le cas où le service, en application des dispositions du troisième alinéa de l'article 36 de la loi du 06 janvier 1978 , est conduit à apporter la preuve des informations enregistrées, il peut présenter des documents extraits des archives.

3.2.3.

Les dispositions restrictives de l'article 7, 5° de la loi 79-18 du 03 janvier 1979 (3) sur les archives et des articles 6 et 7 du décret 79-1035 du 03 décembre 1979 (4) relatif aux archives de défense, opposables à des demandes de communication émanant du public, ne sont pas opposables aux membres de la CNIL, autorité administrative indépendante, qui tient ses pouvoirs d'investigation de la loi.

3.2.4.

Les dispositions qui précèdent s'étendent aux investigations de la CNIL relatives aux fichiers manuels.

3.3. Comptes rendus.

3.3.1.

Toute démarche de la CNIL doit être portée immédiatement par le service concerné à la connaissance du secrétaire général pour l'administration qui peut se faire représenter auprès de ce service pour suivre le déroulement des investigations consécutives à cette démarche.

3.3.2.

Un compte rendu est adressé dans le plus bref délai au correspondant général du ministère à l'issue de chacune de ces interventions. Ce compte rendu mentionne notamment :

  • la date initiale et la durée des interventions ;

  • l'identité des personnes ayant procédé aux démarches ou investigations auprès du service ;

  • la forme dans laquelle leur demande a été présentée ;

  • l'objet des investigations et notamment les questions posées ;

  • les remarques formulées par les enquêteurs ;

  • les redressements effectués à la suite de ses remarques.

D'autre part, un compte rendu succinct des demandes individuelles formulées au titre du droit d'accès prévu par la loi du 06 janvier 1978 est adressé au correspondant général du ministère le 1er juillet de chaque année par chacune des autorités centralisatrices des états-majors ou directions. Ce compte rendu sous forme statistique porte sur les douze mois écoulés. Un modèle de compte rendu figure à l'annexe 6.

4. Directives pour l'application des articles 26, 27, 30 et 31 de la loi du 06 janvier 1978.

4.1. Article 26.

Par délibération en date du 10 mars 1992, la CNIL a interprété le deuxième alinéa de l'article 26 de la loi du 06 janvier 1978 comme n'excluant pas a priori le droit d'opposition par les personnes concernées pour les traitements du secteur public relevant de l'article 15 de la loi du 06 janvier 1978 .

En conséquence, il convient pour chaque traitement d'apprécier l'opportunité de l'introduction éventuelle dans l'acte réglementaire d'une disposition faisant obstacle au droit d'opposition. Cette disposition prend la forme d'un article particulier indiquant que le droit d'opposition prévu par l'article 26 de la loi du 06 janvier 1978 ne s'applique pas au traitement mis en œuvre. La CNIL se réserve d'apprécier le bien-fondé d'une telle dérogation lors de l'examen de chacun des actes réglementaires créant un traitement.

A cet égard, on peut estimer que la plupart des traitements publics méritent une telle dérogation. Elle paraît tout au moins devoir être prévue dans les trois cas suivants :

  • si une législation ou une réglementation spéciales rendent obligatoire l'inscription de toute personne dans le traitement en cause, dès lors qu'elle est concernée ;

  • si le traitement doit, compte tenu de sa finalité, être exhaustif ;

  • si le traitement touche à la sécurité publique, aux intérêts monétaires de l'Etat ou à la répression des infractions.

4.2. Article 27.

4.2.1.

L'article 27 de la loi du 06 janvier 1978 énonce que lorsque la collecte des informations nominatives destinées à un traitement automatisé est effectuée directement auprès des personnes qu'elles concernent, celles-ci doivent être informées :

  • du caractère obligatoire ou facultatif des réponses ;

  • des conséquences à leur égard d'un défaut de réponse ;

  • des personnes physiques ou morales destinataires des informations ;

  • de l'existence d'un droit d'accès et de rectification.

En outre, si la collecte est effectuée à partir d'un questionnaire, ce dernier doit obligatoirement porter la mention de ces prescriptions.

4.2.2.

L'article 27 de la loi du 06 janvier 1978 est généralement considéré comme un élément important du dispositif voulu par le législateur pour faciliter le droit d'accès aux fichiers. A chaque fois qu'une collecte d'informations nominatives est effectuée à partir d'un questionnaire au sein du département de la défense, les dispositions qui suivent doivent être respectées.

Dans le cas où les questionnaires se bornent à rassembler les éléments justificatifs nécessaires à l'instruction d'une demande formulée par une personne en service au ministère de la défense pour faire valoir ses droits à caractère financier (déclaration de situation de famille, demande d'allocation logement, demande de remboursement de frais, demande de congés, etc.) dans le cadre d'une réglementation précise, la simple référence à cette réglementation et au service destinataire de l'imprimé peut être considérée comme suffisante s'il n'est pas demandé d'informations superflues pour l'application de cette réglementation.

Il en va de même pour les questionnaires attachés à des demandes formulées par ces mêmes personnes de leur propre initiative, en vue de l'obtention d'avantages prévus par une réglementation mais dont l'octroi est facultatif (par exemple : prêts, secours sociaux).

Il convient, au contraire, de répondre exactement aux prescriptions de l'article 27 de la loi du 06 janvier 1978 dans le cas des questionnaires utilisés en vue de recrutements, classements, avancements, habilitations, choix, affectations et, de façon générale, en vue de décisions pouvant avoir une influence sur la condition statutaire et le déroulement des carrières.

Enfin, tous les questionnaires remis à des personnes étrangères au ministère de la défense doivent porter les mentions énumérées à l'article 27.

4.2.3.

Les mentions portées sur les formulaires de saisie de données doivent être cohérentes avec celles qui figurent sur les déclarations faites à la CNIL et ces formulaires doivent être signés et datés par les intéressés.

L'article 45 de la loi du 06 janvier 1978 a étendu les prescriptions de l'article 27 au cas des fichiers manuels. Les dispositions qui précèdent doivent donc leur être également appliquées.

4.3. Article 30.

4.3.1.

Il résulte de l'article 30 de la loi, que le traitement d'informations nominatives concernant les infractions, condamnations ou mesures de sûreté, est interdit à tout service en dehors de ses attributions légales. L'article 45 a étendu cette interdiction aux informations traitées manuellement.

D'autre part, l'article 6 de la loi no 80-2 du 4 janvier 1980 (5) relative à l'automatisation du casier judiciaire interdit à tout service ne dépendant pas du ministère de la justice de recueillir ou de conserver des données nominatives mentionnant, hors les cas et dans les conditions prévues par la loi, des jugements ou arrêts de condamnations.

En conséquence, sont seuls autorisés à introduire dans leurs fichiers des informations nominatives concernant les infractions, condamnations et mesures de sûreté, les organismes qui légalement ont besoin d'en connaître.

4.3.2.

Au ministère de la défense, sont seuls autorisés à inclure dans leurs fichiers de telles informations nominatives les services qui :

  • sont responsables de l'application aux personnes des dispositions prévues en cas de condamnation par les lois portant statut de la fonction publique ou de la fonction militaire ou de toute autre disposition expressément prévue par une loi ;

  • reçoivent des greffes de tribunaux dans les conditions prévues par le code de procédure pénale, la copie des jugements de condamnation qui influent sur les conditions d'incorporation des personnes soumises aux obligations du service national.

En outre, la gendarmerie, chargée d'une action quotidienne de lutte contre la criminalité et les actions terroristes et placée à ce titre sous la dépendance du ministère de la justice, est habilitée, sous le contrôle des autorités judiciaires, à recueillir et à détenir des informations sur les condamnations pénales prononcées dans le cadre de ses missions de police judiciaire.

4.3.3.

En aucun cas les références relatives aux jugements de condamnations encourus, recueillis à des fins de gestion du personnel, ne doivent être regroupées dans un fichier spécialisé relatif aux infractions, condamnations et mesures de sûreté.

En outre avant toute exploitation, postérieurement à leur enregistrement, des informations contenues dans un dossier de gestion des ressources humaines, il y aura lieu de s'assurer que les informations qui sont relatives aux références des infractions, condamnations ou mesures de sûreté amnistiées ont bien été éliminées.

4.4. Article 31.

4.4.1.

L'article 31 de la loi du 06 janvier 1978 , étendu par l'article 45 au cas des fichiers manuels, revêt une importance particulière au point de vue de la protection des libertés.

Ces deux articles combinés interdisent, sous peine de sanctions pénales, de mettre ou conserver en mémoire, sauf accord exprès de l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les mœurs ou les appartenances syndicales des personnes.

Dans les quelques cas où la connaissance par l'administration de telles informations est nécessaire, les services doivent veiller à recueillir l'accord exprès des personnes concernées. C'est le cas, par exemple, de représentants ou délégués syndicaux demandant à voir reconnaître leur qualité en vue de faire valoir les droits qui s'y rattachent.

C'est également le cas de personnes désireuses de faire connaître leur religion en vue de dispositions à prendre en cas de décès ou pour pouvoir bénéficier de congés pour certaines fêtes religieuses, ou encore de régimes alimentaires particuliers.

L'accord exprès du consentement ne peut pas être interprété comme l'exigence d'un écrit, qui n'est pas toujours possible. L'accord exprès peut être matérialisé par une manifestation explicite de volonté qu'il serait possible de prouver. L'accord exprès du consentement peut être retiré par l'intéressé à tout moment sans que cette révocation ait un effet rétroactif (de façon qu'un traitement de données à caractère personnel précédemment licite ne devienne illicite).

4.4.2.

Si, pour des motifs d'intérêt public, il doit être dérogé à l'interdiction ci-dessus, la CNIL doit être obligatoirement saisie et l'autorisation est donnée, sur son avis conforme, par décret en conseil d'Etat.

5. Textes abrogés.

Sont abrogées :

  • l'instruction no 12467/DEF/SGA du 11 mars 1982 (BOC, p. 1381) modifiée, concernant l'application au ministère de la défense des dispositions de la loi 78-17 du 06 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

  • la circulaire no 50639/DEF/SGA/SCOMI du 28 septembre 1983 (BOC, p. 5706), relative aux traitements automatisés d'informations nominatives réalisés pour le ministère de la défense et approuvés par la commission nationale de l'informatique et des libertés ;

  • la circulaire no 50293/DEF/SGA/SCOMI du 10 avril 1984 (BOC, p. 3407) relative à l'emploi des identifiants et utilisation du numéro d'inscription au répertoire national d'identification des personnes physiques dans les traitements automatisés d'informations nominatives : mise en conformité des déclarations ordinaires signalées à la commission nationale de l'informatique et des libertés (CNIL) ;

  • la circulaire no 2037/DEF/SGA du 24 janvier 1991 (BOC, p. 375) relative à l'établissement par les organismes du ministère de la défense des demandes d'avis et des déclarations prévues par la loi 78-17 du 06 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Pour le ministre d'Etat, ministre de la défense et par délégation :

Le secrétaire général pour l'administration,

François ROUSSELY.

Annexes

ANNEXE 1. Liste des organismes devant désigner un correspondant particulier.

  • Etat-major des armées.

  • Délégation générale pour l'armement.

  • Etat-major de l'armée de terre.

  • Etat-major de la marine.

  • Etat-major de l'armée de l'air.

  • Contrôle général des armées.

  • Direction générale de la sécurité extérieure.

  • Direction générale de la gendarmerie nationale.

  • Direction de la protection et de la sécurité de la défense.

  • Direction des centres d'expérimentations nucléaires.

  • Service d'information et de relations publiques des armées.

  • Sous-direction des bureaux du cabinet.

  • Direction du renseignement militaire.

  • Direction centrale du service de santé des armées.

  • Direction centrale du service des essences des armées.

  • Direction des services financiers.

  • Direction de la fonction militaire et des personnels civils.

  • Direction de l'administration générale.

  • Direction centrale du service national.

ANNEXE 2. Rédaction du formulaire CERFA 99001.

APPENDICE 1.

Dénomination du traitement.

Organisme déclarant.

Service chargé de la mise en œuvre du traitement.

Date :

Page n/x.

 

ANNEXE A LA RUBRIQUE R. 5.

SERVICE CHARGE DE LA MISE EN ŒUVRE DU TRAITEMENT.

1 Implantation des moyens de traitement.

11 Service responsable de la conception, de la réalisation et du suivi de l'application.

12 Service responsable de l'exploitation (indiquez s'il y a lieu la raison sociale et les coordonnées du sous-traitant).

121 Dénomination.

122 Moyens mis en œuvre.

2 Utilisateurs : implantation et missions.

21 Centre gestionnaire.

22 Utilisateurs décentralisés.

APPENDICE 2.

Dénomination du traitement.

Organisme déclarant.

Service chargé de la mise en œuvre du traitement.

Date :

Page n/x.

 

ANNEXE A LA RUBRIQUE R. 7.

FINALITE PRINCIPALE DU TRAITEMENT.

1 Fondement et cadre juridique du traitement.

11 Mission(s) du service.

12 Historique du traitement.

13 Base juridique.

2 Objectifs recherchés par l'informatisation.

3 Population concernée.

APPENDICE 3.

Dénomination du traitement.

Organisme déclarant.

Service chargé de la mise en œuvre du traitement.

Date :

Page n/x.

 

ANNEXE A LA RUBRIQUE R. 8.

MESURES POUR FACILITER LE DROIT D'ACCES.

1 Mesures prises.

2 Communication de ces mesures aux intéressés.

Indiquer comment les mesures permettant le droit d'accès sont portées à la connaissance des intéressés.

3 Délais de communication.

Préciser les délais en heures, jours ou en mois.

4 Correction des erreurs.

Préciser les délais, procédures et moyens de correction des erreurs. Procédure pour aviser l'intéressé de la correction des erreurs.

APPENDICE 4.

Dénomination du traitement.

Organisme déclarant.

Service chargé de la mise en œuvre du traitement.

Date :

Page n/x.

 

ANNEXE A LA RUBRIQUE R. 10.

TRANSFERT DE DONNEES ENTRE LE TERRITOIRE FRANÇAIS ET L'ETRANGER.

Pour ces transferts de données :

  • décrivez leur objet ;

  • indiquez le ou les traitements sur lesquels elles portent ;

  • les catégories d'informations transmises et leurs destinataires ;

  • indiquez, s'il y a lieu, les références des textes législatifs et réglementaires et les conventions internationales sur lesquelles reposent ces échanges ;

  • précisez les pays destinataires ou expéditeurs des informations afin, notamment, de déterminer s'ils sont parties à la convention du conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé d'informations à caractère personnel.

APPENDICE 5.

Dénomination du traitement.

Organisme déclarant.

Service chargé de la mise en œuvre du traitement.

Date :

Page n/x.

 

ANNEXE A LA RUBRIQUE R. 12.

CARACTERISTIQUES DE L'APPLICATION.

R.12.1. FONCTIONS DES TRAITEMENTS.

Pour chaque fonction du traitement énumérée à la rubrique 12, précisez :

  • la liste des informations de base utilisées sans en donner le détail ;

  • les types de raisonnements programmés à partir de l'analyse fonctionnelle ;

  • la liste des informations produites, les états statistiques, les possibilités d'interrogations à distance, etc.

R.12.2. CARACTERISTIQUES TECHNIQUES.

21. Architectures des moyens techniques (type d'ordinateur, mémoire de masse, terminaux, micro-ordinateurs reliés, réseaux de transmission, centres serveurs, banques de données, bases de données, etc.).

22. Mise en œuvre (traitements par lots, temps différé, temps réel, interrogation à distance, etc.).

23. Périodicité du traitement.

24. Langages généraux d'exploitation.

APPENDICE 6.

Dénomination du traitement.

Organisme déclarant.

Service chargé de la mise en œuvre du traitement.

Date :

Page n/x.

 

ANNEXE A LA RUBRIQUE R. 13.

SECURITE ET SECRETS.

  • 1. Sécurité physique des locaux, du matériel et des informations.

  • 2. Solutions de secours prévues.

  • 3. Protection des logiciels (logiciels d'exploitation, de base, programmes).

  • 4. Protection contre l'altération des informations. En cas d'accès logique au système informatique à partir de moyens distants, indiquer la technique utilisée pour identifier les utilisateurs, cette technique devra être décrite en détail si le système informatique est accessible par l'intermédiaire d'un réseau public.

  • 5. Protection contre l'accès abusif aux informations (clefs d'accès, structure des mots de passe, fréquence des changements, types de personnels autorisés et habilités, etc.).

  • 6. Moyens mis en œuvre pour l'information du personnel à des fins de sensibilisation aux problèmes de sécurité.

  • 7. Si les informations sont légalement protégées, indiquer ou joindre les textes sur lesquels repose le secret.

APPENDICE 7.

Dénomination du traitement.

Organisme déclarant.

Service chargé de la mise en œuvre du traitement.

Date :

Page n/x.

 

ANNEXE A LA RUBRIQUE R. 14.

CATEGORIES D'INFORMATIONS TRAITEES.

Les catégories d'informations doivent respecter celles indiquées à la rubrique 14 de la page 6 du formulaire CERFA 99001. Il est possible de créer autant de catégories que nécessaire sans toutefois réutiliser l'une des catégories « A » à « P » qui ne serait pas employée.

Table 1. Tableau.

Catégorie d'informations collectées.

Nom des informations (détaillées et en langage clair).

Origine de l'information.

Destinataires des informations (autres que le déclarant et les tiers autorisés).

Durée de conservation sur support informatique (y compris pour les sauvegardes et archives).

Ex. : Identité.

Clef du dossier.

Nom patronymique.

Nom du conjoint.

Nom d'usage.

Prénoms.

Date et lieu de naissance.

Intéressé.

Service du personnel.

Autorité administrative.

Autorité judiciaire.

Service du personnel.

Service d'ordre.

Caisses de retraite.

URSSAF.

Sécurité sociale.

Autorité administrative.

Autorité judiciaire.

Jusqu'au départ de l'intéressé.

5 ans après la limite d'âge.

Ex. : Situation familiale.

Situation matrimoniale.

Nom du conjoint (patronymique d'usage).

Prénom du conjoint.

Catégorie socioprofessionnelle du conjoint.

Enfants (prénoms, sexe, date de naissance, à charge ou non, date de décès).

Intéressé.

Service administratif.

Service du personnel.

Sécurité sociale.

Mutuelles.

Autorité administrative.

Sortie des cadres de l'agent ou rupture du lien de l'agent avec le service gestionnaire.

 

  • 1. Présentez, pour chaque catégorie d'informations collectées toutes les données correspondantes et les précisions nécessaires dans un tableau comportant les colonnes du modèle ci-dessus, donné à titre d'exemple.

  • 2. Joignez à ce tableau le ou les bordereaux ou le questionnaire de collecte des informations portant mention des prescriptions de l'article 27 de la loi du 06 janvier 1978 .

  • 3. Utilisation du répertoire national d'identification des personnes physiques RNIPP (ou numéro de sécurité sociale) indiquez :

    • les motifs d'utilisation du répertoire et les informations du répertoire demandées ;

    • les motifs d'utilisation du numéro de sécurité sociale, les restrictions à son accès et à son utilisation ;

    • le cas échéant les textes législatifs ou réglementaires qui justifient ces utilisations.

APPENDICE 8.

Dénomination du traitement.

Organisme déclarant.

Service chargé de la mise en œuvre du traitement.

Date :

Page n/x.

 

ANNEXE A LA RUBRIQUE R. 15.

INFORMATIONS DONT L'USAGE EST REGLEMENTE.

1 Infractions, condamnations ou mesures de sûreté.

Pour les traitements portant sur les infractions, condamnations ou mesures de sûreté (art. 30 de la loi du 06 janvier 1978 ), indiquez :

  • les motifs qui conduisent à leur maintien ;

  • les modalités de collecte ;

  • les modalités de mise à jour ;

  • les modalités de suppression ;

  • leur durée de conservation ;

  • la référence à la loi autorisant à les détenir lorsqu'elles concernent des jugements ou arrêtés de condamnations.

2 Données sensibles.

Pour les traitements faisant apparaître les données sensibles prévues à l'article 31 de la loi du 06 janvier 1978 , exposez :

  • les motifs qui justifient le traitement de ces informations ;

  • au cas où l'accord exprès des intéressés est demandé, précisez les conditions dans lesquelles cet accord est donné ; joignez éventuellement un exemplaire des documents de collecte utilisés ;

  • faute d'accord exprès des intéressés, la collecte des données prévues à l'article 31 de la loi du 06 janvier 1978 nécessite un décret en conseil d'Etat. Faute de décret préalable, le dossier devra comporter un projet d'un tel décret avec l'exposé des motifs (rapport au Premier ministre).

APPENDICE 9.

Dénomination du traitement.

Organisme déclarant.

Service chargé de la mise en œuvre du traitement.

Date :

Page n/x.

 

ANNEXE A LA RUBRIQUE R. 16.

CESSION, INTERCONNEXION, MISE EN RELATION, RAPPROCHEMENT DE FICHIERS.

Pour l'interconnexion, la mise en relation, le rapprochement, la cession de fichiers, décrivez :

  • leurs finalités ;

  • leurs modalités pratiques ;

  • les conditions juridiques de ces transactions en cas de cession, location ou échange.

APPENDICE 10. Modèle de formulaire.

Figure 1. DÉCLARATION D'UN TRAITEMENT AUTOMATISÉ D'INFORMATIONS NOMINATIVES

 image_2916.png
 

 image_2917.png
 

ANNEXE 3.

ANNEXE 4. Ministère de la défense.

Figure 3. DECLARATION DE CONFORMITE.

 image_2920.png
 

ANNEXE 5. Liste des codes APE (activité principale) utilisés.

Au sein du répertoire SIRENE (système national d'identification et répertoire des entreprises et de leurs établissements), les établissements reçoivent un code APE (activité principale exercée) en fonction de leur type d'activité. La liste des codes APE utilisés selon le secteur est fixée ci-après :

Codes concernant à la fois le ministère de la défense et le secteur civil.

296 A : Fabrication d'armements.

351 A : Construction de bâtiments de guerre.

353 A : Construction de moteurs pour aéronefs.

353 B : Construction de cellules d'aéronefs.

555 A : Cantines et restaurants d'entreprises.

731 Z : Recherche — Développement en sciences physiques et naturelles.

802 A : Enseignement secondaire général.

802 C : Enseignement secondaire technique ou professionnel.

803 Z : Enseignement supérieur.

851 A : Activités hospitalières.

921 B : Production de films institutionnels et publicitaires.

Code générique du ministère de la défense (à utiliser faute d'autre code spécifique).

752 C : Ministère de la défense.

ANNEXE 6. Compte rendu annueldes demandes individuelles de droit d'accès formulées au titre de la loi du 06 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Pour chaque traitement ayant fait l'objet d'une demande individuelle d'accès au sens des articles du chapitre V de la loi du 06 janvier 1978 les autorités délégataires de la signature du ministre en matière d'« informatique et libertés » établissent un compte rendu comportant les éléments suivants :

PERIODE DU 1er JUILLET… AU 30 JUIN…

Dénomination du traitement (rubrique 6 de la déclaration).

Numéro d'enregistrement auprès de la commission nationale de l'informatique et des libertés.

Population concernée par le traitement (rubrique 6 de la déclaration).

Nombre de demandes d'accès.

Nombre de demandes d'accès satisfaites.

Nombre de demandes d'accès refusées.

Nombre de rectifications demandées.

Nombre de rectifications satisfaites.

Nombre de rectifications refusées.

Pour chacune des demandes d'accès ou de rectifications refusées, un bref commentaire indique les raisons du refus.

ANNEXE 7. Intérêt d'une distinction entre destinataires et tiers autorisés.

Définitions.

Les destinataires des informations sont les personnes clairement désignées et de manière exhaustive, internes ou externes au ministère de la défense, qui ont accès aux données nominatives figurant dans le traitement parce que la finalité du traitement, qui est déterminée par le maître du fichier, le justifie.

Dans ce cas, les personnes concernées doivent être informées de l'existence et de la nature des destinataires (art. 27 de la loi) ; le maître du fichier devant porter cette information à la connaissance de la commission (art. 19 de la loi), cette information sur les destinataires fait en outre l'objet des mesures de publicité prévues par les articles 20 et 22 de la loi.

Les tiers autorisés sont les personnes auxquelles le maître du fichier peut communiquer, sur leur demande motivée, des informations contenues dans le fichier sans tomber sous le coup de l'article 29 de la loi qui prohibe toute communication à des tiers non autorisés.

Dans ce cas, les personnes concernées n'ont pas à être informées de la qualité de ces tiers dès lors que leur accès au fichier ne résulte pas de la volonté du maître du fichier ni de la finalité de celui-ci, mais d'une disposition législative leur accordant des pouvoirs particuliers.

Mais ces tiers autorisés n'ont pas vocation à recevoir l'ensemble des informations détenues par le maître du fichier : leur demande d'accès aux informations est généralement ponctuelle et motivée. A titre d'exemple, sont considérés comme tiers autorisés : les magistrats, officiers de police judiciaire ou agents de l'administration fiscale.

Avantages d'une telle distinction.

Elle permet d'identifier clairement les personnes qui ont communication de tout ou partie des informations traitées sur l'ensemble des dossiers (les destinataires) de celles qui ont un accès ponctuel, mais non discutable à ces informations (les tiers autorisés).

Elle n'impose pas au maître du fichier d'informer les personnes concernées de l'ensemble des tiers autorisés à avoir accès aux informations en vertu d'une disposition légale. Par ailleurs, il convient de souligner qu'il est fait obligation au maître du fichier d'informer les personnes concernées des destinataires ou catégories de destinataires à qui les données sont communiquées.

Elle règle de façon souple le problème des dérogations au principe de l'information des personnes concernées, puisque ces dérogations posent le problème de savoir et dans quels cas et quelle autorité va prendre la décision de communiquer des données sans que la personne concernée en soit informée.

Elle évite une difficulté née du fait que les données doivent être utilisées de manière compatible avec les finalités déclarées : en effet, la communication de données à un tiers autorisé n'est jamais liée à la finalité du traitement auquel le tiers autorisé à accès. Ainsi, à titre d'exemple, la police agissant sur commission rogatoire d'un juge d'instruction peut accéder à tous les fichiers dès lors qu'ils comportent des informations utiles à la manifestation de la vérité.

Conclusion.

La discussion entre destinataires (justifiée par la finalité du traitement) et tiers autorisés (qui bénéficient d'une disposition législative leur reconnaissant des prérogatives particulières), est un facteur de sécurité juridique.

En pratique, il convient d'indiquer à la rubrique R. 14 du formulaire de déclaration et dans l'acte réglementaire de création du traitement comme destinataires les seules personnes qui ont vocation à accéder aux données, même si cet accès n'est pas régulier. Il appartient au maître du fichier de les déterminer au regard des finalités du traitement.

ANNEXE 8.

ANNEXE 9.