ARRÊTÉ portant création, par le ministère de la défense, d'un traitement automatisé de données à caractère personnel relatif à la gestion des traces générées par l'utilisation des moyens informatiques.
Du 26 juillet 2013NOR D E F D 1 3 5 1 1 0 8 A
Le ministre de la défense,
Vu le code pénal ;
Vu le code de procédure pénale ;
Vu le code des postes et des communications électroniques ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée, relative à l'informatique, aux fichiers et aux libertés, notamment son article 23. ;
Vu la loi n° 2004-575 du 21 juin 2004 modifiée, pour la confiance dans l'économie numérique ;
Vu le décret n° 2005-850 du 27 juillet 2005 portant délégation de signature des membres du Gouvernement ;
Vu le décret n° 2007-663 du 2 mai 2007 pris pour l'application des articles 30, 31 et 36 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique et relatif aux moyens et aux prestations de cryptologie ;
Vu le récépissé n° 1689756 v 0 du 25 juillet 2013 de la commission nationale de l'informatique et des libertés,
Arrête :
Art. 1er.
Est autorisée la création, par le ministère de la défense, d'un traitement automatisé de données à caractère personnel dénommé « gestion des traces » et dont la finalité est l'enregistrement, l'analyse et l'exploitation des traces d'accès aux données et aux ressources informatiques, pour en assurer la sécurité et la performance.
Art. 2.
Les catégories d'informations et de données à caractère personnel enregistrées sont celles relatives :
- à l'identité :
- nom, prénom, adresse professionnelle, numéro de téléphone professionnel, numéro matricule, identifiant défense ;
- à la vie professionnelle :
- service ou affectation, localisation ;
- à l'authentification des personnes et de leurs actions :
- certificats de clés cryptographiques, noms d'utilisateur « login », identifiants de session, signatures électroniques, etc. ;
- à l'utilisation des médias et moyens de communication électronique :
- internet : adresse IP du poste, date et heure de connexion, durée de la connexion, URL ou adresse IP du site visité, type de navigateur du poste, système d'exploitation du poste, etc. ;
- messagerie : adresse d'origine de l'envoi d'un courriel, adresse de destination d'un courriel, taille des courriels ;
- systèmes d'information : date et heure de tentative de connexion ou d'ouverture de session, résultat de la tentative (succès ou échec) etc.
Art. 3.
Les informations et les données à caractère personnel ainsi enregistrées sont conservées un an maximum. Toutefois, en cas d'enquête judiciaire, les données pourront être conservées jusqu'à la fin de l'enquête.
Art. 4.
Sont destinataires de tout ou partie des données à caractère personnel et des informations strictement nécessaire à leur mission et peuvent y accéder directement pour leur constitution et leur gestion, à raison de leurs attributions respectives et du besoin d'en connaître, les personnels habilités par leurs autorités hiérarchiques chargés :
- de la sécurité des systèmes d'information, dans le cadre de leurs missions d'inspections, de contrôle et d'audit des systèmes d'information du ministère de la défense ;
- de la lutte informatique défensive, dans le cadre de leurs missions de surveillance, d'investigation, de détection et de défense de ces systèmes d'information ;
- de la maintenance et de l'administration des systèmes d'information dans le cadre des opérations de gestion et d'exploitation de ces systèmes.
Sont en outre destinataires des données à caractère personnel et des informations, à raison de leurs attributions respectives et du besoin d'en connaître, les autorités hiérarchiques dûment habilitées, dans le cadre d'une atteinte à la sécurité et à l'intégrité des systèmes.
Art. 5.
Les droits d'accès et de rectification prévus aux articles 39. et 40. de la loi n° 78-17 du 6 janvier 1978 modifiée, susvisée s'exercent auprès des autorités hiérarchiques de la personne concernée par le traitement.
Art. 6.
Le chef d'état-major des armées, le délégué général pour l'armement, le secrétaire général pour l'administration, et les autorités des organismes relevant du ministre de la défense qui mettent en œuvre une composante de gestion des traces relevant du présent arrêté, sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté qui sera publié au Bulletin officiel des armées.
Pour le ministre de la défense et par délégation :
Le secrétaire général pour l'administration,
Jean-Paul BODIN.