Arrêté du 27 janvier 2023 autorisant la mise en œuvre de traitements automatisés de gestion des traces relatives aux systèmes d'information et de communication du ministère de la défense

NOR : ARMD2302467A
ELI : https://www.legifrance.gouv.fr/eli/arrete/2023/1/27/ARMD2302467A/jo/texte
JORF n°0030 du 4 février 2023
Texte n° 16

Version initiale


Le ministre des armées,
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 31 ;
Vu le décret n° 2018-532 du 28 juin 2018 modifié fixant l'organisation du système d'information et de communication de la défense et portant création de la direction générale du numérique et des systèmes d'information et de communication ;
Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 28 juin 2018 modifié portant création et organisation d'instances relatives au système d'information et de communication de la défense ;
Vu la délibération n° 2022-110 du 10 novembre 2022 de la Commission nationale de l'informatique et des libertés,
Arrête :


  • Peuvent être créés, au ministère de la défense, des traitements automatisés de données à caractère personnel ayant pour objet la collecte et l'exploitation des données techniques relatives à la traçabilité de l'utilisation des systèmes d'information et de communication du ministère de la défense visés à l'article 1er du décret du 28 juin 2018 susvisé.
    Ces traitements ont pour finalité :
    1° D'assurer la sécurité et la défense de ces systèmes et des informations qu'ils comportent ;
    2° D'assurer leur gestion et leur exploitation ;
    3° D'identifier les irrégularités d'accès ou d'utilisation de ces systèmes et des informations qu'ils comportent contraires aux dispositions législatives ou réglementaires en vigueur.


  • Peuvent être enregistrées les catégories d'informations et de données à caractère personnel suivantes :
    1° Données d'identification (notamment nom, prénom, numéro de matricule, numéros d'identification, grade, affectation), à l'exception de la photographie ;
    2° Données d'authentification (notamment identifiant de certificat électronique, jeton d'accès) ;
    3° Données permettant la traçabilité des accès (notamment adresse IP, adresse URL, date et heure de connexion au système d'information)  ;
    4° Données permettant la communication et les échanges (notamment objet des courriels, éléments de nommage de fichiers, volume des fichiers), à l'exception du contenu des courriels.


  • Les informations et les données à caractère personnel enregistrées sont conservées pour une durée maximale d'un an.
    Les données collectées au titre des finalités du 1° et du 2° de l'article 1er peuvent être conservées en archivage intermédiaire pour une durée ne pouvant excéder cinq ans à compter de leur enregistrement.
    En cas de procédure contentieuse, le délai mentionné au premier alinéa peut, le cas échéant, être prorogé jusqu'à l'intervention d'une décision juridictionnelle devenue définitive.


  • I. - Sont autorisés à accéder aux informations et données à caractère personnel mentionnées à l'article 2, à raison de leurs attributions et dans la limite du besoin d'en connaître, les agents, individuellement désignés et spécialement habilités par le responsable de traitement, chargés de :
    1° La sécurité et la défense des systèmes d'information et de communication du ministère de la défense, en qualité d'administrateur de sécurité ;
    2° La gestion et de l'exploitation de ces systèmes, en qualité d'administrateur système ;
    3° L'identification des irrégularités d'accès ou d'utilisation de ces systèmes et des informations qu'ils comportent, en qualité d'administrateur système.
    II. - Peuvent être destinataires des informations et données à caractère personnel, à raison de leurs attributions respectives et du besoin d'en connaître, les agents individuellement désignés et spécialement habilités par le responsable de traitement, chargés au titre de la finalité mentionnée au 1° de l'article 1er, des fonctions ou des missions :
    1° D'officier de sécurité des systèmes d'information ;
    2° De responsable de sécurité des systèmes d'information ;
    3° De lutte informatique défensive.
    III. - Peuvent être destinataires de tout ou partie des informations et données à caractère personnel, à raison de leurs attributions respectives et du besoin d'en connaître, les agents individuellement désignés et spécialement habilités par l'autorité dont ils relèvent :
    1° De l'état-major de la cyberdéfense et du groupement de la cyberdéfense des armées, dans le cadre de leurs missions de défense des systèmes d'information mentionnés au 8° de l'article R.* 3121-2 du code de la défense ;
    2° Des services spécialisés de renseignement du ministère de la défense, dans le cadre de leurs missions de défense et de promotion des intérêts fondamentaux de la Nation mentionnés à l'article L. 811-3 du code de la sécurité intérieure ;
    3° Des corps et services d'inspections, de contrôle ou d'audit du ministère de la défense, au titre de leur mission d'inspection, de contrôle ou d'audit des systèmes d'information et de communication du ministère de la défense.


  • Toute opération relative au traitement automatisé autorisé par le présent arrêté fait l'objet d'un enregistrement comprenant l'identification de l'utilisateur, la date, l'heure et la nature de l'opération. Ces informations sont conservées pendant une durée minimale d'un an, dans la limite de trois ans.


  • Les responsables de traitement informent les personnes concernées selon les modalités définies à l'article 116 de la loi du 6 janvier 1978 susvisée.
    Les droits d'opposition et d'effacement prévus aux articles 117 et 119 de la loi du 6 janvier 1978 susvisée ne s'appliquent pas au présent traitement.
    Les droits d'accès et de rectification s'exercent selon les modalités définies à l'article 119 de la loi du 6 janvier 1978 susvisée auprès de chaque responsable de traitement.


  • La mise en œuvre des traitements mentionnés à l'article 1er est précédée de l'envoi à la Commission nationale de l'informatique et des libertés d'un engagement de conformité au présent arrêté.
    Un dossier technique décrivant le dispositif mis en place est établi et conservé avec la déclaration d'engagement. Ces documents sont tenus à la disposition de la Commission nationale de l'informatique et des libertés.


  • L'arrêté du 26 juillet 2013 portant création, par le ministère de la défense, d'un traitement automatisé de données à caractère personnel relatif à la gestion des traces générées par l'utilisation des moyens informatiques est abrogé.


  • Le présent arrêté sera publié au Journal officiel de la République française.


Fait le 27 janvier 2023.


Pour le ministre et par délégation :
Le directeur général du numérique et des systèmes d'information et de communication,
V. Tejedor

Extrait du Journal officiel électronique authentifié PDF - 196,9 Ko
Retourner en haut de la page