Arrêté du 5 avril 2023 autorisant la mise en œuvre de traitements automatisés de données à caractère personnel relatifs aux systèmes de vidéosurveillance et de contrôle d’accès aux locaux et emprises relevant du ministère de la défense

Arrêté du 5 avril 2023 autorisant la mise en œuvre de traitements automatisés de données à caractère personnel relatifs aux systèmes de vidéosurveillance et de contrôle d’accès aux locaux et emprises relevant du ministère de la défense

Le ministre des armées,
Vu le code de la défense, notamment ses articles L. 1332-1 et suivants et R. 2361-1 à R. 2363-7 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 31 ;
Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu l’avis du comité technique ministériel en date du 25 mai 2021 ;
Vu la délibération n° 2023-011 du 9 février 2023 de la Commission nationale de l’informatique et des libertés,
Arrête :

  • Article 1

    Peuvent être mis en œuvre au sein du ministère de la défense des traitements automatisés de données à caractère personnel ayant pour seules finalités d’assurer la sécurité des emprises et des locaux ainsi que la protection des intérêts de la défense nationale.

  • Article 2

    Les données à caractère personnel et informations enregistrées dans les traitements sont les suivantes :
    I. – Pour les systèmes de contrôle d’accès aux emprises et locaux mentionnés à l’article 1er :
    1° En ce qui concerne les agents du ministère de la défense, les visiteurs et les prestataires extérieurs intervenant dans le cadre de missions de longue durée :
    a) Les données relatives à l’identité : nom, prénoms, sexe, date et lieu de naissance, nationalité, photographie d’identité ;
    b) Les données relatives à la situation professionnelle : grade, fonction, unité, service ou entreprise ;
    c) Les données relatives au badge d’accès : type de mention (« permanent agent », « permanent extérieur », « intervenant temporaire », « visiteur »), numéro, dates d’établissement et de validité, code d’utilisateur, zones de circulation autorisées, points d’entrée et de sortie autorisés, plages horaires autorisées ;
    d) Les données relatives aux déplacements au sein des emprises et locaux (identification de la carte d’accès, des points de contrôle, date, heure et sens de passage, consignes particulières relatives aux déplacements) ;
    e) Les données relatives au véhicule : marque et type du véhicule privé ou d’entreprise utilisé, numéro minéralogique, numéro de l’autorisation d’entrée ou de stationnement du véhicule, date d’établissement de l’autorisation, date de validité, emplacement de stationnement autorisé ;
    f) Les données relatives aux incidents, liés notamment au non-respect d’une interdiction d’accès ou à une tentative d’intrusion ;
    g) Le nom de l’agent chargé de la délivrance des droits d’accès ;
    2° En ce qui concerne uniquement les agents du ministère de la défense :
    a) Les numéros d’identification ;
    b) Le numéro de téléphone professionnel ;
    3° En ce qui concerne uniquement les visiteurs :
    a) Les données d’identification de la personne : type et numéro de pièce d’identité, date et autorité de délivrance de la pièce d’identité, date de validité de la pièce d’identité ;
    b) Les données relatives à la visite : motif de la visite, date de début et de fin, nom de la personne visitée, service ou affectation de la personne visitée.
    II. – Pour les systèmes de vidéosurveillance et d’interphonie :
    Les captures d’images et enregistrements sonores, date et heure, identifiant du capteur et le cas échéant, géolocalisation du capteur.
    III. – Pour les systèmes de visualisation des plaques d’immatriculation des véhicules :
    1° La photographie du numéro d’immatriculation du véhicule et son taux de lisibilité ;
    2° Le numéro d’immatriculation du véhicule ;
    3° La photographie du véhicule et de ses éventuels occupants ;
    4° La date et l’heure de chaque photographie ;
    5° Pour chaque photographie, l’identifiant et les coordonnées de géolocalisation du dispositif de contrôle automatisé.
    Les traitements mentionnés à l’article 1er peuvent prendre la forme de dispositifs fixes ou mobiles. Ils ne comportent pas de dispositif de reconnaissance faciale et, à l’exception des systèmes d’interphonie, ne peuvent recourir à des dispositifs d’enregistrement sonore qu’en dehors des horaires auxquels les emprises ou locaux sont accessibles conformément aux règlements applicables à ces lieux.
    Les bureaux ou postes de travail, les lieux d’intimité et de convivialité, ceux destinés aux activités syndicales ainsi que leurs accès directs, les espaces cultuels et les lieux dans lesquels se tiennent des échanges couverts par le secret professionnel et le secret de la défense nationale ne peuvent être filmés.

  • Article 3

    Les données à caractère personnel et informations ainsi enregistrées sont conservées :
    1° Pour le contrôle d’accès mentionné au I de l’article 2, ainsi que pour les systèmes de visualisation des plaques d’immatriculation des véhicules mentionnés au III de l’article 2, pendant une durée ne pouvant excéder un an à compter de la date de péremption de l’autorisation d’accès ;
    2° Pour la vidéosurveillance et l’interphonie mentionnées au II de l’article 2, pendant une durée ne pouvant excéder un mois.
    Toutefois, les images enregistrées au titre du contrôle de l’accès des personnes aux emprises ou aux locaux ainsi que dans le cadre de tentatives d’intrusion peuvent être conservées en archivage intermédiaire pour une durée ne pouvant excéder un an. Elles sont accessibles aux seuls agents dûment habilités.

  • Article 4

    I. – Ont accès aux données à caractère personnel et informations mentionnées à l’article 2, à des fins de consultation et de modification et dans la stricte limite de leurs attributions respectives et du besoin d’en connaître :
    1° La personne chargée de la mise en œuvre du traitement spécialement désigné et individuellement habilitées par le responsable de traitement ;
    2° Les agents chargés de la sécurité et de la protection du lieu concerné, spécialement désignés et individuellement habilités par le responsable de traitement.
    Seuls des agents mentionnés au 2°, spécialement désignés et individuellement habilités par la personne chargée de la mise en œuvre du traitement peuvent, a posteriori, extraire des images, enregistrements sonores ou autres informations enregistrées par les systèmes de contrôle d’accès, de vidéosurveillance, d’interphonie et de visualisation des plaques d’immatriculation.
    II. – Peuvent être destinataires de tout ou partie des données à caractère personnel et informations enregistrées dans les traitements, dans la stricte limite de leurs attributions respectives et du besoin d’en connaître :
    1° Les autorités hiérarchiques, au seul titre de l’engagement d’une enquête fondée sur l’une des finalités mentionnées à l’article 1er ;
    2° Les agents des corps et services d’inspections et de contrôle, dans le cadre d’une enquête fondée sur l’une des finalités mentionnées à l’article 1er.

  • Article 5

    Toute opération relative aux traitements automatisés autorisés par le présent arrêté fait l’objet d’un enregistrement comprenant l’identification de l’utilisateur, la date, l’heure et la nature de l’opération. Ces informations sont conservées pendant une durée ne pouvant excéder un an, avant archivage intermédiaire pour une durée ne pouvant excéder trois ans.

  • Article 6

    La responsable de traitement ou son représentant procède à l’information des personnes concernées par voie d’affichage à l’entrée des emprises et des locaux relevant du ministère de la défense, selon les modalités définies à l’article 116 de loi du 6 janvier 1978 susvisée.
    Les droits d’accès, de rectification et d’effacement prévus à l’article 119 de la loi du 6 janvier 1978 susvisée s’exercent auprès du responsable de traitement.
    Le droit d’opposition prévu à l’article 117 de la loi du 6 janvier 1978 susvisée ne s’applique pas aux traitements autorisés par le présent arrêté.

  • Article 7

    La mise en oeuvre des traitements mentionnés à l’article 1er est précédée de l’envoi à la Commission nationale de l’informatique et des libertés d’un engagement de conformité au présent arrêté.
    Un dossier technique décrivant le dispositif mis en place est établi et conservé avec la déclaration d’engagement. Ces documents sont tenus à la disposition de la Commission nationale de l’informatique et des libertés.
    Ces traitements sont mis en œuvre après avis des instances compétentes en matière de santé, de sécurité et de conditions de travail.

  • Article 8

    Les arrêtés suivants sont abrogés :
    1° Arrêté du 7 juillet 1990 portant création au Centre d’études et de recherche de médecine aérospatiale d’un traitement automatisé d’informations nominatives dont l’objet est la gestion des contrôles d’accès des visiteurs extérieurs ;
    2° Arrêté du 11 février 1991 portant création au centre de traitement de l’information médicale des armées d’un traitement automatisé d’informations nominatives dont la finalité est la gestion des contrôles d’accès ;
    3° Arrêté du 23 avril 1991 relatif au traitement automatisé d’informations nominatives concernant la gestion des accès dans l’îlot Saint-Germain-Saint-Dominique ;
    4° Arrêté du 23 août 1993 portant création d’un modèle type de traitement automatisé d’informations nominatives ayant pour objet le contrôle et la gestion des accès des établissements militaires ;
    5° Arrêté du 18 janvier 2001 relatif à la mise en œuvre d’un traitement automatisé d’informations nominatives de contrôle et de gestion des accès dans l’ensemble des formations de la marine nationale ;
    6° Arrêté du 29 juillet 2005 relatif à la mise en œuvre d’un traitement automatisé de données à caractère personnel de contrôle et de gestion des accès au cabinet du ministre ;
    7° Arrêté du 17 mars 2008 portant création d’un traitement automatisé de données à caractère personnel relatif à la gestion des accès au polygone de tir de l’établissement technique de Bourges ;
    8° Arrêté du 5 décembre 2008 portant installation d’un système de vidéosurveillance avec stockage numérique ;
    9° Arrêté du 7 juillet 2009 portant création d’un système de vidéosurveillance avec stockage numérique ;
    10° Arrêté du 22 juin 2009 portant création d’un traitement automatisé de données à caractère personnel relatif à la vidéoprotection sur la base d’essais d’Istres du centre d’essais en vol de la direction générale de l’armement ;
    11° Arrêté du 5 juin 2009 portant installation d’un système de vidéosurveillance sur le site du bassin d’essais des carènes ;
    12° Arrêté du 5 juin 2009 portant création d’un traitement automatisé de données à caractère personnel relatif à la vidéoprotection sur le site de Biscarosse du centre d’essais de lancement de missiles de la direction générale de l’armement ;
    13° Arrêté du 5 octobre 2009 portant création d’un traitement automatisé de données à caractère personnel relatif à la vidéoprotection sur l’établissement technique de Bourges.

  • Article 9

    Le présent arrêté est publié au Journal officiel de la République française.

Fait le 5 avril 2023.

Sébastien Lecornu

Source : JORF n°0095 du 22 avril 2023
Texte n° 15

À lire également

Avis de parution


Le nouveau guide des droits et démarches des militaires
Adefdromil
300 pages
22 € + 4 € de port