Foire aux questions

Les références réglementaires sont les suivantes :

• article 117 de la loi du 3 juin 2016 modifié par l’article 18 de la loi du 20 juin 2018 et codifié à l’article L.4123-9-1 du code de la défense ;
• décret n°2018-932 du 29 octobre 2018 modifiant les dispositions du code de la défense relatives à la sécurité des traitements de données à caractère personnel comportant la mention de la qualité de militaire ;

En application des textes de référence par les responsables de traitement de fichiers « dont la finalité nécessite, outre les données personnelles d’identification, la collecte d’au moins une donnée révélant, à sa seule lecture, la qualité de militaire », les entreprises doivent désormais informer sans délai la DRSD :

• de la détention d’un tel fichier ;
• de l’identité du responsable du traitement de données ;
• de l’identité des personnes accédant auxdites données ;
• des caractéristiques et finalités du traitement.

La DRSD est désignée dans les dispositions réglementaires pour mettre en œuvre ce dispositif.

Il s’agit de deux dispositifs différents dans leur finalité et dans leur mise en œuvre.

Non, seules les données concernant les militaires sont concernées.

Le but de ce dispositif est la sécurité des militaires et de leur famille. Il vise à s’assurer que les personnes accédant à des données personnelles les concernant ne présentent pas de risque pour leur sécurité.

Le dispositif s’applique à tous les opérateurs privés mettant en œuvre des traitements de données mentionnant la qualité de militaire. Les associations à but non lucratif, les traitements mis en œuvre pour le compte de l’Etat, des collectivités territoriales ou de leurs groupements ne sont pas concernés. Les sociétés étrangères disposant de traitements de données sur le territoire national sont soumises au droit français et doivent donc appliquer ce dispositif.

La déclaration est obligatoire dans tous les cas où l’entité mettant en œuvre un tel traitement de données estime que la mention de la qualité de militaire est strictement nécessaire au traitement de données détenu et doit être corrélée à des données personnelles de l’intéressé (exemple : Grade + nom). En effet, le principe est que les opérateurs détenant des données à caractère personnel de militaire doivent : - Supprimer les données personnelles quand elles ne sont pas indispensables ; - Modifier leurs traitements pour remplacer la mention de la qualité de militaire par une autre mention neutre (ex : agent public). Néanmoins si cette substitution est impossible et que la qualité de militaire doive apparaître obligatoirement, alors l’opérateur est soumis au dispositif présent.

Ce dispositif est entré en vigueur le 1er avril 2019.

Il s'agit de toute donnée permettant d'identifier directement ou indirectement une personne militaire. Fait partie de ces données la qualité de militaire, qui permet de relier l'identité de la personne à sa qualité de militaire. Cette donnée révélant la qualité de militaire peut être explicite (un grade, la mention "militaire", la mention "ministère des armées", etc.) ou implicite (par exemple une abréviation ou un code interne compris par l'entreprise). Dans tous les cas, l'entreprise doit supprimer la donnée révélant la qualité de militaire ou se soumettre au dispositif. La qualité de militaire donc est un sous-ensemble des données à caractère personnel de militaire au sens large.

Constitue un traitement de données toute opération portant sur des données personnelles, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

Constitue un tel fichier tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.

Selon l’actuel article 3 de la loi informatique et libertés du 6 janvier 1978, le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, la société ou l’organisme qui détermine ses finalités et ses moyens. En d’autres termes, qui décide de sa création. En pratique, comme l’énonce la CNIL, il s’agit généralement de la personne morale (entreprise, collectivité, etc.) incarnée par son représentant légal (président, directeur, responsable, etc.). Néanmoins, au titre du présent dispositif, il est nécessaire que le responsable de traitement de données (RTD) soit une personne physique désignée par l’entreprise ayant accès aux données à caractère personnel de militaire. Il est conseillé de désigner ce responsable au sein d’une fonction technique (administration de systèmes, réseaux, etc.).

Il convient de le signaler à la DRSD par le portail Internet (mention "Je transmets un changement" ).

Seules les identités de nouvelles personnes de l’entreprise accédant à de données à caractère personnel de militaires doivent être signalées. Tout changement de comportement d’une personne susceptible de constituer une menace pour la vie d’autrui ou son intégrité physique doit être signalé à l’autorité de police territorialement compétente.

Le RTD doit informer sans délai la DRSD de l’existence d’un traitement de données comportant la qualité de militaire. Précisément, le RTD doit communiquer à la DRSD les renseignements qui lui sont demandés par le biais du formulaire téléchargeable (mention « je déclare un traitement de données ». Ceux-ci portent notamment sur les caractéristiques de la société ainsi que l’identité du RTD. A l’issue de cette première phase, le RTD est informé des éléments qu’il doit fournir à la DRSD concernant plus particulièrement le nombre et l’identité des personnes accédant aux données.

L’opérateur qui souhaite continuer à traiter des données à caractère personnel de militaire doit en informer la DRSD. La loi ne prévoit pas que la DRSD autorise ou refuse ce traitement. En revanche, l’opérateur doit communiquer à la DRSD l’identité des personnes ayant accès aux données à caractère personnel de militaire et celles-ci pourront faire l’objet d’une enquête administrative.

Concernant les déclarations de l’identité des personnes ayant accès aux données à caractère personnel de militaire, la DRSD ne notifiera à l’opérateur que les avis « avec objection » concernant l’accès de ces personnes aux données à caractère personnel de militaire. En l’absence de réponse de la DRSD après un délai de 3 mois, l’avis est réputé favorable.

La déclaration de l’opérateur à la DRSD concernant l’existence d’un fichier comprenant des données à caractère personnel de militaire ainsi que l’identité des personnes ayant accès à ces données ne vaut que pour lui-même. Si l’opérateur procède à une sous-traitance, le sous-traitant doit procéder également à une déclaration.

L’opérateur qui traitait des données à caractère personnel de militaire avant l’entrée en vigueur du dispositif doit, pour s’y conformer, tout mettre en œuvre pour substituer à la mention de la qualité de militaire une autre mention comme celle d’agent public. C’est seulement en cas d‘impossibilité manifeste d’opérer cette substitution que l’opérateur est autorisé à conserver les données à caractère personnel de militaires dans son traitement. Il est alors assujetti aux dispositions législatives et réglementaires définies dans la question n°1.

Après la communication par l’entreprise des données concernant les personnes accédant aux traitements de données à caractère personnel de militaire, l’absence de réponse de la DRSD dans un délai de 3 mois vaudra effectivement accord pour l’accès de ces personnes aux données à caractère personnel de militaire. Il est donc inutile de recontacter la DRSD pour obtenir une réponse « sans objection ». En cas d’objection, la DRSD contactera l’entreprise.

Le présent dispositif ne prévoit pas de durée maximale de conservation des données à caractère personnel de militaire dans votre entreprise ou votre association (à but lucratif). Ces données peuvent être conservées autant que de besoin dans le respect de l’obligation prévue au 1er alinéa de l’article L.4123-9-1 du CDD (principe de substitution des données à caractère personnel de militaire par une mention neutre sauf si les données à caractère personnel de militaire sont strictement nécessaire au traitement de données mis en œuvre par l’opérateur).

C’est une violation de sécurité entraînant l’accès à ces données par des personnes non autorisées.

Le responsable de traitement doit informer sans délai la DRSD. Les conséquences de la divulgation seront ensuite gérées par le ministère des Armées.

Une enquête administrative est une procédure visant à s’assurer que le degré de confiance qui est accordé à une personne est compatible avec l’emploi ou la fonction (en l’espèce le fait d’accéder aux données de militaires) qu’elle doit exercer.

L’entreprise doit informer les personnes ayant accès aux données à caractère personnel de militaires qu’elles sont susceptibles de faire l’objet d’une enquête administrative aux fins de déterminer si elles constituent une menace pour la sécurité des militaires concernés.

En cas d’avis avec objection, le RTD est tenu de prendre sans délai toute mesure afin que la personne n’ait plus accès aux données à caractère personnel de militaire. Néanmoins, il n’est pas tenu de la licencier. Il est tenu également tenu d’informer la DRSD des suites qu’il donne à un avis « avec objection ».

Oui, la personne doit être informée de l’avis avec objection. En revanche la DRSD n’est pas tenue de motiver cet avis. Les enquêtes réalisées par la DRSD sont en effet classifiées et reposent sur des éléments couverts par le secret de la défense nationale, aussi elles n’ont pas à être motivées en application du 7° du L.211-2 du code des relations entre le public et l’administration.

Les enquêtes réalisées par la DRSD sont classifiées et reposent sur des éléments couverts par le secret de la défense nationale, aussi elles n’ont pas à être motivées en application du 7° du L.211-2 du code des relations entre le public et l’administration.

• Si l’entité ne déclare pas son traitement, les sanctions sont d’un an de prison et de 100 000€ d’amende.
• Si l’entité permet l’accès aux données personnelles de militaires aux personnes ayant fait l’objet d’un avis avec objection, les sanctions sont de trois ans de prison et de 300 000€ d’amende.
• Si l’entité ne notifie pas à la DRSD une divulgation de données personnelles de militaires ou un accès non autorisé à ces données, les sanctions sont de trois ans de prison et de 300 000€ d’amende.