Arrêté du 13 octobre 2022 autorisant la mise en œuvre d’un traitement automatisé de données à caractère personnel relatif à la gestion des enquêtes administratives de sécurité dénommé « SOPHIA »

Arrêté du 13 octobre 2022 autorisant la mise en œuvre d’un traitement automatisé de données à caractère personnel relatif à la gestion des enquêtes administratives de sécurité dénommé « SOPHIA »

Le ministre des armées,
Vu le code de la défense, notamment ses articles L. 4121-5, L. 4123-9-1, R. 4123-47 et D. 3126-6 ;
Vu le code pénal, notamment son article R. 413-5-1 ;
Vu le code de la sécurité intérieure, notamment ses articles L. 114-1 et R. 114-1 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 31 ;
Vu le décret n° 2022-368 du 15 mars 2022 autorisant la mise en œuvre d’un traitement automatisé de données à caractère personnel dénommé « Base interministérielle PPST » ;
Vu l’arrêté du 21 mars 2012 modifié portant délégation des pouvoirs du ministre de la défense en matière de décisions d’habilitation à connaître des informations et supports couverts par le secret de la défense nationale ;
Vu l’arrêté du 9 août 2021 portant approbation de l’instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale ;
Vu la délibération de la Commission nationale de l’informatique et des libertés en date du 21 juillet 2022,
Arrête :

  • Article 1

    Dans le cadre des missions définies à l’article D. 3126-6 du code de la défense, le directeur du renseignement et de la sécurité de la défense est autorisé à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé « SOPHIA », dont les finalités sont :
    1° La gestion des enquêtes administratives préalables à l’habilitation des personnes physiques ou morales ayant accès à des informations ou supports protégés au titre du secret de la défense nationale, au recrutement, à la nomination et à l’affectation sur des emplois publics relevant du domaine de la défense, ainsi qu’à l’accès à des lieux protégés en raison de l’activité qui s’y exerce ;
    2° La gestion des demandes de permission des militaires à l’étranger dans le cadre de la protection du personnel de la défense ;
    3° La gestion des enquêtes administratives sur les personnes accédant à des traitements de données comportant la mention de la qualité de militaire.

  • Article 2

    Les catégories de données à caractère personnel et d’informations pouvant être enregistrées dans le traitement sont précisées en annexe.

  • Article 3

    Les données à caractère personnel et les informations enregistrées dans le traitement sont conservées :
    1° Pour les finalités mentionnées au 1° de l’article 1er :

    a) Jusqu’à l’enregistrement dans le traitement de la décision prise à l’issue de l’enquête, à l’exception des données suivantes qui sont conservées jusqu’au terme d’un délai d’un an suivant la fin de validité de la décision :
    – données relatives à l’identification des personnes (nom, prénom, sexe, date et lieu de naissance, nationalité et photographie) ;
    – données relatives à l’emploi actuellement occupé par le candidat ;
    – informations liées à la demande et à l’avis de sécurité (uniquement le nom de l’organisme demandeur et les date et sens de la décision rendue) ;

    b) A défaut de décision notifiée à l’issue de l’enquête, les données et informations sont conservées jusqu’à la fin de validité de l’avis de sécurité ;
    c) En cas d’interruption de l’enquête administrative, les données sont conservées pour une durée d’un an à compter de l’interruption ;
    d) En cas de décision de refus, les données sont conservées pour une durée d’un an à compter de l’enregistrement de cette décision ;

    2° Pour la finalité mentionnée au 2° de l’article 1er, jusqu’au terme d’un délai d’un an suivant la date de fin du voyage ;
    3° Pour la finalité mentionnée au 3° de l’article 1er, jusqu’au terme d’un délai d’un an suivant l’enregistrement dans le traitement de l’avis de sécurité, ou à défaut d’enquête administrative, jusqu’au terme d’un délai d’un an suivant la réception de ces données ou de ces informations.

  • Article 4

    I. – Sont autorisés à accéder à tout ou partie des données à caractère personnel et informations mentionnées à l’article 2, à raison de leurs attributions et dans la limite du besoin d’en connaître :
    1° Les agents de la direction du renseignement et de la sécurité de la défense individuellement désignés et spécialement habilités par le directeur du renseignement et de la sécurité de la défense ;
    2° Les officiers de sécurité placés auprès des états-majors, direction et services dûment habilités chargés de la gestion des demandes d’habilitation ;
    3° Les agents dûment habilités du secrétariat général de la défense et de la sécurité nationale, dans le cadre de l’habilitation au niveau Très Secret.
    II. – Sont destinataires de tout ou partie des données mentionnées à l’article 2, à raison de leurs attributions respectives et dans la limite du besoin d’en connaître :
    1° Les autorités faisant l’objet d’une délégation de pouvoir par le ministre de la défense en matière de décisions d’habilitation à connaître des informations et supports couverts par le secret de la défense nationale ;
    2° Les agents dûment habilités du secrétariat général de la défense et de la sécurité nationale, au titre des finalités du décret du 15 mars 2022 susvisé ;
    3° Les agents du service à compétence nationale dénommé « Commandement spécialisé pour la sécurité nucléaire », individuellement désignés et spécialement habilités par le directeur général de la gendarmerie nationale ou par le directeur du commandement spécialisé pour la sécurité nucléaire, dans le cadre des habilitations au secret de la défense nationale délivrées au titre de la protection des installations nucléaires qui intéressent la dissuasion ne relevant pas du ministère de la défense.

  • Article 5

    Dans le cadre de la finalité définie à l’article 1er du décret du 15 mars 2022 susvisé, dans la limite des informations nécessaires et pour les seules données à caractère personnel et informations relatives aux demandes d’accès en zone à régime restrictif, le présent traitement peut faire l’objet d’une mise en relation avec la « Base interministérielle PPST ».

  • Article 6

    Toute opération relative au traitement automatisé par le présent arrêté fait l’objet d’un enregistrement comprenant l’identification de l’utilisateur, la date, l’heure et la nature de l’opération. Ces informations sont conservées pendant une durée minimale d’un an dans la limite de cinq ans.

  • Article 7

    Le droit d’information prévu à l’article 116 de la loi du 6 janvier 1978 susvisée s’applique pour les personnes faisant l’objet de procédures mentionnées à l’article 1er. Conformément au III du même article, il ne s’applique pas pour les personnes ne faisant pas directement l’objet de ces procédures, mais dont la collecte des données est nécessaire à leur traitement.

  • Article 9

    Les droits d’accès, de rectification et d’effacement prévus à l’article 119 de la loi du 6 janvier 1978 susvisée s’exercent auprès de la direction du renseignement et de la sécurité de la défense, case 44, 60, boulevard du Général-Martial-Valin, 75509 Paris Cedex, et par courriel à l’adresse suivante : drsd-baj.contact.fct@intradef.gouv.fr.

  • Article 10

    L’arrêté du 30 avril 2014 portant création par la direction de la protection et de la sécurité de la défense d’un traitement automatisé de données à caractère personnel relatif à la gestion des procédures de sécurité du personnel du ministère de la défense et des industries est abrogé.

  • Article 11

    Le directeur du renseignement et de la sécurité de la défense est chargé de l’exécution du présent arrêté, qui sera publié au Journal officiel de la République française.

    • ANNEXE
      LISTE DES DONNÉES À CARACTÈRE PERSONNEL ET DES INFORMATIONS ENREGISTRÉES DANS LE TRAITEMENT « SOPHIA »

      I. – Gestion des enquêtes administratives mentionnées au 1° de l’article 1er
      1. Enquêtes administratives relatives à l’habilitation

      A. – Données d’identification des personnes
      1° Nom, prénoms, surnom ou alias éventuels ;
      2° Sexe ;
      3° Date et lieu de naissance ;
      4° Photographie ;
      5° Nationalité, année d’arrivée sur le territoire français et, le cas échéant, date d’acquisition de la nationalité française ;
      6° Documents d’identité ou autres documents administratifs (type, numéro, date et lieu de délivrance, autorité de délivrance) ;
      7° Adresses physiques (actuelle, précédente, résidence secondaire le cas échéant) ;
      8° Coordonnées téléphoniques ;
      9° Données d’identification numérique à l’exclusion du mot de passe.
      B. – Données relatives à la vie personnelle
      1° Données relatives au candidat :
      a) Situation familiale ;
      b) Niveau d’études et culture générale ;
      c) Voyages et séjours à l’étranger durant les cinq dernières années ;
      d) Relations suivies à titre professionnel ou privé avec des ressortissants étrangers ou des Français résidant à l’étranger ;
      2° Données relatives au conjoint, aux enfants du candidat et du conjoint :
      a) Données d’identification : identité, nationalité, le cas échéant année d’arrivée sur le territoire français et date d’acquisition de la nationalité française, adresses physiques, date de décès ainsi que, pour le conjoint, coordonnées téléphoniques et adresse électronique ;
      b) Données relatives à la vie personnelle (uniquement pour le conjoint et les enfants majeurs) : niveau d’études et de culture générale ainsi que les voyages et séjours à l’étranger durant les cinq dernières années ;
      c) Données relatives à la vie professionnelle : noms, adresses des employeurs, fonctions exercées, statut, grade et date de prise de fonction ;
      3° Données relatives au père, à la mère et à l’environnement proche du candidat et de son conjoint (fratrie du candidat et de son conjoint, le cas échéant nouveau conjoint du père ou de la mère du candidat ou de son conjoint, le cas échéant père ou mère d’un enfant, du candidat ou de son conjoint, issu d’une autre union et personne vivant sous le même toit que le candidat ou personnes y intervenant régulièrement) :
      a) Données d’identification : identité, nationalité, le cas échéant année d’arrivée sur le territoire français et date d’acquisition de la nationalité française, date de décès, adresse et nature du lien ;
      b) Données professionnelles le cas échéant : noms, adresses des employeurs, fonctions exercées.
      C. – Données relatives à la vie professionnelle
      1° Situation professionnelle actuelle (statut, fonction, grade, armée ou arme d’appartenance, ministère d’origine, ministère d’emploi, organisme d’emploi, adresse professionnelle, coordonnées professionnelles) ;
      2° Emplois occupés durant les cinq dernières années ;
      3° Habilitations déjà détenues.
      D. – Informations relatives à la demande et à l’avis de sécurité
      1° Date, motif de la demande et numéro de dossier ;
      2° Qualité et coordonnées de la personne à l’origine de la demande ;
      3° Emploi, mission ou fonction au titre desquels l’avis est demandé ;
      4° Niveau d’habilitation demandé ;
      5° Date et sens de l’avis ;
      6° Date de transmission de l’avis ;
      7° Date et sens de la décision de l’autorité ayant sollicité la réalisation de l’enquête.

      2. Enquêtes administratives préalables au recrutement, à la nomination et à l’affectation

      A. – Données d’identification des personnes
      1° Nom, prénoms ;
      2° Sexe ;
      3° Date et lieu de naissance ;
      4° Nationalité ;
      5° Année d’arrivée en France et année d’acquisition de la nationalité française ;
      6° Numéro d’identifiant défense ;
      7° Adresses physiques (actuelle et précédente) ;
      8° Coordonnées téléphoniques ;
      9° Données d’identification numérique à l’exclusion du mot de passe.
      B. – Données relatives à la vie personnelle
      Conjoint et parents du candidat : nom, prénoms, date et lieu de naissance, nationalité, adresse physique et profession.
      C. – Informations liées à la demande et à l’avis de sécurité
      1° Date, motif de la demande et numéro de dossier ;
      2° Qualité, nom et prénom, et coordonnées de la personne à l’origine de la demande ;
      3° Date et sens de l’avis ;
      4° Date de transmission de l’avis ;
      5° Date et sens de la décision de l’autorité ayant sollicité la réalisation de l’enquête.

      3. Gestion des enquêtes administratives préalables à l’accès à des lieux protégés en raison de l’activité qui s’y exerce

      A. – Données relatives à l’identification des personnes
      1° Nom, prénoms ;
      2° Sexe ;
      3° Date et lieu de naissance ;
      4° Nationalité ;
      5° Pour les demandeurs exerçant leur activité au sein d’une zone à régime restrictif : adresse physique (actuelle et précédente), coordonnées téléphoniques et données d’identification numérique à l’exclusion du mot de passe.
      B. – Données relatives à la vie professionnelle
      1° Situation professionnelle actuelle (statut, grade, qualité, employeur, fonction, profession et type d’activité) ;
      2° Pour les demandeurs exerçant leur activité au sein d’une zone à régime restrictif :
      a) Statut au sein de la zone, type d’accès ;
      b) Date de début et de fin de la mission ;
      c) Informations relatives au poste : intitulé du poste, domaine scientifique principal, discipline scientifique principale, résumé de la mission et de l’activité ;
      d) Origine et montant du financement de la mission ;
      e) Précédente autorisation d’accès à une zone à régime restrictif (référence de l’autorisation, habilitation, niveau et autorité d’habilitation).
      C. – Informations liées à la demande et à l’avis de sécurité
      1° Date, motif de la demande et numéro de dossier ;
      2° Qualité, nom et coordonnées de la personne à l’origine de la demande ;
      3° Date et sens de l’avis ;
      4° Date de transmission de l’avis ;
      5° Date et sens de la décision de l’autorité ayant sollicité la réalisation de l’enquête ;
      6° Pour les demandeurs exerçant leur activité au sein d’une zone à régime restrictif : code et nom de l’établissement hébergeur, ministère de rattachement, adresse de la zone à régime restrictif, nom et fonction du responsable de la zone à régime restrictif, coordonnées téléphoniques et adresse électronique, avis motivé du responsable de la zone à régime restrictif, avis du chef d’établissement ou délégué à la sécurité, avis du ministère de tutelle.

      II. – Concernant la gestion des demandes de permission des militaires à l’étranger dans le cadre de la protection du personnel de la défense prévue au 2° de l’article 1er

      1° Nom et prénoms ;
      2° Sexe ;
      3° Date et lieu de naissance ;
      4° Nationalité ;
      5° Situation professionnelle actuelle (armée ou service d’appartenance, grade) ;
      6° Destination, date et motif du voyage ;
      7° Qualité et coordonnées professionnelles de la personne à l’origine de la demande ;
      8° Date et sens de l’avis.

      III. – Concernant la gestion des procédures déclaratives préalables aux enquêtes administratives mentionnées à l’article R. 4123-47 du code de la défense prévue au 3° de l’article 1er

      A. – Données relatives à l’identification des personnes
      1° Nom, prénoms ;
      2° Sexe ;
      3° Date et lieu de naissance ;
      4° Nationalité ;
      5° Adresses physiques (actuelle, et précédente) ;
      6° Coordonnées téléphoniques.
      B. – Données relatives à la vie professionnelle
      1° Qualité de l’intéressé : responsable ou accédant au traitement de données ;
      2° Nom, prénoms, coordonnées téléphoniques et adresse électronique du responsable du traitement de la donnée ;
      3° Fonction de l’intéressé ;
      4° Dénomination sociale de la société, adresse du siège social, activité de la société et numéro RCS/SIREN ;
      5° Nom, prénoms, sexe, date de naissance et fonction des personnes appartenant à la gouvernance de la société.
      C. – Informations liées à la demande et à l’avis de sécurité
      1° Date et numéro de la demande ;
      2° Qualité et coordonnées de la personne à l’origine de la demande ;
      3° Date et sens de l’avis ;
      4° Date de transmission de l’avis ;
      5° Date et sens de la décision de l’autorité ayant sollicité la réalisation de l’enquête.

Fait le 13 octobre 2022.

Sébastien Lecornu

Source : JORF n°0245 du 21 octobre 2022
Texte n° 14

À lire également