Décret n° 2024-225 du 14 mars 2024 autorisant la mise en œuvre de traitements automatisés de données à caractère personnel en vue d’un contrôle d’accès biométrique aux locaux et emprises relevant du ministère de la défense
Publics concernés : personnels militaires et civils des services du ministère des armées accédant à des zones protégées ou des zones de défense hautement sensibles hors visiteurs.
Objet : mise en œuvre d’un contrôle d’accès biométrique à des zones protégées ou des zones de défense hautement sensibles.
Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication.
Notice : le décret a pour objet de permettre la mise en œuvre de traitements automatisés permettant le contrôle des accès par authentification biométrique du personnel autorisé à accéder à des zones protégées ou des zones de défense hautement sensibles sur des emprises du ministère des armées. Il liste les données à caractère personnel et les informations enregistrées à cet effet, et précise leur durée de conservation ainsi que les personnes autorisées à les consulter. Il prévoit, par ailleurs, les modalités d’information des personnels et rappelle les droits d’accès, de rectification et d’effacement dont ils bénéficient.
Références : le décret peut être consulté sur le site Légifrance ( https://www.legifrance.gouv.fr).
Le Premier ministre,
Sur le rapport du ministre des armées,
Vu le code de la défense, notamment ses articles L. 4123-12 et R. 2363-1 à R. 2363-7 ;
Vu le code pénal, notamment ses articles 413-7 et R. 413-1 à R. 413-5-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 6 et 31 ;
Vu l’avis du comité social d’administration ministériel en date du 5 octobre 2023 ;
Vu la délibération n° 2023-135 de la Commission nationale de l’informatique et des libertés en date du 14 décembre 2023 ;
Le Conseil d’Etat (section de l’administration) entendu,
Décrète :
-
Article 1
Peuvent être mis en œuvre au sein du ministère de la défense des traitements automatisés de données à caractère personnel comportant des données biométriques ayant pour seule finalité le contrôle d’accès à une zone protégée telle que définie aux articles R. 413-1 à R. 413-5 du code pénal ou à une zone de défense hautement sensible telle que définie aux articles L. 4123-12 et R. 2363-1 à R. 2363-7 du code de la défense. Ce contrôle est réalisé par l’authentification biométrique des personnes affectées à ces zones et autorisées à y pénétrer.
-
Article 2
Les données enregistrées concernent les personnes autorisées à pénétrer dans les zones mentionnées à l’article 1er et sont constituées par tout ou une partie des données suivantes :
1° Le numéro d’identification du badge ;
2° Le nom, le prénom, le statut, le grade et l’affectation de l’intéressé ;
3° Les dates et heures d’entrée et de sortie ;
4° Les zones d’accès autorisées ;
5° Le début et la fin de validité des accès ;
6° Le gabarit de l’empreinte digitale ;
7° Le gabarit du visage, tel qu’il ressort de la photographie.
Le gabarit est enregistré dans la base de données du serveur et les lecteurs biométriques afférents ou intégré dans le badge d’accès des personnes mentionnées au premier alinéa lorsque ce badge est biométrique. La correspondance entre ce gabarit et l’empreinte digitale ou la photographie est vérifiée lors du contrôle d’accès. -
Article 3
Les données à caractère personnel et les informations mentionnées à l’article 2 sont conservées jusqu’à la cessation temporaire ou définitive des fonctions qui justifient l’accès des personnes concernées aux zones mentionnées à l’article 1er, à l’exception des dates et heures d’entrée et de sortie mentionnées au 3° de l’article 2. Celles-ci sont effacées à l’expiration d’un délai d’un an à compter de leur enregistrement au moment du contrôle d’accès de la personne. Lorsque la personne cesse temporairement ou définitivement les fonctions qui justifient son accès aux zones mentionnées à l’article 1er, ces dernières données sont conservées avec l’identité de la personne associée pendant la période mentionnée à la phrase précédente.
-
Article 4
Ont accès aux données à caractère personnel mentionnées à l’article 2 les agents publics civils ou militaires chargés d’assurer la sécurité des zones mentionnées à l’article 1er pour les besoins exclusifs des missions de sécurité qui leur sont confiées.
-
Article 5
Toute opération relative au traitement automatisé autorisé par le présent décret fait l’objet d’un enregistrement comprenant l’identification de l’utilisateur, la date, l’heure et la nature de l’intervention dans ce traitement. Ces informations sont conservées pendant une durée minimale d’un an et dans la limite de trois ans.
-
Article 6
Le responsable de traitement ou son représentant procède à l’information des personnes concernées par envoi ou remise d’un document ou par tout autre moyen équivalent selon les modalités définies à l’article 116 de la loi du 6 janvier 1978 susvisée.
Les droits d’accès, de rectification et d’effacement prévus à l’article 119 de la même loi s’exercent auprès du responsable de traitement.
Le droit d’opposition prévu à l’article 117 de la même loi ne s’applique pas aux traitements autorisés par le présent décret. -
Article 7
Toute mise en œuvre d’un traitement mentionné à l’article 1er est précédée de l’envoi, par le responsable du traitement, à la Commission nationale de l’informatique et des libertés d’un engagement de conformité aux dispositions du présent décret.
Un dossier technique décrivant le dispositif mis en place est établi et conservé avec l’engagement de conformité mentionné au précédent alinéa. Ces documents sont tenus à la disposition de la Commission nationale de l’informatique et des libertés. -
Article 8
Sont abrogés :
1° Le décret n° 2017-1132 du 3 juillet 2017 autorisant la création d’un traitement automatisé de données à caractère personnel en vue d’un contrôle d’accès biométrique aux locaux d’un bâtiment de la direction générale de l’armement ;
2° Le décret n° 2018-504 du 21 juin 2018 autorisant la création d’un traitement automatisé de données à caractère personnel en vue d’un contrôle d’accès biométrique à une emprise de la marine nationale. -
Article 9
Le ministre des armées est chargé de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.
Fait le 14 mars 2024.
Gabriel Attal
Par le Premier ministre :
Le ministre des armées,
Sébastien Lecornu
Source : JORF n°0063 du 15 mars 2024
Texte n° 34