I. - Le responsable d'un traitement, automatisé ou non, ne peut traiter les données dans lesquelles figure la mention de la qualité de militaire des personnes concernées que si cette mention est strictement nécessaire à l'une des finalités du traitement.

A l'exclusion des traitements mis en œuvre pour le compte de l'Etat, des collectivités territoriales et de leurs groupements ainsi que des associations à but non lucratif, les responsables des traitements informent le ministre compétent de la mise en œuvre de traitements comportant, dans le respect de l'obligation prévue au premier alinéa du présent I, la mention de la qualité de militaire.

Les personnes accédant aux données à caractère personnel de militaires peuvent faire l'objet d'une enquête administrative aux seules fins d'identifier si elles constituent une menace pour la sécurité des militaires concernés. Le ministre compétent peut demander au responsable de traitement la communication de l'identité de ces personnes dans le seul but de procéder à cette enquête. Celle-ci peut comporter la consultation de traitements automatisés de données à caractère personnel relevant de l'article 31 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, selon les règles propres à chacun d'eux.

Dans l'hypothèse où le ministre compétent considère, sur le fondement de l'enquête administrative, que cette menace est caractérisée, il en informe sans délai le responsable du traitement qui est alors tenu de refuser à ces personnes l'accès aux données à caractère personnel de militaires y figurant.

II. - Sans préjudice du 1 de l'article 33 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, en cas de divulgation ou d'accès non autorisé à des données des traitements mentionnés au I du présent article, le responsable du traitement avertit sans délai le ministre compétent.

III. - Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, détermine les conditions d'application du présent article.

IV. - Est puni :

1° D'un an d'emprisonnement et de 100 000 € d'amende le manquement, y compris par négligence, à l'obligation prévue au deuxième alinéa du I du présent article ;

2° De trois ans d'emprisonnement et de 300 000 € d'amende le fait de permettre aux personnes mentionnées au dernier alinéa du I l'accès aux données comportant la mention de la qualité de militaire contenues dans un traitement mentionné au présent article ;

3° De trois ans d'emprisonnement et de 300 000 € d'amende le fait pour un responsable de traitement de ne pas procéder, y compris par négligence, à la notification mentionnée au II.

I. - Le responsable d'un traitement, automatisé ou non, ne peut traiter les données dans lesquelles figure la mention de la qualité de militaire des personnes concernées que si cette mention est strictement nécessaire à l'une des finalités du traitement.

A l'exclusion des traitements mis en œuvre pour le compte de l'Etat, des collectivités territoriales et de leurs groupements ainsi que des associations à but non lucratif, les responsables des traitements informent le ministre compétent de la mise en œuvre de traitements comportant, dans le respect de l'obligation prévue au premier alinéa du présent I, la mention de la qualité de militaire.

Les personnes accédant aux données à caractère personnel de militaires peuvent faire l'objet d'une enquête administrative aux seules fins d'identifier si elles constituent une menace pour la sécurité des militaires concernés. Le ministre compétent peut demander au responsable de traitement la communication de l'identité de ces personnes dans le seul but de procéder à cette enquête. Celle-ci peut comporter la consultation de traitements automatisés de données à caractère personnel relevant de l'article 26 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, selon les règles propres à chacun d'eux.

Dans l'hypothèse où le ministre compétent considère, sur le fondement de l'enquête administrative, que cette menace est caractérisée, il en informe sans délai le responsable du traitement qui est alors tenu de refuser à ces personnes l'accès aux données à caractère personnel de militaires y figurant.

II. - Sans préjudice du 1 de l'article 33 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, en cas de divulgation ou d'accès non autorisé à des données des traitements mentionnés au I du présent article, le responsable du traitement avertit sans délai le ministre compétent.

III. - Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, détermine les conditions d'application du présent article.

IV. - Est puni :

1° D'un an d'emprisonnement et de 100 000 € d'amende le manquement, y compris par négligence, à l'obligation prévue au deuxième alinéa du I du présent article ;

2° De trois ans d'emprisonnement et de 300 000 € d'amende le fait de permettre aux personnes mentionnées au dernier alinéa du I l'accès aux données comportant la mention de la qualité de militaire contenues dans un traitement mentionné au présent article ;

3° De trois ans d'emprisonnement et de 300 000 € d'amende le fait pour un responsable de traitement de ne pas procéder, y compris par négligence, à la notification mentionnée au II.

I. - Sont mis en œuvre après autorisation de la Commission nationale de l'informatique et des libertés et dans les conditions prévues à l'article 25 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, sauf lorsqu'ils le sont par une association à but non lucratif ou pour le compte de l'Etat, les traitements automatisés ou non dont la finalité est fondée sur la qualité de militaires des personnes qui y figurent.

L'autorisation ne peut être délivrée si le comportement ou les agissements de la personne responsable du traitement sont de nature à porter atteinte à la sécurité des personnes, à la sécurité publique ou à la sûreté de l'Etat.

A cet effet, la Commission nationale de l'informatique et des libertés peut préalablement à son autorisation recueillir l'avis du ministre compétent. Cet avis est rendu à la suite d'une enquête administrative qui peut donner lieu à la consultation, selon les règles propres à chacun d'eux, de certains traitements automatisés de données à caractère personnel relevant de l'article 26 de la loi n° 78-17 du 6 janvier 1978 précitée.

La Commission nationale de l'informatique et des libertés informe le ministre compétent des autorisations délivrées sur le fondement du premier alinéa du présent I.

Les traitements automatisés dont la finalité est fondée sur la qualité de militaires des personnes qui y figurent et qui sont mis en œuvre par une association à but non lucratif font l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés qui en informe le ministre compétent.

II. - La personne responsable des traitements mentionnés au I ne peut autoriser l'accès aux données contenues dans ces traitements qu'aux personnes pour lesquelles l'autorité administrative compétente, consultée aux mêmes fins que celles prévues au deuxième alinéa du même I, a donné un avis favorable.

III. - Les traitements mentionnés au I du présent article sont exclus du champ d'application de l'article 31 de la loi n° 78-17 du 6 janvier 1978 précitée.

IV. - Des arrêtés des ministres compétents, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au I pour préserver la sécurité des données.

Le contrôle du respect de ces prescriptions techniques est assuré par le ministre compétent, en complément de celui prévu par la loi n° 78-17 du 6 janvier 1978 précitée.

V. - En cas de divulgation ou d'accès non autorisé à des données des traitements mentionnés au I, le responsable du traitement avertit sans délai la Commission nationale de l'informatique et des libertés qui en informe le ministre compétent. Après accord du ministère compétent, le responsable du traitement avertit les personnes concernées.

VI. - Les obligations prévues au II du présent article et le contrôle prévu au second alinéa du IV ne sont pas applicables aux traitements mis en œuvre par les associations mentionnées au 3° du II de l'article 8 de la loi n° 78-17 du 6 janvier 1978 précitée.

VII. - Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, détermine les modalités d'application du présent article, notamment la désignation des ministres compétents, la liste des fichiers mentionnés au II pouvant faire l'objet d'une consultation et les garanties d'information ouvertes aux personnes concernées ainsi que les modalités et conditions du contrôle prévu au IV.