Est autorisée la création, au ministère de la culture et de la communication, d'un traitement automatisé de données à caractère personnel comportant des données biométriques, dénommé « contrôle d'accès biométrique aux salles informatiques ». La finalité de ce traitement automatisé est le contrôle des accès à des locaux informatiques du ministère de la culture et de la communication, sur le site du fort de Saint-Cyr, à Saint-Quentin-en-Yvelines.
Les données traitées sont relatives aux agents de la sous-direction des systèmes d'information du ministère de la culture et de la communication et aux prestataires de service dont la mission est d'une durée au moins égale à une semaine, dûment habilités par le sous-directeur des systèmes d'information ou le responsable du site.

Les données à caractère personnel et les informations enregistrées dans le traitement prévu à l'article 1er sont les suivantes :
1° Nom de famille, prénom(s) et, si l'intéressé le demande, le nom dont l'usage est autorisé par la loi ;
2° Date, heure et point d'entrée dans les salles concernées ;
3° Dates de début et de fin de l'habilitation ainsi que numéro d'identifiant associé à cette habilitation ;
4° Groupe d'affectation, définissant les lieux dont l'accès est autorisé ainsi que les plages horaires des accès autorisés.
Un composant électronique contenant le gabarit de l'empreinte digitale d'un doigt de chaque main ainsi que le numéro d'identifiant mentionné au 3° ci-dessus est associé à la carte d'accès remise aux agents habilités. La correspondance entre ce gabarit et l'empreinte du porteur de la carte est vérifiée lors du contrôle de l'accès aux locaux mentionnés à l'article 1er.

La durée de conservation des données et informations mentionnées au 2° de l'article 2 est de trois mois à compter de leur enregistrement.
Les données et informations mentionnées aux 1°, 3° et 4° de l'article 2 sont effacées trois mois après l'expiration de l'habilitation de l'agent.
La carte d'accès est restituée au terme de l'habilitation de l'agent en vue de sa destruction.

Pour les besoins exclusifs des missions de sécurité qui leur sont confiées, le responsable de la sécurité informatique et le responsable du site ont accès aux données et informations mentionnées à l'article 2. Le chef de la cellule d'exploitation a accès aux données et informations mentionnées aux 1°, 3° et 4° de l'article 2.

Les consultations du traitement automatisé font l'objet d'un enregistrement comprenant l'identifiant du consultant, la date, l'heure et l'objet de la consultation. Ces informations sont conservées pendant un délai de trois mois.

Les droits d'accès et de rectification prévus par les articles 39 et 40 de la loi du 6 janvier 1978 susvisée s'exercent auprès du responsable de la sécurité des systèmes d'information et du responsable du site, au secrétariat général du ministère de la culture et de la communication.

Le droit d'opposition prévu au titre de l'article 38 de la loi du 6 janvier 1978 susvisée ne s'applique pas au présent traitement.

Le ministre de la culture et de la communication est chargé de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.