Dans l'exercice de ses attributions prévues au 9° de l'article R.* 1132-3 du code de la défense, le secrétaire général de la défense et de la sécurité nationale est autorisé à mettre en œuvre un traitement informatisé et automatisé de données à caractère personnel.
Ce traitement a pour finalités la détection et la caractérisation des opérations impliquant, de manière directe ou indirecte, un Etat étranger ou une entité non étatique étrangère, et visant à la diffusion artificielle ou automatisée, massive et délibérée, par le biais d'un service de communication au public en ligne, d'allégations ou imputations de faits manifestement inexactes ou trompeuses de nature à porter atteinte aux intérêts fondamentaux de la Nation, notamment lorsque ces opérations sont de nature à altérer l'information des citoyens pendant les périodes électorales mentionnées à l'article 33-1-1 de la loi du 30 septembre 1986 susvisée.
Ce traitement repose sur la collecte et l'exploitation des contenus publiquement accessibles aux utilisateurs des plateformes en ligne des opérateurs mentionnés au I de l'article L. 111-7 du code de la consommation et dont l'activité sur le territoire français dépasse un seuil de cinq millions de visiteurs uniques par mois, y compris lorsque l'accès à ces plateformes requiert une inscription à un compte. Lorsqu'elles concourent à la caractérisation des opérations mentionnées au deuxième alinéa, les données ainsi collectées sont exploitées pour les seuls besoins de l'élaboration de notes d'analyse.
Ce traitement est confié au service de vigilance et de protection contre les ingérences numériques étrangères, créé par l'article 2 du décret du 13 juillet 2021 susvisé. Le chef de ce service est le responsable de traitement.

La sélection des contenus à collecter s'opère de manière proportionnée et automatisée par application de critères techniques déterminés à l'issue de travaux de veille, dans le strict respect des finalités mentionnées à l'article 1er et à l'exclusion de tout recours à un système de reconnaissance faciale ou d'identification vocale.
Aucune collecte automatisée de données à caractère personnel n'est mise en œuvre à l'occasion des travaux de veille.
Les contenus mentionnés au premier alinéa sont collectés pendant une période maximale de sept jours. Cette période peut être renouvelée, dans la limite d'une durée qui ne peut excéder six mois à compter du déclenchement de l'opération de collecte, dès lors que la collecte demeure pertinente au regard des finalités du traitement.

Pour la collecte des contenus mentionnés à l'article 2, le service précité est autorisé à créer des comptes sur les plateformes mentionnées à l'article 1er ainsi que des comptes destinés à être utilisés par l'intermédiaire d'interfaces de programmation mises à disposition par les opérateurs de ces plateformes.
Les agents de ce service ne sont pas autorisés à utiliser ces comptes pour entrer en relation avec d'autres détenteurs de compte, ni à diffuser des contenus, ni à exercer une activité autre que celle prévue au premier alinéa du présent article.

Le service précité définit dans des tables informatiques les catégories de données nécessaires à la réalisation des finalités mentionnées à l'article 1er et devant être conservées à cet effet.
Ces catégories de données sont :
1° Les données d'identification déclarées par les titulaires de comptes ouverts sur les plateformes en ligne mentionnées à l'article 1er, lorsqu'ils diffusent ou relaient des contenus publiquement accessibles ou y réagissent, telles qu'elles apparaissent sur ces comptes ;
2° Les données permettant de caractériser l'activité et l'audience de ces comptes, notamment les indicateurs quantitatifs relatifs au nombre d'abonnés et au nombre de publications ;
3° Les contenus publiquement accessibles dans les conditions définies à l'article 1er, diffusés ou relayés au moyen de ces comptes et les indicateurs d'audience associés.

Les données collectées qui ne correspondent pas aux catégories de données mentionnées à l'article 4 sont détruites immédiatement après leur collecte, selon un procédé automatisé.
Seuls les agents affectés au sein du service précité, individuellement désignés et spécialement habilités par le responsable de traitement, peuvent accéder à ce procédé automatisé et en modifier les paramètres.

Il est interdit de sélectionner dans le traitement une catégorie particulière de personnes à partir des seules données sensibles, au sens de l'article 6 de la loi du 6 janvier 1978 susvisée.

Les données collectées qui correspondent aux catégories de données mentionnées à l'article 4 sont conservées pendant la durée strictement nécessaire à leur exploitation.
Elles sont détruites à l'issue de cette exploitation et, au plus tard, au terme d'un délai de quatre mois à compter de la date de leur collecte, selon un procédé automatisé.
Seuls les agents affectés au sein du service précité, individuellement désignés et spécialement habilités par le responsable de traitement, peuvent accéder à ce procédé automatisé et en modifier les paramètres.

Seuls les agents affectés au sein du service précité individuellement désignés et spécialement habilités par le responsable de traitement peuvent accéder à tout ou partie des données à caractère personnel conservées dans le cadre du traitement.

Sans préjudice du deuxième alinéa de l'article 5, du troisième alinéa de l'article 7 et de l'article 8, les opérations de collecte, d'exploitation et d'hébergement des données peuvent être sous-traitées dans les conditions prévues à l'article 122 de la loi du 6 janvier 1978 susvisée.

Les opérations de collecte, de consultation, de modification, de communication et d'effacement des données et informations du traitement font l'objet d'un enregistrement comprenant l'identification de l'auteur, la date, l'heure et la nature de l'opération. Ces informations sont conservées pendant trois ans et ne sont consultables que par les agents individuellement désignés et spécialement habilités par le responsable de traitement.

En application du III de l'article 116 de la loi du 6 janvier 1978 susvisée, le droit d'information prévu au I du même article ne s'applique pas au présent traitement.
Le droit d'opposition prévu au premier alinéa de l'article 117 de la loi du 6 janvier 1978 susvisée ne s'applique pas au présent traitement.
Pour les données mentionnées à l'article 7 du présent décret, les demandes tendant à l'exercice du droit d'accès, de rectification et d'effacement relatives au présent traitement sont exercées dans les conditions prévues à l'article 119 de la loi du 6 janvier 1978 susvisée.