JORF n°0063 du 15 mars 2024

Décret n°2024-225 du 14 mars 2024

Le Premier ministre,

Sur le rapport du ministre des armées,

Vu le code de la défense, notamment ses articles L. 4123-12 et R. 2363-1 à R. 2363-7 ;

Vu le code pénal, notamment ses articles 413-7 et R. 413-1 à R. 413-5-1 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 6 et 31 ;

Vu l'avis du comité social d'administration ministériel en date du 5 octobre 2023 ;

Vu la délibération n° 2023-135 de la Commission nationale de l'informatique et des libertés en date du 14 décembre 2023 ;

Le Conseil d'Etat (section de l'administration) entendu,

Décrète :

Article 1

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Contrôle d'accès biométrique au sein du ministère de la défense

Résumé Le ministère de la défense peut utiliser des empreintes digitales ou des scans faciaux pour contrôler qui entre dans les zones sécurisées.

Peuvent être mis en œuvre au sein du ministère de la défense des traitements automatisés de données à caractère personnel comportant des données biométriques ayant pour seule finalité le contrôle d'accès à une zone protégée telle que définie aux articles R. 413-1 à R. 413-5 du code pénal ou à une zone de défense hautement sensible telle que définie aux articles L. 4123-12 et R. 2363-1 à R. 2363-7 du code de la défense. Ce contrôle est réalisé par l'authentification biométrique des personnes affectées à ces zones et autorisées à y pénétrer.

1 version

3 cités

Article 2

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Données enregistrées pour l'accès aux zones sécurisées

Résumé Pour entrer dans certaines zones, des informations personnelles et biométriques sont enregistrées et vérifiées.

Les données enregistrées concernent les personnes autorisées à pénétrer dans les zones mentionnées à l'article 1er et sont constituées par tout ou une partie des données suivantes :
1° Le numéro d'identification du badge ;
2° Le nom, le prénom, le statut, le grade et l'affectation de l'intéressé ;
3° Les dates et heures d'entrée et de sortie ;
4° Les zones d'accès autorisées ;
5° Le début et la fin de validité des accès ;
6° Le gabarit de l'empreinte digitale ;
7° Le gabarit du visage, tel qu'il ressort de la photographie.
Le gabarit est enregistré dans la base de données du serveur et les lecteurs biométriques afférents ou intégré dans le badge d'accès des personnes mentionnées au premier alinéa lorsque ce badge est biométrique. La correspondance entre ce gabarit et l'empreinte digitale ou la photographie est vérifiée lors du contrôle d'accès.

1 version

Article 3

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Conservation et effacement des données à caractère personnel

Résumé Les données personnelles sont gardées jusqu'à ce que la personne ne puisse plus accéder aux zones concernées, sauf les horaires qui sont supprimés après un an.

Les données à caractère personnel et les informations mentionnées à l'article 2 sont conservées jusqu'à la cessation temporaire ou définitive des fonctions qui justifient l'accès des personnes concernées aux zones mentionnées à l'article 1er, à l'exception des dates et heures d'entrée et de sortie mentionnées au 3° de l'article 2. Celles-ci sont effacées à l'expiration d'un délai d'un an à compter de leur enregistrement au moment du contrôle d'accès de la personne. Lorsque la personne cesse temporairement ou définitivement les fonctions qui justifient son accès aux zones mentionnées à l'article 1er, ces dernières données sont conservées avec l'identité de la personne associée pendant la période mentionnée à la phrase précédente.

1 version

Article 4

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Accès des agents publics aux données personnelles pour des raisons de sécurité

Résumé Les agents de sécurité peuvent voir tes informations personnelles pour te protéger.

Ont accès aux données à caractère personnel mentionnées à l'article 2 les agents publics civils ou militaires chargés d'assurer la sécurité des zones mentionnées à l'article 1er pour les besoins exclusifs des missions de sécurité qui leur sont confiées.

1 version

Article 5

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Enregistrement des opérations de traitement automatisé

Résumé Tous les changements sur les traitements doivent être notés et gardés pendant un à trois ans.

Toute opération relative au traitement automatisé autorisé par le présent décret fait l'objet d'un enregistrement comprenant l'identification de l'utilisateur, la date, l'heure et la nature de l'intervention dans ce traitement. Ces informations sont conservées pendant une durée minimale d'un an et dans la limite de trois ans.

1 version

Article 6

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Information des personnes concernées et exercice des droits

Résumé Les gens doivent être informés si leurs données sont traitées, et peuvent demander à les voir, les corriger ou les supprimer, sauf pour certains traitements où ils ne peuvent pas s'opposer.

Le responsable de traitement ou son représentant procède à l'information des personnes concernées par envoi ou remise d'un document ou par tout autre moyen équivalent selon les modalités définies à l'article 116 de la loi du 6 janvier 1978 susvisée.
Les droits d'accès, de rectification et d'effacement prévus à l'article 119 de la même loi s'exercent auprès du responsable de traitement.
Le droit d'opposition prévu à l'article 117 de la même loi ne s'applique pas aux traitements autorisés par le présent décret.

1 version

3 cités

Article 7

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Obligation de conformité et de documentation pour les traitements de données

Résumé Avant de traiter des données, il faut envoyer à la CNIL un engagement de conformité et un dossier technique.

Toute mise en œuvre d'un traitement mentionné à l'article 1er est précédée de l'envoi, par le responsable du traitement, à la Commission nationale de l'informatique et des libertés d'un engagement de conformité aux dispositions du présent décret.
Un dossier technique décrivant le dispositif mis en place est établi et conservé avec l'engagement de conformité mentionné au précédent alinéa. Ces documents sont tenus à la disposition de la Commission nationale de l'informatique et des libertés.

1 version

Article 8

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Aborgation de plusieurs articles de décrets antérieurs

Résumé Des règles spécifiques des décrets de 2017 et 2018 ont été supprimées.

A abrogé les dispositions suivantes : > - Décret n°2017-1132 du 3 juillet 2017 > > Art. 1, Art. 2, Art. 3, Art. 4, Art. 5, Art. 6, Art. 7, Art. 8 > >

> - Décret n°2018-504 du 21 juin 2018 > > Art. 1, Art. 2, Art. 3, Art. 4, Art. 5, Art. 6, Art. 7, Art. 8, Art. 9 > >

1 version

19 abrogés

2 cités

Article 9

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Attribution de la responsabilité de l'exécution du décret

Résumé Le ministre des armées doit faire en sorte que ce décret soit mis en œuvre et publié dans le journal officiel.

Le ministre des armées est chargé de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.

1 version

Fait le 14 mars 2024.

Gabriel Attal

Par le Premier ministre :

Le ministre des armées,

Sébastien Lecornu