Champ d'application.
Sont dispensés de déclaration les traitements de données à caractère personnel qui répondent aux conditions suivantes.

Finalités du traitement.
Le traitement doit avoir pour seules finalités :
a) De contribuer à l'élaboration d'un plan de continuité d'activité (PCA) dans le contexte d'une crise impactant l'administration nationale française en identifiant les personnes susceptibles d'être disponibles, au sein des SHFD, en raison de leur situation familiale ou/ et de leur mode de déplacement ;
b) Dans le cadre du suivi du PCA, de mobiliser les personnes identifiées par l'organisme.
Le traitement ne peut pas être utilisé pour la gestion courante du personnel.

Informations collectées et traitées.
Les personnes concernées par la collecte des données sont :
― les agents des services des hauts fonctionnaires de défense (SHFD) ;
― les agents d'autres administrations de l'Etat ou d'organismes publics ou privés avec qui le SHFD du ministère concerné entretient des relations.
Le traitement doit se limiter aux données suivantes :
a) Pour l'identité : nom, nom marital, prénoms, adresses postale et électronique personnelles, coordonnées téléphoniques personnelles ;
b) Pour la situation familiale : présence au foyer d'enfants à charge de moins de trois ans, présence au foyer d'enfants à charge scolarisés (école maternelle et primaire), autres contraintes personnelles pouvant empêcher de se rendre sur son lieu de travail en cas de crise (telles que parents à charge). Les données collectées dans cette catégorie doivent se limiter à des réponses par oui ou non aux questions posées ;
c) Pour la fonction exercée : lieu de travail, numéro d'identification interne (à l'exclusion du NIR), emploi occupé, caractéristiques du poste (tels que contact avec le public, déplacements fréquents) ;
d) Pour les moyens de déplacement des personnes : mode de transport habituel, mode de transport alternatif, distance lieu de résidence/lieu de travail, permis de conduire.
En tout état de cause, les informations traitées ne doivent pas concerner de données entrant dans le champ des articles 8 et 9 de la loi du 6 janvier 1978 modifiée, c'est-à-dire qu'elles ne doivent pas être relatives aux infractions, condamnations ou mesures de sûreté ni faire apparaître, directement ou indirectement, les origines raciales, les opinions politiques, philosophiques, religieuses, l'appartenance syndicale des personnes ni être relatives à la santé ou à la vie sexuelle de celles-ci.
La collecte de ces données a lieu directement auprès des personnes concernées.

Destinataires des informations.
Peuvent accéder directement aux données mentionnées à l'article 3 les agents du service du haut fonctionnaire de défense qui sont de permanence.
Peuvent seules, dans la limite de leurs attributions respectives et en tant que de besoin, être destinataires de tout ou partie des informations :
― les personnes habilitées des services chargés de la gestion du personnel ;
― les autres personnes habilitées en charge de la gestion de crise.

Durée de conservation.
Les données des agents mentionnées à l'article 3 peuvent être conservées jusqu'à la cessation définitive de leurs fonctions afférentes aux dispositifs de gestion de crise.
Elles doivent faire l'objet d'une mise à jour régulière afin de maintenir le caractère opérationnel de l'annuaire de crise. Les données non exactes ou non mises à jour doivent être supprimées en conséquence.

Information et droits des personnes.
Conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, les personnes concernées par les traitements visés dans la présente délibération sont informées des finalités du traitement, des destinataires des données ainsi que des modalités d'exercice de leurs droits d'accès, de rectification et de suppression. Cette information doit être délivrée lors de la collecte des données. Elle peut être complétée par une diffusion sur les supports de communication destinés aux agents.
Les droits d'accès et de rectification s'exercent de manière directe auprès du service du haut fonctionnaire de défense mettant en œuvre le traitement.
Le droit d'opposition ne s'applique pas à ce traitement.

Politique de confidentialité et de sécurité.
Des mesures de protection physique et logique doivent être prises afin de préserver la sécurité du traitement et l'intégrité des données traitées ainsi que d'empêcher tout accès ou toute utilisation détournés ou frauduleux de celles-ci, notamment par des tiers non autorisés.
Les échanges avec ces destinataires doivent être sécurisés, en particulier concernant les échanges par internet, qui doivent être chiffrés.
L'ensemble des garanties de sécurité, et particulièrement l'hébergement des données, doit garantir que le traitement est en conformité avec les exigences de l'article 34 de la loi du 6 janvier 1978 modifiée.

Effets de la dispense de déclaration.
Les traitements répondant aux conditions visées aux articles 2 à 7 peuvent être mis en œuvre sans délai et sans déclaration préalable auprès de la CNIL.
La dispense de déclaration préalable auprès de la CNIL n'exonère le responsable de tels traitements d'aucune de ses autres obligations prévues par les textes applicables à la protection des données à caractère personnel. En particulier, la commission rappelle qu'elle se réserve le droit de contrôler le respect des dispositions de la présente délibération.

Publication.
La présente délibération sera publiée au Journal officiel de la République française.