Arrêté du 30 avril 2014 portant création par la direction de la protection et de la sécurité de la défense d'un traitement automatisé de données à caractère personnel relatif à la gestion des procédures de sécurité du personnel du ministère de la défense et des industries
Arrêté du 30 avril 2014 portant création par la direction de la protection et de la sécurité de la défense d'un traitement automatisé de données à caractère personnel relatif à la gestion des procédures de sécurité du personnel du ministère de la défense et des industries


Le ministre de la défense,
Vu le code de la défense, notamment ses articles R. 2311-1 et suivants ;
Vu le code pénal, notamment ses articles 413-9 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment son article 26 (I, 1°) ;
Vu le décret n° 2005-850 du 27 juillet 2005 relatif aux délégations de signature des membres du Gouvernement ;
Vu le décret n° 2005-1124 du 6 septembre 2005 pris pour l'application de l'article 17-1 de la loi n° 95-73 du 21 janvier 1995 et fixant la liste des enquêtes administratives donnant lieu à la consultation des traitements automatisés de données personnelles mentionnés à l'article 230-6 du code de procédure pénale ;
Vu l'arrêté du 30 novembre 2011 portant approbation de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale ;
Vu l'arrêté du 21 mars 2012 portant délégation des pouvoirs du ministre de la défense en matière de décisions d'habilitation à connaître des informations et supports couverts par le secret de la défense nationale ;
Vu la délibération n° 2014-141 de la Commission nationale de l'informatique et des libertés en date du 17 avril 2014,
Arrête :


Il est créé au ministère de la défense, à la direction de la protection et de la sécurité de la défense, un traitement automatisé de données à caractère personnel dénommé « SOPHIA », dont les finalités sont :
1° La gestion dématérialisée des procédures d'habilitation et de contrôle élémentaire menées dans le cadre de la protection du secret de la défense nationale ;
2° La gestion des demandes de permission des militaires à l'étranger dans le cadre de la protection du personnel de la défense.


Les catégories de données à caractère personnel et d'informations enregistrées dans le traitement sont celles relatives :
I. - Concernant la gestion dématérialisée des procédures d'habilitation et de contrôle élémentaire menées dans le cadre de la protection du secret de la défense nationale :
1° A l'identification des personnes :
a) Nom et prénoms ;
b) Date et lieu de naissance ;
c) Photographie ;
d) Nationalité ;
e) Domiciles (actuel, précédent, résidences secondaires éventuelles) ;
f) Coordonnées téléphoniques ;
g) Courriel ;
h) Carte d'identité, passeport ou document étranger équivalent (numéro, date et autorité de délivrance) ;
2° A la vie personnelle :
a) Situation familiale actuelle ;
b) Conjoint (date et lieu de naissance, nationalité, domiciles, carte d'identité, passeport, diplômes obtenus, situation professionnelle, voyages et séjours à l'étranger durant les cinq dernières années) ;
c) Enfants (nom, prénoms, sexe, date et lieu de naissance, nationalité, adresse si le domicile est distinct) ;
d) Parents du candidat à l'habilitation et de son conjoint (nom, prénoms, date et lieu de naissance, nationalité, pays de naissance et années d'acquisition de la nationalité française le cas échéant, numéro de la carte d'identité ou du passeport, adresse, nom et adresse de l'employeur actuel ou du dernier employeur) ;
e) Niveau d'études et culture générale du candidat (diplômes obtenus ou niveau équivalent) ;
f) Voyages et séjour à l'étranger durant les cinq dernières années du candidat à l'habilitation ;
3° A la vie professionnelle :
a) Situation professionnelle actuelle (statut, grade, armée ou arme d'appartenance, ministère d'origine, ministère d'emploi, organisme d'affectation, coordonnées professionnelles) ;
b) Emplois successifs occupés durant les cinq dernières années ;
c) Habilitations déjà détenues ;
d) Sens de l'avis de sécurité.
II. - Concernant la gestion des demandes de permission des militaires à l'étranger dans le cadre de la protection du personnel de la défense :
a) Nom et prénoms ;
b) Situation professionnelle actuelle ;
c) Date, motif du voyage et destination.


Les données à caractère personnel et les informations relatives à la vie personnelle et à la vie professionnelle enregistrées dans le traitement sont conservées six mois au maximum à compter de l'enregistrement des données dans le traitement.
Les informations relatives à l'identité des personnes physiques sont conservées jusqu'à la rupture de tout lien avec la personne morale qui a vocation à détenir ou à accéder à des informations et des supports protégés au titre du secret de la défense nationale ou à des sites sensibles. Les autres données relatives aux personnes physiques candidates sont effacées un an après la date de la dernière mise à jour dans le traitement.


I. ― Peuvent accéder, à raison de leurs attributions respectives et du besoin d'en connaître, à la totalité ou à une partie des données mentionnées à l'article 2, pour leur constitution et leur gestion :
― les agents, habilités par l'autorité administrative responsable du traitement, de la direction de la protection et de la sécurité de la défense ;
― les officiers de sécurité dûment habilités chargés de la gestion des demandes d'habilitation ;
― les agents dûment habilités du secrétariat général de la défense et de la sécurité nationale, dans le cadre de l'habilitation au Très Secret Défense.
II. - Sont destinataires de tout ou partie des données mentionnées à l'article 2, à raison de leurs attributions respectives et dans la limite du besoin d'en connaître :
― les autorités d'habilitation désignées par le ministre de la défense ;
― les agents dûment habilités du Commissariat à l'énergie atomique, dans le cadre des habilitations secret défense concernant les charges nucléaires.


Toute opération relative au traitement automatisé autorisé par le présent arrêté fait l'objet d'un enregistrement comprenant l'identification de l'utilisateur, la date, l'heure et la nature de l'intervention dans ledit traitement automatisé. Ces informations sont conservées pendant une durée de cinq ans.


Le droit d'information prévu à l'article 32 de la loi du 6 janvier 1978 susvisée s'applique pour les personnes candidates à l'habilitation auprès desquelles les données sont collectées. Il ne s'applique pas pour les personnes non candidates dont la collecte des données est nécessaire à l'étude de la demande.


Le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 susvisée ne peut être invoqué dans le cadre de ce traitement.


Les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 susvisée s'exercent auprès de la direction de la protection et de la sécurité de la défense, case 44,14 rue Saint-Dominique, 75700 Paris SP 07.


Le directeur de la protection et de la sécurité de la défense est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.

Fait le 30 avril 2014.

Pour le ministre et par délégation :

Le directeur de la protection

et de la sécurité de la défense,

J.-P. Bosser