Sur le responsable du traitement :
La direction générale de l'armement du ministère de la défense.
Sur les finalités :
Le traitement dénommé « SIGALE » a pour finalités, d'une part, le contrôle des exportations hors de l'Union européenne de matériels de guerre et de matériels assimilés et, d'autre part, le contrôle des transferts intracommunautaires de produits liés à la défense.
Dans le cadre de ce contrôle, le traitement permet également la délivrance des autorisations (appelées « licences ») d'exportations et de transferts de matériel et produits ainsi que le contrôle a posteriori des opérations effectuées. Ces licences sont délivrées conjointement par le ministère de la défense, le secrétaire général de la défense et de la sécurité nationale (SGDSN) et le ministère des affaires étrangères. Etant donné que ce traitement intéresse la défense et la sûreté de l'Etat, il a lieu de faire application de l'article 26 (1°) de la loi du 6 janvier 1978 modifiée.
Afin de délivrer les licences, l'application SIGALE sera accessible aux personnes souhaitant effectuer une demande de licence par le biais du portail internet « mon.service-public.fr ». Le traitement est donc un téléservice de l'administration électronique, soumis aux dispositions du 4° de l'article 27-II de la loi du 6 janvier 1978 modifiée.
Le traitement SIGALE doit donc faire l'objet d'un arrêté ministériel, sur le fondement conjoint des articles précités, pris après avis motivé et publié de la commission.
Sur les données traitées :
Les catégories de données à caractère personnel traitées concernent, d'une part, l'identité de la personne qui sollicite une licence et, d'autre part, la situation professionnelle des agents de l'Etat et des exportateurs. Les données relatives aux opérations d'exportation et de transfert intracommunautaire (type de matériel, quantité, nature et date de fin de la validité) sont également enregistrées dans SIGALE.
Les données relatives à la personne sollicitant une licence sont le nom, le prénom et un identifiant. Ces données sont complétées par les données relatives à la société exportatrice, à savoir sa raison sociale et la fonction occupée par le demandeur.
La connexion à la plate-forme SIGALE par le biais du portail mon.service-public.fr nécessite l'utilisation d'un identifiant qui sera traité dans le traitement. La commission rappelle que l'identifiant d'une personne physique, employée d'une société demandant la licence, ne doit pas être utilisé pour réaliser l'accès au traitement SIGALE. Il est nécessaire que seul l'identifiant de la personne demandant directement la licence soit fourni, et non pas celui d'un de ses subordonnés.
Enfin, des données relatives aux agents de l'Etat ayant accès au traitement dans le cadre de leur mission sont conservées et concernent leur affectation, numéro de téléphone et courriel.
La durée de conservation de l'ensemble de ces données est de dix ans à compter de la fin de l'année civile au cours de laquelle l'exportation a eu lieu, conformément aux dispositions de l'article L. 2335-6 du code de la défense.
Les données traitées dans SIGALE sont donc adéquates, pertinentes et non excessives, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur les destinataires :
Les personnes ayant directement accès au traitement SIGALE, à raison de leurs attributions et dans la limite du besoin d'en connaître, sont les agents des services du ministère de la défense chargés du contrôle des exportations de matériels de guerre et assimilés et des transferts intracommunautaires de produits liés à la défense. Ces accédants sont habilités par la direction générale de l'armement du ministère de la défense.
En outre, à raison de leurs attributions respectives et dans la limite du besoin d'en connaître, certaines personnes dûment habilitées peuvent être destinataires de tout ou partie des données à caractère personnel du traitement SIGALE :
― les agents du SGDSN chargés des autorisations d'exportation et de transfert intracommunautaire ;
― les agents de la direction des affaires financières du ministère des affaires étrangères chargés des autorisations d'exportation et de transfert intracommunautaire ;
― les agents de la direction générale du Trésor et de la direction générale des douanes et des droits indirects du ministère de l'économie et des finances, chargés des autorisations d'exportation et de transfert intracommunautaire et du contrôle a posteriori.
Sur l'information et le droit d'accès :
La commission prend acte que les personnes concernées par le traitement, aussi bien les agents de l'Etat que les demandeurs d'une licence, sont informées de l'objet du traitement et de leurs droits, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée.
La commission prend acte que l'article 7 du projet d'arrêté prévoit que le droit d'accès s'exerce de manière indirecte auprès de la Commission nationale de l'informatique et des libertés, sur le fondement de l'article 41 de la loi du 6 janvier 1978 modifiée, compte tenu du caractère hautement sensible du traitement pour la sûreté de l'Etat et la défense nationale.
Sur les mesures de sécurité :
Le responsable de traitement impose une authentification des utilisateurs agents de l'Etat par carte à puce délivrée par une autorité certifiée par le ministère de la défense afin de garantir la sécurité des accès aux seules personnes dûment habilitées.
De plus, l'application web est déployée sur les réseaux sensibles et classifiés du ministère et a fait l'objet d'une analyse de risques ayant notamment conduit à l'adoption du protocole https pour l'ensemble des échanges web.
L'accès par les demandeurs d'une licence se fait par l'intermédiaire du téléservice mon.service-public.fr, qui a notamment fait l'objet de la délibération n° 2011-110 du 28 avril 2011 dans laquelle la commission rappelait que le dispositif était soumis aux contraintes de sécurité préconisées par le référentiel général de sécurité (RGS). Il convient donc que les mesures techniques déployées pour ce traitement respectent le RGS, conformément à l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.
D'une manière générale, les mesures de sécurité détaillées dans le dossier technique transmis par le ministère sont de nature à garantir un risque limité d'atteintes aux données traitées dans le SIGALE.
Sur les autres caractéristiques du traitement :
Des mesures de traçabilité sont prévues afin de contrôler les actions qui sont réalisées dans le traitement SIGALE et sont conservées pour une durée de cinq ans. Les traces concernent l'identification de l'utilisateur, la date, l'heure et la nature de l'intervention.
Autorise, conformément à la présente délibération, le ministère de la défense à mettre en œuvre le traitement susmentionné.