Le ministre de la défense a saisi la Commission nationale de l'informatique et des libertés d'une demande d'avis sur un projet d'arrêté portant création, par la direction de la protection de la sécurité de la défense (DPSD), d'un traitement automatisé de données à caractère personnel relatif à la gestion des procédures de sécurité du personnel du ministère de la défense et des industries, dénommé SOPHIA.
Conformément au 3° de l'article D. 3126-6 du code de la défense, la DPSD met en œuvre la procédure d'habilitation, prévue par l'article R. 2311-8 dudit code, permettant aux agents de connaître des informations couvertes par le secret de la défense nationale.
Le traitement projeté est mis en œuvre pour le compte de l'Etat et intéresse la sûreté de l'Etat et la défense. Dans la mesure où il ne contient pas de données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée, il relève des dispositions de l'article 26-1 (1°) de ladite loi et doit dès lors être autorisé par arrêté ministériel, pris après avis motivé et publié de la CNIL.
Sur la finalité du traitement
L'article 1er du projet d'arrêté prévoit que le traitement SOPHIA poursuit deux finalités distinctes.
D'une part, SOPHIA a pour finalité la gestion dématérialisée des procédures d'habilitation et de contrôle élémentaire menées dans le cadre de la protection du secret de la défense nationale. Ces procédures concernent toutes les personnes candidates à une habilitation mentionnée à l'article R. 2311-8 du code de la défense, dont la gestion et le suivi sont prévus au titre II de l'arrêté du 30 novembre 2011 susvisé. SOPHIA permettra ainsi de centraliser toutes les procédures d'habilitation et de contrôle sollicitées par les structures comprenant des agents susceptibles d'accéder à des informations et supports classifiés.
D'autre part, SOPHIA a pour finalité la gestion dématérialisée des demandes de permission des militaires à l'étranger dans Je cadre de la protection du personnel de la défense. Ces demandes concernent uniquement les militaires français en service actif qui souhaitent se rendre à l'étranger, à l'exception des pays de l'Union européenne et des pays figurant sur la liste fixée par le ministre de la défense, conformément à la circulaire ministérielle n° 2527/DEF/CAB/SDBC/CPAG du 21 février 2003 relative aux conditions dans lesquelles les militaires peuvent franchir les limites du territoire métropolitain. Il s'agit ainsi d'automatiser le suivi de la procédure, les étapes décisionnelles prises par les personnes mentionnées à l'article R. 2311-8-1 du code de la défense restant inchangées.
La commission considère que les finalités du traitement projeté sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées
L'article 2 du projet d'arrêté liste les catégories de données à caractère personnel et d'informations enregistrées dans le traitement SOPHIA.
A titre liminaire, la commission prend acte que, à sa demande, cet article distingue expressément les données collectées au titre des deux finalités mentionnées à l'article 1er du projet d'arrêté, c'est-à-dire, d'une part, les données relatives aux demandes d'habilitation et, d'autre part, celles relatives aux militaires demandant une permission.
Toutes les données concernant l'identification des personnes ainsi que leurs vies professionnelle et personnelle sont issues de la notice individuelle 94A à remplir par le candidat à une habilitation. Sa composition est prévue par l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale annexée à l'arrêté du 30 novembre 2011 susvisé. Cette notice est un formulaire destiné à recueillir les renseignements nécessaires à l'habilitation d'une personne. Elle doit être renseignée par l'intéressé lui-même et est exploitée par l'autorité chargée de prononcer la décision et par les services enquêteurs. Tous les renseignements requis par le formulaire doivent obligatoirement être fournis et être à jour de la date à laquelle il est renseigné.
L'ensemble des données figurant dans ce formulaire seront enregistrées dans le traitement SOPHIA, le résultat de la demande d'habilitation n'ayant aucune incidence sur l'enregistrement et la conservation des données dans le traitement.
Le 1 de l'article 2 du projet d'arrêté énumère les données relatives à l'identification des personnes concernées. Outre les éléments d'état civil, des informations relatives aux domiciles actuels, précédents (durant les six derniers mois) et secondaires sont également collectées.
Par ailleurs, la commission prend acte que le traitement SOPHIA ne conserve pas de copie des pièces d'identité ou documents étrangers équivalents. Seuls les numéros, dates et autorités de délivrance de ces documents, renseignés par la personne concernée sur la notice d'information, sont conservés dans ledit fichier. L'adresse électronique étant collectée par le biais de la notice individuelle, la commission prend acte de l'engagement du ministère à mentionner cette donnée au I de l'article 2 du projet d'arrêté.
Elle prend également acte que les photographies enregistrées dans SOPHIA ne font pas l'objet d'un traitement de reconnaissance faciale.
Le II de l'article 2 du projet d'arrêté liste les données relatives à la situation personnelle actuelle des candidats. Ainsi, les informations relatives à un ancien conjoint ne sont donc pas collectées dans SOPHIA.
Les informations propres à la vie personnelle du candidat concernent son niveau d'étude et de culture générale. Il s'agit en particulier des niveaux équivalents aux diplômes ainsi que les connaissances éventuelles en langues étrangères qui sont à renseigner dans la notice individuelle de sécurité.
En outre, les informations relatives aux séjours et voyages du candidat durant les cinq dernières années concernent l'ensemble des voyages, y compris au sein de l'espace Schengen, effectués pour des motifs professionnels, familiaux ou touristiques.
Des données relatives à la famille de la personne concernées sont également collectées, concernant l'état civil du conjoint, mais également son domicile, ses pièces d'identité, diplômes obtenus, situation professionnelle actuelle et ses voyages à l'étranger durant les cinq dernières années, dans les mêmes conditions que les informations relatives à la personne candidate.
Les informations relatives aux enfants se limitent à l'état civil et à son domicile, si celui-ci est différent du candidat. Il en est de même pour les données relatives aux parents, dont les données relatives à l'employeur actuel ou au dernier employeur doivent être fournies. Le numéro de titre d'identité doit également être fourni de même que la date d'acquisition de la nationalité française, le cas échéant.
Le III de l'article 2 du projet d'arrêté énumère les données enregistrées dans SOPHIA relatives à la vie professionnelle de la personne candidate. Elles concernent essentiellement sa situation professionnelle actuelle et ses coordonnées professionnelles, mais également la liste des emplois occupés lors des cinq dernières années.
Par ailleurs, les habilitations déjà obtenues par le passé par les personnes concernées sont enregistrées quelles que soient leur date d'obtention et leur nature exacte. Le sens de l'avis de sécurité émis au vu de l'enquête administrative effectuée sur le candidat est également enregistré, l'avis lui-même tout comme le motif de l'éventuel refus ne faisant pas l'objet d'un enregistrement. Enfin, aucune information relative aux résultats des consultations des fichiers d'antécédents judiciaires mentionnés à l'article 230-6 du code de procédure pénale (principalement TAJ ― traitement des antécédents judiciaires) ne figure dans SOPHIA.
Au regard de ces éléments, la commission considère que l'ensemble de ces données est adéquate, pertinente et nécessaire à la réalisation de la finalité de vérification du statut d'une personne candidate à une habilitation, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur les durées de conservation des données
L'article 3 du projet d'arrêté définit deux durées de conservation différentes en fonction des catégories de données concernées.
D'une part, les données relatives à la vie personnelle et à la vie professionnelle sont conservées pour une durée maximale de six mois à compter de leur enregistrement.
Cette durée semble proportionnée à la finalité de gestion de la procédure.
D'autre part, les informations relatives à l'identité des personnes physiques candidates sont conservées un an après la rupture de tout lien avec la personne morale qui a vocation à détenir ou à accéder à des informations et des supports protégés au tire du secret de la défense nationale ou à des sites sensibles. Cela permet de conserver une liste des personnels habilités.
Pour assurer le respect de ces durées de conservation, un système d'effacement automatique des données est mis en place.
Sur les destinataires des données
Peuvent accéder au traitement SOPHIA les seuls agents habilités de la DPSD ainsi que les agents en charge de la gestion des demandes d'habilitation. Ces derniers sont les officiers de sécurité habilités et, dans le cadre de l'habilitation « très secret défense », les agents habilités du secrétariat général de la défense et de la sécurité nationale.
En outre, d'autres personnels peuvent être destinataires, le cas échéant, de certaines données traitées dans SOPHIA. Il s'agit, d'une part, des autorités d'habilitation désignées par le ministre de la défense et listées dans l'arrêté du 21 mars 2012 susvisé et, d'autre part, des agents habilités du Commissariat à l'énergie atomique dans le cadre des habilitations secret défense concernant les charges nucléaires.
La commission considère que ces destinataires ont un intérêt légitime à connaître des données collectées.
Sur l'information des personnes
Conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, les personnes concernées par les demandes gérées dans SOPHIA sont informées du traitement de leurs données par l'intermédiaire d'un encadré apposé sur la fiche de renseignement remplie par les candidats.
Aucun dispositif n'est en revanche prévu pour informer les personnes non candidates dont la collecte des données est nécessaire à l'étude de la demande (conjoint, parents et enfants). L'information de ces personnes par la DPSD pourrait en effet, dans une certaine mesure, porter atteinte à la finalité du traitement mis en œuvre.
Il y a donc lieu de faire application de l'article 32-V de la loi du 6 janvier 1978 modifiée et de modifier le projet d'arrêté afin d'y mentionner cette dérogation à l'obligation d'information, conformément à l'article 29 (5°) de ladite loi.
Sur les droits d'accès, de rectification et d'opposition des personnes
Le droit d'opposition au traitement est écarté, conformément au dernier alinéa de l'article 38 de la loi du 6 janvier 1978 modifiée.
Les droits d'accès et de rectification s'exercent de manière directe auprès de la DPSD. A cet égard, la commission relève qu'il est ainsi fait application des dispositions prévues au dernier alinéa de l'article 41 de la loi du 6 janvier 1978 modifiée, qui permettent, lorsque la communication d'informations aux personnes concernées ne met pas en cause la finalité du traitement, comme cela est le cas en l'espèce, de prévoir un droit d'accès direct pour un fichier intéressant la sûreté de l'Etat et la défense.
Sur la sécurité des données et la traçabilité des actions
Les mesures de sécurité attachées à SOPHIA. telles que décrites par le responsable de traitement, sont de nature à garantir un risque limité sur les données dès lors que :
― le traitement est mis en œuvre sur le réseau interne de la défense ;
― son hébergement est dans une zone militaire protégée ;
― les composants matériels et logiciels sont à l'état de l'art ;
― l'authentification des utilisateurs respecte les recommandations de la commission en la matière ;
― et enfin que la confidentialité et l'intégrité des transmissions d'information sur internet concernant ledit traitement sont garanties par un procédé de chiffrement et de signature certifié.
Afin d'assurer une traçabilité de toutes les opérations réalisées dans le traitement, toutes les actions réalisées sont conservées pour une durée de cinq ans, comme cela est expressément prévu à l'article 5 du projet d'arrêté.
Les mesures de sécurité décrites par le responsable de traitement sont dès lors conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.