I. - Les données à caractère personnel collectées au titre des finalités mentionnées aux 1°, à 3° du II de l'article 1er peuvent être conservées dix ans à compter de leur collecte par l'Agence nationale de la sécurité des systèmes d'information.
II. - Les données à caractère personnel collectées au titre de la finalité mentionnée au 4° du II de l'article 1er sont conservées dans les conditions suivantes :
1° Les données à caractère personnel collectées sur le fondement de l'article L. 2321-2-1 du code de la défense, qualifiées par l'Agence nationale de la sécurité des systèmes d'information comme étant directement utiles à la prévention et à la caractérisation des menaces et celles permettant d'identifier des victimes, sont conservées deux ans à compter de cette collecte.
Les données qui ne sont pas qualifiées comme étant directement utiles à la prévention et à la caractérisation des menaces sont détruites dans un délai de vingt-quatre heures à compter de leur qualification ;
2° Les données à caractère personnel collectées sur le fondement de l'article L. 2321-2-3 du code de la défense, qualifiées par l'Agence nationale de la sécurité des systèmes d'information comme étant directement utiles à la caractérisation des menaces et celles permettant d'identifier des victimes, sont conservées cinq ans à compter de cette collecte.
Les données qui ne sont pas qualifiées comme étant directement utiles à la caractérisation des menaces sont détruites dans un délai de vingt-quatre heures à compter de leur qualification ;
3° Les données à caractère personnel collectées sur le fondement du deuxième alinéa de l'article L. 2321-3 du code de la défense, sont conservées cinq ans à compter de leur collecte par l'Agence nationale de la sécurité des systèmes d'information ;
4° Les données à caractère personnel mentionnées au e du 4° du I de l'article 2 sont conservées au maximum dix ans à compter de leur collecte.