Délibération n° 2022-110 du 10 novembre 2022 portant avis sur un projet d'arrêté portant autorisation de mise en œuvre de traitements automatisés de gestion des traces relatives aux systèmes d'information et de communication du ministère de la défense (demande d'avis n° 21011213)
| Jurisdiction | France |
| Publication au Gazette officiel | JORF n°0030 du 4 février 2023 |
| Record Number | JORFTEXT000047090166 |
| Date de publication | 04 février 2023 |
| Court | COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES |
| Enactment Date | 10 novembre 2022 |
La Commission nationale de l'informatique et des libertés,
Saisie par le ministère des armées d'une demande d'avis concernant un projet d'arrêté portant autorisation de mise en œuvre de traitements automatisés de gestion des traces relatives aux systèmes d'information et de communication du ministère de la défense,
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, et notamment son titre IV ;
Après avoir entendu le rapport de Mme Isabelle LATOURNARIE-WILLEMS, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Etant rappelés les éléments suivants :
La Commission a été saisie d'un arrêté qui vise à encadrer la mise en œuvre de traitements automatisés de gestion des traces relatives aux systèmes d'information et de communication dans les états-majors, directions et services du ministère des armées. Ce texte constitue un acte réglementaire unique au sens du IV de l'article 31 de la loi du 6 janvier 1978 susvisée. Il a donc vocation à encadrer des traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires.
Les traitements projetés ont pour objectif principal d'assurer la sécurité et la défense des systèmes d'information et de communication du ministère de la défense visés à l'article 1er du décret n° 2018-532 du 28 juin 2018 fixant l'organisation du système d'information et de communication de la défense et portant création de la direction générale du numérique et des systèmes d'information et de communication. Au regard de leurs finalités, ces traitements ont vocation à être régis par le titre IV de la loi du 6 janvier 1978.
La mise en œuvre de traitements de gestion des traces s'inscrit, selon le ministère, dans un contexte d'intensification de la menace d'origine « cyber » et repose sur la nécessité de pouvoir identifier les irrégularités d'accès ou d'utilisation des systèmes d'information. A cet égard, la Commission rappelle que la traçabilité des actions est une mesure élémentaire de la sécurité des traitements et que l'analyse proactive des traces est une mesure essentielle à l'exploitation efficace de la traçabilité. Le projet de déployer des traitements de gestion des traces au sein du ministère des armées s'inscrit dans cette perspective, et répond ainsi aux préconisations de la Commission quant à la nécessité de développer des outils de journalisation.
Par ailleurs, la Commission relève que les dispositifs projetés seront des systèmes de journalisation périmétrique, qui n'ont donc pas vocation à assurer la traçabilité opérationnelle de traitements métier, mais à contribuer à la mise en œuvre globale de la sécurité. Elle rappelle à cet égard que, pour les traitements métier qui seront amenés à contenir des données à caractère personnel, des systèmes de journalisation devront être intégrés afin d'assurer la traçabilité des opérations portant sur des données à caractère personnel, comme elle a pu le rappeler dans sa recommandation relative aux mesures de journalisation (délibération n° 2021 du 14 octobre 2021).
S'agissant du périmètre des traitements concernés, le ministère indique que le projet d'arrêté a, en premier lieu, vocation à couvrir un traitement mis en œuvre par la direction des réseaux d'infrastructure et des systèmes d'information (DIRISI), dont la finalité exclusive est la gestion des traces issues de certains systèmes d'information des services relevant du chef d'état-major des armées, de la direction générale de l'armement et du secrétariat général pour l'administration du ministère. La mise en œuvre de ce traitement est autorisée par un arrêté du 26 juillet 2013 qui n'a été publié qu'au Bulletin officiel des armées, et qui a...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI