Hello world!

26 septiembre 2019

Ce nouveau régime concerne toutes les entreprises et organisations qui collectent la profession de leurs clients et dont les clients peuvent être militaires : banques, assurances, mutuelles, organismes de formation, universités, distributeur gérant un programme de fidélité, etc. Il nécessite une action avant le 21 juin 2019.

Dans un contexte de menace terroriste et de risque de failles de sécurité informatique, le gouvernement français a souhaité protéger spécifiquement les données personnelles des militaires. Toutefois, ces mesures avaient été critiquées en raison de leur incohérence avec le RGPD.

Saisissant l’opportunité du vote de la loi n°2018-493 du 20 juin 2018 dite « CNIL 3 » pour l’adapter au RGPD, le dispositif de protection des données à caractère personnel de militaires (DCPM) a été revu par le Gouvernement afin de « concilier l’impératif de sécurité des militaires qui a prévalu à la mise en œuvre de ce dispositif et l’objectif d’allégement des obligations pesant sur les opérateurs privés ».

Le décret n°2018-932 du 29 octobre 2018 entré en vigueur le 1er avril 2019 précise donc les nouvelles obligations auxquelles doivent se conformer les responsables de traitements de DCPM.

La définition des DCPM – Une DCPM est toute donnée qui permet, à sa seule lecture, de révéler la qualité de militaire de la personne concernée, de façon explicite (grade, état de militaire, photo de la personne en tenue, etc.) ou implicite (abréviation ou code interne à l’entreprise).

Mise en relation avec d’autres données personnelles d’identification (nom, adresse, etc.), une telle donnée permet d’identifier directement ou indirectement une personne militaire. Les données personnelles des civils de la défense ne constituent donc pas des DCPM.

Les responsables de traitement concernés – Sont concernés par le dispositif de protection, les opérateurs procédant à des traitements concernant des militaires, à moins que ces traitements soient mis en œuvre pour le compte de l’Etat, des collectivités territoriales et de leurs groupements, ainsi que des associations à but non lucratif.

Les opérateurs concernés sont donc principalement ceux qui ne traitent pas des DCPM pour les besoins du service public (banques, assurances, mutuelles, organismes de formation, universités, distributeur, etc.).

Le caractère strictement nécessaire de la collecte – Conformément au respect du principe de minimisation de la collecte (article 5.1 RGPD), les responsables de traitements concernés doivent, en premier lieu, vérifier que la collecte de DCPM est absolument nécessaire à l’une des finalités du traitement mis en œuvre.

Si cette donnée n’est pas nécessaire à la finalité du traitement, toutes les données révélant la qualité de militaire dans l’ensemble des fichiers concernés devront être supprimées ou remplacées par les termes « agent public » avant le 21 juin 2019.

Selon le régime en vigueur jusqu’ici, cette opération n’était pas exécutée par les responsables de traitement de leur propre chef, mais seulement à la demande de la personne concernée.