Arrêté du 28 octobre 2005 relatif à la création d'un traitement automatisé de données à caractère personnel relatif à la gestion automatisée des certificats électroniques des personnels.
Le ministre de l'économie, des finances et de l'industrie,
Vu la convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, ratifiée par la loi nº 82-890 du 19 octobre 1982;
Vu la loi nº 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret nº 78-774 du 17 juillet 1978 modifié pris pour l'application des chapitres Ier à IV et VII de la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la lettre de la Commission nationale de l'informatique et des libertés en date du 29 septembre 2005 portant le numéro 1031837,
Arrête :
Article 1. La délégation aux systèmes d'information du ministère de l'économie, des finances et de l'industrie met en oeuvre un traitement informatisé dénommé “infrastructure de gestion de clés publiques de la direction du personnel, de la modernisation et de l'administration (IGC DPMA)”, qui a pour objet de gérer les certificats électroniques attribués et les porteurs correspondants. Cette infrastructure intègre à titre principal les certificats électroniques attribués aux personnels de la DPMA.
Article 2. Les informations relatives aux porteurs du certificat et aux correspondants de l'infrastructure de gestion de clés publiques de la DPMA sont :
– nom, prénom, grade, statut, direction, service d'affectation, bâtiment, étage, pièce, téléphone, poste, adresse de messagerie, caractéristiques du certificat, dates et données de gestion ;
– pour les seuls agents habilités à intervenir sur les matériels de l'infrastructure de gestion de clés publiques de la DPMA, l'empreinte digitale.
Les certificats des utilisateurs ont une durée de vie de trois ans.
Les informations (certificats et listes des certificats) sont archivées après expiration des clés pendant une période de cinq ans (un historique est conservé après la révocation du certificat).
Article 3. Les destinataires des informations traitées sont les gestionnaires des applications relatives à la gestion des certificats et les utilisateurs de ces certificats.
Article 4. Le droit d'accès prévu par les articles 39 et 40 de la loi du 6 janvier 1978 susvisée s'exerce auprès du bureau “politique informatique générale” de la DPMA du ministère de l'économie, des finances et de l'industrie.
Article 5. Le droit d'opposition prévu au titre de l'article 38 de la loi du 6 janvier 1978 susvisée ne s'applique pas au présent traitement.
Article 6. Le directeur du personnel, de la modernisation et de l'administration est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.
Fait à Paris, le 28 octobre 2005.
Pour le ministre et par délégation :
Le directeur du personnel, de la modernisation et de l'administration, J.F. Soumet