Délibération n° 2026-003 du 8 janvier 2026 portant avis sur un projet de décret portant création d’un traitement automatisé de données à caractère personnel dénommé « Automatisation de la consultation centralisée de renseignements et de données du ministère de la défense » (ACCReD MINDEF)
| Numéro | 2026-003 |
| Date | jeudi 8 janvier 2026 |
| Nature | Délibération |
| Type d'acte | Avis |
| État | En vigueur |
| Référence | CNILTEXT000053574128 |
|
N° de demande d’avis : 25018419 |
Thématiques : enquêtes administratives, défense, mises en relation |
|
Organisme(s) à l’origine de la saisine : ministère des armées et des anciens combattants |
Fondement de la saisine : article 31 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés |
L’essentiel :
1. Le traitement projeté vise à faciliter et à améliorer l’efficacité d’enquêtes administratives diligentées par la direction du renseignement et de la sécurité de la défense (DRSD) du ministère des armées ou pour son compte. Son fonctionnement repose sur une mise en relation avec plusieurs traitements afin de vérifier si la personne concernée par une enquête figure ou non dans l’un d’eux.
2. La CNIL estime que les finalités du traitement sont légitimes et que les données collectées sont pertinentes et nécessaires pour y répondre.
3. Il conviendrait néanmoins de modifier le projet de décret pour davantage expliciter les finalités et préciser certaines catégories de destinataires.
4. Au regard de la diversité des données susceptibles d’être traitées, de la sensibilité de certaines d’entre elles et de l’impact de leur traitement pour les personnes faisant l’objet d’une enquête, la CNIL considère que des mesures devront être mises en place pour garantir la minimisation et l’exactitude des données.
___________________
La Commission nationale de l'informatique et des libertés,
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ("loi informatique et libertés"), notamment son titre IV et son article 31 ;
Après avoir entendu le rapport de Mme Sophie Lambremon, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
1. La saisine
A. Le contexte
La direction du renseignement et de la sécurité de la défense (DRSD) est le service de renseignement dont dispose le ministère des armées pour assumer ses responsabilités en matière de sécurité du personnel, des informations, du matériel et des installations sensibles. Parmi ses missions figure la réalisation des enquêtes administratives prévues à l'article L. 114-1 du code de la sécurité intérieure (CSI) et à l'article L. 4123-9-1 du code de la défense (art. D. 3126-5 et s. du même code).
Au regard de l’augmentation du nombre de demandes, et de la diversité des motifs qui fondent les enquêtes administratives, la DRSD a identifié le besoin de recourir à un traitement analogue au dispositif "automatisation de la consultation centralisée de renseignements et de données" (ACCReD) mis en œuvre par le ministère de l’intérieur (v. décret n° 2017-1224 du 3 août 2017). En effet, le ministère des armées ne dispose pas d’outils lui permettant d’interroger directement et simultanément les traitements nécessaires à la réalisation des enquêtes administratives relevant de sa compétence afin de rationaliser ces dernières et d’en réduire la durée.
La CNIL a été consultée à plusieurs reprises sur le dispositif ACCReD du ministère de l’intérieur. A chaque occasion, elle a rappelé que la réalisation d’enquêtes administratives, lesquelles impliquent le traitement de données à caractère personnel sur un nombre de plus en plus important de personnes, doivent s’accompagner de garanties fortes pour assurer que l’atteinte portée aux droits des personnes n’est pas excessive (CNIL, SP, 18 mai 2017, avis sur projet de décret, ACCReD, n° 2017-152, publié ; CNIL, SP, 11 juillet 2019, avis sur projet de décret, ACCReD, n° 2019-096 ; publié ; CNIL, SP, 23 novembre 2023, avis sur projet de décret, ACCReD, n° 2023-122 ; publié).
B. L’objet de la saisine
La CNIL est saisie par le ministère des armées d’une demande d’avis sur un projet de décret portant création d’un traitement automatisé de données à caractère personnel dénommé "Automatisation de la consultation centralisée de renseignements et de données du ministère de la défense" (ACCReD MINDEF). Il en fixe le périmètre et les modalités de mise en œuvre.
Ce traitement a pour objet de rationaliser et d’accélérer le travail d’enquête de la DRSD et, pour le compte de cette dernière, des formations spécialisées de la gendarmerie nationale, en permettant des mises en relation avec les traitements qui apparaissent pertinents au regard des besoins de l’enquête.
Au regard de ses caractéristiques, et dans la mesure où il facilite la réalisation d’enquêtes administratives en vue d’assurer la sûreté de l’Etat et la défense, le traitement "ACCReD MINDEF" relève des dispositions du titre IV de la loi "informatique et libertés".
En outre, la CNIL a été saisie d’un projet de décret modifiant l’article R. 841-2 du CSI pour soumettre le traitement à la formation spécialisée du Conseil d'Etat qui traite le contentieux des fichiers intéressant la sûreté de l'Etat – ce qui n’appelle pas d’observation particulière.
2. L’avis de la CNIL
A. Sur les finalités du traitement
Le projet de décret prévoit que le traitement a pour finalité de faciliter la réalisation d’enquêtes administratives en application de l’article L. 114-1 du CSI et de l’article L. 4123-9-1 du code de la défense et d’exploiter les informations recueillies dans ce cadre.
D’une part, s’agissant des enquêtes administratives visées à l’article L. 114-1 du CSI, le ministère précise que le traitement sera mis en œuvre dans le cadre des enquêtes par et pour le compte de la DRSD, notamment celles :
- ayant pour finalité de donner accès à un lieu, tel qu’une zone protégée (2° de l’art. R. 114-4 du CSI), un point d’importance vitale (3° de l’art. R. 114-4 du CSI), ou encore une zone militaire placée sous le contrôle de l’autorité militaire (1° de l’art. R. 114-4 du CSI) ;
- ayant pour finalité de délivrer une autorisation ou une habilitation ou de recruter une personne. A titre d’illustration, il pourrait s’agir du recrutement de militaires ou agents civils du ministère des armées (j) et o) du 3° de l’art. R. 114-2 du CSI), ou encore d’une habilitation à accéder aux informations et supports protégés au titre du secret de la défense nationale (a) du 1° de l’art. R. 114-2 du CSI).
D’autre part, les enquêtes relevant de l’article L. 4123-9-1 du code de la défense concernent les personnes accédant aux données à caractère personnel de militaires, aux fins d’identifier si elles constituent une menace pour la sécurité des militaires concernés.
La CNIL estime que ces finalités sont légitimes, au regard tant des missions de la DRSD que du besoin croissant de disposer d’outils permettant d’assurer l’efficacité des enquêtes, du fait de l’augmentation de leur nombre.
Elle invite néanmoins le ministère à mentionner plus précisément, dans le décret, les enquêtes administratives concernées.
B. Sur les mises en relation projetées
Le projet de décret énumère les traitements pouvant être mis en relation avec ACCReD MINDEF, en distinguant :
- les traitements pouvant faire l’objet d’une consultation automatique et, le cas échéant, simultanée ;
- ceux pouvant faire l’objet d’une interrogation non automatisée ;
- et, enfin, le traitement "SOPHIA" faisant l’objet d’une interconnexion avec ACCReD MINDEF.
En premier lieu, la CNIL observe qu’ACCRED MINDEF pourra procéder à l’interrogation automatique de cinq fichiers : le traitement d’antécédents judiciaires, le fichier des personnes recherchées, le traitement "FSPRT", le traitement automatisé des données relatives aux objets et véhicules volés (FOVeS), et le casier judiciaire national automatisé. La CNIL estime que ces mises en relation sont légitimes au regard des missions de la DRSD et du périmètre des enquêtes administratives concernées.
En deuxième lieu, les mises en relation sous la forme d’interrogation non automatisée concernent quatre fichiers intéressant la sûreté de l’Etat ou la défense et pouvant être interrogés par les seuls agents de la DRSD.
La CNIL prend acte de ce que la nécessité de consulter chacun de ces fichiers sera appréciée au cas par cas, selon les besoins de l’enquête.
En troisième lieu, ACCReD MINDEF fera l’objet d’une interconnexion avec le traitement "SOPHIA", lequel permet de transmettre et de suivre les dossiers relatifs aux enquêtes dont la DRSD a la charge, enquêtes qui sont ensuite réalisées grâce à d’autres traitements. SOPHIA a vocation à être alimenté par des données figurant dans ACCReD MINDEF.
La CNIL rappelle que lorsque des traitements sont encadrés par des actes réglementaires, leur mise en relation doit respecter les dispositions régissant chacun des traitements concernés. En particulier, l’opération de mise en relation doit être conforme aux finalités, aux catégories de données et aux accédants ou destinataires fixés par les actes réglementaires concernés (v. CNIL, SP, 27 mai 2021, avis sur projet de décret, LRPGN, n° 2021-061, publié).
Enfin, elle attire l’attention du ministère sur la nécessité de veiller à ce que les données issues d’ACCReD MINDEF qui seraient, le cas échéant, versées dans d’autres fichiers, notamment ceux présentant une sensibilité particulière, y soient conservées pour la seule durée pertinente et nécessaire à la finalité ayant justifié leur transmission.
C. Sur les données collectées
Le projet de décret énumère les catégories de données pouvant être enregistrées dans le traitement.
De manière générale, la CNIL estime que ces données sont adéquates et pertinentes au regard des finalités pour lesquelles elles sont traitées.
Elle relève néanmoins la diversité des catégories de données susceptibles d’être traitées, la sensibilité de certaines d’entre elles, et observe que leur traitement, réalisé dans le cadre d’enquêtes administratives préalables à une décision, peut avoir un fort impact sur les droits et libertés des personnes concernées.
D’une part, des mesures devront être mises en place pour garantir que seules les données nécessaires à la réalisation d’une enquête sont enregistrées, conformément au principe de minimisation. Ainsi :
il conviendra d’assurer une collecte sélective des données eu égard à la nature de l’enquête réalisée ;
s’agissant en particulier de la catégorie relative aux "éléments issus des vérifications complémentaires opérées dans le cadre de l'enquête administrative […]", il conviendra de s’assurer, par exemple via une sensibilisation spécifique des agents, que ces informations se limiteront aux seules données strictement nécessaires pour apprécier que le comportement de la personne concernée n'est ni incompatible avec l'accès ou les fonctions envisagés, ni de nature à porter atteinte à la sécurité des personnes, à la sécurité publique ou à la sûreté de l'Etat.
D’autre part, dans la mesure où les données du traitement sont issues de différents fichiers et que la prise en compte d’informations erronées, ou non à jour, pourrait avoir des conséquences importantes pour les personnes concernées, il conviendra de prendre toutes les mesures nécessaires pour assurer l’exactitude des données enregistrées dans ACCReD MINDEF.
D. Sur les accédants et les destinataires
En premier lieu, le projet de décret prévoit que les catégories d’accédants au traitement sont, d’une part, les agents de la DRSD et, d’autre part, les personnels des formations spécialisées de la gendarmerie nationale relevant de la gendarmerie maritime, de la gendarmerie de l’air et de l’espace et de la gendarmerie de l’armement.
La CNIL prend acte de ce que l’accès des personnels des formations spécialisées de la gendarmerie nationale sera accordé dans le cadre de la réalisation d’enquêtes administratives pour le compte de la DRSD (pour les autorisations d’accès aux enceintes militaires, par exemple).
En second lieu, le projet de décret prévoit, parmi les destinataires des données du traitement, "tout agent d’un service du ministère de la défense, chargé d’effectuer une des enquêtes administratives mentionnées à l’article 1er , pour les seules données relatives au sens de l’avis ou de la décision".
Dans la mesure où les catégories de destinataires doivent être désignées avec une précision suffisante, la CNIL recommande que le projet de décret, dans la mesure compatible avec les finalités du traitement et la sensibilité des missions des services, précise cette catégorie de destinataires.
E. Sur les mesures de sécurité
La CNIL prend acte de la mise en œuvre d’une gestion fine des droits et des habilitations dans la limite du droit d’en connaitre.
Par ailleurs, elle prend acte de la mise en œuvre d’une authentification multifacteur des accédants au traitement.
S’agissant de la journalisation, le ministère rappelle le fait que l’ensemble des actions réalisées sur l’application sont tracées et enregistrées dans un puits de logs.
La CNIL rappelle néanmoins sa recommandation sur le déploiement d’une mesure technique de surveillance active des journaux applicatifs, en vue de permettre la détection immédiate d’actions malveillantes au sein du traitement.
Elle souligne que cette exigence s’impose d’autant plus que le traitement ACCReD MINDEF traite des données à caractère personnel dont la divulgation serait susceptible d’avoir d’importantes conséquences sur la sécurité des personnes concernées.
Enfin, la CNIL rappelle qu'il conviendra de réactualiser régulièrement les mesures de sécurité encadrant le traitement, afin qu'elles soient continuellement proportionnées aux risques.
La présidente,
M.-L. Denis
Délibération n° 2026-026 du 19 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique relatif à la mise en oeuvre d’une analyse discursive et interactionnelle en intervention précoce en psychiatrie
L'Université de Montpellier Paul-Valéry a sollicité un avis de la CNIL sur un projet de recherche en psychiatrie impliquant le traitement de données sensibles. La Commission a émis un avis favorable, assorti de recommandations pour atténuer les risques de réidentification, notamment par la pseudonymisation et la suppression des données non pertinentes après analyse. Elle rappelle également l'obligation d'informer les personnes concernées et de vérifier l'application de la dérogation prévue pour la recherche scientifique.
19/03/2026
Délibération n° HABS-2026-001 du 19 mars 2026 habilitant des agents de la Commission nationale de l’informatique et des libertés à établir un rapport en application du cinquième alinéa de l'article 22-1 de la loi n° 78-17 du 6 janvier 1978 modifiée
La CNIL, en tant qu'organisme concerné, a adopté une délibération interne portant habilitation. Cette décision vise à habiliter vingt-cinq agents spécifiques de sa direction des contrôles et des sanctions à établir des rapports dans le cadre de ses pouvoirs de contrôle. Les habilitations sont accordées pour une durée de cinq ans et remplacent une précédente délibération. Aucune sanction n'est mentionnée, cette délibération étant un acte d'organisation interne de l'autorité.
19/03/2026
Délibération n° 2026-023 du 12 mars 2026 portant avis sur un projet de loi renforçant la sécurité du quotidien
La CNIL émet un avis sur un projet de loi du ministère de l'Intérieur visant à renforcer la sécurité du quotidien. Elle relève plusieurs manquements ou risques concernant l'élargissement de l'usage des caméras individuelles à des acteurs privés, l'expérimentation prolongée de traitements algorithmiques sur vidéosurveillance et drones, et la généralisation des dispositifs LAPI avec des durées de conservation allongées. La Commission souligne la nécessité de strictes limites, d'un meilleur encadrement et du respect du principe de proportionnalité pour ces dispositifs intrusifs, afin de protéger les libertés individuelles.
12/03/2026
Délibération n° 2026-019 du 05 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique dont l’objectif est d’étudier l’état du droit de la filiation procréative des personnes transgenres (PROTRANS)
L'Université Lumière Lyon 2 a sollicité un avis de la CNIL pour un projet de recherche scientifique sur la filiation procréative des personnes transgenres, impliquant le traitement de données sensibles. La CNIL émet un avis favorable mais formule des recommandations, notamment sur la nécessité de clarifier la répartition des responsabilités entre les universités co-responsables du traitement. Elle souligne également les risques de collecte incidente de données lors des entretiens et de réidentification des personnes, en raison du faible nombre de participants et de la collecte d'informations telles que la commune de naissance dans les décisions de justice.
05/03/2026