15.10.2011

FR

Journal officiel de l'Union européenne

C 304/7

---

Décision de la haute représentante de l'Union pour les affaires étrangères et la politique de sécurité

du 15 juin 2011

relative aux règles de sécurité applicables au service européen pour l'action extérieure

2011/C 304/05

LA HAUTE REPRÉSENTANTE,

vu la décision 2010/427/UE du Conseil fixant l'organisation et le fonctionnement du service européen pour l'action extérieure («SEAE»), et notamment son article 10,

vu l'avis du comité visé à l'article 10, paragraphe 1, de la décision du Conseil susmentionnée,

considérant ce qui suit:

(1)	En tant qu'organe de l'Union européenne fonctionnant de manière autonome, le SEAE devrait être doté de règles de sécurité, telles que visées à l'article 10, paragraphe 1, de la décision 2010/427/UE du Conseil.

(2)

La haute représentante doit fixer pour le SEAE des règles englobant tous les aspects de la sécurité afin que ce dernier soit en mesure de gérer efficacement les risques menaçant son personnel, ses biens matériels et les informations qu'il détient et de s'acquitter des responsabilités qui lui incombent en ce qui concerne l'obligation de vigilance à cet égard.

(3)

Les règles de sécurité applicables au SEAE devraient contribuer à la mise en place d'un cadre général complet et plus cohérent au sein de l'Union européenne pour ce qui est de la protection des informations classifiées, en s'appuyant sur les règles de sécurité du Conseil et sur les dispositions de la Commission en matière de sécurité.

(4)

Il convient, en particulier, de garantir au personnel du SEAE, à ses biens matériels et aux informations qu'il détient un niveau de protection conforme aux meilleures pratiques en usage au Conseil, à la Commission européenne, dans les États membres et, s'il y a lieu, dans les organisations internationales.

(5)	Les principes de base et les normes minimales de protection des informations classifiées appliqués au SEAE doivent être équivalents à ceux appliqués au Conseil et à la Commission européenne.

(6)	Il importe de fixer l'organisation de la sécurité dans le SEAE et l'allocation des tâches relatives à la sécurité au sein des structures du SEAE.

(7)	La haute représentante doit prendre toutes les mesures qui s'imposent pour appliquer ces règles avec l'appui des États membres, du secrétariat général du Conseil et de la Commission européenne.

(8)	La haute représentante s'appuie sur les compétences techniques existant en la matière dans les États membres, au secrétariat général du Conseil et à la Commission européenne, si nécessaire, en mettant notamment en place une architecture de sécurité appropriée,

A ADOPTÉ LA PRÉSENTE DÉCISION:

Article premier

Objet et champ d'application

1.   La présente décision arrête les règles en matière de sûreté et de sécurité applicables au service européen pour l'action extérieure (ci-après les «règles de sécurité applicables au SEAE»). Elle définit le cadre réglementaire général permettant à ce dernier de gérer efficacement les risques menaçant son personnel, ses biens matériels et les informations qu'il détient et de s'acquitter des responsabilités qui lui incombent en ce qui concerne l'obligation de vigilance à cet égard.

2.   Les règles de sécurité applicables au SEAE s'appliquent à tous les membres de son personnel (à savoir aux fonctionnaires et autres agents, aux experts nationaux détachés et aux agents locaux) et du personnel des délégations de l'Union, indépendamment de leur origine ou statut administratif (ci-après le «personnel»).

3.   La haute représentante prend toute mesure nécessaire pour appliquer ces règles au sein du SEAE et se doter des moyens nécessaires englobant tous les aspects de la sécurité avec le soutien des services compétents des États membres, du secrétariat général du Conseil et de la Commission.

4.   Dès l'entrée en vigueur de la présente décision, des dispositifs transitoires peuvent être utilisés, s'il y a lieu, en concluant des accords, au niveau des services, avec les services compétents du secrétariat général du Conseil et de la Commission.

5.   La haute représentante réexamine périodiquement ces règles de sécurité. Elle assure la cohérence globale de l'application de la présente décision.

6.   Le cas échéant, la haute représentante approuve, sur recommandation du comité visé à l'article 9, paragraphe 6, les politiques de sécurité énonçant les mesures destinées à mettre en œuvre la présente décision. Ce comité peut arrêter à son niveau des lignes directrices en matière de sécurité en complément ou à l'appui de la présente décision.

7.   En mettant en œuvre le paragraphe 6, le comité tient pleinement compte des politiques et lignes directrices en matière de sécurité en vigueur au Conseil et à la Commission européenne, de manière à maintenir une certaine cohérence entre les mesures de sécurité applicables au SEAE, au Conseil et à la Commission.

Article 2

Gestion des risques de sécurité

1.   Afin de déterminer ses besoins en matière de protection, le SEAE applique une méthode globale d'évaluation des risques pour la sécurité, en concertation avec le Bureau de sécurité du secrétariat général du Conseil et la direction de la sécurité de la Commission européenne. Le comité visé à l'article 9, paragraphe 6, est consulté au sujet de son application au sein du SEAE.

2.   Les risques pesant sur le personnel, les biens matériels et les informations sont gérés dans le cadre d'une procédure. Cette dernière vise à déterminer les risques connus pesant sur la sécurité, à définir des mesures de sécurité permettant de ramener ces risques à un niveau acceptable et à appliquer ces mesures selon le principe de défense en profondeur. L'efficacité de telles mesures fait l'objet d'une évaluation constante.

3.   Les rôles, responsabilités et tâches fixés dans la présente décision sont sans préjudice de la responsabilité qui incombe à chaque membre du personnel du SEAE de faire preuve de bon sens et de discernement pour ce qui a trait à sa propre sécurité, ni de l'obligation qui lui est faite de respecter toutes les règles, réglementations, procédures et consignes de sécurité applicables.

4.   Le SEAE prend toutes les mesures raisonnables pour garantir la sécurité de son personnel, de ses biens matériels et des informations qu'il détient et pour éviter tout dommage raisonnablement prévisible s'y rapportant, conformément à l'article 1er, paragraphe 3.

5.   Les mesures de sécurité applicables au SEAE visant à protéger les informations classifiées tout au long de leur cycle de vie sont proportionnées en particulier à leur classification de sécurité, à la forme sous laquelle se présentent les informations ou les matériels ainsi qu'à leur volume, au lieu et à la construction des établissements où se trouvent des informations classifiées et à la menace, notamment celle évaluée à l'échelle locale que représentent les activités malveillantes et/ou criminelles, y compris l'espionnage, le sabotage et le terrorisme.

Article 3

Protection des informations

1.   La haute représentante, après avoir consulté le comité visé à l'article 10, paragraphe 1, de la décision 2010/427/UE du Conseil fixant l'organisation et le fonctionnement du SEAE, décide des règles à appliquer pour la protection des informations classifiées, équivalentes à celles fixées dans la décision 2011/292/UE du Conseil concernant les règles de sécurité aux fins de la protection des informations classifiées de l'UE (1) (ci-après les «ICUE»). En attendant l'adoption de ces règles, le SEAE applique mutatis mutandis le règlement de sécurité du Conseil susmentionné. La haute représentante prend toutes les mesures qui s'imposent pour appliquer ce règlement au sein du SEAE, en vertu de l'article 1er, paragraphe 3.

2.   Lorsque les États membres introduisent des informations classifiées portant un marquage national de classification de sécurité dans les structures ou réseaux du SEAE, ce dernier protège ces informations conformément aux règles applicables aux ICUE de niveau équivalent, ainsi que prévu dans les règles applicables en vertu de l'article 3, paragraphe 1.

3.   En ce qui concerne la protection des informations sensibles non classifiées, les mesures de sécurité au sein du SEAE doivent être proportionnées à leur sensibilité et/ou à l'incidence sur les intérêts de l'UE de leur divulgation non autorisée.

Article 4

Sécurité physique

1.   Il convient de mettre en place des mesures physiques de sécurité appropriées, et notamment de prendre des dispositions relatives aux contrôles des accès, pour l'ensemble des locaux, bâtiments, bureaux, salles et autres zones du SEAE, y compris les zones où se trouvent les systèmes d'information et de communication traitant des informations classifiées. Ces mesures doivent être prises en tenant compte de la conception et de la planification des bâtiments.

2.   Si nécessaire, des mesures physiques de sécurité sont mises en place pour la protection des membres du personnel et des personnes à leur charge.

3.   Les mesures visées aux paragraphes 1 et 2 sont proportionnées au risque évalué pesant sur le personnel, les visiteurs, les biens matériels et les informations.

4.   Les zones du SEAE où sont stockées des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou d'un niveau de classification supérieur, ou équivalent, sont créées en tant que zones sécurisées conformément aux règles applicables en vertu de l'article 3, paragraphe 1, et doivent être approuvées par l'autorité de sécurité compétente au sein du SEAE.

Article 5

Habilitation de sécurité du personnel

1.   L'accès aux informations classifiées et les procédures d'habilitation de sécurité concernant le personnel sont régis par les prescriptions figurant dans les règles applicables en vertu de l'article 3, paragraphe 1.

2.   Tous les agents qui, en raison de leurs attributions, peuvent avoir besoin d'accéder à des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou d'un niveau de classification supérieur, ou équivalent, font l'objet d'une habilitation de sécurité du niveau correspondant avant de pouvoir accéder à de telles informations classifiées. Toutefois, les agents locaux ne doivent pas avoir accès aux ICUE, sauf si les conditions prévues dans les règles applicables en vertu de l'article 3, paragraphe 1, en disposent ainsi et en conformité avec elles.

3.   Les procédures d'habilitation de sécurité concernant le personnel du SEAE figurent dans les règles applicables en vertu de l'article 3, paragraphe 1. Ces procédures offrent un niveau d'assurance équivalent à celui prévu dans les procédures appliquées par la Commission européenne et le secrétariat général du Conseil.

Article 6

Sécurité des systèmes de communication et d'information

1.   Le SEAE protège les informations traitées dans les systèmes d'information et de communication (ci-après «SIC») contre les menaces pesant sur leur confidentialité, leur intégrité, leur disponibilité, leur authenticité et leur non-répudiation.

2.   Tous les SIC traitant des informations classifiées font l'objet d'un processus d'homologation. Le SEAE applique un système de gestion de l'homologation de sécurité en concertation avec le secrétariat général du Conseil et la Commission européenne.

3.   Lorsque la protection des ICUE est assurée par des produits cryptographiques, ces produits doivent être agréés par l'autorité d'agrément cryptographique du SEAE, sur recommandation du comité visé à l'article 10, paragraphe 1, de la décision 2010/427/UE du Conseil fixant l'organisation et le fonctionnement du SEAE, conformément à l'article 10 de la décision 2011/292/UE du Conseil concernant les règles de sécurité aux fins de la protection des informations classifiées de l'UE.

4.   Pour autant que de besoin, la haute représentante institue les autorités compétentes en matière d'assurance de l'information ci-après, en vertu de l'article 3, paragraphe 1:

a)	une autorité chargée de l'assurance de l'information;

b)	une autorité TEMPEST;

c)	une autorité d'agrément cryptographique;

d)	une autorité de distribution cryptographique.

5.   Pour chaque système, la haute représentante institue les autorités compétentes suivantes, en vertu de l'article 3, paragraphe 1:

a)	une autorité d'homologation de sécurité;

b)	une autorité opérationnelle chargée de l'assurance de l'information.

Article 7

Sensibilisation et formation en matière de sécurité

1.   La haute représentante veille à l'élaboration et à la mise en œuvre de programmes de sensibilisation et de formation en matière de sécurité au sein du SEAE et fait en sorte que les membres du personnel et, s'il y a lieu, les personnes à leur charge, bénéficient d'actions de formation et de sensibilisation proportionnées aux risques inhérents à leur lieu de résidence.

2.   Avant de se voir accorder l'accès à des informations classifiées et à intervalles réguliers par la suite, le personnel est informé des responsabilités qui lui incombent en matière de protection des ICUE, conformément aux règles applicables en vertu de l'article 3, paragraphe 1, et reconnait ces responsabilités.

Article 8

Infractions à la sécurité et compromission des informations classifiées

1.   Toute infraction à la sécurité, réelle ou présumée, est immédiatement signalée à la direction de la sécurité du SEAE, qui en informe les autorités compétentes de la Commission, du secrétariat général du Conseil ou des États membres, si nécessaire.

2.   Lorsqu'il est avéré ou qu'il existe des motifs raisonnables de supposer que des informations classifiées ont été compromises ou perdues, la direction de la sécurité du SEAE en informe la direction de la sécurité de la Commission européenne, le secrétariat général du Conseil ou les États membres, selon le cas, et prend toutes les mesures nécessaires conformément aux règles applicables en vertu de l'article 3, paragraphe 1.

3.   Tout membre du personnel qui enfreint les règles de sécurité énoncées dans la présente décision est passible d'une sanction disciplinaire conformément aux dispositions législatives et réglementaires applicables. Toute personne responsable de la compromission ou de la perte d'informations classifiées est passible de sanctions disciplinaires et/ou peut faire l'objet d'une action en justice conformément aux dispositions législatives et réglementaires applicables.

Article 9

Organisation de la sécurité au sein du SEAE

1.   La haute représentante est l'autorité du SEAE compétente en matière de sécurité. En cette qualité, elle veille en particulier:

a)

à ce que les mesures de sécurité fassent l'objet, si nécessaire, d'une coordination avec les autorités compétentes des États membres, du secrétariat général du Conseil, de la Commission européenne et, s'il y a lieu, de pays tiers ou d'organisations internationales sur toutes les questions de sécurité présentant un intérêt pour les activités du SEAE, notamment en ce qui concerne la nature des menaces qui pèsent sur la sécurité de son personnel, de ses biens matériels et des informations qu'il détient, et les conseils sur les moyens de s'en protéger;

b)	à ce que les aspects liés à la sécurité soient pleinement pris en compte dès le départ pour l'ensemble des activités du SEAE;

c)

à ce que des habilitations de sécurité du personnel de l'UE soient accordées au personnel du SEAE, conformément à l'article 5, paragraphe 2, avant qu'il ne soit autorisé à accéder à des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou d'un niveau de classification supérieur, ou équivalent;

d)

à ce qu'un système de registres relatif à la sécurité soit établi au sein du SEAE, qui garantisse que les informations classifiées soient traitées conformément aux règles applicables en vertu de l'article 3, paragraphe 1, et qui garde une trace de toutes les informations classifiées communiquées par le SEAE à des pays tiers et à des organisations internationales, ainsi que de toutes les informations classifiées reçues de pays tiers ou d'organisations internationales;

e)	à ce que les inspections de sécurité visées à l'article 11 soient réalisées;

f)

à ce que des enquêtes soient menées sur toute infraction à la sécurité, réelle ou présumée, notamment toute compromission ou perte d'informations classifiées détenues par le SEAE ou provenant de ce dernier, et à ce qu'il soit demandé aux autorités de sécurité compétentes de participer à de telles enquêtes;

g)	à ce que des mécanismes et des plans de gestion des incidents et de leurs conséquences soient mis en place, de manière à réagir rapidement et efficacement en cas d'incidents de sécurité;

h)	à ce que des mesures appropriées soient prises en cas de non-respect de la présente décision par le personnel.

2.   La haute représentante peut, si nécessaire, conclure des accords administratifs, notamment en ce qui concerne l'échange d'informations classifiées avec des pays tiers ou des organisations internationales, sans préjudice de l'article 218, paragraphe 3, du traité sur le fonctionnement de l'Union européenne. Le comité visé à l'article 9, paragraphe 6, sera consulté avant leur conclusion.

3.   Le secrétaire général exécutif veille à ce que les mesures physiques et organisationnelles appropriées soient mises en place pour garantir la sécurité du personnel et des visiteurs, des biens matériels et des informations dans l'ensemble des locaux du SEAE. Il est assisté dans sa tâche par le directeur opérationnel et la direction de la sécurité du SEAE.

4.   La direction de la sécurité du SEAE est responsable de l'organisation de toutes les questions ayant trait à la sécurité au sein du SEAE. Elle se tient à la disposition de la haute représentante, à laquelle elle peut rendre compte, au besoin, conformément à son mandat. En vertu de l'article 10, paragraphe 3, de la décision 2010/427/UE du Conseil fixant l'organisation et le fonctionnement du SEAE, la direction de la sécurité est assistée par les services compétents des États membres.

5.   Chaque chef de délégation de l'Union est responsable de la mise en œuvre de l'ensemble des mesures relatives à la sécurité de sa délégation, dont il gère la sécurité du personnel, des visiteurs, des biens matériels et des informations. Il est assisté dans sa mission par la direction de la sécurité du SEAE, par le personnel de la délégation exerçant des tâches et fonctions ayant trait à la sécurité et par le personnel de sécurité en poste, si nécessaire.

6.   Un Comité de sécurité est créé par la présente décision. La haute représentante prend conseil auprès du Comité de sécurité, qui examine et évalue toute question de sécurité relevant du champ d'application de la présente décision et émet des recommandations, le cas échéant. Le Comité de sécurité est composé d'experts de la sécurité compétents représentant chaque État membre, le secrétariat général du Conseil et la direction de la sécurité de la Commission européenne. Il est présidé par la haute représentante ou par son délégué désigné et se réunit sur instruction de celle-ci ou à la demande de l'un quelconque de ses membres. Le Comité de sécurité organise ses activités de manière à être en mesure de formuler des recommandations sur des aspects spécifiques de la sécurité entrant dans le champ d'application de la présente décision.

7.   Le chef de la direction de la sécurité du SEAE rencontre régulièrement, et aussi souvent que nécessaire, le directeur de la sécurité du secrétariat général du Conseil et le directeur de la direction de la sécurité de la Commission européenne, en vue de s'entretenir de questions présentant un intérêt commun.

Article 10

Sécurité des missions PSDC et du RSUE

La responsabilité de chaque chef de mission ou du représentant spécial de l'UE (RSUE) au regard de la sécurité de la mission ou de l'équipe est définie dans la décision du Conseil relative à l'établissement de la mission du RSUE et à sa nomination. Chaque chef de mission ou le RSUE peut être assisté par la direction de la sécurité du SEAE pour veiller à ce que la politique approuvée par le Conseil en matière de sécurité du personnel déployé à l'extérieur de l'UE dans le cadre d'une capacité opérationnelle relevant du titre V, chapitre 2, du traité sur l'Union européenne soit dûment mise en œuvre. Il convient pour ce faire de mettre en place les mécanismes de liaison ad hoc.

Article 11

Inspections de sécurité

1.   La haute représentante veille à ce que des inspections de sécurité soient réalisées afin de s'assurer du respect des règles de sécurité et des réglementations protégeant le personnel, les biens matériels et les informations au sein du SEAE, ainsi que dans le cadre des missions prévues au titre V, chapitre 2, du TUE.

2.   Le SEAE s'appuie, si nécessaire, sur les compétences techniques existant en la matière dans les États membres, au secrétariat général du Conseil et à la Commission européenne.

3.   La haute représentante adopte un programme annuel pour les inspections de sécurité.

Article 12

Planification de la continuité des activités

La direction de la sécurité du SEAE assiste le secrétaire général exécutif dans la gestion des aspects des processus opérationnels du SEAE se rapportant à la sécurité, dans le cadre de la planification globale de la continuité des activités du SEAE.

Article 13

Entrée en vigueur

La présente décision entre en vigueur le jour de sa signature.

---

(1)  Décision 2011/292/UE du Conseil du 31 mars 2011 concernant les règles de sécurité aux fins de la protection des informations classifiées de l'UE (JO L 141 du 27.5.2011, p. 17).

---