2001D0844 — FR — 05.08.2006 — 003.001

---

Ce document constitue un outil de documentation et n’engage pas la responsabilité des institutions

►B	DÉCISION DE LA COMMISSION du 29 novembre 2001 modifiant son règlement intérieur [notifiée sous le numéro C(2001) 3031] (2001/844/CE, CECA, Euratom) (JO L 317, 3.12.2001, p.1)

Modifié par:

		Journal officiel
		No	page	date
►M1	DÉCISION DE LA COMMISSION du 3 février 2005	L 31	66	4.2.2005
►M2	DÉCISION DE LA COMMISSION du 31 janvier 2006	L 34	32	7.2.2006
►M3	DÉCISION DE LA COMMISSION du 2 août 2006	L 215	38	5.8.2006

Rectifié par:

C1	Rectificatif, JO L 037 du 10.2.2005, p. 21  (94/05)

---

▼B

DÉCISION DE LA COMMISSION

du 29 novembre 2001

modifiant son règlement intérieur

[notifiée sous le numéro C(2001) 3031]

(2001/844/CE, CECA, Euratom)

Article premier

Les dispositions de la Commission en matière de sécurité, dont le texte figure à l'annexe de la présente décision, sont ajoutées en annexe au règlement intérieur de la Commission.

Article 2

La présente décision entre en vigueur le jour de sa publication au Journal officiel des Communautés européennes.

Elle s'applique à partir du 1er décembre 2001.

---

ANNEXE

DISPOSITIONS DE LA COMMISSION EN MATIÈRE DE SÉCURITÉ

Considérant ce qui suit:

▼M2

▼B

Article premier

Les règles en matière de sécurité figurent à l'annexe.

Article 2

1.  Le membre de la Commission chargé des questions de sécurité prend les mesures appropriées pour faire en sorte que, lors du traitement d'informations classifiées de l'UE, les règles visées à l'article 1er soient respectées au sein de la Commission par ses fonctionnaires et autres agents comme par le personnel détaché auprès de la Commission, ainsi que dans tous les lieux de travail de la Commission, y compris ses représentations et bureaux dans l'Union et ses délégations dans les pays tiers, et également par les contractants extérieurs de la Commission.

▼M3

Lorsqu'un contrat ou une convention de subvention entre la Commission et un contractant extérieur ou un bénéficiaire implique le traitement d'informations classifiées de l'UE dans les locaux du contractant ou du bénéficiaire, les mesures appropriées devant être prises par ledit contractant extérieur ou par ledit bénéficiaire afin de veiller au respect, lors du traitement des informations classifiées de l'UE, les règles visées à l'article 1er font partie intégrante du contrat ou de la convention de subvention.

▼B

2.  Les États membres, les autres institutions ainsi que les instances, bureaux et agences établis en vertu ou sur la base des traités pourront recevoir des informations classifiées de l'UE pourvu qu'ils veillent à ce que des règles strictement équivalentes à celles visées à l'article 1er soient appliquées, dans leurs services et leurs locaux, au traitement de telles informations, notamment par:

Article 3

Les pays tiers, organisations internationales et autres organismes pourront recevoir des informations classifiées de l'UE pourvu qu'ils assurent, dans le traitement de ces informations, le respect de règles strictement équivalentes à celles visées à l'article 1er.

Article 4

Dans le respect des principes de base et des normes minimales de sécurité figurant dans la partie I de l'annexe, le membre de la Commission chargé des questions de sécurité peut prendre des mesures conformément à la partie II de l'annexe.

Article 5

À compter de leur date d'application, les présentes dispositions remplacent:

Article 6

À compter de la date d'application des présentes dispositions, toutes les informations classifiées détenues par la Commission jusqu'à cette date, à l'exception des informations classées Euratom sont:

---

ANNEXE

RÈGLES EN MATIÈRE DE SÉCURITÉ

Sommaire
PARTIE I:	PRINCIPES DE BASE ET NORMES MINIMALES DE SÉCURITÉ
1.	INTRODUCTION
2.	PRINCIPES GÉNÉRAUX
3.	FONDEMENTS D'UNE BONNE SÉCURITÉ
4.	PRINCIPES RELATIFS À LA SÉCURITÉ DES DONNÉES
4.1.	Objectifs
4.2.	Définitions
4.3.	Classification
4.4.	Objectifs des mesures de sécurité
5.	ORGANISATION DE LA SÉCURITÉ
5.1.	Normes minimales communes
5.2.	Organisation
6.	MESURES DE SÉCURITÉ RELATIVES AU PERSONNEL
6.1.	Habilitations de sécurité
6.2.	Registres des habilitations de sécurité du personnel
6.3.	Formation du personnel dans le domaine de la sécurité
6.4.	Responsabilités du personnel d'encadrement
6.5.	Statut du personnel en matière de sécurité
7.	SÉCURITÉ PHYSIQUE
7.1.	Exigences en matière de protection
7.2.	Contrôles
7.3.	Sécurité des bâtiments
7.4.	Plans d'urgence
8.	SÉCURITÉ DES INFORMATIONS
9.	PROTECTION CONTRE LE SABOTAGE OU TOUT AUTRE ACTE INTENTIONNEL DE DÉTÉRIORATION
10.	COMMUNICATIONS D'INFORMATIONS CLASSIFIÉES À DES PAYS TIERS OU À DES ORGANISATIONS INTERNATIONALES
PARTIE II:	ORGANISATION DE LA SÉCURITÉ AU SEIN DE LA COMMISSION
11.	LE MEMBRE DE LA COMMISSION CHARGÉ DES QUESTIONS DE SÉCURITÉ
12.	LE GROUPE CONSULTATIF DE LA COMMISSION SUR LA POLITIQUE DE SÉCURITÉ
13.	LE COMITÉ DE SÉCURITÉ DE LA COMMISSION
14.	LA ►M2  DIRECTION DE LA SÉCURITÉ DE LA COMMISSION ◄
15.	INSPECTIONS DE SÉCURITÉ
16.	CLASSIFICATIONS; TIMBRES ET IDENTIFIANTS DE SÉCURITÉ
16.1.	Degrés de classification
16.2.	Identifiants de sécurité
16.3.	Timbres
16.4.	Apposition de la classification
16.5.	Apposition des identifiants de sécurité
17.	POLITIQUE EN MATIÈRE DE CLASSIFICATION
17.1.	Généralités
17.2.	Détermination de la classification
17.3.	Déclassement et déclassification
18.	SÉCURITÉ PHYSIQUE
18.1.	Généralités
18.2.	Exigences de sécurité
18.3.	Mesures physiques de sécurité
18.3.1.	Zones de sécurité
18.3.2.	Zone administrative
18.3.3.	Contrôle des entrées et des sorties
18.3.4.	Rondes
18.3.5.	Meubles de sécurité et chambres fortes
18.3.6.	Serrures
18.3.7.	Contrôle des clés et combinaisons
18.3.8.	Dispositifs de détection des intrusions
18.3.9.	Matériels agréés
18.3.10.	Protection physique des photocopieuses et des télécopieurs
18.4.	Protection contre la néglicence et les écoutes clandestines
18.4.1.	Protection contre les regards
18.4.2.	Protection contre les écoutes
18.4.3.	Introduction d'appareils électroniques et de matériel d'enregistrement
18.5.	Zones protégées sur le plan technique
19.	RÈGLES GÉNÉRALES RELATIVES AU BESOIN D'EN CONNAÎTRE ET AUX HABILITATIONS DE SÉCURITÉ DU PERSONNEL DE L'UE
19.1.	Généralités
19.2.	Règles spécifiques concernant l'accès aux informations classifiées TRES SECRET UE/EU TOP SECRET
19.3.	Règles spécifiques concernant l'accès aux informations classifiées TRES SECRET UE/EU TOP SECRET et CONFIDENTIEL UE
19.4.	Règles spécifiques concernant l'accès aux informations classifiées RESTREINT UE
19.5.	Mutations
19.6.	Instructions spéciales
20.	PROCÉDURE D'HABILITATION DE SÉCURITÉ POUR LES FONCTIONNAIRES ET AUTRES AGENTS DE LA COMMISSION
21.	PRÉPARATION, RÉPARTITION, TRANSMISSION, MESURES DE SÉCURITÉ RELATIVES AUX COURRIERS, EXEMPLAIRES SUPPLÉMENTAIRES, TRADUCTIONS ET EXTRAITS DE DOCUMENTS CLASSIFIÉS DE L'UE
21.1.	Préparation
21.2.	Diffusion
21.3.	Transmission/transport de documents classifiés de l'UE
21.3.1.	Emballages et récépissés
21.3.2.	Transmission au sein d'un bâtiment ou d'un groupe de bâtiments
21.3.3.	Transmission à l'intérieur d'un même pays
21.3.4.	Transmission d'un État à un autre
21.3.5.	Transmission/transport de documents classifiés de l'UE
21.4.	Mesures de sécurité relatives aux courriers
21.5.	Transmission par voie électronique ou d'autres moyens techniques
21.6.	Exemplaires supplémentaires et traductions et extraits de documents classifiés de l'UE
22.	BUREAUX D'ORDRE, REGROUPEMENTS, CONTRÔLES, ARCHIVAGE ET DESTRUCTION DE DOCUMENTS CLASSIFIÉS DE L'UE
22.1.	Bureaux d'ordre locaux chargés des documents classifiés de l'UE
22.2.	Le bureau d'ordre TRES SECRET UE/EU TOP SECRET
22.2.1.	Généralités
22.2.2.	Le bureau d'ordre central TRES SECRET UE/EU TOP SECRET
22.2.3.	Bureaux d'ordre TRES SECRET UE/EU TOP SECRET subordonnés
22.3.	Inventaires, regroupements et contrôles de documents classifiés de l'UE
22.4.	Archivage d'informations classifiées de l'UE
22.5.	Destruction des documents classifiés de l'UE
22.6.	Destruction en cas d'urgence
23.	MESURES DE SÉCURITÉ À APPLIQUER À L'OCCASION DES RÉUNIONS SPÉCIFIQUES TENUES EN DEHORS DES LOCAUX DE LA COMMISSION ET METTANT EN JEU DES INFORMATIONS CLASSIFIÉES DE L'UE
23.1.	Généralités
23.2.	Les responsabilités
23.2.1.	La ►M2  direction de la sécurité de la Commission ◄
23.2.2.	Le responsable de la sécurité de la réunion
23.3	Mesures de sécurité
23.3.1.	Zones de sécurité
23.3.2.	Laissez-passer
23.3.3.	Contrôle des appareils photographiques et des appareils d'enregistrement
23.3.4.	Contrôle des porte-documents, ordinateurs portatifs et paquets
23.3.5.	Sécurité technique
23.3.6.	Documents des délégations
23.3.7.	Conservation des documents en lieu sûr
23.3.8.	Vérification des bureaux
23.3.9.	Élimination des rebuts classifiés de l'UE
24.	INFRACTIONS À LA SÉCURITÉ ET COMPROMISSION DES INFORMATIONS CLASSIFIÉES DE L'UE
24.1.	Définitions
24.2.	Dénonciation des infractions à la sécurité
24.3.	Actions en justice
25.	PROTECTION DES INFORMATIONS CLASSIFIÉES DE L'UE TRANSITANT PAR DES SYSTÈMES DE COMMUNICATION ET D'INFORMATION
25.1.	Introduction
25.1.1.	Généralités
25.1.2.	Vulnérabilité des systèmes et menaces éventuelles
25.1.3.	But principal des mesures de sécurité
25.1.4.	Énoncé des impératifs de sécurité propres à un système (SSRS)
25.1.5.	Modes d'exploitation de sécurité
25.2.	Définitions
25.3.	Responsabilités en matière de sécurité
25.3.1.	Généralités
25.3.2.	L'autorité d'homologation de sécurité (SAA)
25.3.3.	L'autorité INFOSEC (IA)
25.3.4.	Le propriétaire des systèmes techniques (TSO)
25.3.5.	Le propriétaire de l'information (IO)
25.3.6.	Utilisateurs
25.3.7.	Formation INFOSEC
25.4.	Mesures de sécurité non techniques
25.4.1.	Sécurité du personnel
25.4.2.	Sécurité physique
25.4.3.	Contrôle des accès à un système
25.5.	Mesures de sécurité techniques
25.5.1.	Sécurité des informations
25.5.2.	Contrôle et comptabilisation des informations
25.5.3.	Manipulation et contrôle des supports amovibles
25.5.4.	Déclassification et destruction des supports informatiques
25.5.5.	Sécurité des communications
25.5.6.	Mesures de sécurité concernant l'installation et le rayonnement
25.6.	Sécurité pendant le traitement
25.6.1.	Procédures d'exploitation de sécurité (SecOP)
25.6.2.	Protection et gestion de la configuration des logiciels
25.6.3.	Détection de la présence de logiciels malveillants ou de virus informatiques
25.6.4.	Maintenance
25.7.	Acquisition
25.7.1.	Généralités
25.7.2.	Homologation
25.7.3.	Évaluation et certification
25.7.4.	Contrôle systématique des dispositifs de sécurité pour la prorogation de l'homologation
25.8.	Utilisation temporaire ou occasionnelle
25.8.1.	Sécurité des micro-ordinateurs et ordinateurs individuels
25.8.2.	Utilisation de matériel TI personnel pour un travail officiel dans le cadre de la Commission
25.8.3.	Utilisation de matériel TI appartenant à un contractant ou fourni par un pays pour un travail officiel dans le cadre de la Commission
26.	COMMUNICATION D'INFORMATIONS CLASSIFIÉES DE L'UE À DES PAYS TIERS OU À DES ORGANISATIONS INTERNATIONALES
26.1.1.	Principes régissant la communication d'informations classifiées de l'UE
26.1.2.	Les niveaux
26.1.3.	Accords de sécurité
Appendice 1:	Tableau comparatif des classifications de sécurité nationales
Appendice 2:	Guide pratique de la classification
Appendice 3:	Lignes directrices concernant la communication d'informations classifiées de l'UE à des États tiers ou à des organisations internationales Niveau 1 de coopération
Appendice 4:	Lignes directrices concernant la communication d'informations classifiées de l'UE à des États tiers ou à des organisations internationales Niveau 2 de coopération
Appendice 5:	Lignes directrices concernant la communication d'informations classifiées de l'UE à des États tiers ou à des organisations internationales Niveau 3 de coopération
Appendice 6:	Liste des abréviations

PARTIE I:   PRINCIPES DE BASE ET NORMES MINIMALES DE SÉCURITÉ

1.   INTRODUCTION

Les présentes règles définissent les principes de base et les normes minimales de sécurité à observer comme il convient par la Commission dans tous ses lieux de travail ainsi que par tout destinataire d'informations classifiées de l'UE, de manière à assurer la sécurité et de sorte que chacun puisse avoir la certitude qu'une norme de protection commune est établie.

2.   PRINCIPES GÉNÉRAUX

La politique de sécurité de la Commission fait partie intégrante de sa politique de gestion interne générale et est par conséquent basée sur les principes régissant sa politique générale.

Ces principes comprennent la légalité, la transparence, la responsabilité et la subsidiarité (proportionnalité).

Par légalité on entend la nécessité de maintenir strictement dans le cadre juridique l'exécution des fonctions de sécurité, ainsi que la nécessité de se conformer aux exigences légales. Les dispositions du statut des fonctionnaires et autres agents s'appliquent pleinement, en particulier son article 17 concernant l'obligation de discrétion à l'égard des informations de la Commission et son titre VI concernant les mesures disciplinaires. Ce concept implique également que les responsabilités en matière de sécurité doivent s'appuyer sur des dispositions juridiques appropriées. Enfin, il implique que les manquements aux règles de sécurité commis dans les domaines de responsabilité de la Commission doivent être traités conformément à la politique de la Commission en matière d'actions disciplinaires et à sa politique de coopération avec les États membres dans le domaine de la justice pénale.

Par «transparence» on entend la nécessité d'établir des règles et dispositions de sécurité universellement caractérisées par leur clarté et d'assurer l'équilibre entre les différents services et les différents domaines (sécurité physique par opposition à protection des données, etc.) ainsi que la nécessité d'une politique cohérente et structurée de sensibilisation à la sécurité. Ce concept implique également la nécessité de disposer d'orientations écrites claires pour la mise en œuvre des mesures de sécurité.

Par responsabilité, on entend la nécessité non seulement de définir clairement les responsabilités dans le domaine de la sécurité, mais également de contrôler régulièrement si ces responsabilités ont été correctement exécutées.

Par subsidiarité, ou proportionnalité, on entend que la sécurité doit être organisée dès le plus bas niveau possible et au plus près des directions générales et des services de la Commission. Ce concept implique également la nécessité de limiter les actions de sécurité aux éléments pour lesquelles elles se justifient véritablement. Il signifie enfin que les mesures de sécurité doivent être proportionnelles aux intérêts à protéger et aux menaces réelles ou potentielles qui pèsent sur ces intérêts, de manière à en organiser la protection dans des conditions imposant le moins de perturbations possible.

3.   FONDEMENTS D'UNE BONNE SÉCURITÉ

Un système de sécurité fiable a pour fondements:

4.   PRINCIPES RELATIFS À LA SÉCURITÉ DES DONNÉES

4.1.   Objectifs

La sécurité des données a pour objectifs principaux:

4.2.   Définitions

Aux fins des présentes règles, on entend par:

4.3.   Classification

4.4.   Objectifs des mesures de sécurité

Les mesures de sécurité doivent:

5.   ORGANISATION DE LA SÉCURITÉ

5.1.   Normes minimales communes

La Commission veille à ce que les normes minimales communes en matière de sécurité soient observées par tout destinataire d'une information classifiée de l'UE, interne et relevant de sa compétence, comme par exemple les services et les contractants de la Commission, de sorte que l'on ait la certitude que toute information classifiée de l'UE sera traitée par tous avec les mêmes précautions. Ces normes minimales doivent comprendre les critères applicables à l'habilitation du personnel et les mesures à prendre pour la protection des informations classifiées de l'UE.

L'accès à des informations classifiées de l'UE ne peut être autorisé par la Commission à des organismes extérieurs que pour autant qu'ils observent, dans la manipulation de telles informations, des dispositions qui soient au moins strictement équivalentes aux présentes normes minimales.

▼M3

Ces normes minimales sont également appliquées lorsque la Commission confie, par voie de contrat ou de convention de subvention, à des entités industrielles ou autres, des tâches qui font intervenir, nécessitent et/ou comportent des informations classifiées de l'UE: ces normes minimales communes sont énoncées à la partie II, section 27.

▼B

5.2.   Organisation

Au sein de la Commission, la sécurité est organisée à deux niveaux:

6.   MESURES DE SÉCURITÉ RELATIVES AU PERSONNEL

6.1.   Habilitations de sécurité

Toute personne devant avoir accès à des informations classifiées CONFIDENTIEL UE ou au-dessus, doit au préalable justifier d'une habilitation de sécurité appropriée. Une habilitation similaire est exigée pour les personnes dont les fonctions consistent à assurer l'exploitation et la maintenance technique de systèmes de communication et d'information contenant des informations classifiées. Cette habilitation devra permettre d'établir si:

Une attention toute particulière devra être accordée au processus d'habilitation de personnes qui:

Dans les cas visés aux points d), e) et f), il faut faire appel au maximum aux méthodes d'enquête sur les antécédents.

Lorsqu'une personne n'ayant pas nécessairement le «besoin d'en connaître» doit être employée dans une fonction susceptible de lui donner accès à des informations classifiées de l'UE (par exemple, messager, agent de sécurité, personnel de maintenance ou de nettoyage), elle doit, au préalable, posséder l'habilitation appropriée.

6.2.   Registres des habilitations de sécurité du personnel

Tout service de la Commission ayant à traiter des informations classifiées de l'UE ou hébergeant des systèmes de communication ou d'information protégés doit tenir un registre des habilitations accordées à cet effet à son personnel. Chaque habilitation doit être vérifiée, en fonction des circonstances, afin de s'assurer qu'elle est conforme aux niveaux de classification des informations et matériels que son bénéficiaire aura à traiter; une nouvelle vérification devient prioritaire chaque fois qu'une information nouvelle laisse à penser que le maintien de la personne concernée dans un poste donnant accès à des informations classifiées n'est plus compatible avec la sécurité. Le responsable local de sécurité du service de la Commission tient le registre des habilitations du domaine placé sous son contrôle.

6.3.   Formation du personnel dans le domaine de la sécurité

Toute personne occupant un poste qui peut lui donner accès à des informations classifiées doit recevoir, lors de son entrée en fonction puis à intervalles réguliers, un exposé très complet des mesures de sécurité nécessaires et des procédures en vigueur à cet égard. Il est obligatoire que tous ces membres du personnel certifient par écrit avoir pleinement compris les règles de sécurité applicables à leur poste.

6.4.   Responsabilités du personnel d'encadrement

Il incombe au personnel d'encadrement de savoir quels sont les membres du personnel qui traitent des informations classifiées ou qui ont accès à des systèmes de communication ou d'information protégés, de prendre note des incidents ou vulnérabilités manifestes pouvant avoir des répercussions sur le plan de la sécurité, et de les signaler.

6.5.   Statut du personnel en matière de sécurité

Il convient d'établir des procédures permettant, si des renseignements défavorables viennent à être communiqués à propos d'une personne donnée, de déterminer si cette personne occupe une fonction nécessitant l'accès à des informations classifiées, ou si elle a accès à des systèmes de communication ou d'information protégés, et d'informer la ►M2  direction de la sécurité de la Commission ◄ . S'il s'avère que cette personne présente un risque pour la sécurité, elle doit être renvoyée ou écartée des fonctions dans lesquelles elle risquerait de nuire à la sécurité.

7.   SÉCURITÉ PHYSIQUE

7.1.   Exigences en matière de protection

Le degré de sécurité physique à mettre en œuvre pour assurer la protection des informations classifiées de l'UE doit être proportionnel à la classification des informations et matériels détenus et à leur volume, ainsi qu'à la menace à laquelle ils sont exposés. Tous les détenteurs d'informations classifiées de l'UE doivent se conformer à des règles normalisées de classification et respecter des critères de protection communs concernant la garde, la transmission et la destruction d'informations et matériels devant être protégés.

7.2.   Contrôles

Avant de laisser sans surveillance un secteur contenant des informations classifiées de l'UE, les personnes en ayant la garde doivent s'assurer qu'elles sont en sécurité et que tous les dispositifs de sécurité (fermetures, alarmes, etc.) sont enclenchés. Des contrôles supplémentaires doivent être effectués par d'autres agents en dehors des heures de bureau.

7.3.   Sécurité des bâtiments

Les bâtiments contenant des informations classifiées de l'UE ou des systèmes de communication et d'information protégés doivent être défendus contre l'accès des personnes non autorisées. La nature de cette défense (par exemple fenêtres à barreaux, portes verrouillables, présence de gardes aux entrées, systèmes de contrôle d'entrée automatiques, inspections et patrouilles de sécurité, systèmes d'alarme, systèmes de détection des intrusions et chiens de garde) est fonction des paramètres suivants:

De même, la nature de la protection accordée aux systèmes de communication et d'information est fonction de l'évaluation de la valeur des informations et matériels en jeu et des dommages potentiels en cas de compromission de la sécurité, des caractéristiques techniques et de la situation du bâtiment qui héberge le système concerné, ainsi que de la localisation du système dans le bâtiment.

7.4.   Plans d'urgence

Il faut établir à l'avance des plans détaillés, destinés à protéger les informations classifiées en cas d'urgence liée à la situation locale ou nationale.

8.   SÉCURITÉ DES INFORMATIONS

La sécurité des informations (INFOSEC) a trait à la détermination et à l'application des mesures de sécurité permettant de protéger les informations classifiées de l'UE traitées, stockées ou transmises par des systèmes de communication, d'information et autres systèmes électroniques contre les atteintes à la confidentialité, à l'intégrité ou à la disponibilité de ces informations, que celles-ci soient accidentelles ou intentionnelles. Il convient de prendre des mesures préventives appropriées afin d'empêcher que des utilisateurs non autorisés accèdent à des informations classifiées de l'UE et que des utilisateurs autorisés se voient refuser l'accès à ces informations, et afin d'en empêcher l'altération, la modification ou la destruction non autorisées.

9.   PROTECTION CONTRE LE SABOTAGE OU TOUT AUTRE ACTE INTENTIONNEL DE DÉTÉRIORATION

Les précautions physiques sont le moyen le plus efficace d'assurer la sécurité et la protection des installations importantes qui contiennent des informations classifiées contre le sabotage ou tout autre acte intentionnel de détérioration; la seule habilitation du personnel ne saurait s'y substituer efficacement. C'est à l'organisme national responsable de la sécurité qu'il incombe de fournir les renseignements ayant trait à des activités d'espionnage, de sabotage, de terrorisme et à d'autres activités subversives.

10.   COMMUNICATION D'INFORMATIONS CLASSIFIÉES À DES PAYS TIERS OU À DES ORGANISATIONS INTERNATIONALES

Il appartient au collège des membres de la Commission d'autoriser la communication à un État tiers ou à une organisation internationale d'informations classifiées de l'UE émanant de la Commission. Si l'autorité d'origine des informations à communiquer n'est pas la Commission, celle-ci doit au préalable lui demander son consentement. Au cas où l'autorité d'origine ne peut être identifié, la Commission en assume la responsabilité.

Si la Commission reçoit des informations classifiées de pays tiers, d'organisations internationales ou d'autres tiers, celles-ci reçoivent une protection conforme à leur classification et correspondant aux normes établies dans les présentes dispositions relatives aux informations classifiées de l'UE, ou correspondant aux normes plus strictes qui pourraient être exigées par le tiers qui communique ces informations. Des contrôles réciproques peuvent être prévus.

Les principes susmentionnés sont appliqués conformément aux dispositions détaillées figurant dans la partie II, section 26, et dans les appendices 3, 4 et 5.

PARTIE II:   ORGANISATION DE LA SÉCURITÉ AU SEIN DE LA COMMISSION

11.   LE MEMBRE DE LA COMMISSION CHARGÉ DES QUESTIONS DE SÉCURITÉ

Le membre de la Commission chargé des questions de sécurité:

Le membre de la Commission chargé des questions de sécurité est notamment responsable:

12.   LE GROUPE CONSULTATIF DE LA COMMISSION SUR LA POLITIQUE DE SÉCURITÉ

Un groupe consultatif sur la politique de sécurité est établi au sein de la Commission. Celui-ci est constitué des représentants des autorités nationales de sécurité de chaque État membre et présidé par le membre de la Commission chargé des questions de sécurité ou son adjoint. Les représentants d'autres institutions européennes peuvent être également invités. Des représentants des organismes décentralisés de la CE et de l'UE peuvent également être invités à assister à ses réunions lorsque les questions traitées les concernent.

Le groupe consultatif sur la politique de sécurité se réunit à la demande de son président ou de n'importe lequel de ses membres. Il a pour tâche d'examiner et d'évaluer toutes les questions pertinentes en matière de sécurité et de présenter le cas échéant des recommandations à la Commission.

▼M2

13.   LE COMITÉ DE SÉCURITÉ DE LA COMMISSION

Un comité de sécurité est établi au sein de la Commission. Présidé par le directeur général de la direction générale Personnel et administration, il réunit un membre du cabinet du commissaire chargé des questions de sécurité, un membre du cabinet du président, le secrétaire général adjoint, qui préside le groupe de gestion des crises de la Commission, les directeurs généraux du service juridique, de la direction générale Relations extérieures, de la direction générale Justice, liberté et sécurité, du Centre commun de recherche, de la direction générale Informatique et du service d'audit interne, ainsi que le directeur de la direction de la sécurité de la Commission, ou leurs représentants. D'autres fonctionnaires de la Commission peuvent être invités. Ce comité a pour mandat d'évaluer les mesures de sécurité au sein de la Commission et d'adresser des recommandations en la matière au membre de la Commission chargé des questions de sécurité.

▼B

14.   LA ►M2  DIRECTION DE LA SÉCURITÉ DE LA COMMISSION ◄

Pour s'acquitter des tâches qui lui incombent en vertu de la section 11, le membre de la Commission chargé des questions de sécurité est assisté de la ►M2  direction de la sécurité de la Commission ◄ pour ce qui concerne la coordination, la supervision et l'application des mesures de sécurité.

Le ►M2  directeur de la direction de la sécurité de la Commission ◄ est le conseiller principal, en matière de sécurité, du membre de la Commission chargé des questions de sécurité. Il est également secrétaire du groupe consultatif sur la politique de sécurité. À ce titre, il dirige les travaux d'actualisation de la réglementation de sécurité et assure la coordination des mesures de sécurité avec les autorités compétentes des États membres et, le cas échéant, avec les organisations internationales liées à la Commission par des accords de sécurité. À cette fin, il joue le rôle d'officier de liaison.

Le ►M2  directeur de la direction de la sécurité de la Commission ◄ est responsable de l'homologation des systèmes et réseaux TI au sein de la commission. Il prend, en accord avec l'ANS compétente, les décisions relatives à l'homologation des systèmes et réseaux TI impliquant d'une part la Commission et d'autre part tout autre destinataire d'informations classifiées de l'UE.

15.   INSPECTIONS DE SÉCURITÉ

La ►M2  direction de la sécurité de la Commission ◄ mène périodiquement des inspections relatives aux dispositions de sécurité prises pour assurer la protection des informations classifiées de l'UE.

Elle peut être assistée dans cette tâche par les services de sécurité d'autres institutions détentrices d'informations classifiées de l'UE ou par les autorités de sécurité nationales des États membres ( 5 ).

Tout État membre peut, sur demande, faire réaliser par son ANS une inspection des dispositions de protection des informations classifiées de l'UE au sein de la Commission; cette inspection est réalisée conjointement et en commun accord avec la ►M2  direction de la sécurité de la Commission ◄ .

16.   CLASSIFICATIONS; TIMBRES ET IDENTIFIANTS DE SÉCURITÉ

16.1.   Degrés de classification ( 6 )

Les informations sont classifiées selon les degrés dont la liste suit (cf. appendice 2):

Aucune autre classification n'est permise.

16.2.   Identifiants de sécurité

Pour fixer des limites à la validité d'une classification (c'est-à-dire le moment où l'information classifiée est automatiquement déclassée ou déclassifiée), il est possible d'utiliser un identifiant de sécurité convenu. Cet identifiant peut être «JUSQU'À/AU … (heure/date» ou «JUSQU'À/AU … (événement)».

Des identifiants complémentaires tels que CRYPTO ou tout autre identifiant reconnu par l'UE sont utilisés lorsqu'un document doit faire l'objet d'une diffusion limitée et d'un traitement spécial qui s'ajoute à celui qu'exige la classification de sécurité.

Les identifiants de sécurité ne sont utilisés qu'en association avec une classification.

16.3.   Timbres

Un timbre peut être utilisé pour préciser le domaine couvert par le document, pour indiquer une diffusion particulière fondée sur le besoin d'en connaître, ou (dans le cas d'une information non classifiée) pour indiquer la fin d'une interdiction.

Un timbre n'est pas une classification et ne saurait être utilisé en lieu et place d'une classification.

Le timbre PESD est apposé sur les documents et copies relatifs à la sécurité et à la défense de l'Union ou de l'un ou de plusieurs de ses États membres, ou relatifs à la gestion militaire et non militaire des crises.

16.4.   Apposition de la classification

La classification est apposée de la manière suivante:

16.5.   Apposition des identifiants de sécurité

Les identifiants de sécurité sont apposés juste sous la classification, par les mêmes moyens que pour l'apposition des classifications.

17.   POLITIQUE EN MATIÈRE DE CLASSIFICATION

17.1.   Généralités

Les informations ne sont classifiées que si cela est nécessaire. La classification est clairement et correctement indiquée; elle est limitée à la durée pendant laquelle les informations doivent être protégées.

La classification des informations ainsi que tout déclassement ou déclassification ultérieurs incombe à la seule autorité d'origine.

Les fonctionnaires et autres agents de la Commission classifient, déclassent ou déclassifient les informations sur instruction de leur chef de service ou en accord avec celui-ci.

Les procédures détaillées régissant le traitement des documents classifiés ont été conçues de façon à assurer à ces documents une protection adaptée aux informations qu'ils contiennent.

Le nombre de personnes autorisées à émettre des documents ►M1  TRES SECRET UE/EU TOP SECRET ◄ est limité au strict minimum. La liste nominative de ces personnes est conservée par la ►M2  direction de la sécurité de la Commission ◄ .

17.2.   Détermination de la classification

La classification d'un document est déterminée par le degré de sensibilité de son contenu, conformément aux définitions données à la section 16. Il importe que la classification soit utilisée à bon escient et avec modération. Cela s'applique particulièrement à la classification ►M1  TRES SECRET UE/EU TOP SECRET ◄ .

En déterminant la classification à attribuer à un document, l'autorité d'origine doit tenir compte des diverses règles susmentionnées et se garder de toute tendance à la surclassification comme à la sous-classification.

Un guide pratique de la classification figure à l'appendice 2.

Des pages, paragraphes, sections, annexes, appendices et pièces jointes d'un document donné peuvent nécessiter une classification différente et doivent alors porter la mention correspondante. La classification du document lui-même est celle de sa partie portant la classification la plus élevée.

Les lettres ou notes d'envoi accompagnant des pièces jointes portent le plus haut degré de classification apparaissant dans ces dernières. L'autorité d'origine indique clairement leur degré de classification lorsqu'elles sont séparées de leurs pièces jointes.

L'accès public demeure régi par le règlement (CE) no 1049/2001.

17.3.   Déclassement et déclassification

Un document classifié UE ne peut être déclassé ou déclassifié qu'avec l'autorisation de l'autorité d'origine et, si nécessaire, après consultation des autres parties intéressées. Le déclassement ou la déclassification fait l'objet d'une confirmation écrite. Il incombe à l'autorité d'origine d'informer ses destinataires du changement de classification, ces derniers étant à leur tour chargés d'en aviser les destinataires successifs auxquels ils ont fait suivre l'original ou une copie du document.

Dans la mesure du possible, l'autorité d'origine indique sur le document classifié la date ou un délai à partir duquel les informations qu'il contient pourront être déclassées ou déclassifiées. Sinon, elle réexamine la question tous les cinq ans au plus pour s'assurer que la classification initiale demeure nécessaire.

18.   SÉCURITÉ PHYSIQUE

18.1.   Généralités

Les objectifs principaux des mesures physiques de sécurité est d'empêcher qu'une personne non autorisée ait accès aux informations et/ou aux matériels classifiés de l'UE, de faire obstacle au vol ou à la dégradation des équipements ou d'autres biens et de prévenir tout harcèlement ou autre type d'agression à l'encontre du personnel, d'autres employés ou des visiteurs.

18.2.   Exigences de sécurité

Il convient de protéger, par des mesures physiques de sécurité appropriées, tout local, zone, bâtiment, pièce, système de communication et d'information, etc., où des informations et du matériel classifiés de l'UE sont conservés et/ou traités.

Pour déterminer le degré de sécurité physique à assurer, il convient de tenir compte de tous les facteurs pertinents, et notamment:

Les mesures physiques de sécurité appliquées doivent être conçues pour:

18.3.   Mesures physiques de sécurité

18.3.1.   Zones de sécurité

Les zones où sont traitées et conservées des informations CONFIDENTIEL UE ou d'un niveau de classification plus élevé doivent être traitées et conservées de façon à correspondre à l'une des catégories suivantes:

18.3.2.   Zone administrative

Une zone de sécurité de catégorie I ou II peut être entourée ou précédée d'une zone administrative moins protégée, pour laquelle il faut établir de façon visible un périmètre permettant de contrôler les personnes et les véhicules. Seules des informations RESTREINT UE peuvent être traitées et conservées dans ces zones administratives.

18.3.3.   Contrôle des entrées et des sorties

À l'entrée et la sortie des zones de sécurité de catégorie I et II, toute personne travaillant ordinairement dans ces zones est contrôlée au moyen d'un système de laissez-passer ou d'identification individuelle. Il faut également mettre sur pied un système de contrôle des visiteurs pour empêcher tout accès non autorisé à des informations classifiées de l'UE. Au système de laissez-passer peut s'ajouter un système d'identification automatique, qui doit alors être considéré comme un complément et non comme un substitut absolu des gardes. Une modification de l'évaluation de la menace peut entraîner un renforcement des mesures de contrôle des entrées et des sorties, par exemple à l'occasion de visites de personnalités de haut rang.

18.3.4.   Rondes

En dehors des heures normales de travail, des rondes de surveillance doivent être effectuées dans les zones de sécurité des catégories I et II pour protéger les informations et les matériels de l'UE contre toute compromission, détérioration ou perte. La fréquence de ces rondes est déterminée en fonction des conditions locales, mais elles doivent avoir lieu toutes les deux heures environ.

18.3.5.   Meubles de sécurité et chambres fortes

Les meubles de sécurité destinés à la conservation d'informations classifiées de l'UE se répartissent en trois catégories:

Pour les chambres fortes installées dans une zone de sécurité de catégorie I ou II et pour toutes les zones de sécurité de catégorie I où des informations CONFIDENTIEL UE et d'un niveau de classification plus élevé sont conservées en rayonnage ou figurent sur des diagrammes, des cartes, etc., les murs, les planchers, les plafonds, les portes et les serrures doivent être homologués par une SAA comme offrant une protection équivalant à celle d'un meuble de sécurité de la catégorie agréée pour la conservation d'informations de la même classification.

18.3.6.   Serrures

Les serrures des meubles de sécurité et des chambres fortes abritant des informations classifiées de l'UE doivent satisfaire aux normes suivantes:

18.3.7.   Contrôle des clés et combinaisons

Les clés des meubles de sécurité ne doivent pas être emportées hors du bâtiment. Les combinaisons doivent être mémorisées par les personnes qui ont besoin de les connaître. Pour un usage en cas d'urgence, le responsable local de la sécurité du service de la Commission concerné conserve les clés de rechange et le relevé de chaque combinaison, placé individuellement dans une enveloppe opaque scellée. Les clés, leurs doubles et les enveloppes renfermant les combinaisons sont conservés dans des meubles de sécurité séparés. Ces clés et ces combinaisons font l'objet d'une protection aussi rigoureuse que le matériel auquel elles donnent accès.

Le nombre des personnes ayant connaissance des combinaisons des meubles de sécurité doit être aussi limité que possible. Les combinaisons sont modifiées:

18.3.8.   Dispositifs de détection des intrusions

Lorsque des systèmes d'alarme, des circuits fermés de télévision et d'autres dispositifs électriques sont utilisés pour protéger des informations classifiées de l'UE, des systèmes de secours doivent être prévus pour permettre leur fonctionnement permanent en cas de rupture de l'alimentation électrique principale. Il est, en outre, fondamental que tout défaut de fonctionnement ou toute tentative de neutralisation des systèmes précités déclenche une alarme ou soit signalé par tout autre moyen fiable au personnel de surveillance.

18.3.9.   Matériels agréés

La ►M2  direction de la sécurité de la Commission ◄ tient à jour, par type et par modèle, les listes des matériels de sécurité qu'elle a agréés pour la protection directe ou indirecte des informations classifiées dans diverses circonstances et conditions qui auront été spécifiées. Pour l'établissement de ces listes, la ►M2  direction de la sécurité de la Commission ◄ se fonde, entre autres, sur les informations fournies par les ANS.

18.3.10.   Protection physique des photocopieuses et des télécopieurs

Les photocopieuses et les télécopieurs doivent faire l'objet de mesures de protection physiques suffisantes pour que seules les personnes autorisées puissent les utiliser aux fins de traitement des informations classifiées et que tous les tirages classifiés soient dûment contrôlés.

18.4.   Protection contre la négligence et les écoutes clandestines

18.4.1.   Protection contre les regards

Toutes les mesures nécessaires doivent être prises, de jour comme de nuit, pour s'assurer que les informations classifiées de l'UE ne puissent être vues, même accidentellement, par des personnes non autorisées.

18.4.2.   Protection contre les écoutes

Les services ou les zones dans lesquels on discute régulièrement d'informations classifiées du niveau SECRET UE et au-delà doivent être protégés contre les tentatives d'écoute passive et active lorsque le risque le justifie. L'évaluation du risque de telles tentatives incombe à l'autorité de sécurité compétente après consultation, au besoin, des ANS.

18.4.3.   Introduction d'appareils électroniques et de matériel d'enregistrement

L'introduction de téléphones mobiles, d'ordinateurs privés, de dispositifs d'enregistrement, de caméras et d'autres dispositifs électroniques ou matériels d'enregistrements dans les secteurs de sécurité ou les zones protégées sur le plan technique n'est pas autorisée sans autorisation préalable du ►M2  directeur de la direction de la sécurité de la Commission ◄ .

Pour déterminer les mesures de protection à prendre dans les locaux sensibles contre les écoutes passives (par exemple, insonorisation des murs, portes, planchers et plafonds, mesure des rayonnements compromettants) et contre les écoutes actives (par exemple, recherche de micros), la ►M2  direction de la sécurité de la Commission ◄ peut demander l'aide des spécialistes des ANS.

De même, lorsque les circonstances l'exigent, les équipements de télécommunications et le matériel de bureau électrique ou électronique de toute nature utilisés lors des réunions de niveau SECRET UE et au-dessus peuvent être vérifiés, sur demande du ►M2  directeur de la direction de la sécurité de la Commission ◄ , par des spécialistes de la sécurité technique des ANS.

18.5.   Zones protégées sur le plan technique

Certaines zones peuvent être désignées comme zones protégées sur le plan technique. Un contrôle spécial doit être effectué à l'entrée. Ces zones doivent être verrouillées selon une méthode agréée lorsqu'elles ne sont pas occupées et toutes les clés doivent être considérées comme clés de sécurité. Ces zones doivent faire l'objet d'inspections physiques à intervalles réguliers, ainsi qu'après l'entrée, effective ou présumée, de personnel non autorisé.

Un inventaire détaillé des équipements et du mobilier doit être tenu, afin d'en suivre les mouvements. Aucun meuble ou matériel ne doit être introduit dans ce type de zone avant d'avoir subi une inspection minutieuse, effectuée par du personnel de sécurité formé à cet effet et destinée à détecter d'éventuels dispositifs d'écoute. En règle générale, l'installation des lignes de communication dans les zones protégées sur le plan technique n'est pas permise sans autorisation préalable de l'autorité compétente.

19.   RÈGLES GÉNÉRALES RELATIVES AU BESOIN D'EN CONNAÎTRE ET AUX HABILITATIONS DE SÉCURITÉ DU PERSONNEL DE l'UE

19.1.   Généralités

L'accès aux informations classifiées de l'UE n'est autorisé qu'aux personnes ayant le besoin d'en connaître pour l'exercice de leurs fonctions ou l'accomplissement de leur mission. L'accès aux informations ►M1  TRES SECRET UE/EU TOP SECRET ◄ et CONFIDENTIEL UE n'est autorisé qu'aux personnes en possession de l'habilitation de sécurité correspondante.

La détermination du besoin d'en connaître incombe au service dans lequel la personne concernée est appelée à travailler.

Chaque service est responsable des demandes d'habilitation pour son personnel.

La procédure se concrétise par la délivrance d'un «certificat personnel d'habilitation de sécurité» précisant le degré de classification des informations auxquelles la personne habilitée peut avoir accès et la date de péremption de l'habilitation.

Un certificat d'habilitation d'un niveau donné peut donner accès aux informations classifiées d'un niveau moindre.

Les personnes autres que les fonctionnaires ou autres agents, tels que les contractants externes, experts ou consultants, avec lesquelles il peut être nécessaire d'examiner ou de consulter des informations classifiées de l'UE, doivent être en possession d'une habilitation de sécurité leur permettant d'accéder aux informations classifiées de l'UE et être informées de leurs responsabilités en matière de sécurité.

L'accès public demeure régi par le règlement (CE) no 1049/2001.

19.2.   Règles spécifiques concernant l'accès aux informations classifiées ►M1  TRES SECRET UE/EU TOP SECRET ◄

Toute personne ayant à connaître des informations classifiées ►M1  TRES SECRET UE/EU TOP SECRET ◄ doit avoir fait l'objet, au préalable, d'une procédure d'habilitation permettant l'accès à ces informations.

Toute personne qui doit avoir accès aux informations ►M1  TRES SECRET UE/EU TOP SECRET ◄ doit être nommément désignée par le membre de la Commission chargé des questions de sécurité et son nom doit être conservé dans le bureau d'ordre ►M1  TRES SECRET UE/EU TOP SECRET ◄ approprié. Ce bureau d'ordre est créé et tenu par la ►M2  direction de la sécurité de la Commission ◄ .

Toute personne autorisée à accéder à des informations ►M1  TRES SECRET UE/EU TOP SECRET ◄ doit signer au préalable une attestation reconnaissant qu'elle a été instruite des procédures de sécurité de la Commission et qu'elle comprend parfaitement sa responsabilité particulière en ce qui concerne la protection des informations ►M1  TRES SECRET UE/EU TOP SECRET ◄ ainsi que les conséquences prévues par la réglementation de l'Union européenne et les dispositions législatives ou administratives nationales lorsque des informations classifiées parviennent en des mains non autorisées, que ce soit à la suite d'une action délibérée ou d'une négligence.

En ce qui concerne les personnes ayant accès à des informations ►M1  TRES SECRET UE/EU TOP SECRET ◄ lors de réunions, etc., l'agent contrôleur compétent du service ou de l'organisme dans lesquels elles sont employées doit informer le service organisateur de la réunion qu'elles sont autorisées à accéder aux informations ►M1  TRES SECRET UE/EU TOP SECRET ◄ .

Les noms de toutes les personnes qui ne sont plus employées à des fonctions nécessitant l'accès aux informations ►M1  TRES SECRET UE/EU TOP SECRET ◄ sont être rayés de la liste correspondante. De plus, l'attention de toutes ces personnes doit être attirée à nouveau sur leurs responsabilités particulières quant à la protection des informations ►M1  TRES SECRET UE/EU TOP SECRET ◄ . Elles doivent également signer une déclaration par laquelle elles s'engagent à ne pas utiliser ni divulguer les informations ►M1  TRES SECRET UE/EU TOP SECRET ◄ dont elles ont eu connaissance.

19.3.   Règles spécifiques concernant l'accès aux informations classifiées ►M1  TRES SECRET UE/EU TOP SECRET ◄ et CONFIDENTIEL UE

Toute personne ayant à connaître des informations SECRET UE ou CONFIDENTIEL UE doit avoir fait au préalable l'objet d'une procédure d'habilitation du niveau approprié.

Toute personne ayant à connaître des informations SECRET UE ou CONFIDENTIEL UE doit avoir connaissance des dispositions de sécurité appropriées et des conséquences de toute négligence.

En ce qui concerne les personnes ayant accès à des informations SECRET UE ou CONFIDENTIEL UE lors de réunions, etc., le responsable de la sécurité de l'organisme dans lequel la personne concernée est employée doit avertir le service organisateur de la réunion qu'elle est autorisée à accéder à de telles informations.

19.4.   Règles spécifiques concernant l'accès aux informations classifiées RESTREINT UE

Toute personne ayant accès à des informations RESTREINT UE doit être avertie des présentes règles de sécurité et des conséquences de toute négligence.

19.5.   Mutations

Lors de la mutation de personnel affecté à un poste impliquant le traitement de documents classifiés de l'UE, le bureau d'ordre doit s'assurer que le transfert de cette documentation entre le fonctionnaire partant et le fonctionnaire suivant s'effectue de façon réglementaire.

Lorsqu'un membre du personnel est affecté à un poste impliquant la manipulation de matériel classifié UE, il reçoit du responsable local de la sécurité les instructions appropriées.

19.6.   Instructions spéciales

Il convient que les personnes devant avoir accès à des informations classifiées de l'UE soient averties dès leur prise de fonctions, puis périodiquement:

Toutes les personnes ordinairement exposées à des contacts fréquents avec des représentants de pays dont les services de renseignement prennent pour cible l'UE et les États membres et s'intéressent aux informations classifiées et aux activités de l'UE sont informées des techniques dont on sait qu'elles sont utilisées par divers services de renseignement.

La Commission ne prévoit pas de consignes de sécurité pour les voyages effectués à titre privé, quelle qu'en soit la destination, par des membres du personnel habilités à accéder à des informations classifiées de l'UE. Il incombe toutefois à la ►M2  direction de la sécurité de la Commission ◄ d'informer les fonctionnaires et autres agents se trouvant sous sa responsabilité des règles qu'ils peuvent avoir à observer en matière de voyages.

20.   PROCÉDURE D'HABILITATION DE SÉCURITÉ POUR LES FONCTIONNAIRES ET AUTRES AGENTS DE LA COMMISSION

21.   PRÉPARATION, RÉPARTITION, TRANSMISSION, MESURES DE SÉCURITÉ RELATIVES AUX COURRIERS, EXEMPLAIRES SUPPLÉMENTAIRES, TRADUCTIONS ET EXTRAITS DE DOCUMENTS CLASSIFIÉS DE L'UE

21.1.   Préparation

21.2.   Diffusion

21.3.   Transmission/transport de documents classifiés de l'UE

21.3.1.   Emballages et récépissés

21.3.2.   Transmission au sein d'un bâtiment ou d'un groupe de bâtiments

À l'intérieur d'un même bâtiment ou groupe de bâtiments, les documents classifiés peuvent être transmis dans une enveloppe scellée avec pour seule mention le nom du destinataire, à condition que le transport soit effectué par une personne habilitée au niveau de classification des documents.

21.3.3.   Transmission à l'intérieur d'un même pays

21.3.4.   Transmission d'un État à un autre

21.3.5.   Transmission/transport de documents classifiés «RESTREINT UE»

Aucune disposition spéciale n'est fixée pour la transmission des documents RESTREINT UE; celle-ci doit cependant s'effectuer de telle sorte qu'ils ne puissent tomber entre les mains de personnes non autorisées.

21.4.   Mesures de sécurité relatives aux courriers

Tous les courriers et messagers utilisés pour le transport des documents SECRET UE et CONFIDENTIEL UE doivent avoir reçu une habilitation de sécurité appropriée.

21.5.   Transmission par voie électronique ou d'autres moyens techniques

21.6.   Exemplaires supplémentaires et traductions et extraits de documents classifiés de l'UE

22.   BUREAUX D'ORDRE, REGROUPEMENTS, CONTRÔLES, ARCHIVAGE ET DESTRUCTION DE DOCUMENTS CLASSIFIÉS DE l'UE

22.1.   Bureaux d'ordre locaux chargés des documents classifiés de l'UE

22.2.   Le bureau d'ordre ►M1  TRES SECRET UE/EU TOP SECRET ◄

22.2.1.   Généralités

22.2.2.   Le bureau d'ordre central ►M1  TRES SECRET UE/EU TOP SECRET ◄

En tant qu'agent contrôleur, le chef du bureau d'ordre central ►M1  TRES SECRET UE/EU TOP SECRET ◄ a pour responsabilités:

22.2.3.   Bureaux d'ordre ►M1  TRES SECRET UE/EU TOP SECRET ◄ subordonnés

En tant qu'agent contrôleur, le chef d'un bureau d'ordre ►M1  TRES SECRET UE/EU TOP SECRET ◄ subordonné a pour responsabilités:

22.3.   Inventaires, regroupements et contrôles de documents classifiés de l'UE

22.4.   Archivage d'informations classifiées de l'UE

22.5.   Destruction des documents classifiés de l'UE

22.6.   Destruction en cas d'urgence

23.   MESURES DE SÉCURITÉ À APPLIQUER À L'OCCASION DES RÉUNIONS SPÉCIFIQUES TENUES EN DEHORS DES LOCAUX DE LA COMMISSION ET METTANT EN JEU DES INFORMATIONS CLASSIFIÉES DE L'UE

23.1.   Généralités

Lorsque les réunions de la Commission ou d'autres réunions importantes ont lieu en dehors des locaux de la Commission, et que les exigences de sécurité particulières découlant du niveau de sensibilité élevé des dossiers ou informations traités le justifient, il convient de prendre les mesures de sécurité décrites ci-après. Ces mesures ne concernent que la protection des informations classifiées de l'UE; il peut se révéler nécessaire de prévoir d'autres mesures de sécurité.

23.2.   Responsabilités

23.2.1.   La ►M2  direction de la sécurité de la Commission ◄

La ►M2  direction de la sécurité de la Commission ◄ coopère avec les autorités compétentes de l'État membre sur le territoire duquel se déroule la réunion (État membre d'accueil) afin d'assurer la sécurité des réunions de la Commission ou autres réunions importantes concernées, ainsi que la sécurité physique des délégués et de leurs collaborateurs. En matière de protection de la sécurité, la ►M2  direction de la sécurité de la Commission ◄ veille en particulier à ce que:

La ►M2  direction de la sécurité de la Commission ◄ joue un rôle de conseiller en matière de sécurité pour la préparation de la réunion; elle doit y être représentée pour aider et conseiller, le cas échéant, le responsable de la sécurité de la réunion et les délégations.

Chaque délégation à une réunion doit désigner un responsable de la sécurité. Celui-ci est chargé de traiter les questions de sécurité au sein de sa délégation et de rester en liaison avec le responsable de la sécurité de la réunion, ainsi qu'avec le représentant de la ►M2  direction de la sécurité de la Commission ◄ , le cas échéant.

23.2.2.   Le responsable de la sécurité de la réunion

Un responsable de la sécurité doit être désigné pour la réunion; il est chargé de la préparation générale et du contrôle des mesures générales de sécurité interne ainsi que de la coordination avec les autres autorités de sécurité concernées. Les dispositions qu'il prend portent d'une manière générale sur:

23.3.   Mesures de sécurité

23.3.1.   Zones de sécurité

Il y a lieu d'établir les zones de sécurité suivantes:

23.3.2.   Laissez-passer

Le responsable de la sécurité de la réunion établit des badges de type adéquat en fonction des besoins exprimés par les délégations. Le cas échéant, une distinction peut être faite pour l'accès aux différentes zones de sécurité.

Les instructions de sécurité relatives à la réunion stipulent que toutes les personnes concernées doivent porter leur badge en permanence et de façon visible dans les locaux de la réunion, afin de permettre au personnel de sécurité d'effectuer les vérifications nécessaires.

Outre les participants munis de badges, il y a lieu d'admettre le moins de personnes possible sur le lieu de la réunion. Au cours de la réunion, le responsable de la sécurité de la réunion ne permet aux délégations nationales de recevoir des visiteurs que sur demande expresse. Les visiteurs se voient remettre un badge spécial; un laissez-passer portant leur nom ainsi que celui de la personne qui les reçoit est établi. Ils doivent être accompagnés en permanence par un garde de sécurité ou par la personne qui les reçoit. Le laissez-passer doit être porté par l'accompagnateur, qui le rend avec le badge de visiteur au personnel de sécurité lorsque le visiteur quitte le lieu de la réunion.

23.3.3.   Contrôle des appareils photographiques et des appareils d'enregistrement

Aucun appareil photographique ou appareil d'enregistrement ne peut être introduit dans une zone de sécurité de catégorie I, à l'exception du matériel apporté par les photographes et par les ingénieurs du son dûment autorisés par le responsable de la sécurité de la réunion.

23.3.4.   Contrôle des porte-documents, ordinateurs portatifs et paquets

Les personnes munies d'un laissez-passer leur donnant accès à une zone de sécurité peuvent normalement introduire sans contrôle leurs porte-documents et ordinateurs portatifs (autonomes uniquement). Les délégations peuvent prendre livraison des paquets qui leur sont destinés, après vérification par le responsable de la sécurité de la délégation, ou inspection au moyen d'un matériel spécial, ou après ouverture par le personnel de sécurité. Si le responsable de la sécurité de la réunion le juge nécessaire, des dispositions plus strictes pourront être instaurées pour le contrôle des porte-documents et des paquets.

23.3.5.   Sécurité technique

Une équipe de sécurité technique peut garantir la sécurité technique de la salle de réunion et assurer également la surveillance électronique en cours de réunion.

23.3.6.   Documents des délégations

Les délégations sont responsables du transport des documents classifiés de l'UE qu'elles détiennent à destination et au départ des réunions. Elles sont également responsables du contrôle et de la sécurité de ces documents lors de leur utilisation dans les locaux qui leur sont attribués. Le concours de l'État membre d'accueil pourra être demandé pour le transport des documents classifiés à destination ou au départ du lieu de la réunion.

23.3.7.   Conservation des documents en lieu sûr

Lorsque la Commission ou les délégations ne sont pas en mesure de mettre en sûreté leurs documents classifiés selon les normes agréées, ils peuvent confier ces documents, sous enveloppe cachetée et contre récépissés, au responsable de la sécurité de la réunion, à charge pour celui-ci de les mettre à l'abri conformément aux normes agréées.

23.3.8.   Vérification des bureaux

Le responsable de la sécurité de la réunion doit veiller à ce que les bureaux de la Commission et des délégations fassent l'objet d'une vérification après chaque journée de travail, afin de s'assurer que tous les documents classifiés de l'UE ont été mis en lieu sûr. Si tel n'est pas le cas, il prend les mesures appropriées.

23.3.9.   Élimination des rebuts classifiés de l'UE

Tous les rebuts doivent être considérés comme documents classifiés de l'UE et la Commission et les délégations se verront remettre des corbeilles à papier ou des sacs pour leur stockage. Avant de quitter les locaux qui leur ont été attribués, la Commission et les délégations doivent porter ces rebuts au responsable de la sécurité de la réunion, qui doit veiller à leur destruction selon les procédures réglementaires.

À la fin de la réunion, tous les documents détenus par la Commission ou les délégations et devenus inutiles sont traités comme rebuts. Une fouille approfondie des bureaux de la Commission et des délégations doit être effectuée avant la levée des mesures de sécurité prises pour la réunion. Dans la mesure du possible, les documents pour lesquels un reçu a été signé sont détruits comme indiqué à la section 22.5.

24.   INFRACTIONS À LA SÉCURITÉ ET COMPROMISSION DES INFORMATIONS CLASSIFIÉES DE L'UE

24.1.   Définitions

Une infraction à la sécurité est un acte ou une omission contraire à une règle de sécurité de la Commission et susceptible de mettre en danger ou de compromettre des informations classifiées de l'UE.

Il y a compromission lorsque des informations classifiées de l'UE tombent, totalement ou en partie, aux mains de personnes non autorisées, c'est-à-dire non titulaires de l'habilitation UE appropriée ou n'ayant pas le besoin d'en connaître, ou lorsqu'il est vraisemblable qu'une telle situation se soit produite.

La compromission d'informations classifiées de l'UE peut survenir à la suite d'un manque d'attention, d'une négligence ou d'une indiscrétion, ou du fait d'activités de services prenant pour cibles l'UE ou ses États membres et s'intéressant aux informations classifiées et aux activités de l'UE, ou d'organisations subversives.

24.2.   Dénonciation des infractions à la sécurité

Toutes les personnes amenées à manipuler des informations classifiées de l'UE doivent recevoir une information complète sur leurs responsabilités dans ce domaine. Elles signalent immédiatement toute infraction à la sécurité qu'elles ont pu remarquer.

Lorsqu'un responsable local de la sécurité ou un responsable de la sécurité d'une réunion constate ou est informée que les règles de sécurité ont été enfreintes à l'égard d'informations classifiées de l'UE ou que des matériels classifiés de l'UE sont perdus ou ont disparu, il doit agir rapidement pour:

Dès qu'une infraction à la sécurité a été notifiée, chaque autorité de sécurité a le devoir d'en avertir immédiatement la ►M2  direction de la sécurité de la Commission ◄ .

En ce qui concerne les informations RESTREINT UE, des rapports ne sont établis que lorsque les cas présentent des caractéristiques inhabituelles.

Dès qu'il est informé d'une infraction à la sécurité, le membre de la Commission chargé des questions de sécurité:

L'autorité d'origine informe les destinataires et donne les instructions appropriées.

24.3.   Actions en justice

Toute personne dont la responsabilité est engagée dans la compromission d'informations classifiées de l'UE est passible de sanctions disciplinaires conformément à la réglementation applicable, surtout le titre VI du statut, et sans préjudice d'autres poursuites en justice.

Le cas échéant, sur la base du rapport visé à la section 24.2, le membre de la Commission chargé des questions de sécurité prend toutes les mesures qui s'imposent pour permettre aux autorités nationales compétentes d'engager des procédures pénales.

25.   PROTECTION DES INFORMATIONS CLASSIFIÉES DE L'UE TRANSITANT PAR DES SYSTÈMES DE COMMUNICATION ET D'INFORMATION

25.1.   Introduction

25.1.1.   Généralités

La politique de sécurité et les exigences en la matière s'appliquent à tous les systèmes et réseaux de communication et d'information (ci-après dénommés «systèmes») qui traitent des informations CONFIDENTIEL UE ou de classification supérieure. Ils sont appliqués en complément des dispositions de la décision C(95) 1510 final de la Commission du 23 novembre 1995 relative à la protection des systèmes d'information.

Les systèmes qui traitent des informations RESTREINT UE nécessitent aussi l'application de mesures de sécurité destinées à protéger la confidentialité de ces informations. Tous les systèmes nécessitent des mesures de sécurité permettant de protéger l'intégrité et la disponibilité de ces systèmes et des informations qu'ils contiennent.

La politique de sécurité appliquée par la Commission en matière de technologies de l'information comporte les éléments suivants:

25.1.2.   Vulnérabilité des systèmes et menaces éventuelles

Une menace peut être définie comme une possibilité de compromission accidentelle ou délibérée de la sécurité. Dans le cas des systèmes, cette compromission se traduit par la perte de l'une ou de plusieurs des qualités que sont la confidentialité, l'intégrité et la disponibilité. La vulnérabilité peut être définie comme une faiblesse ou un manque de contrôles qui faciliterait ou qui permettrait la concrétisation d'une menace pesant sur un bien ou un objectif spécifique.

Les informations classifiées ou non de l'UE traitées dans des systèmes sous une forme condensée permettant de les retrouver, de les communiquer et de les utiliser rapidement sont exposées à de nombreuses menaces. Il peut s'agir de l'accès à ces informations par des utilisateurs non autorisés ou, au contraire, de l'impossibilité pour des utilisateurs autorisés d'y avoir accès. Il existe aussi des risques de divulgation, d'altération, de modification ou d'effacement non autorisés de ces informations. De plus, le matériel, complexe et parfois fragile, est coûteux et souvent difficile à réparer ou à remplacer rapidement.

25.1.3.   But principal des mesures de sécurité

Les mesures de sécurité énoncées dans la présente section ont pour principal objectif d'assurer la protection contre la divulgation non autorisée d'informations classifiées de l'UE (la perte de confidentialité) ainsi que contre la perte d'intégrité et de disponibilité des informations. Pour assurer une protection convenable aux systèmes qui traitent des informations classifiées de l'UE, il y a lieu que la ►M2  direction de la sécurité de la Commission ◄ spécifie les normes appropriées de protection classique, de même que les procédures et techniques adéquates de sécurité conçues spécialement pour chaque système.

25.1.4.   Énoncé des impératifs de sécurité propres à un système (SSRS)

Pour tous les systèmes qui traitent des informations CONFIDENTIEL UE ou d'une classification supérieure, un énoncé des impératifs de sécurité propres à un système (SSRS) doit être établi par l'autorité d'exploitation du système TI (ITSOA, voir la section 25.3.4) et le propriétaire de l'information (voir la section 25.3.5), le cas échéant avec la contribution et l'assistance des responsables de projet et de la ►M2  direction de la sécurité de la Commission ◄ (agissant en tant qu'autorité INFOSEC-IA, voir la section 25.3.3), et approuvé par l'autorité d'homologation de sécurité (SAA, voir la section 25.3.2).

Un SSRS doit également être établi lorsque la disponibilité et l'intégrité des informations RESTREINT UE ou des informations non classifiées est jugée essentielle par l'autorité d'homologation de sécurité (SAA).

Le SSRS est élaboré le plus tôt possible au cours de la conception d'un projet et doit être développé et amélioré au fur et à mesure que celui-ci prend corps. Il joue différents rôles aux différents stades du cycle de vie du projet et du système.

25.1.5.   Modes d'exploitation de sécurité

Tous les systèmes qui traitent des informations CONFIDENTIEL UE ou de classification supérieure font l'objet d'une homologation qui autorise leur exploitation selon un ou, si les besoins le justifient sur différentes périodes, plusieurs des modes d'exploitation de sécurité ci-après, ou leur équivalent national:

25.2.   Définitions

Par «homologation», on entend l'agrément d'un système autorisant son emploi pour traiter des informations classifiées de l'UE dans son environnement opérationnel.

Note:

Cette homologation doit se faire après l'application de toutes les procédures de sécurité appropriées et l'obtention d'un niveau de protection suffisant pour les éléments du système. L'homologation doit normalement s'appuyer sur le SSRS, notamment sur les éléments suivants:

Par «responsable de la sécurité informatique au niveau central» (CISO), on entend le fonctionnaire qui, au sein d'un service informatique central, coordonne et supervise les mesures de sécurité pour les systèmes organisés sur un mode centralisé.

Par «certification», on entend la délivrance d'un document officiel fondé sur un examen indépendant de la conduite et des résultats d'une évaluation et indiquant dans quelle mesure un système répond à l'exigence de sécurité, ou un produit de sécurité informatique possède bien dans ce domaine les caractéristiques préalablement établies.

Par «sécurité des communications» (COMSEC), on entend l'application aux télécommunications de mesures de sécurité ayant pour but d'empêcher des personnes non autorisées d'obtenir des informations utiles en entrant en possession et en étudiant des messages communiqués, ou d'assurer l'authenticité de ces messages.

Note:

Ces mesures visent non seulement la sécurité des moyens de chiffrement, des transmissions et des émissions, mais aussi la sécurité relative aux procédures, aux éléments physiques, au personnel et la sécurité des documents ainsi que la sécurité informatique.

Par «sécurité des ordinateurs» (COMPUSEC), on entend la mise en place, sur un système informatique, de dispositifs de sécurité matériels, microprogrammés, et logiciels, afin de le protéger contre — ou d'empêcher — les divulgations, manipulations, modifications ou suppressions non autorisées d'informations ou le blocage de l'accès.

Par «produit de sécurité informatique», on entend un élément général de sécurité informatique destiné à être incorporé à un système TI afin d'améliorer ou d'assurer la confidentialité, l'intégrité ou la disponibilité des informations traitées.

Par «mode d'exploitation de sécurité exclusif», on entend un mode d'exploitation selon lequel TOUTES les personnes ayant accès au système sont habilitées au plus haut niveau de classification des informations traitées au sein du système, et ont un besoin commun d'en connaître pour TOUTES les informations traitées au sein du système.

Notes:

Par «évaluation», on entend l'examen technique détaillé, par une autorité compétente, des aspects d'un système, d'un moyen de chiffrement ou d'un produit de sécurité informatique qui ont un rapport avec sa sécurité.

Notes:

Par «propriétaire de l'information» (IO), on entend l'autorité (chef d'unité) qui a la responsabilité de la création, du traitement et de l'utilisation de l'information, ce qui comprend la désignation des personnes autorisées à y accéder.

Par «sécurité de l'information» (INFOSEC), on entend l'application de mesures de sécurité destinées à protéger les informations traitées, stockées ou transmises par des systèmes de communication, d'information et autres systèmes électroniques, contre les atteintes à la confidentialité, à l'intégrité ou à la disponibilité de ces informations, que celles-ci soient accidentelles ou intentionnelles, ainsi qu'à empêcher les atteintes à l'intégrité et à la disponibilité des systèmes eux-mêmes.

Les «mesures INFOSEC» recouvrent la sécurité des ordinateurs, des transmissions, des émissions et la sécurité cryptographique, ainsi que la détection des menaces auxquelles sont exposés les informations et les systèmes, la collecte d'informations à leur sujet et leur prévention.

Par «zone TI», on entend une zone qui contient un ou plusieurs ordinateurs, avec leurs unités de stockage et leurs périphériques locaux, leurs unités de commande et le matériel de réseau et de communications qui leur est réservé.

Note:

Ne fait pas partie de cette zone, toute zone séparée où se trouvent des terminaux, postes de travail ou périphériques distants, même si ces dispositifs sont connectés au matériel se trouvant dans la zone TI.

Par «réseau TI», on entend un ensemble, géographiquement dispersé, constitué de systèmes TI interconnectés pour échanger des données, et comprenant les divers éléments des systèmes TI interconnectés et leurs interfaces avec les réseaux de données ou de communications qui les complètent.

Notes:

Les «dispositifs de sécurité d'un réseau TI» comprennent les dispositifs de sécurité de chaque système TI faisant partie du réseau, mais aussi les composantes et dispositifs supplémentaires associés au réseau même et nécessaires pour assurer un niveau acceptable de protection aux informations classifiées (par exemple, les communications sur le réseau, les mécanismes et procédures d'étiquetage et d'identification de sécurité, les contrôles d'accès, les programmes et les fichiers de suivi).

Par «système TI», on entend l'ensemble des matériels, méthodes et procédures et, le cas échéant, des personnes, organisé de façon à remplir des fonctions de traitement de l'information.

Notes:

Les «dispositifs de sécurité d'un système TI» comprennent toutes les fonctions, caractéristiques et dispositifs matériels, microprogrammés et logiciels; les procédures d'exploitation et d'établissement des responsabilités et les contrôles de l'accès, la zone TI, la zone des terminaux ou postes de travail distants, ainsi que les règles de gestion, les dispositifs et structures physiques, et les mesures de contrôle du personnel et des communications nécessaires pour assurer un niveau acceptable de protection aux informations classifiées qui doivent être traitées dans un système TI.

On entend par «responsable de la sécurité informatique au niveau local» (LISO) le fonctionnaire qui, dans un service de la Commission, est chargé de coordonner et de superviser les mesures de sécurité dans les limites de son domaine.

Par «mode d'exploitation de sécurité multiniveau», on entend un mode d'exploitation dans lequel les personnes ayant accès au système ne sont PAS TOUTES habilitées au plus haut niveau de classification des informations traitées au sein du système, et n'ont PAS TOUTES un besoin commun d'en connaître pour les informations traitées au sein du système.

Notes:

Par «zone de terminaux ou postes de travail distants», on entend une zone séparée d'une zone TI, contenant du matériel informatique, ses périphériques, terminaux ou postes de travail locaux et le matériel de communications associé.

Par «procédures d'exploitation de sécurité», on entend les procédures élaborées par le propriétaire des systèmes techniques et définissant les principes à observer en matière de sécurité, les procédures d'exploitation à appliquer et les responsabilités du personnel.

Par «mode d'exploitation de sécurité dominant», on entend un mode d'exploitation selon lequel les personnes qui ont accès au système sont TOUTES habilitées au plus haut niveau de classification des informations traitées au sein du système, mais n'ont PAS TOUTES un besoin commun d'en connaître pour les informations traitées au sein du système.

Notes:

On entend par «énoncé des impératifs de sécurité propres à un système» (SSRS) un exposé complet et explicite des principes de sécurité à observer et de tous les aspects des exigences de sécurité à satisfaire. Il se fonde sur la doctrine de sécurité de la Commission et sur une analyse des risques, ou est déterminé par des paramètres tels que les conditions d'exploitation, le niveau minimum d'habilitation du personnel, le niveau maximum de classification des informations traitées, le mode d'exploitation de sécurité ou les besoins des utilisateurs. Le SSRS fait partie intégrante de la documentation relative au projet qui est soumise aux autorités compétentes pour approbation sur le plan technique, budgétaire et de la sécurité. Il constitue dans sa version définitive un énoncé complet des critères auxquels doit répondre le système pour être sûr.

On entend par «propriétaire des systèmes techniques» (TSO) l'autorité responsable de la mise en place, de la maintenance, de l'exploitation et de la fermeture d'un système.

Par «contre-mesures TEMPEST», on entend des mesures de sécurité destinées à protéger le matériel et les infrastructures de communication contre la compromission d'informations classifiées par l'émission non intentionnelle de rayonnements électromagnétiques et la conductivité.

25.3.   Responsabilités en matière de sécurité

25.3.1.   Généralités

Les responsabilités consultatives du groupe consultatif sur la politique de sécurité de la Commission, définies dans la section 12, incluent les questions INFOSEC. Ce groupe organise ses activités de manière à pouvoir fournir des conseils de spécialistes concernant les questions précitées.

La ►M2  direction de la sécurité de la Commission ◄ est chargée de publier des règles INFOSEC détaillées sur la base des dispositions du présent chapitre.

En cas de problème de sécurité (incidents, infractions, etc.), la ►M2  direction de la sécurité de la Commission ◄ prend immédiatement des mesures.

La ►M2  direction de la sécurité de la Commission ◄ dispose d'une unité INFOSEC.

25.3.2.   L'autorité d'homologation de sécurité (SAA)

Le ►M2  directeur de la direction de la sécurité de la Commission ◄ est l'autorité d'homologation de sécurité (SAA) de la Commission. La SAA est responsable de l'organisation générale de la sécurité et des domaines INFOSEC spécialisés, à savoir la sécurité des communications, la sécurité Crypto et la sécurité TEMPEST.

Elle est chargée de veiller à la conformité des systèmes avec la politique de sécurité de la Commission. L'une de ses tâches consiste à prononcer l'homologation d'un système en vue du traitement des informations classifiées de l'UE à un niveau de classification déterminé dans son environnement d'exploitation.

Tous les systèmes exploités dans les locaux de la Commission relèvent de la compétence de la SAA de la Commission. Lorsque différents éléments d'un même système sont du ressort de la SAA de la Commission et d'autres SAA, toutes les parties concernées peuvent désigner un comité mixte d'homologation, la coordination étant assurée par la SAA de la Commission.

25.3.3.   L'autorité INFOSEC (IA)

Le chef de l'unité INFOSEC de la ►M2  direction de la sécurité de la Commission ◄ est l'autorité INFOSEC de la Commission. L'autorité INFOSEC est chargée:

25.3.4.   Le propriétaire des systèmes techniques (TSO)

La responsabilité de la mise en œuvre des contrôles et du fonctionnement des dispositifs de sécurité spéciaux d'un système est assurée par le propriétaire de ce système, le propriétaire des systèmes techniques (TSO). En ce qui concerne les systèmes gérés au niveau central, un responsable principal de la sécurité informatique (CISO) est nommé. Chaque service nomme, le cas échéant, un responsable local de la sécurité informatique (LISO). La responsabilité d'un TSO inclut l'établissement des procédures d'exploitation de sécurité (SecOP). Il l'exerce pendant toute la durée de vie du système, de la conception du projet à son arrêt définitif.

Le TSO spécifie les normes et pratiques de sécurité auxquelles le fournisseur du système doit se conformer.

Le cas échéant, il peut déléguer une partie de ses responsabilités à un responsable local de la sécurité informatique. Une seule et même personne peut remplir les différentes fonctions INFOSEC.

25.3.5.   Le propriétaire de l'information (IO)

Le propriétaire de l'information (IO) est responsable des informations classifiées de l'Union européenne (et autres informations) qui doivent être introduites, traitées et produites dans les systèmes techniques. Il définit les exigences en matière d'accès à ces informations dans les systèmes. Il peut déléguer cette responsabilité à un gestionnaire de l'information ou à un gestion de base de données de son secteur.

25.3.6.   Utilisateurs

Tous les utilisateurs ont pour responsabilité de veiller à ce que leurs actes ne portent pas préjudice à la sécurité du système qu'ils utilisent.

25.3.7.   Formation INFOSEC

Des actions d'apprentissage et de formation INFOSEC sont proposées à l'ensemble des membres du personnel qui en ont besoin.

25.4.   Mesures de sécurité non techniques

25.4.1.   Sécurité du personnel

Les utilisateurs du système doivent être titulaires d'une habilitation correspondant à la classification et au contenu des informations traitées dans leur système particulier, et doivent avoir besoin d'en connaître. L'accès à certains équipements ou informations spécifiques à la sécurité des systèmes nécessite une habilitation particulière délivrée selon les procédures de la Commission en vigueur.

La SAA doit désigner tous les postes sensibles et définir le niveau d'habilitation et de surveillance nécessaire pour tous les agents travaillant à ces postes.

Les systèmes doivent être spécifiés et conçus d'une manière qui facilite la répartition des tâches et responsabilités entre les membres du personnel informatique de façon qu'aucune personne n'ait la connaissance ni le contrôle complet des points clés du système.

Un fonctionnaire autorisé ou autre employé ne doit jamais se trouver seul dans une zone TI ou dans une zone de terminaux ou postes de travail distants où la sécurité du système peut être modifiée.

Les réglages de sécurité d'un système ne sont modifiés que par au moins deux personnes autorisées et pourvu qu'elles procèdent de concert.

25.4.2.   Sécurité physique

Les zones TI et les zones de terminaux ou postes de travail distants (définies dans la section 25.2) dans lesquelles des informations classifiées CONFIDENTIEL UE ou d'une classification supérieure sont traitées au moyen de technologies de l'information, ou dans lesquelles l'accès à de telles informations est possible, sont désignées, selon le cas, comme zones de sécurité UE de catégorie I ou II.

25.4.3.   Contrôle des accès à un système

Toutes les informations et tous les matériels qui contrôlent l'accès à un système sont protégés selon des dispositions correspondant à la classification la plus élevée et à la catégorie d'informations auxquelles ce système peut donner accès.

Lorsqu'ils ne sont plus utilisés à cette fin, les informations et les matériels de contrôle des accès doivent être détruits conformément aux dispositions de la section 25.5.4.

25.5.   Mesures de sécurité techniques

25.5.1.   Sécurité des informations

Il incombe à l'autorité d'origine des informations de recenser et de classifier tous les documents porteurs d'informations, qu'il s'agisse de sorties sous forme de copie papier ou de supports informatiques. Sur chaque page d'une copie papier doit être apposé, en haut et en bas, le timbre indiquant la classification. Les sorties, qu'elles prennent la forme de copies papier ou de supports informatiques, doivent recevoir la classification la plus élevée des informations utilisées pour leur production. Le mode d'exploitation de sécurité d'un système peut aussi avoir une influence sur la classification des sorties de ce système.

Il incombe aux services de la Commission et aux personnes qui y détiennent des informations d'examiner les problèmes liés au cumul d'éléments d'information discrets et aux recoupements qui peuvent être faits par leur mise en corrélation, pour déterminer si, une fois réunis, ces éléments n'exigent pas une classification plus élevée.

Le fait que les informations puissent être représentées sous forme codée abrégée, codée pour transmission ou toute autre forme binaire ne leur assure aucune protection et ne doit donc pas entrer en ligne de compte pour la détermination de leur classification.

Lorsque des informations sont transférées d'un système à un autre, elles doivent être protégées au cours du transfert et dans le système récepteur d'une manière adaptée à la classification et à la catégorie initiales des informations.

Tous les supports informatiques doivent être traités conformément à la classification la plus élevée des informations stockées ou du marquage et doivent être protégés en permanence de manière appropriée.

Les supports informatiques réutilisables ayant servi à enregistrer des informations classifiées de l'UE conservent le niveau de classification le plus élevé attribué aux données pour lesquelles ils ont été utilisés, jusqu'à ce que ces informations aient été déclassées ou déclassifiées comme il convient et le support reclassifié en conséquence, déclassifié ou détruit selon une procédure approuvée par la SAA (voir points 25.5.4).

25.5.2.   Contrôle et comptabilisation des informations

Les accès à des informations SECRET UE ou d'un niveau de classification supérieur doivent être consignés automatiquement (fichiers de suivi) ou manuellement dans un registre. Ces registres sont conservés conformément aux présentes règles de sécurité.

Les sorties classifiées qui sont détenues à l'intérieur de la zone TI peuvent être considérées comme un même ensemble d'informations classifiées et n'ont pas à être enregistrées, à condition d'être identifiées, de porter la mention de leur niveau de classification et d'être contrôlées de façon appropriée.

Lorsque des données sortant d'un système qui traite des informations classifiées de l'UE sont transmises à un terminal ou poste de travail distant à partir d'une zone TI, des procédures agréées par la SAA doivent être établies en vue de contrôler et de relever les données ainsi disséminées. Pour les informations SECRET UE et au-delà, ces procédures comprennent des instructions particulières de comptabilisation des informations.

25.5.3.   Manipulation et contrôle des supports amovibles

Tous les supports informatiques amovibles d'une classification égale ou supérieure à CONFIDENTIEL UE sont traités comme des matériels classifiés et obéissent aux prescriptions générales y afférentes. Les moyens utilisés pour les identifier et indiquer leur classification doivent être adaptés à la nature physique de chacun, dans un souci de lisibilité.

Il incombe aux utilisateurs de s'assurer que les informations classifiées de l'UE sont enregistrées sur des supports portant le marquage de classification approprié et bénéficient de la protection requise. Des procédures doivent être établies afin que, pour tous les niveaux d'informations de l'UE, la mise en mémoire sur des supports informatiques se fasse conformément aux présentes règles de sécurité.

25.5.4.   Déclassification et destruction des supports informatiques

Les supports informatiques ayant servi à enregistrer des informations classifiées de l'UE peuvent être déclassés ou déclassifiés, à condition qu'une procédure approuvée par la SAA soit appliquée.

Les supports ayant contenu des informations ►M1  TRES SECRET UE/EU TOP SECRET ◄ ou d'une catégorie spéciale ne doivent pas être déclassifiés ni réutilisés.

Les supports qui ne peuvent être ni déclassifiés ni réutilisés sont détruits selon la procédure mentionnée ci-dessus.

25.5.5.   Sécurité des communications

Le ►M2  directeur de la direction de la sécurité de la Commission ◄ est l'autorité Crypto.

Lorsque des informations classifiées de l'UE sont transmises par voie électromagnétique, des mesures particulières sont mises en œuvre pour protéger la confidentialité, l'intégrité et la disponibilité des informations transmises. La SAA détermine les exigences à satisfaire pour protéger les transmissions d'une éventuelle détection et interception. Les informations transmises au moyen d'un système de communication sont protégées sur la base des exigences nécessaires pour assurer leur confidentialité, leur intégrité et leur disponibilité.

Lorsqu'il est nécessaire de recourir à des méthodes cryptographiques pour protéger la confidentialité, l'intégrité et la disponibilité des informations, ces méthodes et les produits qui leur sont associés doivent être spécialement agréés à cet effet par la SAA en qualité d'autorité Crypto.

Pendant la transmission, la confidentialité des informations SECRET UE ou d'un niveau de classification supérieur doit être protégée par des méthodes ou des produits cryptographiques agréés par le membre de la Commission chargé des questions de sécurité, après avis du groupe consultatif sur la politique de sécurité de la Commission. Pendant la transmission, la confidentialité des informations CONFIDENTIEL UE ou RESTREINT UE doit être protégée par des méthodes ou des produits cryptographiques agréés par l'autorité Crypto de la Commission, après avis du groupe consultatif sur la politique de sécurité de la Commission.

Les règles détaillées applicables à la transmission d'informations classifiées de l'UE doivent figurer dans des instructions de sécurité spécifiques approuvées par la ►M2  direction de la sécurité de la Commission ◄ , après avis du groupe consultatif sur la politique de sécurité de la Commission.

Dans des circonstances exceptionnelles, les informations classifiées RESTREINT UE, CONFIDENTIEL UE et SECRET UE peuvent êtres transmises en clair, à condition que chacune de ces transmissions fasse l'objet d'une autorisation expresse du propriétaire de l'information et soit dûment enregistrée par lui. Ces conditions exceptionnelles sont les suivantes:

Un système doit être capable de refuser catégoriquement l'accès aux informations classifiées de l'UE au niveau de l'un ou de l'ensemble de ses postes de travail ou terminaux distants, le cas échéant par une déconnexion physique ou par des dispositifs logiciels spéciaux approuvés par la SAA.

25.5.6.   Mesures de sécurité concernant l'installation et le rayonnement

Les spécifications établies pour l'installation initiale d'un système et pour toute modification importante ultérieure précisent que les travaux doivent être effectués par des installateurs ayant l'habilitation de sécurité nécessaire, sous la surveillance permanente d'un personnel technique compétent habilité à avoir accès à des informations de l'UE d'un niveau de classification équivalant à la classification la plus élevée des informations que le système est appelé à conserver et à traiter.

Les systèmes qui traitent des informations classifiées CONFIDENTIEL UE ou d'une classification supérieure sont protégés de telle manière que leur sécurité ne puisse être menacée par des émanations ou une conductivité dommageables, dont l'étude et la prévention sont désignés par le terme «TEMPEST».

Les contre-mesures TEMPEST sont examinées et approuvées par l'autorité TEMPEST (voir le point 25.3.2).

25.6.   Sécurité pendant le traitement

25.6.1.   Procédures d'exploitation de sécurité (SecOP)

Les procédures d'exploitation de sécurité (SecOP) définissent les principes à adopter en matière de sécurité, les procédures d'exploitation à suivre et les responsabilités du personnel. Les SecOP sont élaborées sous la responsabilité du propriétaire des systèmes techniques (TSO).

25.6.2.   Protection et gestion de la configuration des logiciels

Le niveau de protection des programmes d'application est déterminé en fonction d'une évaluation de la classification de sécurité du programme lui-même, plutôt que de celle des informations qu'il doit traiter. Les versions des logiciels utilisées doivent être vérifiées à intervalles réguliers de façon à s'assurer de leur intégrité et de leur bon fonctionnement.

Les nouvelles versions ou versions modifiées des logiciels ne seront utilisées pour le traitement d'informations classifiées de l'UE qu'après avoir été vérifiées par le TSO.

25.6.3.   Détection de la présence de logiciels malveillants ou de virus informatiques

La détection de la présence de logiciels malveillants ou de virus informatiques se fait périodiquement en observant les exigences de la SAA.

Tout support informatique pénétrant dans la Commission doit être vérifié avant son introduction dans un système afin d'y détecter la présence éventuelle d'un logiciel malveillant ou d'un virus informatique.

25.6.4.   Maintenance

Les contrats et procédures en vue de la maintenance périodique et sur demande des systèmes pour lesquels un SSRS a été établi doivent préciser les exigences et les dispositions applicables au personnel et au matériel de maintenance qui doivent pénétrer dans une zone TI.

Les exigences et les procédures doivent être clairement énoncées respectivement dans le SSRS et dans les SecOP. Les opérations de maintenance incombant au contractant et nécessitant des procédures de télédiagnostic ne doivent être autorisées que dans des cas exceptionnels, sous contrôle rigoureux, et avec l'accord de la SAA.

25.7.   Acquisition

25.7.1.   Généralités

Les produits de sécurité à utiliser avec le système à acquérir doivent être soit des produits évalués et certifiés, soit des produits en cours d'évaluation et de certification par un organisme d'évaluation ou de certification approprié de l'un des États membres de l'UE, selon des critères internationalement reconnus (comme les Critères communs d'évaluation de la sécurité des technologies de l'information, cf. norme ISO 15408). Des procédures spécifiques sont exigées pour obtenir l'approbation de la CCAM.

Pour décider si le matériel, notamment les supports de stockage informatique, doit être loué plutôt qu'acheté, on doit tenir compte du fait que ce matériel, une fois utilisé pour le traitement d'informations classifiées de l'UE, ne peut plus quitter les locaux qui lui assurent la protection voulue sans avoir été préalablement déclassifié avec l'approbation de la SAA, approbation qui ne peut pas toujours être donnée.

25.7.2.   Homologation

Avant de traiter des informations classifiées de l'UE, tous les systèmes pour lesquels un SSRS doit être établi doivent être homologués par la SAA, sur la base des informations contenues dans le SSRS, dans les SecOP et dans tout autre document pertinent. Les sous-systèmes et les terminaux ou postes de travail distants doivent être homologués au même titre que les systèmes auxquels ils sont raccordés. Lorsqu'un système dessert à la fois la Commission et d'autres organisations, la Commission et les autorités de sécurité concernées doivent s'accorder sur la question de l'homologation.

La procédure d'homologation peut se dérouler conformément à une stratégie d'homologation adaptée au système particulier et définie par la SAA.

25.7.3.   Évaluation et certification

Avant qu'un système ne puisse être homologué, il faut, dans certains cas, que les dispositifs de sécurité des matériels, des microprogrammes et des logiciels aient fait l'objet d'une évaluation et d'une certification qui attestent la capacité du système à protéger des informations au niveau de classification voulu.

Les exigences en matière d'évaluation et de certification doivent être prévues dans la planification du système et clairement énoncées dans le SSRS.

L'évaluation et la certification sont effectuées conformément aux directives approuvées, par des équipes d'agents possédant les compétences techniques nécessaires, titulaires de l'habilitation appropriée et agissant pour le compte du TSO.

Les équipes peuvent être fournies par l'autorité d'évaluation ou de certification d'un État membre désigné ou par ses représentants désignés, par exemple un contractant compétent et habilité.

L'évaluation et la certification peuvent être moins poussées (c'est-à-dire ne porter que sur l'intégration, par exemple) lorsque les systèmes sont fondés sur des produits de sécurité informatique existants évalués et certifiés au niveau national.

25.7.4.   Contrôle systématique des dispositifs de sécurité pour la prorogation de l'homologation

Le TSO établit des procédures de contrôle systématique garantissant que tous les dispositifs de sécurité du système sont toujours valables.

Le SSRS doit clairement recenser et énoncer les types de modifications qui donneraient lieu à une nouvelle homologation ou qui nécessitent une autorisation préalable de la SAA. Pour assurer le bon fonctionnement des dispositifs de sécurité, le TSO fait procéder à une vérification après toute modification, réparation ou panne qui risque d'affecter les dispositifs de sécurité du système. La prorogation de l'homologation du système dépend normalement du résultat satisfaisant de ces contrôles.

Tous les systèmes auxquels des dispositifs de sécurité ont été intégrés sont inspectés ou examinés périodiquement par la SAA. En ce qui concerne les systèmes qui traitent des informations ►M1  TRES SECRET UE/EU TOP SECRET ◄ , les inspections sont effectuées au moins une fois par an.

25.8.   Utilisation temporaire ou occasionnelle

25.8.1.   Sécurité des micro-ordinateurs et ordinateurs individuels

Les micro-ordinateurs et ordinateurs individuels (PC) dotés d'un disque dur fixe (ou d'autres supports à mémoire rémanente) et utilisés de façon autonome ou en réseau, ainsi que les machines portables (PC et blocs-notes électroniques, par exemple) équipées d'un disque dur fixe, sont considérés comme des supports d'informations au même titre que les disquettes ou autres supports informatiques amovibles.

Ces matériels reçoivent le niveau de protection, en termes d'accès, de manipulation, de rangement et de transport, qui convient au plus haut niveau de classification des informations stockées ou traitées (jusqu'à ce qu'elles soient déclassées ou déclassifiées suivant les procédures agréées).

25.8.2.   Utilisation de matériel TI personnel pour un travail officiel dans le cadre de la Commission

Il est interdit d'utiliser des supports, logiciels et matériels TI personnels (par exemple PC et dispositifs électroniques portables) dotés d'une mémoire, pour traiter des informations classifiées de l'UE.

Aucun matériel, logiciel ou support personnel ne doit être introduit dans une zone de catégorie I ou II où sont traitées des informations classifiées de l'UE sans l'autorisation écrite du ►M2  directeur de la direction de la sécurité de la Commission ◄ . Cette autorisation ne peut être accordée que pour des motifs techniques dans des cas exceptionnels.

25.8.3.   Utilisation de matériel TI appartenant à un contractant ou fourni par un pays pour un travail officiel dans le cadre de la Commission

L'utilisation de matériel TI et de logiciels appartenant à un contractant pour effectuer au sein de l'organisation un travail officiel dans le cadre de la Commission peut être autorisée par le ►M2  directeur de la direction de la sécurité de la Commission ◄ . L'utilisation de matériel TI et de logiciels fournis par un pays peut également être autorisée; dans ce cas, le matériel TI est inclus dans le système de pointage approprié de la Commission. En tout état de cause, si le matériel en question doit servir à traiter des informations classifiées de l'UE, il faut consulter la SAA appropriée, afin que les aspects INFOSEC applicables à l'utilisation de cet équipement soient dûment pris en compte et mis en œuvre.

26.   COMMUNICATION D'INFORMATIONS CLASSIFIÉES DE L'UE À DES PAYS TIERS OU À DES ORGANISATIONS INTERNATIONALES

26.1.1.   Principes régissant la communication d'informations classifiées de l'UE

Le collège des membres de la Commission décide d'autoriser la communication d'informations classifiées de l'UE à des pays tiers ou à des organisations internationales sur la base:

L'accord préalable de la personne à l'origine des informations classifiées de l'UE à communiquer est sollicité.

Ces décisions sont prises au cas par cas en fonction:

L'acceptation par des États tiers ou des organisations internationales d'informations classifiées de l'UE implique l'assurance que ces informations ne seront pas utilisées à d'autres fins que celles qui ont motivé leur communication ou les échanges d'informations, et qu'ils leur assureront la protection requise par la Commission.

26.1.2.   Les niveaux

Lorsque la Commission décide que des informations classifiées peuvent être communiquées à tel État ou telle organisation internationale ou échangées avec eux, elle fixe le niveau de coopération possible. Celui-ci dépend en particulier de la politique et de la réglementation de sécurité propres à cet État ou à cette organisation.

On distingue trois niveaux de coopération.

26.1.3.   Accords de sécurité

Lorsque la Commission décide qu'il y a un besoin permanent ou durable d'échange d'informations classifiées entre la Commission et des États tiers ou d'autres organisations internationales, elle élabore avec eux des «accords sur les procédures de sécurité pour l'échange d'informations classifiées» définissant l'objet de la coopération et les règles de protection réciproque des informations échangées.

Dans le cas des coopérations occasionnelles du niveau 3, qui sont par définition limitées dans le temps et dans leur objet, un simple mémorandum d'entente, définissant la nature des informations classifiées à échanger et les obligations réciproques à leur égard, peut se substituer à l'«accord sur les procédures pour l'échange d'informations classifiées», à condition que le niveau de classification de ces informations ne dépasse pas RESTREINT UE.

Les projets d'accords sur les procédures de sécurité ou de mémorandums d'entente sont discutés par le groupe consultatif sur la politique de sécurité de la Commission avant d'être présentés à la Commission pour décision.

Le membre de la Commission chargé des questions de sécurité demande toute l'aide nécessaire aux ANS des États membres pour s'assurer que les informations communiquées sont utilisées et protégées conformément aux termes des accords sur les procédures de sécurité ou des mémorandums d'entente.

▼M3

27.   NORMES MINIMALES COMMUNES EN MATIÈRE DE SÉCURITÉ INDUSTRIELLE

27.1   Introduction

La présente section traite des aspects liés à la sécurité des activités industrielles qui sont propres à la négociation et à l'attribution de contrats ou de conventions de subvention ainsi qu'à l'exécution par des entités, industrielles ou autres, de ces contrats ou conventions de subvention, dans le cadre desquels sont assignées des tâches qui font intervenir, nécessitent et/ou comportent des informations classifiées de l'UE, y compris la communication de telles informations ou l'accès à celles-ci au cours des procédures de passation des marchés et d'appels à propositions (période de soumission et négociations précontractuelles).

27.2   Définitions

Aux fins de ces normes minimales communes, on entend par:

27.3   Organisation

27.4   Contrats classifiés et décisions d'octroi

27.5   Visites

Lorsque le personnel de la Commission visite, dans le cadre de contrats classifiés, des entités industrielles ou autres des États membres chargées d'exécuter des contrats classifiés de l'UE, ces visites doivent être organisées avec l'ANS/ASD compétente. Les visites effectuées par des employés des entités industrielles ou autres dans le cadre d'un contrat classifié de l'UE doivent être organisées par les ANS/ASD concernées. Les ANS/ASD associées à un contrat classifié de l'UE peuvent toutefois convenir d'une procédure prévoyant que les visites effectuées par des employés des entités industrielles ou autres puissent être organisées directement.

27.6   Transmission et transport d'informations classifiées de l'UE

▼M1

---

Appendice 1

▼B

---

Appendice 2

GUIDE PRATIQUE DE LA CLASSIFICATION

Le présent guide a un caractère indicatif et ne peut être interprété comme modifiant les dispositions de fond énoncées aux sections 16, 17, 20 et 21.

---

Appendice 3

Lignes directrices concernant la communication d'informations classifiées de l'UE à des États tiers ou à des organisations internationales Niveau 1 de coopération

PROCÉDURES

RÈGLES DE SÉCURITÉ À APPLIQUER PAR LES BÉNÉFICIAIRES

5.	La décision de la Commission d'autoriser la communication d'informations classifiées de l'UE est portée à la connaissance des États ou des organisations internationales bénéficiaires par le membre de la Commission chargé des questions de sécurité.

6.	Elle ne devient exécutoire que lorsque les bénéficiaires se sont engagés par écrit: — à ne pas utiliser les informations à d'autres fins que celles qui ont été arrêtées, — a les protéger conformément aux présentes règles en matière de sécurité et notamment aux règles particulières ci-après.

7.

Personnel a) Le nombre des agents ayant accès aux informations classifiées de l'UE est strictement limité, selon le principe du besoin d'en connaître, aux seules personnes dont les fonctions exigent l'accès à ces informations. b) Tout agent ou ressortissant autorisé à avoir accès aux informations classifiées CONFIDENTIEL UE ou d'un niveau de classification plus élevé doit être titulaire soit d'un certificat de sécurité du niveau approprié, soit d'une habilitation de sécurité de niveau équivalent; l'un ou l'autre sont délivrés par le gouvernement de son État d'appartenance.

8.

Transmission des documents a) Les modalités pratiques de transmission des documents sont arrêtées d'un commun accord. Sous réserve de la conclusion d'un tel accord, les dispositions de la section 21 s'appliquent. L'accord précise en particulier à quels bureaux d'ordre sont transmises les informations classifiées UE. b) Si la communication d'informations classifiées de l'UE autorisée par la Commission inclut le niveau TRÈS SECRET UE/EU TOP SECRET, le pays ou l'organisation internationale bénéficiaire doit ouvrir un bureau d'ordre UE central et, si besoin est, des bureaux d'ordre UE subordonnés. Ces bureaux d'ordre sont régis par les dispositions de la section XXII des présentes règles de sécurité.

9.

Enregistrement Dès qu'un bureau d'ordre reçoit un document UE classifié CONFIDENTIEL UE ou au-dessus, il l'inscrit dans un registre spécial tenu par l'organisation et divisé en colonnes indiquant la date de réception du document, sa référence (date, cote et numéro d'exemplaire), sa classification, son objet, le nom ou la fonction du destinataire, la date de renvoi du reçu ainsi que la date de renvoi du document à l'autorité d'origine au sein de l'UE ou de sa destruction.

10.

Destruction a) La destruction des documents classifiés de l'UE s'effectue conformément aux instructions figurant à la section 22 des présentes règles de sécurité. Des copies des procès-verbaux de destruction des documents SECRET UE et TRÈS SECRET UE/EU TOP SECRET sont adressées au bureau d'ordre expéditeur de l'UE. b) Les documents classifiés de l'UE doivent être compris dans les plans de destruction d'urgence des documents classifiés des services bénéficiaires.

11.	Protection des documents Toute disposition doit être prise pour empêcher l'accès aux informations classifiées de l'UE par des personnes non autorisées.

12.

Copies, traductions et extraits Il est interdit de photocopier un document classifié CONFIDENTIEL UE ou SECRET UE, d'en faire des traductions ou d'en extraire des passages, sans l'autorisation du chef de l'organisation de sécurité concernée qui enregistrera et contrôlera les copies, les traductions ou les extraits et y apposera les timbres nécessaires. La reproduction ou la traduction d'un document TRÈS SECRET UE/EU TOP SECRET ne peut être autorisée que par l'autorité d'origine qui indiquera le nombre de copies autorisées; si l'autorité d'origine ne peut être déterminée, la question est renvoyée à la ►M2  direction de la sécurité de la Commission ◄ .

13.

Infractions à la sécurité Lorsque l'on constate ou que l'on soupçonne qu'une infraction à la sécurité a été commise et qu'elle met en cause un document classifié de l'UE, il convient de prendre immédiatement les mesures ci-après, sous réserve de la conclusion d'un accord de sécurité: a) mener une enquête pour établir les circonstances de l'infraction; b) avertir la ►M2  direction de la sécurité de la Commission ◄ , les ANS et l'autorité d'origine, ou bien préciser, le cas échéant, que cette dernière n'a pas été avertie; c) faire en sorte de limiter au minimum les incidences de cette infraction; d) réexaminer et mettre en œuvre les mesures propres à empêcher toute récidive; e) mettre en œuvre toute recommandation de la ►M2  direction de la sécurité de la Commission ◄ propre à empêcher une récidive.

14.	Inspections La ►M2  direction de la sécurité de la Commission ◄ est autorisée à effectuer, en accord avec les États ou organisations internationales concernés, des vérifications de l'efficacité des mesures de protection des informations classifiées de l'UE communiquées.

15.

Rapports Sous réserve de la conclusion d'un accord de sécurité, tant que le pays ou l'organisation internationale détient des informations classifiées de l'UE, il doit soumettre chaque année, à une date fixée lorsque l'autorisation lui est donnée de recevoir ces informations, un rapport confirmant que les présentes règles de sécurité sont respectées.

---

Appendice 4

Lignes directrices concernant la communication d'informations classifiées de l'UE à des États tiers ou à des organisations internationales Niveau 2 de coopération

PROCÉDURES

RÈGLES DE SÉCURITÉ À APPLIQUER PAR LES BÉNÉFICIAIRES

7.	La décision de la Commission d'autoriser la communication d'informations classifiées de l'UE et de ses restrictions est portée à la connaissance des États ou des organisations internationales bénéficiaires par le membre de la Commission chargé des questions de sécurité.

8.	Elle ne devient exécutoire que lorsque les bénéficiaires se sont engagés par écrit: — à ne pas utiliser les informations communiquées à d'autres fins que celles qui ont été arrêtées, — à les protéger conformément aux règles fixées par la Commission.

9.

Les règles de protection suivantes sont établies pour le cas où aucune procédure particulière de traitement des documents classifiés de l'UE (suppression de la mention de classification UE, marquage spécifique, etc.) n'a été arrêtée par la Commission sur avis technique du groupe consultatif de la Commission sur la politique de sécurité.

10.

Personnel a) Le nombre des agents ayant accès aux informations classifiées de l'UE doit être strictement limité, selon le principe du besoin d'en connaître, aux seules personnes dont les fonctions exigent l'accès à ces informations. b) Tout agent ou ressortissant autorisé à avoir accès aux informations classifiées communiquées par l'UE doit être titulaire d'une habilitation ou d'une attestation de sécurité nationale lui autorisant l'accès, en ce qui concerne les informations classifiées nationales, au degré approprié équivalent à celui de l'UE, tel que défini dans le tableau d'équivalence. c) Ces habilitations ou attestations de sécurité nationales sont communiquées pour information au ►M2  directeur de la direction de la sécurité de la Commission ◄ .

11.

Transmission des documents Les modalités pratiques de transmission des documents sont arrêtées en commun. Sous réserve de la conclusion d'un tel accord, les dispositions de la section 21 s'appliquent. L'accord indique en particulier les adresses précises auxquelles les documents doivent être envoyés ainsi que les services de courrier ou de messagerie utilisés pour la transmission des informations classifiées de l'UE.

12.

Enregistrement à l'arrivée L'ANS du pays destinataire, ou son équivalent, qui prend en compte, au nom de son gouvernement, les informations classifiées communiquées par l'UE, ou le bureau de sécurité de l'organisation internationale destinataire, ouvre un registre spécial où sont enregistrés, dès réception, les documents classifiés de l'UE. Le registre est divisé en colonnes indiquant la date de réception du document, ses références (cote, date, numéro d'exemplaire), sa classification, son objet, le nom ou la fonction du destinataire, la date de renvoi du reçu et la date de renvoi du document à l'UE ou de sa destruction.

13.	Renvoi des documents Lorsque le destinataire renvoie un document classifié à la Commission ou à l'État membre qui l'a communiqué, il procède comme indiqué au paragraphe précité «Transmission des documents».

14.

Protection a) Lorsqu'ils ne sont pas utilisés, les documents sont enfermés dans un meuble de sécurité homologué pour le stockage des documents nationaux du même degré de classification. Ce meuble ne portera aucune indication de son contenu, dont seules peuvent prendre connaissance les personnes habilitées à traiter des informations classifiées de l'UE. S'il est muni d'une serrure à combinaison, celle-ci n'est connue que des agents de l'État ou de l'organisation autorisés à accéder aux informations classifiées de l'UE conservées dans le meuble; elle est changée tous les six mois, ou plus tôt en cas de transfert d'un agent, d'annulation de l'habilitation de sécurité d'un des agents qui connaît la combinaison ou de risque de compromission. b) Seuls les agents habilités à accéder aux documents classifiés de l'UE et ayant le besoin d'en connaître sont autorisés à les retirer du meuble de sécurité. Ils doivent en assurer la surveillance tant qu'ils les ont en leur possession, et faire en sorte notamment qu'aucune personne non habilitée ait accès à ces documents. Ils doivent, en outre, veiller à les ranger dans un meuble de sécurité lorsqu'ils ont fini de les consulter et en dehors des heures de travail. c) Il est interdit de photocopier un document CONFIDENTIEL UE et au-dessus, ou d'en tirer des extraits sans l'autorisation de la ►M2  direction de la sécurité de la Commission ◄ . d) Il convient de définir et de confirmer avec la ►M2  direction de la sécurité de la Commission ◄ la procédure à suivre pour la destruction rapide et totale des documents en cas d'urgence.

15.

Sécurité physique a) Lorsqu'il n'est pas utilisé, un meuble de sécurité abritant des documents classifiés de l'UE doit être en permanence fermé à clé. b) Le personnel d'entretien ou de nettoyage devant pénétrer ou travailler dans un local abritant des meubles de sécurité est en permanence escorté par un membre des services de sécurité de l'État ou de l'organisation, ou par l'agent plus particulièrement chargé de veiller à la sécurité de ce local. c) En dehors des heures de travail normales (la nuit, en fin de semaine et pendant les congés), la protection du meuble de sécurité contenant des documents classifiés de l'UE est assurée soit par un garde soit par un système d'alarme automatique.

16.

Infractions à la sécurité Lorsque l'on constate ou que l'on soupçonne qu'une infraction à la sécurité a été commise et met en cause un document classifié de l'UE, il convient de prendre sur-le-champ les mesures suivantes: a) adresser immédiatement un rapport à la ►M2  direction de la sécurité de la Commission ◄ ou à l'ANS de l'État membre ayant pris l'initiative de communiquer les documents (avec copie à la ►M2  direction de la sécurité de la Commission ◄ ); b) effectuer une enquête, à l'issue de laquelle un rapport complet est soumis au service de sécurité [voir a) du présent point]. Les mesures requises pour remédier à la situation doivent ensuite être prises.

17.	Inspections La ►M2  direction de la sécurité de la Commission ◄ est autorisée à effectuer, en accord avec les États ou organisations internationales concernés, des vérifications de l'efficacité des mesures de protection des informations classifiées de l'UE communiquées.

18.

Rapports Sous réserve la conclusion d'un accord de sécurité, tant que l'État ou l'organisation détient des informations classifiées de l'UE, elle doit soumettre chaque année, à une date fixée lorsque l'autorisation lui est donnée de recevoir ces informations, un rapport confirmant que les présentes règles de sécurité sont respectées.

---

Appendice 5

Lignes directrices concernant la communication d'informations classifiées de l'UE à des États tiers ou à des organisations internationales Niveau 3 de coopération

PROCÉDURES

1.

Il peut se produire que la Commission décide de coopérer, dans certaines circonstances particulières, avec des États ou des organisations ne pouvant fournir les garanties exigées aux termes des présentes règles de sécurité: une telle coopération peut pourtant nécessiter la communication d'informations classifiées de l'UE.

2.

La communication d'informations classifiées de l'UE à des États tiers ou à des organisations internationales dont la politique et la réglementation de sécurité sont sensiblement différentes de celles de l'UE est du ressort de l'autorité d'origine. La communication d'informations classifiées de l'UE créées au sein de la Commission est du ressort de la Commission en tant que Collège. Elle est, en principe, limitée aux informations classifiées jusqu'au niveau SECRET UE inclus; en sont exclues, les informations classifiées protégées par des codes ou des timbres de sécurité spéciaux.

3.	La Commission juge de l'opportunité de la communication d'informations classifiées, apprécie le besoin d'en connaître des bénéficiaires et arrête la nature des informations classifiées communicables.

4.

Si la Commission émet un avis favorable, il incombe au membre de la Commission chargé des questions de sécurité: — de recueillir les avis des autorités d'origine des informations classifiées de l'UE à communiquer, — d'organiser une réunion avec le groupe consultatif de la Commission sur la politique de sécurité ou d'interroger, par procédure de silence le cas échéant, les autorités nationales de sécurité des États membres en vue de recueillir l'avis du groupe consultatif de la Commission sur la politique de sécurité.

5.

L'avis du groupe consultatif de la Commission sur la politique de sécurité porte sur les éléments suivants: a) évaluation des risques de sécurité encourus par l'UE ou ses États membres; b) degré de classification des informations communicables; c) déclassement ou déclassification préalable avant communication de l'information; d) modalités de traitement des documents à communiquer (voir paragraphe ci-après); e) modes de communication possibles (utilisation des services postaux publics, des réseaux de télécommunication publics ou protégés, courrier diplomatique, courriers habilités, etc.).

6.

Les documents communiqués aux États ou organisations visés par la présente annexe sont préparés, en principe, sans indiquer de référence d'origine ni mention de classification UE. Le groupe consultatif de la Commission sur la politique de sécurité peut recommander: — l'adoption d'un timbre spécifique ou d'un nom code, — l'adoption d'un système de classification spécifique établissant un lien entre les différents degrés de sensibilité des informations communiquées et les mesures de contrôle exigées des bénéficiaires et les modes de communication des documents.

7.	Le ►M2  membre de la Commission chargé des questions de sécurité ◄ transmet à la Commission pour décision l'avis du groupe consultatif de la Commission sur la politique de sécurité.

8.

Dès que la communication d'informations classifiées de l'UE et que les modalités pratiques d'exécution sont approuvées par la Commission, la ►M2  direction de la sécurité de la Commission ◄ établit les contacts nécessaires avec le service de sécurité de l'État ou de l'organisation concernés pour faciliter l'application des dispositions de sécurité prévues.

9.	Le membre de la Commission chargé des questions de sécurité informe les États membres de la nature et de la classification des informations, en établissant la liste des organisations et des pays auxquels elles peuvent être communiquées, selon les décisions de la Commission.

10.	La ►M2  direction de la sécurité de la Commission ◄ prend toute mesure nécessaire pour faciliter l'évaluation du dommage et les révisions de procédures ultérieures éventuelles. La Commission réexamine la question, chaque fois que les conditions de coopération sont modifiées.

RÈGLES DE SÉCURITÉ À APPLIQUER PAR LES BÉNÉFICIAIRES

11.

Le membre de la Commission chargé des questions de sécurité notifie aux États ou organisations internationales bénéficiaires la décision de la Commission d'autoriser la communication d'informations classifiées de l'UE, accompagnée des règles de protection détaillées proposées par le groupe consultatif de la Commission sur la politique de sécurité et approuvées par la Commission.

12.	Elle ne devient exécutoire que lorsque les bénéficiaires se sont engagés par écrit: — à n'utiliser les informations communiquées qu'aux fins de la coopération décidée par la Commission, — à leur assurer la protection exigée par la Commission.

13.

Transmission des documents a) Les modalités pratiques de transmission des documents sont arrêtées en commun entre la ►M2  direction de la sécurité de la Commission ◄ et les services responsables de la sécurité des États ou organisations internationales destinataires. Elles indiquent en particulier les adresses précises auxquelles les documents doivent être envoyés. b) Les documents classifiés CONFIDENTIEL UE et d'un degré de classification plus élevé sont transmis sous double enveloppe. L'enveloppe intérieure porte le timbre spécifique ou le nom de code retenu et la mention de la classification particulière agréée du document. Une formule de récépissé est jointe à chaque document classifié. La formule de récépissé n'a pas de classification et donne exclusivement les références (cote, date, numéro d'exemplaire) et la langue du document, sans en indiquer l'objet. c) L'enveloppe intérieure est ensuite glissée dans l'enveloppe extérieure, qui porte un numéro d'expédition en vue des formalités de réception. Aucune classification de sécurité ne doit figurer sur l'enveloppe extérieure. d) Un reçu portant le numéro d'expédition doit dans tous les cas être remis aux courriers.

14.

Enregistrement à l'arrivée L'ANS de l'État destinataire, ou son équivalent, qui prend en compte, au nom de son gouvernement, les informations classifiées communiquées par l'UE, ou le Bureau de sécurité de l'organisation internationale destinataire, ouvre un registre spécial où sont enregistrés dès réception les documents classifiés communiqués par l'UE. Le registre est divisé en colonnes indiquant la date de réception du document, ses références (cote, date, numéro d'exemplaire), sa classification, son objet, le nom ou la fonction du destinataire, la date de renvoi du reçu à l'UE et la date de sa destruction.

15.

Utilisation et protection des informations classifiées échangées a) Les informations du degré SECRET UE sont traitées par des agents expressément désignés à cet effet et autorisés à avoir accès à des informations de ce degré de classification. Elles sont conservées dans des armoires de sécurité de bonne qualité qui ne peuvent être ouvertes que par des personnes autorisées à avoir accès aux informations qu'elles contiennent. Les zones dans lesquelles se trouvent ces armoires doivent être gardées en permanence et un système de contrôle doit être mis en place afin de n'y laisser entrer que les personnes dûment autorisées. Les informations du degré SECRET UE sont transmises par courrier diplomatique, services de messagerie protégée et moyens de télécommunications protégées. Des copies d'un document du degré SECRET UE ne peuvent être faites qu'avec l'accord écrit de l'autorité d'origine. Toutes les copies sont enregistrées et contrôlées. Des reçus doivent être délivrés pour toutes les opérations concernant les documents du degré SECRET UE. b) Les informations du degré CONFIDENTIEL UE sont traitées par des agents dûment désignés et autorisés à être informés de la question traitée. Les documents sont conservés dans des armoires de sécurité verrouillées se trouvant dans des zones contrôlées. Les informations du degré CONFIDENTIEL UE sont transmises par courrier diplomatique ou service de messagerie militaire et par des moyens de télécommunications protégées. Des copies peuvent en être faites par l'organisme destinataire; leur nombre et leur diffusion sont indiqués sur des registres spéciaux. c) Les informations du degré RESTREINT UE sont traitées dans des locaux inaccessibles aux personnes non autorisées et sont conservées dans des meubles verrouillés. Les documents peuvent être transmis par les services postaux publics en tant qu'envois recommandés sous double enveloppe et, en cas d'urgence, par le réseau de télécommunications public. Des copies peuvent être faites par les destinataires. d) Les informations sans classification ne nécessitent pas de mesures de protection particulières et peuvent être transmises par les services postaux et réseaux de télécommunications publics. Des copies peuvent en être faites par les destinataires.

16.

Destruction Les documents qui ne sont plus nécessaires doivent être détruits. Pour les documents des degrés RESTREINT UE et CONFIDENTIEL UE, une mention appropriée est indiquée dans les registres spéciaux. Pour les documents du degré SECRET UE, des procès-verbaux de destruction, signés par deux personnes ayant été témoins de l'opération, sont établis.

17.

Infractions à la sécurité Lorsque l'on constate ou que l'on soupçonne la compromission d'informations des degrés CONFIDENTIEL UE ou SECRET UE, l'ANS de l'État ou le responsable de la sécurité de l'organisation effectue une enquête sur les circonstances de la compromission. La ►M2  direction de la sécurité de la Commission ◄ est informée de ses résultats. Les mesures nécessaires sont prises pour remédier à des procédures ou à un mode de conservation inadaptés s'ils sont à l'origine de la compromission.

---

Appendice 6

---

( 1 ) JO no 17 du 6.10.1958, p. 406/58.

( 2 ) JO L 151 du 15.6.1990, p. 1.

( 3 ) JO L 101 du 11.4.2001, p. 1.

( 4 ) JO L 145 du 31.5.2001, p. 43.

( 5 ) Sans préjudice de la convention de Vienne de 1961 sur les relations diplomatiques et le protocole sur les privilèges et immunités des Communautés européennes du 8 avril 1965.

( 6 ) Voir à l'annexe I un tableau comparatif des classifications de sécurité en usage dans l'UE, à l'OTAN, à l'UEO et dans les États membres.