EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32015D0443

Décision (UE, Euratom) 2015/443 de la Commission du 13 mars 2015 relative à la sécurité au sein de la Commission

JO L 72 du 17.3.2015, p. 41–52 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dec/2015/443/oj

17.3.2015   

FR

Journal officiel de l'Union européenne

L 72/41


DÉCISION (UE, Euratom) 2015/443 DE LA COMMISSION

du 13 mars 2015

relative à la sécurité au sein de la Commission

LA COMMISSION EUROPÉENNE,

vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 249,

vu le traité instituant la Communauté européenne de l'énergie atomique,

vu le protocole no 7 sur les privilèges et immunités de l'Union européenne annexé aux traités, et notamment son article 18,

considérant ce qui suit:

(1)

L'objectif de la sécurité au sein de la Commission est de permettre à la Commission d'exercer ses activités dans un environnement sûr en adoptant une approche cohérente et intégrée en matière de sécurité, qui assure un niveau de protection adéquat pour les personnes, les biens et les informations, proportionnel aux risques identifiés, ainsi qu'une sécurité efficace et bien adaptée.

(2)

À l'instar d'autres institutions internationales, la Commission est confrontée à des menaces et des défis majeurs dans le domaine de la sécurité, en particulier en ce qui concerne le terrorisme, les cyberattaques et l'espionnage politique et commercial.

(3)

La Commission européenne a signé des accords en matière de sécurité pour ses principaux sites avec les gouvernements belge, luxembourgeois et italien (1). Ces textes confirment que la Commission est responsable de sa propre sécurité.

(4)

Dans le but d'assurer la sécurité des personnes, des biens et des informations, la Commission peut être amenée à prendre des mesures dans des domaines protégés par des droits fondamentaux inscrits dans la Charte des droits fondamentaux et dans la Convention européenne des droits de l'homme, et tels que reconnus par la Cour de justice de l'Union européenne.

(5)

Par conséquent, toute mesure devrait être justifiée par l'importance de l'intérêt qu'elle vise à protéger, être proportionnée et garantir le respect total des droits fondamentaux, notamment le droit à la vie privée et à la protection des données.

(6)

Au sein d'un système engagé à respecter l'État de droit et les droits fondamentaux, la Commission doit s'efforcer d'atteindre un niveau adéquat de sécurité pour son personnel, ses biens et ses informations, qui lui permette d'exercer ses activités sans pour autant limiter les droits fondamentaux au-delà du strict nécessaire.

(7)

La sécurité au sein de la Commission est fondée sur les principes de légalité, de transparence, de proportionnalité et de responsabilité.

(8)

Les membres du personnel mandatés pour prendre des mesures de sécurité ne doivent subir aucun préjudice du fait de leurs actions, sauf s'ils agissent en dehors de leur mandat ou en violation de la loi; à cet égard, la présente décision doit donc être considérée comme une instruction de service au sens du statut.

(9)

La Commission prend des initiatives appropriées pour promouvoir et renforcer sa culture de la sécurité, en assurant une sécurité plus efficace, en améliorant sa gouvernance en matière de sécurité, en élargissant et en intensifiant les réseaux et la coopération avec les autorités compétentes à l'échelon international, européen et national, ainsi qu'en améliorant le suivi et le contrôle de la mise en œuvre des mesures de sécurité.

(10)

La mise en place du Service européen pour l'action extérieure (SEAE) en tant qu'organe de l'Union fonctionnant de manière autonome a eu un impact significatif sur les intérêts de la Commission en matière de sécurité et requiert donc que des règles et des procédures relatives à la coopération en ce qui concerne la sûreté et la sécurité soient établies entre le SEAE et la Commission, en particulier au regard du respect des responsabilités de la Commission en termes de devoir de diligence à l'égard du personnel de la Commission au sein des délégations de l'Union.

(11)

La politique de sécurité de la Commission devrait être appliquée d'une manière cohérente par rapport aux processus et procédures internes susceptibles d'impliquer un élément de sécurité. Il s'agit notamment de la gestion de la continuité des opérations, qui vise à préserver les fonctions critiques de la Commission en cas d'interruption des activités, et du système ARGUS pour la coordination de crise multisectorielle.

(12)

Nonobstant les mesures déjà en place au moment de l'adoption de la présente décision et notifiées au Contrôleur européen de la protection des données (2), toute mesure prise en vertu de la présente décision et impliquant le traitement de données à caractère personnel est soumise aux modalités d'application conformes à l'article 21, qui prévoient des garanties appropriées pour les personnes concernées.

(13)

En conséquence, il est nécessaire que la Commission réexamine, mette à jour et consolide la base réglementaire existante en matière de sécurité au sein de la Commission.

(14)

Il convient dès lors d'abroger la décision C(94) 2129 de la Commission (3),

A ADOPTÉ LA PRÉSENTE DÉCISION:

CHAPITRE 1

DISPOSITIONS GÉNÉRALES

Article premier

Définitions

Aux fins de la présente décision, on entend par:

1)

«biens», tous les biens et possessions meubles et immeubles de la Commission;

2)

«service de la Commission», l'une des directions générales ou l'un des services de la Commission ou l'un des cabinets des membres de la Commission;

3)

«système d'information et de communication» ou «SIC», tout système permettant le traitement d'informations sous forme électronique, avec l'ensemble des moyens nécessaires pour le faire fonctionner, y compris l'infrastructure, l'organisation, le personnel et les ressources d'information;

4)

«contrôle des risques», toute mesure de sécurité raisonnablement susceptible d'assurer le contrôle efficace d'un risque de sécurité, par des moyens visant à prévenir, atténuer, éviter ou transférer le risque;

5)

«situation de crise», toute circonstance, événement, incident ou urgence (ou une succession ou combinaison de ces facteurs) représentant une menace majeure ou immédiate pour la sécurité de la Commission, quelle qu'en soit l'origine;

6)

«donnée», une information revêtant une forme qui lui permet d'être communiquée, enregistrée ou traitée;

7)

«membre de la Commission chargé de la sécurité», un membre de la Commission sous l'autorité duquel est placée la direction générale des ressources humaines et de la sécurité;

8)

«données à caractère personnel», les données à caractère personnel telles que définies à l'article 2, point a), du règlement (CE) no 45/2001 du Parlement européen et du Conseil (4);

9)

«locaux», tous les biens et possessions immeubles et assimilés de la Commission;

10)

«prévention du risque», toute mesure de sécurité raisonnablement susceptible d'empêcher, retarder ou faire cesser un risque de sécurité;

11)

«risque de sécurité», la combinaison entre le niveau de la menace, le niveau de vulnérabilité et l'impact possible d'un événement;

12)

«sécurité au sein de la Commission», la sécurité des personnes, des biens et des informations au sein de la Commission, en particulier l'intégrité physique des personnes et des biens, l'intégrité, la confidentialité et la disponibilité des informations et des systèmes d'information et de communication, ainsi que le fonctionnement sans entrave des activités de la Commission;

13)

«mesure de sécurité», toute mesure prise conformément à la présente décision aux fins du contrôle des risques de sécurité;

14)

«statut», le statut des fonctionnaires de l'Union européenne énoncé dans le règlement (CEE, Euratom, CECA) no 259/68 du Conseil (5) et ses actes modificatifs;

15)

«menace pour la sécurité», tout événement ou agent raisonnablement susceptible de nuire à la sécurité s'il ne fait pas l'objet d'une riposte et d'un contrôle;

16)

«menace immédiate pour la sécurité», une menace pour la sécurité qui survient sans avertissement préalable ou dans un délai extrêmement bref après un tel avertissement;

17)

«menace majeure pour la sécurité», une menace pour la sécurité raisonnablement susceptible de provoquer la mort, des blessures ou des préjudices graves et des dommages importants aux biens, de compromettre des informations très sensibles ou de provoquer l'interruption des systèmes informatiques ou des capacités de fonctionnement essentielles de la Commission;

18)

«vulnérabilité», toute faiblesse de quelque nature que ce soit raisonnablement susceptible de nuire à la sécurité de la Commission si une ou plusieurs menaces en tirent parti pour se concrétiser.

Article 2

Objet

1.   La présente décision définit les objectifs, les principes de base, l'organisation et les responsabilités en matière de sécurité au sein de la Commission.

2.   La présente décision s'applique à tous les services de la Commission et dans l'ensemble des locaux de la Commission. Le personnel de la Commission travaillant dans les délégations de l'Union est soumis aux règles de sécurité applicables au Service européen pour l'action extérieure (6).

3.   Nonobstant toute indication spécifique concernant des groupes particuliers de personnel, la présente décision s'applique aux membres de la Commission, au personnel de la Commission couvert par le statut et par le régime applicable aux autres agents de l'Union européenne, aux experts nationaux détachés auprès de la Commission (END), aux prestataires de services et à leur personnel, aux stagiaires et à toute personne ayant accès aux bâtiments et autres propriétés de la Commission, ou à des informations gérées par la Commission.

4.   Les dispositions de la présente décision s'appliquent sans préjudice des décisions de la Commission 2002/47/CE, CECA, Euratom (7) et 2004/563/CE, Euratom (8), ainsi que des décisions de la Commission C(2006) 1623 (9) et C(2006) 3602 (10).

CHAPITRE 2

PRINCIPES

Article 3

Principes relatifs à la sécurité au sein de la Commission

1.   Dans le cadre de la mise en œuvre de la présente décision, la Commission se conforme aux traités et notamment à la Charte des droits fondamentaux ainsi qu'au protocole no 7 sur les privilèges et immunités de l'Union européenne, aux textes visés au considérant 2, à toutes les règles du droit national applicables et aux termes de la présente décision. Si nécessaire, une note de sécurité au sens de l'article 21, paragraphe 2, fournissant des orientations à cet égard, sera publiée.

2.   La sécurité au sein de la Commission est fondée sur les principes de légalité, de transparence, de proportionnalité et de responsabilité.

3.   Par légalité, on entend la nécessité de maintenir strictement dans le cadre juridique l'exécution de la présente décision, ainsi que la nécessité de se conformer aux exigences légales.

4.   Toute mesure de sécurité doit être prise ouvertement, sauf si cela est raisonnablement susceptible de nuire à son effet. Les personnes concernées par une mesure de sécurité sont informées au préalable des motifs et de l'impact de la mesure, sauf si la divulgation d'une telle information est raisonnablement susceptible de nuire à l'effet de la mesure. Dans ce cas, la personne concernée par la mesure de sécurité est informée une fois que le risque de nuire à l'effet de la mesure de sécurité est éliminé.

5.   Les services de la Commission veillent à ce que les questions de sécurité soient prises en compte dès le début de l'élaboration et de la mise en œuvre des politiques, décisions, programmes, projets et activités de la Commission dont ils ont la charge. Pour ce faire, ils font appel à la direction générale des ressources humaines et de la sécurité de manière générale et au responsable de la sécurité des systèmes d'information de la Commission pour ce qui concerne les systèmes informatiques, et ce dès les premières étapes de préparation.

6.   Le cas échéant, la Commission s'efforce de coopérer avec les autorités compétentes de l'État hôte, des autres États membres et des autres institutions, agences ou organes de l'Union européenne, lorsque cela est possible, en tenant compte des mesures prises ou prévues par ces autorités pour lutter contre le risque de sécurité en question.

Article 4

Obligation de conformité

1.   La conformité à la présente décision et à ses modalités d'application, ainsi qu'aux mesures de sécurité et aux instructions données par le personnel mandaté, est obligatoire.

2.   Le non-respect des règles de sécurité est passible d'une sanction disciplinaire conformément aux traités et au statut, de sanctions contractuelles et/ou de poursuites judiciaires en vertu du droit national.

CHAPITRE 3

ASSURER LA SÉCURITÉ

Article 5

Personnel mandaté

1.   Seul le personnel autorisé sur la base d'un mandat nominatif attribué par le directeur général des ressources humaines et de la sécurité, compte tenu de ses obligations actuelles, peut être habilité à prendre une ou plusieurs des mesures suivantes:

1)

port d'arme de défense;

2)

réalisation des enquêtes de sécurité visées à l'article 13;

3)

adoption des mesures de sécurité visées à l'article 12, comme indiqué dans le mandat.

2.   La durée des mandats visés au paragraphe 1 n'excède pas la période durant laquelle la personne concernée occupe le poste ou la fonction pour lequel le mandat a été attribué. Les mandats sont attribués conformément aux dispositions applicables définies à l'article 3, paragraphe 1.

3.   En ce qui concerne le personnel mandaté, la présente décision constitue une instruction de service au sens de l'article 21 du statut.

Article 6

Dispositions générales concernant les mesures de sécurité

1.   Lorsqu'elle prend des mesures de sécurité, la Commission veille notamment, autant qu'il est raisonnablement possible, à:

a)

demander uniquement l'aide ou l'assistance de l'État concerné, à condition que cet État soit un État membre de l'Union européenne ou, sinon, un État partie à la Convention européenne des droits de l'homme, ou qu'il garantisse des droits au moins équivalents aux droits garantis par ladite convention;

b)

transférer des informations concernant un individu exclusivement à des destinataires, autres que les institutions et organes de l'Union, qui ne sont pas soumis à la législation nationale adoptée en application de la directive 95/46/CE du Parlement européen et du Conseil (11), conformément à l'article 9 du règlement (CE) no 45/2001;

c)

lorsqu'un individu représente une menace pour la sécurité, toute mesure de sécurité vise cet individu et ce dernier peut être contraint d'en supporter les coûts. De telles mesures de sécurité peuvent viser d'autres individus uniquement si une menace immédiate ou majeure pour la sécurité doit être contrôlée et que les conditions suivantes sont réunies:

a)

les mesures envisagées à l'égard de l'individu représentant la menace pour la sécurité ne peuvent pas être prises ou ne seront probablement pas efficaces;

b)

la Commission ne peut pas contrôler la menace pour la sécurité par ses propres moyens ou ne peut le faire en temps opportun;

c)

la mesure ne représente pas un danger disproportionné pour l'autre individu et ses droits.

2.   La direction de la sécurité de la direction générale des ressources humaines et de la sécurité dresse une liste des mesures de sécurité susceptibles de requérir l'ordonnance d'un juge conformément aux lois et règlements des États membres accueillant les locaux de la Commission.

3.   La direction de la sécurité de la direction générale des ressources humaines et de la sécurité peut s'adresser à un contractant pour effectuer des tâches en relation avec la sécurité, sous la direction et la supervision de la direction de la sécurité.

Article 7

Mesures de sécurité concernant les personnes

1.   Un niveau de protection adéquat est accordé aux personnes dans les locaux de la Commission, en tenant compte des exigences en matière de sûreté et de sécurité.

2.   En cas de risque majeur de sécurité, la direction générale des ressources humaines et de la sécurité fournit une protection rapprochée aux membres de la Commission ou à d'autres membres du personnel lorsqu'une évaluation de la menace indique qu'une telle protection est nécessaire pour assurer leur sécurité.

3.   En cas de risque majeur de sécurité, la Commission peut ordonner l'évacuation de ses locaux.

4.   Les victimes d'accidents ou d'attaques à l'intérieur des locaux de la Commission bénéficient d'une assistance.

5.   Afin de prévenir et contrôler les risques de sécurité, le personnel mandaté peut effectuer une vérification des antécédents des personnes entrant dans le champ d'application de la présente décision, de manière à déterminer si l'octroi à ces personnes de l'accès aux locaux ou à des informations de la Commission représente une menace pour la sécurité. À cette fin, et conformément au règlement (CE) no 45/2001 ainsi qu'aux dispositions visées à l'article 3, paragraphe 1, le personnel mandaté concerné peut:

a)

utiliser toutes les sources d'information dont dispose la Commission, en tenant compte de la fiabilité de la source d'information;

b)

accéder au fichier du personnel ou aux données détenues par la Commission concernant les personnes qu'elle emploie ou envisage d'employer, ou pour le personnel des contractants lorsque cela est dûment justifié.

Article 8

Mesures de sécurité concernant la sécurité physique et les biens

1.   La sécurité des biens est assurée en appliquant des mesures physiques et techniques de protection appropriées et les procédures correspondantes, ci-après désignées par le terme de «sécurité physique», créant ainsi un système à plusieurs niveaux.

2.   Des mesures peuvent être adoptées en vertu du présent article afin de protéger des personnes ou des informations au sein de la Commission, ainsi que pour protéger des biens.

3.   Les objectifs de la sécurité physique sont les suivants:

prévenir les actes de violence à l'égard des membres de la Commission ou de personnes entrant dans le champ d'application de la présente décision,

prévenir les actes d'espionnage et les écoutes concernant des informations sensibles ou classifiées,

prévenir le vol, les actes de vandalisme et de sabotage ou d'autres actions violentes visant à détériorer ou détruire les bâtiments et les biens de la Commission,

permettre les enquêtes et les investigations concernant les incidents de sécurité, notamment par des vérifications des registres de contrôle des entrées et sorties, de la vidéosurveillance (télévision en circuit fermé), des enregistrements d'appels téléphoniques et autres données similaires visées ci-après à l'article 22, paragraphe 2, et d'autres sources d'information.

4.   La sécurité physique inclut:

une politique d'accès applicable à toute personne ou tout véhicule demandant l'accès aux locaux de la Commission, y compris les parcs de stationnement,

un système de contrôle des accès composé de gardiens, d'équipements et mesures techniques, de systèmes d'information ou d'une combinaison de tous ces éléments.

5.   Les actions suivantes peuvent être entreprises pour assurer la sécurité physique:

enregistrement des entrées et des sorties de personnes, véhicules, biens et équipements dans et hors des locaux de la Commission,

contrôles d'identité dans les locaux,

inspection des véhicules, biens et équipements par des moyens visuels ou techniques,

interdiction de l'accès de personnes, véhicules et biens non autorisés aux locaux de la Commission.

Article 9

Mesures de sécurité concernant les informations

1.   La sécurité des informations concerne toutes les informations traitées par la Commission.

2.   Quelle qu'en soit la forme, la sécurité des informations vise un équilibre entre d'une part les principes de transparence, de proportionnalité, de responsabilité et d'efficacité et d'autre part la nécessité de protéger les informations contre les accès, utilisation, divulgation, modification ou destruction non autorisés.

3.   La sécurité des informations vise à protéger la confidentialité, l'intégrité et la disponibilité de ces informations.

4.   Par conséquent, des processus de gestion des risques sont utilisés pour classifier les informations et élaborer des mesures, procédures et normes de sécurité proportionnées, y compris des mesures d'atténuation.

5.   Ces principes généraux à la base de la sécurité des informations s'appliquent notamment en ce qui concerne:

a)

les «informations classifiées de l'Union européenne» (ci-après «ICUE»), à savoir toute information ou tout matériel identifié comme tel par la classification de sécurité de l'Union européenne, dont la divulgation non autorisée pourrait porter atteinte à des degrés divers aux intérêts de l'Union européenne, ou à ceux d'un ou de plusieurs de ses États membres;

b)

les «informations sensibles non classifiées», à savoir toute information ou tout matériel que la Commission est tenue de protéger en raison d'obligations légales énoncées dans les traités ou des actes adoptés en application de ces derniers, et/ou en raison de leur sensibilité. Les informations sensibles non classifiées incluent, mais sans s'y limiter, toute information ou tout matériel couvert par l'obligation de secret professionnel, telle que visée à l'article 339 du TFUE, toute information couverte par les intérêts protégés à l'article 4 du règlement (CE) no 1049/2001 du Parlement européen et du Conseil (12), lu conjointement avec la jurisprudence correspondante de la Cour de justice de l'Union européenne, ou les données à caractère personnel entrant dans le champ d'application du règlement (CE) no 45/2001.

6.   Les informations sensibles non classifiées sont soumises à des règles concernant leur gestion et leur conservation. Elles ne sont communiquées qu'aux personnes ayant un «besoin d'en connaître». Si cela est jugé nécessaire pour la protection effective de leur confidentialité, elles sont identifiées au moyen d'un marquage de sécurité, avec des instructions de traitement correspondantes approuvées par le directeur général des ressources humaines et de la sécurité. Lorsqu'elles sont traitées ou conservées dans les systèmes d'information et de communication, ces informations sont également protégées en conformité avec la décision C(2006) 3602, ainsi que ses modalités d'application et les normes correspondantes.

7.   Toute personne responsable de la compromission ou de la perte d'ICUE ou d'informations sensibles non classifiées, identifiées comme telles dans les règles concernant leur traitement et leur conservation, est passible de sanctions disciplinaires conformément au statut. De telles sanctions disciplinaires s'appliquent sans préjudice d'autres actions en justice ou procédures pénales intentées par les autorités nationales compétentes des États membres conformément à leurs lois et règlements, et des moyens de recours contractuels.

Article 10

Mesures de sécurité concernant les systèmes d'information et de communication

1.   L'ensemble des systèmes d'information et de communication (SIC) utilisés par la Commission sont conformes à la politique de sécurité des systèmes d'information de la Commission, telle qu'énoncée dans la décision C(2006) 3602, ses modalités d'application et les normes de sécurité correspondantes.

2.   Les services de la Commission qui détiennent, gèrent ou utilisent des CIS ne peuvent autoriser d'autres institutions, agences, organes ou autres organismes de l'Union à accéder à ces systèmes que si ces derniers peuvent fournir une assurance raisonnable que leurs systèmes informatiques sont protégés à un niveau équivalent à la politique de sécurité des systèmes d'information de la Commission, telle qu'énoncée dans la décision C(2006) 3602, ses modalités d'application et les normes de sécurité correspondantes. La Commission assure le suivi du respect de ces dispositions et, en cas de grave manquement ou de persistance du manquement, elle est habilitée à interdire l'accès.

Article 11

Analyse criminalistique concernant la cybersécurité

La direction générale des ressources humaines et de la sécurité est notamment chargée de mener les analyses techniques et criminalistiques en coopération avec les services compétents de la Commission dans le but de contribuer aux enquêtes de sécurité visées à l'article 13, en lien avec le contre-espionnage, les fuites de données, les cyberattaques et la sécurité des systèmes d'information.

Article 12

Mesures de sécurité concernant les personnes et les objets

1.   Afin d'assurer la sécurité au sein de la Commission et de prévenir et contrôler les risques, le personnel mandaté conformément à l'article 5 peut, dans le respect des principes énoncés à l'article 3, prendre entre autres une ou plusieurs des mesures de sécurité suivantes:

a)

sécurisation des scènes et des preuves, notamment registres de contrôle des entrées et sorties et images de vidéosurveillance, en cas d'incidents ou de comportements susceptibles de donner lieu à des procédures administratives, disciplinaires, civiles ou pénales;

b)

mesures limitées concernant des personnes présentant une menace pour la sécurité, notamment l'ordre de quitter les locaux de la Commission, l'escorte de personnes hors des locaux de la Commission, l'interdiction de l'accès aux locaux de la Commission pour une certaine durée, déterminée selon des critères à définir dans les modalités d'application;

c)

mesures limitées concernant les objets présentant une menace pour la sécurité, notamment le retrait, la saisie et l'élimination de ces objets;

d)

fouille des locaux de la Commission, y compris des bureaux situés dans ces locaux;

e)

examen des SIC et des données échangées sur les équipements, téléphones et appareils de télécommunications, des registres, des comptes utilisateurs, etc.;

f)

autres mesures de sécurité spécifiques ayant un effet similaire destinées à prévenir ou contrôler des risques de sécurité, notamment dans le contexte des droits de la Commission en tant que bailleur ou en tant qu'employeur conformément au droit national applicable.

2.   Dans des circonstances exceptionnelles, les membres du personnel de la direction de la sécurité de la direction générale des ressources humaines et de la sécurité, mandatés conformément à l'article 5, peuvent prendre les éventuelles mesures urgentes qui s'imposent, en stricte conformité avec les principes énoncés à l'article 3. Dès que possible après avoir pris ces mesures, ils informent le directeur de la direction de la sécurité, qui demande le mandat correspondant auprès du directeur général des ressources humaines et de la sécurité, confirmant les mesures prises et autorisant toute action supplémentaire nécessaire; le cas échéant, il prend contact avec les autorités nationales compétentes.

3.   Les mesures de sécurité visées dans le présent article sont documentées au moment où elles sont prises ou, en cas de risque immédiat ou de situation de crise, dans un délai raisonnable après avoir été prises. Dans ce dernier cas, la documentation doit également inclure les éléments sur lesquels était basée l'évaluation concernant l'existence d'un risque immédiat ou d'une situation de crise. La documentation peut être concise mais doit être constituée de manière à permettre à la personne faisant l'objet de la mesure d'exercer ses droits de la défense et ses droits à la protection des données à caractère personnel conformément au règlement (CE) no 45/2001, et à permettre un examen de la légalité de la mesure. Le dossier personnel de la personne concernée ne doit contenir aucune information concernant les mesures de sécurité spécifiques appliquées à un membre du personnel.

4.   En prenant les mesures de sécurité visées au point b), la Commission garantit en outre que l'individu concerné se voit offrir la possibilité de contacter un avocat ou une personne de confiance et est informé de son droit de faire appel au contrôleur européen de la protection des données.

Article 13

Enquêtes

1.   Sans préjudice de l'article 86 et de l'annexe IX du statut, et de tout accord spécial entre la Commission et le SEAE tel que l'accord spécial signé le 28 mai 2014 entre la direction générale des ressources humaines et de la sécurité de la Commission européenne et le Service européen pour l'action extérieure concernant le devoir de sollicitude à l'égard du personnel de la Commission affecté dans les délégations de l'Union, des enquêtes de sécurité peuvent être menées:

a)

en cas d'incidents touchant la sécurité au sein de la Commission, y compris en cas de suspicion d'infractions pénales;

b)

en cas de fuite, usage abusif ou compromission potentiels d'informations sensibles non classifiées, d'ICUE ou d'informations classifiées Euratom;

c)

dans le contexte du contre-espionnage et de l'antiterrorisme;

d)

en cas de cyberincidents graves.

2.   La décision de mener une enquête de sécurité est prise par le directeur général des ressources humaines et de la sécurité, qui sera également destinataire du rapport d'enquête.

3.   Les enquêtes de sécurité sont menées exclusivement par des membres du personnel habilités de la direction générale des ressources humaines et de la sécurité, dûment mandatés conformément à l'article 5.

4.   Le personnel mandaté exerce ses pouvoirs en matière d'enquête de sécurité de manière indépendante, selon les termes de son mandat, et est investi des pouvoirs visés à l'article 12.

5.   Le personnel mandaté ayant compétence pour mener des enquêtes de sécurité peut collecter des informations auprès de toutes les sources disponibles en lien avec toute infraction administrative ou pénale commise au sein des locaux de la Commission ou impliquant des personnes visées à l'article 2, paragraphe 3, que ce soit en tant que victime ou en tant qu'auteur de telles infractions.

6.   La direction générale des ressources humaines et de la sécurité informe les autorités compétentes de l'État membre hôte ou de tout autre État membre concerné, le cas échéant, en particulier si l'enquête a mis au jour des indices montrant qu'un acte criminel a été perpétré. Dans ce contexte, la direction générale des ressources humaines et de la sécurité peut, si cela est nécessaire ou approprié, apporter un soutien aux autorités de l'État membre hôte ou d'un autre État membre concerné.

7.   En cas de cyberincidents graves, la direction générale de l'informatique collabore étroitement avec la direction générale des ressources humaines et de la sécurité pour l'assister sur toutes les questions techniques. La direction générale des ressources humaines et de la sécurité décide, en concertation avec la direction générale de l'informatique, s'il est approprié d'informer les autorités compétentes du pays hôte ou de tout autre État membre concerné. Les services de coordination en cas d'incident de l'équipe d'intervention en cas d'urgence informatique pour les institutions, organes et agences de l'Union européenne (CERT-UE) seront sollicités en ce qui concerne l'assistance aux autres institutions et agences de l'Union européenne susceptibles d'être affectées.

8.   Les enquêtes de sécurité sont documentées.

Article 14

Délimitation des compétences concernant les enquêtes de sécurité et les autres types d'investigations

1.   Lorsque la direction de la sécurité de la direction générale des ressources humaines et de la sécurité mène des enquêtes de sécurité visées à l'article 13, et si ces enquêtes entrent dans le champ de compétence de l'Office européen de lutte antifraude (OLAF) ou de l'Office d'investigation et de discipline de la Commission (IDOC), elle se met immédiatement en relation avec ces organismes en vue, notamment, de ne pas compromettre les étapes ultérieures menées par l'OLAF ou l'IDOC. Le cas échéant, la direction de la sécurité de la direction générale des ressources humaines et de la sécurité convie l'OLAF ou l'IDOC à participer à l'enquête.

2.   Les enquêtes de sécurité visées à l'article 13 ont lieu sans préjudice des pouvoirs de l'OLAF et de l'IDOC établis dans les règles régissant ces organismes. La direction de la sécurité de la direction générale des ressources humaines et de la sécurité peut être sollicitée pour apporter une assistance technique dans les enquêtes engagées par l'OLAF ou l'IDOC.

3.   La direction de la sécurité de la direction générale des ressources humaines et de la sécurité peut être sollicitée pour assister les agents de l'OLAF lorsqu'ils accèdent aux locaux de la Commission conformément à l'article 3, paragraphe 5, et à l'article 4, paragraphe 4, du règlement (UE, Euratom) no 883/2013 du Parlement européen et du Conseil (13), afin de leur faciliter la tâche. La direction de la sécurité informe le secrétaire général et le directeur général de la direction générale des ressources humaines et de la sécurité de ces demandes d'assistance ou, si ces enquêtes sont menées dans des locaux de la Commission occupés par ses membres ou par son secrétaire général, elle en informe le président de la Commission et le commissaire chargé des ressources humaines.

4.   Sans préjudice de l'article 22, point a), du statut, si une affaire relève de la compétence à la fois de la direction de la sécurité de la direction générale des ressources humaines et de la sécurité et de l'IDOC, la direction de la sécurité indique le plus tôt possible, dans son rapport au directeur général des ressources humaines conformément à l'article 13, s'il existe des motifs justifiant que l'IDOC soit saisi de l'affaire. Ce stade est considéré comme atteint notamment lorsqu'une menace immédiate pour la sécurité a cessé. Le directeur général des ressources humaines et de la sécurité se prononce sur la question.

5.   Si une affaire relève de la compétence à la fois de la direction de la sécurité de la direction générale des ressources humaines et de la sécurité et de l'OLAF, la direction de la sécurité fait immédiatement rapport au directeur général des ressources humaines et de la sécurité et informe le directeur général de l'OLAF le plus tôt possible. Ce stade est considéré comme atteint notamment lorsqu'une menace immédiate pour la sécurité a cessé.

Article 15

Inspections de sécurité

1.   La direction générale des ressources humaines et de la sécurité effectue des inspections de sécurité afin de vérifier le respect de la présente décision et de ses modalités d'application par les services de la Commission et les personnes, et de formuler des recommandations si cela est jugé nécessaire.

2.   Le cas échéant, la direction générale des ressources humaines et de la sécurité effectue des inspections de sécurité ou des visites d'évaluation ou de suivi de la sécurité afin de vérifier si la sécurité du personnel, des biens et des informations de la Commission placés sous la responsabilité d'autres institutions, agences ou organes de l'Union, d'États membres, de pays tiers ou d'organisations internationales, est correctement assurée conformément à des règles, règlements et normes de sécurité au moins équivalents à ceux de la Commission. Le cas échéant et dans un esprit de bonne coopération entre les administrations, ces inspections de sécurité comprennent également des inspections menées dans le contexte de l'échange d'informations classifiées avec d'autres institutions, organes et agences de l'Union, des États membres, des pays tiers ou des organisations internationales.

3.   Le présent article s'applique mutatis mutandis au personnel de la Commission travaillant dans les délégations de l'Union sans préjudice de tout accord spécial entre la Commission et le SEAE tel que l'accord spécial signé le 28 mai 2014 entre la direction générale des ressources humaines et de la sécurité de la Commission européenne et le Service européen pour l'action extérieure concernant le devoir de sollicitude à l'égard du personnel de la Commission affecté dans les délégations de l'Union.

Article 16

États d'alerte et gestion des situations de crise

1.   La direction générale des ressources humaines et de la sécurité est chargée de mettre en place les mesures d'état d'alerte appropriées à titre d'anticipation ou de riposte face à des menaces et des incidents affectant la sécurité au sein de la Commission, ainsi que les mesures requises pour gérer les situations de crise.

2.   Les mesures d'état d'alerte visées au paragraphe 1 doivent être proportionnelles au niveau de menace pour la sécurité. Les niveaux d'état d'alerte sont définis en étroite coopération avec les services compétents des autres institutions, agences et organes de l'Union et ceux de l'État membre ou des États membres accueillant les locaux de la Commission.

3.   La direction générale des ressources humaines et de la sécurité fait office de point de contact pour les états d'alerte et la gestion des situations de crise.

CHAPITRE 4

ORGANISATION

Article 17

Responsabilités générales des services de la Commission

1.   Les responsabilités de la Commission visées dans la présente décision sont exercées par la direction générale des ressources humaines et de la sécurité sous l'autorité et la responsabilité du membre de la Commission chargé de la sécurité.

2.   Les dispositions spécifiques concernant la cybersécurité sont définies dans la décision C(2006) 3602.

3.   Les responsabilités relatives à la mise en œuvre de la présente décision et de ses modalités d'application, ainsi qu'au respect quotidien de celles-ci, peuvent être déléguées à d'autres services de la Commission, dès lors qu'une organisation décentralisée de la sécurité offre un gain d'efficacité ou des économies de temps et de ressources significatifs, par exemple en raison de la localisation géographique des services concernés.

4.   Lorsque le paragraphe 3 s'applique, la direction générale des ressources humaines et de la sécurité, et le cas échéant la direction générale de l'informatique, conclut des accords avec les différents services de la Commission en définissant clairement les rôles et les responsabilités concernant la mise en œuvre et le suivi des politiques de sécurité.

Article 18

La direction générale des ressources humaines et de la sécurité

1.   La direction générale des ressources humaines et de la sécurité est notamment chargée de:

1)

élaborer la politique de sécurité de la Commission, les modalités d'application et les notes de sécurité;

2)

réunir des informations pour évaluer les menaces et les risques pour la sécurité et sur toutes les questions susceptibles de concerner la sécurité au sein de la Commission;

3)

fournir une contre-surveillance électronique et une protection à tous les sites de la Commission, en tenant dûment compte des évaluations des menaces et des preuves d'activités non autorisées allant contre les intérêts de la Commission;

4)

fournir un service d'urgence 24 h/24 et 7 jours/7 pour les services et le personnel de la Commission pour toutes les questions en lien avec la sûreté et la sécurité;

5)

mettre en œuvre des mesures de sécurité visant à atténuer les risques de sécurité et à développer et entretenir des SIC adaptés afin de couvrir ses besoins opérationnels, en particulier dans le domaine du contrôle d'accès physique, de la gestion des autorisations de sécurité et du traitement des informations sensibles et classifiées de l'Union européenne;

6)

sensibiliser, organiser des exercices et des manœuvres et fournir une formation et des conseils sur toutes les questions en lien avec la sécurité au sein de la Commission, en vue de promouvoir une culture de la sécurité et de créer un groupe de personnes parfaitement formées sur les questions de sécurité.

2.   Sans préjudice des compétences et responsabilités d'autres services de la Commission, la direction générale des ressources humaines et de la sécurité assure la liaison externe:

1)

avec les organismes chargés de la sécurité des autres institutions, agences et organes de l'Union sur les questions liées à la sécurité des personnes, des biens et des informations au sein de la Commission;

2)

avec les services de sécurité, de renseignement et d'évaluation des menaces, notamment les autorités de sécurité nationales, des États membres, des pays tiers et des organisations et organismes internationaux, sur les questions relatives à la sécurité des personnes, des biens et des informations au sein de la Commission;

3)

avec les services de police et autres services d'urgence sur toutes les questions de routine et d'urgence concernant la sécurité de la Commission;

4)

avec les autorités de sécurité des autres institutions, agences et organes de l'Union, des États membres et des pays tiers dans le domaine de la riposte aux cyberattaques ayant un impact potentiel sur la sécurité au sein de la Commission;

5)

concernant la réception, l'évaluation et la diffusion des renseignements relatifs à des menaces représentées par des activités terroristes et d'espionnage affectant la sécurité au sein de la Commission;

6)

concernant les questions relatives aux informations classifiées, comme indiqué plus en détail dans la décision de la Commission (UE, Euratom) 2015/444 (14).

3.   La direction générale des ressources humaines et de la sécurité est responsable de la transmission sécurisée des informations effectuée en vertu du présent article, y compris la transmission de données à caractère personnel.

Article 19

Le groupe d'experts sécurité de la Commission (ComSEG)

Un groupe d'experts sécurité de la Commission est mis en place, avec pour mandat de conseiller la Commission, le cas échéant, sur les questions relatives à sa politique de sécurité interne et plus particulièrement à la protection des informations classifiées de l'Union européenne.

Article 20

Responsables locaux de la sécurité (LSO)

1.   Chaque service ou cabinet de la Commission nomme un responsable local de la sécurité (LSO), qui fait office de point de contact principal entre le service concerné et la direction générale des ressources humaines et de la sécurité pour toutes les questions en lien avec la sécurité au sein de la Commission. Le cas échéant, un ou plusieurs responsables locaux de la sécurité adjoints peuvent être désignés. Le responsable local de la sécurité est un fonctionnaire ou un agent temporaire.

2.   En sa qualité de point de contact principal sur la sécurité au sein de son service ou cabinet de la Commission, le responsable local de la sécurité fait rapport à la direction générale des ressources humaines et de la sécurité et à sa hiérarchie à intervalles réguliers sur les questions de sécurité concernant son service et de façon immédiate sur tout incident de sécurité, notamment lorsque des ICUE ou des informations sensibles non classifiées peuvent avoir été compromises.

3.   Pour les questions relatives à la sécurité des systèmes d'information et de communication, le responsable local de la sécurité se met en relation avec le responsable de la sécurité informatique au niveau local (LISO) de son service, dont le rôle et les responsabilités sont définis dans la décision C(2006) 3602.

4.   Il participe aux activités de formation et de sensibilisation à la sécurité répondant aux besoins spécifiques du personnel, des contractants et des autres personnes travaillant sous l'autorité du service de la Commission auquel il est rattaché.

5.   Le responsable local de la sécurité peut se voir confier des tâches spécifiques en cas de risque de sécurité majeur ou immédiat ou d'urgence à la demande de la direction générale des ressources humaines et de la sécurité. Le directeur général ou le directeur des ressources humaines de la direction générale locale du responsable local de la sécurité est informé de ces tâches spécifiques par la direction générale des ressources humaines et de la sécurité.

6.   Les responsabilités du responsable local de la sécurité sont assumées sans préjudice du rôle et des responsabilités assignés aux responsables de la sécurité informatique au niveau local (LISO), aux responsables en matière de santé et de sécurité, aux agents contrôleurs (RCO) et à toute autre fonction impliquant des responsabilités en matière de sécurité ou de sûreté. Le responsable local de la sécurité se met en relation avec eux pour assurer une approche cohérente de la sécurité et un flux d'information efficace sur les questions en lien avec la sécurité au sein de la Commission.

7.   Le responsable local de la sécurité a directement accès à son directeur général ou son chef de service tout en informant sa hiérarchie directe. Il détient une autorisation de sécurité pour accéder aux ICUE, au moins jusqu'au niveau SECRET UE.

8.   Afin de promouvoir l'échange d'informations et les meilleures pratiques, la direction générale des ressources humaines et de la sécurité organise au moins deux fois par an une conférence des responsables locaux de la sécurité. Les responsables locaux de la sécurité ont l'obligation d'assister à ces conférences.

CHAPITRE 5

MISE EN ŒUVRE

Article 21

Modalités d'application et notes de sécurité

1.   Au besoin, l'adoption des modalités d'application de la présente décision fera l'objet d'une décision d'habilitation distincte de la Commission en faveur du membre de la Commission chargé des questions de sécurité, conformément au règlement intérieur.

2.   Après avoir été habilité à la suite de la décision de la Commission susvisée, le membre de la Commission chargé des questions de sécurité peut rédiger des notes de sécurité définissant des lignes directrices et des bonnes pratiques en matière de sécurité dans le cadre du champ d'application de la présente décision et de ses modalités d'application.

3.   La Commission peut déléguer les tâches mentionnées dans les premier et deuxième paragraphes du présent article au directeur général des ressources humaines et de la sécurité au moyen d'une décision de délégation distincte, conformément au règlement intérieur.

CHAPITRE 6

DISPOSITIONS DIVERSES ET DISPOSITIONS FINALES

Article 22

Traitement des données à caractère personnel

1.   La Commission traite les données à caractère personnel requises pour la mise en œuvre de la présente décision conformément au règlement (CE) no 45/2001.

2.   Nonobstant les mesures déjà en place au moment de l'adoption de la présente décision et notifiées au contrôleur européen de la protection des données (15), toute mesure prise en vertu de la présente décision et impliquant le traitement de données à caractère personnel, notamment en lien avec les registres des entrées et sorties, enregistrements de vidéosurveillance, enregistrements d'appels téléphoniques aux services de permanence ou aux centres de répartition et données similaires, nécessaires pour des raisons de sécurité ou de riposte à une crise, est soumise aux modalités d'application conformes à l'article 21, qui prévoient des garanties appropriées pour les personnes concernées.

3.   Le directeur général de la direction générale des ressources humaines et de la sécurité est responsable de la sécurité de tout traitement de données à caractère personnel effectué dans le contexte de la présente décision.

4.   Ces modalités d'application et procédures sont adoptées après consultation du délégué à la protection des données et du contrôleur européen de la protection des données, conformément au règlement (CE) no 45/2001.

Article 23

Transparence

La présente décision et ses modalités d'application sont portées à l'attention du personnel de la Commission et de toutes les personnes auxquelles elles s'appliquent.

Article 24

Abrogation des décisions précédentes

La décision C(94) 2129 est abrogée.

Article 25

Entrée en vigueur

La présente décision entre en vigueur le jour suivant celui de sa publication au Journal officiel de l'Union européenne.

Fait à Bruxelles, le 13 mars 2015.

Par la Commission

Le président

Jean-Claude JUNCKER


(1)  Voir «Arrangement entre le gouvernement belge et le Parlement européen, le Conseil, la Commission, le Comité économique et social européen, le Comité des régions, la Banque européenne d'investissement en matière de sécurité» du 31 décembre 2004, «Accord de sécurité signé entre la Commission et le gouvernement luxembourgeois» du 20 janvier 2007, et «Accordo tra il Governo italiano e la Commissione europea dell'energia atomica (Euratom) per l'istituzione di un Centro comune di ricerche nucleari di competenza generale» du 22 juillet 1959.

(2)  DPO-914.2, DPO-93.7, DPO-153.3, DPO-870.3, DPO-2831.2, DPO-1162.4, DPO-151.3, DPO-3302.1, DPO-508.6, DPO-2638.3, DPO-544.2, DPO-498.2, DPO-2692.2, DPO-2823.2.

(3)  Décision C(94) 2129 de la Commission du 8 septembre 1994 relative aux tâches du bureau de sécurité.

(4)  Règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).

(5)  Règlement (CEE, Euratom, CECA) no 259/68 du Conseil du 29 février 1968 fixant le statut des fonctionnaires des Communautés européennes ainsi que le régime applicable aux autres agents de ces Communautés, et instituant des mesures particulières temporairement applicables aux fonctionnaires de la Commission (régime applicable aux autres agents) (JO L 56 du 4.3.1968, p. 1).

(6)  Décision de la haute représentante de l'Union pour les affaires étrangères et la politique de sécurité 2013/C 190/01 du 19 avril 2013 relative aux règles de sécurité applicables au Service européen pour l'action extérieure (JO C 190 du 29.6.2013, p. 1).

(7)  Décision 2002/47/CE, CECA, Euratom de la Commission du 23 janvier 2002 modifiant son règlement intérieur (JO L 21 du 24.1.2002, p. 23), ajoutant en annexe les dispositions concernant l'administration des documents.

(8)  Décision 2004/563/CE, Euratom de la Commission du 7 juillet 2004 modifiant son règlement intérieur (JO L 251 du 27.7.2004, p. 9), ajoutant en annexe les dispositions concernant les documents électroniques et numérisés.

(9)  Décision C(2006) 1623 de la Commission du 21 avril 2006 établissant une politique harmonisée en matière de santé et de sécurité au travail pour l'ensemble du personnel de la Commission européenne.

(10)  Décision C(2006) 3602 de la Commission du 16 août 2006 relative à la sécurité des systèmes d'information utilisés par les services de la Commission.

(11)  Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31).

(12)  Règlement (CE) no 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l'accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO L 145 du 31.5.2001, p. 43).

(13)  Règlement (UE, Euratom) no 883/2013 du Parlement européen et du Conseil du 11 septembre 2013 relatif aux enquêtes effectuées par l'Office européen de lutte antifraude (OLAF) et abrogeant le règlement (CE) no 1073/1999 du Parlement européen et du Conseil et le règlement (Euratom) no 1074/1999 du Conseil (JO L 248 du 18.9.2013, p. 1).

(14)  Décision (UE, Euratom) 2015/444 de la Commission du 13 mars 2015 concernant les règles de sécurité aux fins de la protection des informations classifiées de l'Union européenne (voir page 53 du présent Journal officiel).

(15)  DPO-914.2, DPO-93.7, DPO-153.3, DPO-870.3, DPO-2831.2, DPO-1162.4, DPO-151.3, DPO-3302.1, DPO-508.6, DPO-2638.3, DPO-544.2, DPO-498.2, DPO-2692.2, DPO-2823.2.


Top