24.12.2016   

FR

Journal officiel de l'Union européenne

L 355/5


DÉCISION (UE) 2016/2386 DE LA COUR DE JUSTICE

du 20 septembre 2016

concernant les règles de sécurité applicables aux renseignements ou pièces produits devant le Tribunal au titre de l'article 105 de son règlement de procédure

LA COUR,

Vu le règlement de procédure et, notamment, son article 190 bis, paragraphe 5,

Considérant ce qui suit:

(1)

Aux termes de l'article 105, paragraphes 1 et 2, du règlement de procédure du Tribunal, une partie principale au litige peut, spontanément ou à la suite d'une mesure d'instruction adoptée par le Tribunal, produire des renseignements ou pièces touchant à la sûreté de l'Union européenne ou à celle d'un ou de plusieurs de ses États membres ou à la conduite de leurs relations internationales. Les paragraphes 3 à 10 de cette disposition prévoient le régime procédural applicable à de tels renseignements ou pièces.

(2)

Compte tenu de la nature sensible et confidentielle des renseignements ou pièces concernés, la mise en œuvre du régime institué par l'article 105 du règlement de procédure du Tribunal nécessite l'instauration d'un dispositif sécuritaire approprié visant à garantir à ces renseignements ou pièces un haut niveau de protection.

(3)

À cet effet, le dispositif sécuritaire doit s'appliquer à tous les renseignements ou pièces produits au titre de l'article 105, paragraphe 1 ou 2, dudit règlement, qui sont des informations classifiées de l'Union européenne ou dont il est signalé, par la partie principale qui les produit, que leur communication à l'autre partie principale porterait atteinte à la sûreté de l'Union ou de ses États membres ou à la conduite de leurs relations internationales, y compris lorsque lesdits renseignements ou pièces ne sont pas des informations classifiées de l'Union européenne.

(4)

En vue d'assurer un haut niveau de protection à ces renseignements ou à ces pièces, les principes de base et les normes de sécurité minimales pour la protection desdits renseignements ou pièces s'inspirent de ceux appliqués pour la protection des informations classifiées SECRET UE/EU SECRET selon les règles des institutions de l'Union en matière de protection des informations classifiées de l'Union européenne (ICUE), notamment celles adoptées par le Conseil de l'Union européenne, le Parlement européen et la Commission européenne.

(5)

Les renseignements ou pièces produits au titre de l'article 105, paragraphe 1 ou 2, du règlement de procédure du Tribunal font l'objet d'un marquage spécifique à la Cour de justice de l'Union européenne, dit «FIDUCIA», déterminant le régime sécuritaire qui leur est applicable tout au long de la procédure devant le Tribunal et, en cas de pourvoi, devant la Cour de justice. L'apposition du marquage FIDUCIA et la suppression de ce marquage sont dépourvues d'incidences sur la classification des informations communiquées au Tribunal.

(6)

L'accès aux informations FIDUCIA est assuré dans le respect du principe du besoin d'en connaître,

DÉCIDE:

Article premier

Définitions

Aux fins de la présente décision, on entend par:

a)   «autorité de sécurité»: l'autorité responsable de la sécurité de la Cour de justice de l'Union européenne désignée par cette dernière, qui peut déléguer, en tout ou en partie, l'exécution des tâches prévues par la présente décision;

b)   «bureau FIDUCIA»: le bureau de la Cour de justice de l'Union européenne assurant la gestion des informations FIDUCIA;

c)   «détenteur»: une personne dûment autorisée qui, sur la base d'un besoin d'en connaître avéré, est en possession d'une information FIDUCIA et à laquelle il incombe par conséquent d'en assurer la protection;

d)   «document»: toute information, quelles qu'en soient la forme ou les caractéristiques physiques;

e)   «information»: toute information écrite ou orale, quels qu'en soient le support ou l'auteur;

f)   «informations classifiées de l'Union européenne» (ICUE): toute information ou tout matériel identifié comme tel selon la classification de sécurité de l'Union européenne en vertu des règles applicables en la matière au sein des institutions de l'Union, relevant de l'un des niveaux de classification suivants:

TRÈS SECRET UE/EU TOP SECRET,

SECRET UE/EU SECRET,

CONFIDENTIEL UE/EU CONFIDENTIAL,

RESTREINT UE/EU RESTRICTED;

g)   «information FIDUCIA»: toute information qui porte le marquage FIDUCIA;

h)   «traitement» d'une information FIDUCIA: l'ensemble des actions dont les informations FIDUCIA sont susceptibles de faire l'objet tout au long de la procédure devant la Cour de justice. Sont ainsi visés leur enregistrement, leur consultation, leur création, leur duplication, leur stockage, leur restitution et leur destruction.

Article 2

Objet et champ d'application

1.   La présente décision définit les principes de base et les normes de sécurité minimales pour la protection des informations FIDUCIA dans le cadre de la procédure devant la Cour de justice.

2.   Ces principes de base et normes de sécurité minimales s'appliquent à toute information FIDUCIA, de même qu'à toute utilisation, écrite ou orale, ainsi qu'aux copies qui en sont, le cas échéant, faites conformément aux règles de sécurité établies dans la présente décision.

Article 3

Modalités de dépôt et de restitution

Aux fins de la mise en œuvre du dispositif prévu par la présente décision:

la partie principale informe le greffe du Tribunal du jour du dépôt des renseignements ou pièces au titre de l'article 105, paragraphe 1 ou 2, du règlement de procédure du Tribunal,

la partie principale, accompagnée d'un représentant du greffe du Tribunal, est tenue de déposer les renseignements ou les pièces au titre de l'article 105, paragraphe 1 ou 2, dudit règlement auprès du bureau FIDUCIA pendant les heures d'ouverture du greffe au public,

la partie principale qui a produit les renseignements ou pièces au titre de l'article 105, paragraphe 1 ou 2, du règlement de procédure du Tribunal est tenue de les récupérer auprès du bureau FIDUCIA en présence d'un représentant du greffe du Tribunal lorsqu'elle n'autorise pas leur communication au titre de l'article 105, paragraphe 4, dudit règlement, dès leur retrait conformément à l'article 105, paragraphe 7, du même règlement ou dès l'expiration du délai visé à l'article 56, premier alinéa, du statut de la Cour de justice de l'Union européenne, à moins qu'un pourvoi n'ait été formé dans ce délai,

si, dans le délai visé à l'article 56, premier alinéa, du statut de la Cour de justice de l'Union européenne, un pourvoi est formé contre la décision du Tribunal, les renseignements ou pièces produits dans le cadre de cette affaire au titre de l'article 105, paragraphe 1 ou 2, du règlement de procédure du Tribunal sont mis à disposition de la Cour de justice. À cet effet, dès que le greffier du Tribunal est informé de l'existence de ce pourvoi, il adresse un courrier au greffier de la Cour de justice, l'informant du fait que les renseignements ou pièces concernés sont mis à disposition de la Cour de justice. Le greffier du Tribunal informe simultanément l'autorité de sécurité du fait que les renseignements ou pièces concernés doivent être mis à disposition de la Cour de justice, sans déplacement physique desdits renseignements ou pièces. Cette information est enregistrée par le bureau FIDUCIA. La partie principale qui a produit ces renseignements ou ces pièces est tenue de les récupérer auprès du bureau FIDUCIA, en présence d'un représentant du greffe de la Cour de justice, dès la signification de la décision mettant fin au pourvoi, sauf en cas de renvoi de l'affaire devant le Tribunal pour qu'il statue,

en cas de renvoi de l'affaire devant le Tribunal, la Cour de justice met les renseignements ou pièces concernés à disposition du Tribunal dès la signification de la décision mettant fin au pourvoi. À cet effet, le greffier de la Cour de justice adresse un courrier au greffier du Tribunal, l'informant du fait que les renseignements ou pièces concernés sont mis à disposition du Tribunal. Le greffier de la Cour de justice informe simultanément l'autorité de sécurité du fait que les renseignements ou pièces concernés doivent être mis à disposition du Tribunal, sans déplacement physique desdits renseignements ou pièces. Cette information est enregistrée par le bureau FIDUCIA. La partie principale qui a produit ces renseignements ou ces pièces est tenue de les récupérer auprès du bureau FIDUCIA, en présence d'un représentant du greffe du Tribunal, dès l'expiration du délai visé à l'article 56, premier alinéa, du statut de la Cour de justice de l'Union européenne, à moins qu'un pourvoi n'ait été formé dans ce délai.

Article 4

Marquage FIDUCIA

1.   Le marquage FIDUCIA est attribué par le bureau FIDUCIA à l'ensemble des renseignements ou pièces produits conformément à l'article 105, paragraphe 1 ou 2, du règlement de procédure du Tribunal.

2.   Le marquage FIDUCIA est également attribué par le bureau FIDUCIA à toute information qui reprend, en tout ou en partie, le contenu des renseignements ou pièces produits conformément à l'article 105, paragraphe 1 ou 2, dudit règlement, ainsi qu'à chaque copie de tels renseignements ou pièces.

3.   Le marquage FIDUCIA est également attribué par le bureau FIDUCIA aux documents et registres établis par le bureau FIDUCIA en application de la présente décision dont la divulgation non autorisée pourrait porter atteinte à la sûreté de l'Union ou à celle d'un ou de plusieurs de ses États membres ou à la conduite de leurs relations internationales.

4.   Le marquage FIDUCIA est apposé de manière visible sur l'ensemble des pages et supports des informations FIDUCIA.

5.   L'apposition du marquage FIDUCIA et la suppression de ce marquage, dans les conditions visées à l'annexe III, sont dépourvues d'incidences sur la classification des informations communiquées au Tribunal.

Article 5

Protection des informations FIDUCIA

1.   La protection des informations FIDUCIA est équivalente à celle assurée pour les ICUE SECRET UE/EU SECRET conformément aux règles applicables au sein des institutions de l'Union en matière de protection des ICUE.

2.   Il incombe au détenteur de toute information FIDUCIA de la protéger conformément à la présente décision.

Article 6

Gestion des risques de sécurité

1.   Les risques pesant sur les informations FIDUCIA sont gérés dans le cadre d'une procédure d'analyse des risques visant à déterminer les risques connus pesant sur la sécurité, à définir des mesures de sécurité permettant de ramener ces risques à un niveau acceptable conformément aux principes de base et aux normes minimales énoncées dans la présente décision et à appliquer ces mesures. L'efficacité de telles mesures fait l'objet d'une évaluation constante par l'autorité de sécurité.

2.   Les mesures de sécurité pour la protection des informations FIDUCIA tout au long de la procédure devant la Cour de justice sont proportionnées en particulier à la forme sous laquelle se présentent les informations ou les matériels concernés ainsi qu'à leur volume, à l'environnement et à la structure des locaux du bureau FIDUCIA, ainsi qu'à la menace évaluée à l'échelle locale que représentent les activités malveillantes et/ou criminelles, y compris l'espionnage, le sabotage et le terrorisme.

3.   Le plan d'urgence interne de la Cour de justice de l'Union européenne tient compte de la nécessité de protéger les informations FIDUCIA en cas d'urgence afin de prévenir l'accès et la divulgation non autorisés ainsi que la perte d'intégrité ou de disponibilité.

4.   Les mesures de prévention et de retour aux conditions opérationnelles visant à limiter l'impact de défaillances ou d'incidents graves sur le traitement et le stockage des informations FIDUCIA sont prévues dans le plan d'urgence interne de la Cour de justice de l'Union européenne.

Article 7

Mesures de sécurité concernant les personnes

1.   L'accès aux informations FIDUCIA ne peut être accordé qu'aux personnes qui:

ont un besoin d'en connaître,

sous réserve du paragraphe 2 du présent article, ont été autorisées à accéder à des informations FIDUCIA, et

ont été informées de leurs responsabilités.

2.   Les juges et les avocats généraux de la Cour de justice sont, en vertu de leurs fonctions, réputés autorisés à accéder aux informations FIDUCIA.

3.   La procédure ayant pour but de déterminer si un fonctionnaire ou un autre agent de la Cour de justice de l'Union européenne, compte tenu de sa loyauté, de son intégrité et de sa fiabilité, peut être autorisé à accéder à des informations FIDUCIA est précisée à l'annexe I.

4.   Avant de se voir accorder l'accès à des informations FIDUCIA et à intervalles réguliers par la suite, toutes les personnes concernées sont informées des responsabilités qui leur incombent en matière de protection des informations FIDUCIA conformément à la présente décision et reconnaissent ces responsabilités par écrit.

Article 8

Sécurité physique

1.   Par «sécurité physique», on entend l'application de mesures physiques et techniques de protection pour empêcher l'accès non autorisé aux informations FIDUCIA.

2.   Les mesures de sécurité physique sont destinées à faire obstacle à toute intrusion dans les locaux du bureau FIDUCIA par la ruse ou par la force, à avoir un effet dissuasif, à empêcher et à détecter les actes non autorisés, ainsi qu'à permettre d'établir une distinction entre les personnes autorisées ou non à accéder aux informations FIDUCIA conformément au principe du besoin d'en connaître. Ces mesures sont déterminées sur la base d'une procédure de gestion des risques.

3.   Les mesures de sécurité physique sont mises en place pour les locaux du bureau FIDUCIA dans lesquels sont traitées et stockées les informations FIDUCIA. Ces mesures sont destinées à assurer une protection équivalente à celle dont bénéficient les ICUE SECRET UE/EU SECRET conformément aux règles applicables au sein des institutions de l'Union en matière de protection des ICUE. Aucune information FIDUCIA ne peut être stockée ni consultée en dehors des locaux du bureau FIDUCIA créés à ces fins au sein d'une zone elle-même sécurisée.

4.   Seuls des équipements ou des dispositifs conformes aux règles applicables au sein des institutions de l'Union en matière de protection des ICUE sont utilisés pour protéger les informations FIDUCIA.

5.   Les modalités d'application du présent article figurent à l'annexe II.

Article 9

Gestion des informations FIDUCIA

1.   Par «gestion des informations FIDUCIA», on entend l'application de mesures administratives visant à protéger les informations FIDUCIA tout au long de la procédure devant la Cour de justice, et à les contrôler en vue de contribuer à la prévention et à la détection d'une compromission ou d'une perte délibérée ou accidentelle de telles informations.

2.   Les mesures de gestion des informations FIDUCIA concernent en particulier l'enregistrement, la consultation, la création, la duplication, le stockage, la restitution et la destruction des informations FIDUCIA.

3.   Lors de leur réception et avant tout traitement, les informations FIDUCIA sont enregistrées par le bureau FIDUCIA.

4.   Les locaux du bureau FIDUCIA font l'objet d'une inspection régulière par l'autorité de sécurité.

5.   Les modalités d'application du présent article figurent à l'annexe III.

Article 10

Protection des informations FIDUCIA traitées par voie électronique

1.   Les systèmes d'information et de communication (ordinateurs et périphériques) utilisés pour le traitement des informations FIDUCIA sont situés dans les locaux du bureau FIDUCIA. Ils sont isolés de tout réseau informatisé.

2.   Des mesures de sécurité sont mises en œuvre afin de protéger les équipements informatiques utilisés pour le traitement des informations FIDUCIA contre la compromission de ces informations par des émissions électromagnétiques non intentionnelles (mesures de sécurité équivalentes à celles pratiquées pour les ICUE SECRET UE/EU SECRET conformément aux règles applicables au sein des institutions de l'Union en matière de protection des ICUE).

3.   Les systèmes d'information et de communication font l'objet d'une homologation délivrée par l'autorité de sécurité qui s'assure qu'ils répondent aux règles applicables au sein des institutions de l'Union en matière de protection des ICUE.

4.   Les modalités d'application du présent article figurent à l'annexe IV.

Article 11

Sécurité en cas d'intervention externe

1.   Par «sécurité en cas d'intervention externe», on entend l'application des mesures visant à garantir la protection des informations FIDUCIA par des contractants devant intervenir dans le cadre de la maintenance des systèmes d'information et de communication isolés du réseau informatique ou lors d'une intervention nécessitant le déplacement d'urgence des informations FIDUCIA afin de les mettre dans un lieu sûr.

2.   L'autorité de sécurité peut confier l'accomplissement de tâches impliquant ou nécessitant, en vertu de leur contrat, l'accès aux informations FIDUCIA à des contractants immatriculés dans un État membre.

3.   L'autorité de sécurité veille à ce que les normes minimales de sécurité prévues dans la présente décision et mentionnées dans le contrat soient respectées lors de l'octroi de contrats.

4.   Les membres du personnel d'un contractant ne peuvent accéder à des informations FIDUCIA qu'après avoir été autorisés à cette fin par l'autorité de sécurité sur la base d'une habilitation de sécurité du personnel délivrée par l'Autorité nationale de sécurité ou toute autre autorité de sécurité compétente conformément aux dispositions législatives ou réglementaires nationales.

5.   Les modalités d'application du présent article figurent à l'annexe V.

Article 12

Absence de diffusion numérique, de communication et d'échange des informations FIDUCIA

1.   Les informations FIDUCIA ne sont en aucun cas diffusées sous forme numérique.

2.   La Cour de justice ne transmet d'informations FIDUCIA ni aux institutions, organes, organismes ou agences de l'Union, ni aux États membres, ni aux autres parties au litige, ni à aucun tiers.

Article 13

Infractions à la sécurité et compromission des informations FIDUCIA

1.   Une infraction à la sécurité est un acte ou une omission commis par une personne qui est contraire aux règles de sécurité énoncées dans la présente décision.

2.   Il y a compromission lorsque, à la suite d'une infraction à la sécurité, des informations FIDUCIA ont été divulguées en tout ou en partie à des personnes non autorisées ou non réputées autorisées.

3.   Toute infraction à la sécurité, réelle ou présumée, est immédiatement signalée à l'autorité de sécurité.

4.   Lorsqu'il est avéré ou qu'il existe des motifs raisonnables de supposer que des informations FIDUCIA ont été compromises ou perdues, l'autorité de sécurité, en liaison étroite avec le président et le greffier de la Cour de justice, prend toutes les mesures appropriées conformément aux dispositions applicables pour:

a)

en informer la partie principale qui a produit les renseignements ou pièces concernés;

b)

demander à l'autorité compétente l'ouverture d'une enquête administrative;

c)

évaluer le préjudice éventuel causé à la sûreté de l'Union ou à celle d'un ou de plusieurs de ses États membres ou à la conduite de leurs relations internationales;

d)

éviter que les faits ne se reproduisent et

e)

informer les autorités compétentes des mesures prises.

5.   Toute personne responsable d'une violation des règles de sécurité énoncées dans la présente décision est passible d'une sanction disciplinaire conformément aux dispositions applicables. Toute personne responsable de la compromission ou de la perte d'informations FIDUCIA est passible de sanctions disciplinaires et/ou peut faire l'objet d'une action en justice conformément aux dispositions applicables.

Article 14

Organisation de la sécurité au sein de la Cour de justice

1.   Le bureau FIDUCIA met en œuvre la protection des informations FIDUCIA en application de la présente décision.

2.   L'autorité de sécurité est responsable de la bonne application de la présente décision. À ce titre, l'autorité de sécurité:

a)

applique la politique de sécurité de la Cour de justice de l'Union européenne et la réexamine périodiquement;

b)

contrôle la mise en œuvre de la présente décision par le bureau FIDUCIA;

c)

le cas échéant, fait enquêter, dans les conditions prévues à l'article 13, sur toute compromission ou perte réelle ou présumée d'informations FIDUCIA;

d)

procède à des inspections périodiques des dispositions de sécurité destinées à assurer la protection des informations FIDUCIA dans les locaux du bureau FIDUCIA.

Article 15

Modalités pratiques d'exécution

Les modalités pratiques d'exécution de la présente décision sont arrêtées par l'autorité de sécurité en accord avec le greffier de la Cour de justice.

Article 16

Entrée en vigueur

La présente décision entre en vigueur le jour suivant celui de sa publication au Journal officiel de l'Union européenne.

Fait à Luxembourg, le 20 septembre 2016.

Le greffier

A. CALOT ESCOBAR

Le président

K. LENAERTS


ANNEXE I

MESURES DE SÉCURITÉ CONCERNANT LES PERSONNES

1.

La présente annexe énonce les modalités d'application de l'article 7 de la décision.

2.

Il appartient au greffier de la Cour de justice de répertorier, pour ce qui le concerne et dans la mesure du strict nécessaire, les postes nécessitant l'accès à des informations FIDUCIA et exigeant par conséquent que les fonctionnaires et autres agents occupant les postes en question soient autorisés à accéder à des informations FIDUCIA.

3.

En vue de l'octroi d'une autorisation d'accéder à des informations FIDUCIA, le bureau FIDUCIA transmet le questionnaire de sécurité rempli par le fonctionnaire ou autre agent concerné à l'Autorité nationale de sécurité de l'État membre dont l'intéressé est ressortissant ou à toute autre autorité nationale compétente, identifiée dans les règles applicables au sein des institutions de l'Union en matière de protection des ICUE (ci-après l'«ANS compétente»), et demande qu'il soit procédé à une enquête de sécurité pour un niveau de classification SECRET UE/EU SECRET.

4.

À l'issue de l'enquête de sécurité, obéissant aux dispositions législatives et réglementaires en vigueur dans l'État membre concerné, l'ANS compétente notifie au bureau FIDUCIA les conclusions de l'enquête en question.

5.

Lorsque, à l'issue de l'enquête de sécurité, l'ANS compétente a obtenu l'assurance qu'il n'existe pas de renseignements défavorables de nature à mettre en doute la loyauté, l'intégrité et la fiabilité de l'intéressé, l'autorité investie du pouvoir de nomination (AIPN) compétente peut accorder à cet intéressé l'autorisation d'accéder à des informations FIDUCIA.

6.

Lorsque, à l'issue de l'enquête de sécurité, l'assurance visée au point 5 n'est pas obtenue, l'AIPN en informe l'intéressé. Dans un tel cas, le bureau FIDUCIA, sur instruction de l'AIPN, peut demander à l'ANS compétente tout éclaircissement complémentaire qu'elle est en mesure de donner conformément à ses dispositions législatives et réglementaires nationales. En cas de confirmation des résultats de l'enquête de sécurité, l'autorisation d'accéder à des informations FIDUCIA n'est pas accordée.

7.

L'autorisation d'accéder à des informations FIDUCIA vaut pour une durée de cinq ans. Elle est retirée lorsque la personne concernée quitte le poste nécessitant l'accès à des informations FIDUCIA ou lorsque l'AIPN estime qu'il existe des motifs justifiant le retrait de l'autorisation.

8.

L'autorisation d'accéder à des informations FIDUCIA peut être renouvelée conformément à la procédure visée aux points 3 à 5.

9.

Le bureau FIDUCIA tient un registre des autorisations d'accéder à des informations FIDUCIA.

10.

Si des informations sont portées à la connaissance du bureau FIDUCIA concernant le risque de sécurité que représente une personne titulaire d'une autorisation d'accéder à des informations FIDUCIA, le bureau FIDUCIA en avertit l'ANS compétente et l'AIPN peut suspendre l'accès à des informations FIDUCIA ou retirer l'autorisation d'accéder à ces informations.

11.

En cas d'urgence, l'AIPN peut, après avoir consulté l'ANS compétente et sous réserve des résultats des vérifications préliminaires effectuées pour s'assurer de l'absence d'informations défavorables, accorder à titre temporaire aux fonctionnaires et autres agents concernés l'autorisation d'accéder à des informations FIDUCIA. Cette autorisation temporaire est valable jusqu'à l'issue de la procédure visée aux points 3 à 5, sans toutefois excéder une période de six mois à compter de la date d'introduction de la demande d'enquête de sécurité auprès de l'ANS compétente.

12.

Avant de se voir accorder l'accès à des informations FIDUCIA, les personnes autorisées à cet effet suivent une formation qui a pour objet de les mettre en mesure d'assumer leurs responsabilités dans le traitement des informations FIDUCIA. L'autorisation d'accéder à des informations FIDUCIA ne devient effective qu'après cette formation et une reconnaissance écrite de responsabilité.


ANNEXE II

SÉCURITÉ PHYSIQUE

I.   INTRODUCTION

1.

La présente annexe énonce les modalités d'application de l'article 8 de la décision. Elle prévoit les règles minimales de protection physique des locaux du bureau FIDUCIA dans lesquels sont traitées et stockées les informations FIDUCIA.

2.

Les mesures de sécurité physique sont destinées à prévenir l'accès non autorisé aux informations FIDUCIA en:

a)

garantissant que les informations FIDUCIA sont correctement traitées et stockées;

b)

permettant d'établir une distinction entre les personnes autorisées ou non à accéder aux informations FIDUCIA conformément au principe du besoin d'en connaître;

c)

ayant un effet dissuasif, en empêchant et en détectant les actes non autorisés, et

d)

en empêchant ou en retardant toute intrusion par la ruse ou par la force dans les locaux du bureau FIDUCIA.

3.

Les mesures de sécurité physique sont choisies en fonction d'une évaluation des menaces pesant sur les informations FIDUCIA. Ces mesures tiennent compte de l'environnement et de la structure des locaux du bureau FIDUCIA. L'autorité de sécurité détermine le degré de sécurité à atteindre pour chacune des mesures physiques suivantes:

a)

barrière périmétrique qui défend les limites de la zone devant être protégée;

b)

système de détection des intrusions relié au poste de commandement et de sûreté de la Cour de justice de l'Union européenne;

c)

système de contrôle des accès exercé par des moyens électroniques ou électromécaniques et opéré par un membre du personnel de sécurité;

d)

personnel de sécurité formé, supervisé et ayant été autorisé à accéder à des informations FIDUCIA;

e)

système de vidéosurveillance en circuit fermé opéré par le personnel de sécurité et relié au système de détection des intrusions et au système de contrôle des accès;

f)

éclairage de sécurité assurant une surveillance efficace directe ou par l'intermédiaire d'un système de vidéosurveillance;

g)

toute autre mesure physique appropriée destinée à avoir un effet dissuasif quant à l'accès non autorisé ou à détecter un tel accès, ou à prévenir la consultation, la perte ou la détérioration d'une information FIDUCIA.

II.   LOCAUX DE STOCKAGE ET DE CONSULTATION DES INFORMATIONS FIDUCIA

Création des locaux de stockage et de consultation physiquement protégés

4.

Des locaux sécurisés sont créés en vue du stockage et de la consultation des informations FIDUCIA. Les informations FIDUCIA ne peuvent être stockées et consultées que dans les locaux du bureau FIDUCIA qui répondent, en tous points, aux règles applicables au sein des institutions de l'Union en matière de protection des ICUE.

5.

Au sein de ces locaux, le stockage des informations FIDUCIA est assuré dans des meubles de sécurité répondant également, en tous points, aux règles applicables au sein des institutions de l'Union en matière de protection des ICUE.

6.

Aucun système de communication (téléphone ou autre dispositif électronique) ne peut être introduit dans les locaux du bureau FIDUCIA.

7.

Le local de réunion du bureau FIDUCIA est protégé contre les écoutes. Il fait l'objet, à intervalles réguliers, d'inspections de sécurité électronique.

Accès aux locaux de stockage et de consultation

8.

L'accès aux locaux du bureau FIDUCIA est contrôlé par un sas d'identification vidéo surveillé.

9.

Les personnes ayant été autorisées à accéder à des informations FIDUCIA et les personnes réputées autorisées peuvent accéder aux locaux du bureau FIDUCIA pour consulter des informations FIDUCIA dans les conditions visées à l'article 7, paragraphes 1 et 2, de la présente décision.

10.

L'autorité de sécurité peut exceptionnellement délivrer une autorisation d'accès à des personnes non autorisées dont l'intervention dans les locaux du bureau FIDUCIA est indispensable, sous réserve que l'accès à ces locaux n'implique pas un accès aux informations FIDUCIA qui resteront protégées des vues dans les meubles de sécurité. L'accès de ces personnes ne peut se faire qu'avec accompagnement et surveillance permanente par une personne du bureau FIDUCIA ayant été autorisée à accéder à des informations FIDUCIA.

11.

Tous les accès aux locaux du bureau FIDUCIA sont consignés dans un registre des accès. Ce registre est tenu sur un poste de travail situé dans ces locaux. Le système d'information et de communication utilisé à cette fin est conforme aux exigences de sécurité fixées à l'article 10 de la décision ainsi qu'à l'annexe IV.

12.

Les mesures de protection régissant l'utilisation écrite des informations FIDUCIA s'appliquent en cas d'utilisation orale de ces mêmes informations.

III.   CONTRÔLE DES CLÉS ET COMBINAISONS UTILISÉES POUR LA PROTECTION DES INFORMATIONS FIDUCIA

13.

L'autorité de sécurité définit les procédures de gestion des clés et des combinaisons pour les locaux du bureau FIDUCIA et les meubles de sécurité. Ces procédures protègent d'un accès non autorisé.

14.

Les combinaisons doivent être mémorisées par le plus petit nombre possible de personnes qui ont besoin de les connaître. Les combinaisons des meubles de sécurité servant au stockage des informations FIDUCIA doivent être changées:

a)

à la réception d'un nouveau meuble;

b)

lors de tout changement du personnel connaissant la combinaison;

c)

en cas de compromission, réelle ou présumée;

d)

lorsqu'une serrure a fait l'objet d'un entretien ou d'une réparation;

e)

au moins tous les douze mois.

15.

L'équipement technique destiné à la protection physique des informations FIDUCIA répond aux règles applicables au sein des institutions de l'Union en matière de protection des ICUE. L'autorité de sécurité est responsable du respect de ces règles.

16.

L'équipement technique est périodiquement inspecté et entretenu à intervalles réguliers. L'entretien prend en compte les résultats des inspections afin de garantir un fonctionnement optimal continu de l'équipement.

17.

Il convient de réévaluer à chaque inspection l'efficacité des différentes mesures de sécurité et du système de sécurité dans son ensemble.


ANNEXE III

GESTION DES INFORMATIONS FIDUCIA

I.   INTRODUCTION

1.

La présente annexe énonce les modalités d'application de l'article 9 de la décision. Elle prévoit les mesures administratives visant à protéger les informations FIDUCIA tout au long de la procédure devant la Cour de justice, et à les contrôler en vue de contribuer à la prévention et à la détection d'une compromission ou d'une perte délibérée ou accidentelle de telles informations.

II.   REGISTRE DES INFORMATIONS FIDUCIA

2.

Il est institué un registre des informations FIDUCIA. Ce registre est tenu, par le bureau FIDUCIA, sur un poste de travail situé dans les locaux du bureau FIDUCIA. Le système d'information et de communication utilisé aux fins de la tenue de ce registre est conforme aux exigences de sécurité fixées à l'article 10 de la décision ainsi qu'à l'annexe IV.

III.   ENREGISTREMENT DES INFORMATIONS FIDUCIA

3.

Aux fins de la présente décision, on entend par «enregistrement à des fins de sécurité» (ci-après «enregistrement») l'application de procédures permettant de garder la trace du cycle de vie d'une information FIDUCIA, y compris de sa destruction.

4.

L'enregistrement des informations FIDUCIA est assuré par le bureau FIDUCIA.

5.

Le bureau FIDUCIA attribue automatiquement le marquage FIDUCIA aux renseignements ou pièces produits au titre de l'article 105, paragraphe 1 ou 2, du règlement de procédure du Tribunal. Le bureau FIDUCIA enregistre l'information FIDUCIA dans le registre des informations FIDUCIA.

6.

Le bureau FIDUCIA établit un rapport annexé au registre des informations FIDUCIA en précisant les conditions de réception de l'information. Cette dernière est ensuite traitée selon les modalités fixées au point précédent.

7.

L'enregistrement, conformément aux points 5 et 6, de l'information FIDUCIA dans le registre des informations FIDUCIA s'effectue sans préjudice de l'enregistrement procédural réalisé par les personnes ayant été autorisées à accéder à des informations FIDUCIA au sein du greffe.

IV.   GESTION DES INFORMATIONS FIDUCIA

Marquage

8.

Lorsqu'une ICUE ou toute autre information, dont il est signalé que la communication porterait atteinte à la sûreté de l'Union ou à celle d'un ou de plusieurs de ses États membres ou à la conduite de leurs relations internationales, est produite dans le cadre de l'article 105, paragraphe 1 ou 2, du règlement de procédure du Tribunal, le marquage FIDUCIA lui est attribué par le bureau FIDUCIA.

9.

Le marquage FIDUCIA est clairement et correctement indiqué sur chaque partie de document, indépendamment de la forme sous laquelle se présente l'information: format papier, forme audio, électronique ou autre.

Création d'une information FIDUCIA

10.

Seule une personne ayant été autorisée à accéder à des informations FIDUCIA ou une personne réputée autorisée peut créer une information FIDUCIA telle que précisée à l'article 4, paragraphes 2 et 3, de la présente décision.

11.

Toute information créée FIDUCIA est enregistrée par le bureau FIDUCIA dans le registre des informations FIDUCIA.

12.

Toute information créée FIDUCIA est soumise à l'ensemble des règles relatives au traitement des informations FIDUCIA, telles qu'établies dans la présente décision et ses annexes.

Suppression du marquage FIDUCIA

13.

Les informations FIDUCIA perdent leur marquage dans deux cas:

a)

lorsque la partie principale qui a produit l'information FIDUCIA en autorise la transmission à l'autre partie principale, l'information initialement transmise ainsi que toutes les informations créées sur la base de cette information perdent leur marquage FIDUCIA;

b)

lorsque l'information FIDUCIA est restituée à la partie principale qui l'a produite.

14.

La suppression du marquage FIDUCIA est réalisée par le bureau FIDUCIA qui enregistre cette suppression dans le registre des informations FIDUCIA.

15.

La suppression du marquage FIDUCIA n'implique pas la déclassification des ICUE.

V.   COPIES DES INFORMATIONS FIDUCIA

16.

Les informations FIDUCIA ne font pas l'objet de copies, à moins que celles-ci ne soient indispensables. Dans ce dernier cas, les copies sont réalisées par le bureau FIDUCIA qui les numérote et les enregistre.

17.

Les copies sont soumises à l'ensemble des règles de sécurité établies dans la présente décision et ses annexes.

VI.   DESTRUCTION DES INFORMATIONS FIDUCIA

18.

Lorsque des renseignements ou pièces produits conformément à l'article 105, paragraphe 1 ou 2, du règlement de procédure du Tribunal sont restitués à la partie principale qui les a produits, toutes les informations reprenant, en tout ou en partie, le contenu de tels renseignements ou pièces ainsi que les éventuelles copies réalisées sont détruites.

19.

La destruction des informations FIDUCIA, visée au point 18, est effectuée par le bureau FIDUCIA en utilisant des méthodes répondant aux règles applicables au sein des institutions de l'Union en matière de protection des ICUE pour empêcher leur reconstruction totale ou partielle.

20.

La destruction des informations FIDUCIA, visée au point 18, est effectuée en présence d'un témoin ayant été autorisé à accéder à des informations FIDUCIA.

21.

Le bureau FIDUCIA établit un procès-verbal de destruction.

22.

Le procès-verbal de destruction est annexé au registre des informations FIDUCIA. Une copie en est transmise à la partie principale qui a produit le document concerné.


ANNEXE IV

PROTECTION DES INFORMATIONS FIDUCIA TRAITÉES PAR VOIE ÉLECTRONIQUE

1.

La présente annexe énonce les modalités d'application de l'article 10.

2.

Les informations FIDUCIA ne peuvent être traitées que sur des appareils électroniques (postes de travail, imprimantes, photocopieurs) qui ne sont pas reliés au réseau informatique et qui sont placés dans les locaux du bureau FIDUCIA.

3.

L'ensemble des appareils électroniques utilisés pour le traitement des informations FIDUCIA est conforme aux règles applicables au sein des institutions de l'Union en matière de protection des ICUE. La sécurité de ces appareils est assurée tout au long de leur cycle de vie.

4.

Toutes les connexions possibles à l'internet et aux autres outils (LAN, WLAN, Bluetooth, etc.) sont désactivées en permanence.

5.

Les postes de travail sont équipés d'une protection antivirus adaptée. Les mises à jour antivirus sont réalisées par CD-ROM ou clé USB utilisées exclusivement à cet effet.

6.

Les mémoires des imprimantes et photocopieurs sont effacées avant toute opération de maintenance.

7.

Seuls les produits cryptographiques agréés conformément aux règles applicables au sein des institutions de l'Union en matière de protection des ICUE sont utilisés pour le traitement des demandes d'enquête visées à l'annexe I.


ANNEXE V

SÉCURITÉ EN CAS D'INTERVENTION EXTERNE

1.

La présente annexe énonce les modalités d'application de l'article 11.

2.

L'accès aux informations FIDUCIA par des contractants ne peut se faire que dans le cadre de la maintenance des systèmes d'information et de communication isolés du réseau informatique ou lors d'une intervention nécessitant le déplacement d'urgence des informations FIDUCIA afin de les mettre dans un lieu sûr.

3.

L'autorité de sécurité élabore des lignes directrices en matière d'intervention externe couvrant, en particulier, l'habilitation de sécurité du personnel des contractants ainsi que le contenu des contrats visés dans cette annexe.

4.

Les documents afférents aux procédures d'appel d'offres et le contrat de maintenance des systèmes d'information et de communication isolés du réseau informatique sont marqués FIDUCIA lorsqu'ils contiennent des informations dont la divulgation non autorisée pourrait porter atteinte à la sûreté de l'Union ou à celle d'un ou de plusieurs de ses États membres ou à la conduite de leurs relations internationales. L'annexe de sécurité de ce contrat contient les dispositions imposant au contractant de respecter les normes minimales énoncées dans la présente décision. Le non-respect de ces normes minimales peut constituer un motif suffisant de résiliation du contrat.

5.

Le contrat impliquant des interventions nécessitant le déplacement d'urgence des informations FIDUCIA afin de les mettre dans un lieu sûr inclut le nombre d'agents de sécurité qui doivent disposer d'une habilitation de sécurité du personnel. Il n'apporte aucune précision quant aux procédures à mettre en œuvre. Ce contrat n'est pas marqué FIDUCIA.

6.

Le contractant ne peut pas sous-traiter des activités définies dans l'appel d'offres et dans le contrat impliquant ou nécessitant un accès à des informations FIDUCIA.