1.

La présente annexe énonce les modalités d’application de l’article 7. Elle prévoit les critères permettant de déterminer si une personne, compte tenu de sa loyauté, de son intégrité et de sa fiabilité, peut être autorisée à avoir accès à des ICUE, ainsi que les procédures d’enquête et administratives à suivre à cet effet.

2.

Une personne ne peut se voir accorder l’accès à des informations classifiées qu’après:

3.

Il appartient à chacun des États membres et au SGC de répertorier, au sein de leurs structures, les postes nécessitant l’accès à des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou d’un niveau de classification supérieur et exigeant par conséquent une habilitation de sécurité du niveau correspondant.

4.

Après réception d’une demande dûment autorisée, les ANS ou les autres autorités nationales compétentes sont chargées de veiller à la réalisation des enquêtes de sécurité relatives aux ressortissants de leur pays qui doivent accéder à des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou d’un niveau de classification supérieur. Les normes d’enquête doivent être conformes aux dispositions législatives et réglementaires nationales aux fins de l’octroi d’une HSP ou de la fourniture d’une assurance pour la personne à laquelle doit être octroyée une autorisation d’accès à des ICUE, le cas échéant.

5.

Si la personne concernée réside sur le territoire d’un autre État membre ou d’un État tiers, les autorités nationales compétentes sollicitent une aide auprès de l’autorité compétente de l’État de résidence conformément aux dispositions législatives et réglementaires nationales. Les États membres se prêtent assistance pour effectuer les enquêtes de sécurité, conformément aux dispositions législatives et réglementaires nationales.

6.

Lorsque les dispositions législatives et réglementaires nationales le permettent, les ANS ou les autres autorités nationales compétentes peuvent effectuer les enquêtes relatives aux non-ressortissants qui doivent accéder à des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou d’un niveau de classification supérieur. Les normes d’enquête doivent être conformes aux dispositions législatives et réglementaires nationales.

7.

Il convient d’établir, au moyen d’une enquête de sécurité, la loyauté, l’intégrité et la fiabilité d’une personne aux fins de l’octroi d’une habilitation de sécurité lui permettant d’accéder à des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou d’un niveau de classification supérieur. L’autorité nationale compétente effectue une appréciation générale sur la base des conclusions de l’enquête. Parmi les principaux critères à retenir à cet effet, il y a lieu de déterminer, dans la mesure où les dispositions législatives et réglementaires nationales le permettent, si l’intéressé:

8.

Les antécédents financiers et médicaux de la personne concernée peuvent également être pris en considération, le cas échéant et dans le respect des dispositions législatives et réglementaires nationales, au cours de l’enquête de sécurité.

9.

La conduite et la situation du conjoint, du cohabitant ou d’un membre de la famille proche peuvent également être pris en considération, le cas échéant et dans le respect des dispositions législatives et réglementaires nationales, au cours de l’enquête de sécurité.

10.

La première habilitation de sécurité donnant accès aux informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL et SECRET UE/EU SECRET se fonde sur une enquête de sécurité portant sur les cinq dernières années au moins, ou sur la période comprise entre l’âge de 18 ans et la date de l’enquête, la période la plus courte étant retenue; cette enquête comprend les éléments suivants:

11.

La première habilitation de sécurité donnant accès aux informations TRÈS SECRET UE/EU TOP SECRET se fonde sur une enquête de sécurité portant sur les dix dernières années au moins, ou sur la période comprise entre l’âge de 18 ans et la date de l’enquête, la période la plus courte étant retenue. Si des entretiens ont lieu conformément au point e), les enquêtes portent sur les sept dernières années au moins, ou sur la période comprise entre l’âge de 18 ans et la date de l’enquête, la période la plus courte étant retenue. Outre les critères indiqués au paragraphe 7 ci-dessus, les éléments ci-après font l’objet d’une enquête, dans la mesure où les dispositions législatives et réglementaires nationales le permettent, avant l’octroi d’une HSP de niveau TRÈS SECRET UE/EU TOP SECRET; ils peuvent aussi faire l’objet d’une enquête avant l’octroi d’une HSP de niveau CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET, dans les cas où les dispositions législatives et réglementaires nationales l’exigent:

12.

Le cas échéant et conformément aux dispositions législatives et réglementaires nationales, des recherches complémentaires peuvent être menées pour exploiter toutes les informations pertinentes dont on dispose sur l’intéressé et pour corroborer des informations défavorables ou les infirmer.

13.

Après la première délivrance d’une habilitation de sécurité et pour autant que l’intéressé ait accompli une période de service ininterrompue auprès d’une administration nationale ou du SGC et qu’il ait toujours besoin d’avoir accès aux ICUE, l’habilitation de sécurité est réexaminée en vue de son renouvellement dans un délai ne dépassant pas cinq ans pour une habilitation TRÈS SECRET UE/EU TOP SECRET et dix ans pour une habilitation SECRET UE/EU SECRET ou CONFIDENTIEL UE/EU CONFIDENTIAL avec effet à compter de la date de notification des conclusions de la dernière enquête de sécurité sur laquelle elle était fondée. Toutes les enquêtes de sécurité à effectuer en vue du renouvellement d’une habilitation de sécurité couvrent la période écoulée depuis la dernière enquête.

14.

En vue du renouvellement d’une habilitation de sécurité, les éléments énoncés aux paragraphes 10 et 11 font l’objet d’une enquête.

15.

Les demandes de renouvellement sont présentées en temps voulu, compte tenu du délai nécessaire pour réaliser les enquêtes de sécurité. Néanmoins, lorsque l’ANS concernée ou une autre autorité nationale compétente a reçu la demande de renouvellement en question et le questionnaire de sécurité correspondant avant l’expiration d’une habilitation de sécurité et que l’enquête de sécurité nécessaire n’est pas achevée, l’autorité nationale compétente peut, lorsque les dispositions législatives et réglementaires nationales le permettent, proroger la validité de l’habilitation de sécurité existante pour une durée de douze mois au maximum. Si, à la fin de cette période de douze mois, l’enquête de sécurité n’est toujours pas achevée, l’intéressé est affecté à des fonctions qui ne nécessitent pas une habilitation de sécurité.

16.

En ce qui concerne les fonctionnaires et autres agents du SGC, l’autorité de sécurité du SGC transmet le questionnaire de sécurité rempli à l’ANS de l’État membre dont l’intéressé est ressortissant et demande qu’il soit procédé à une enquête de sécurité pour le niveau de classification des ICUE auxquelles l’intéressé devra avoir accès.

17.

Si des informations utiles à une enquête de sécurité sont portées à la connaissance du SGC concernant une personne ayant demandé une habilitation de sécurité aux fins d’accès à des ICUE, le SGC, agissant conformément à la réglementation applicable, en avertit l’ANS compétente.

18.

À l’issue de l’enquête de sécurité, l’ANS compétente notifie à l’autorité de sécurité du SGC les conclusions de l’enquête en question, à l’aide du modèle-type prévu par le comité de sécurité pour la correspondance.

19.

L’enquête de sécurité et ses résultats obéissent aux dispositions législatives et réglementaires en vigueur dans l’État membre concerné, y compris celles relatives aux recours. Les décisions de l’AIPN du SGC sont susceptibles de recours conformément au statut des fonctionnaires de l’Union européenne et au régime applicable aux autres agents de l’Union européenne, fixés dans le règlement (CEE, Euratom, CECA) no 259/68 du Conseil (1) (ci-après dénommés «statut et régime applicable»).

20.

Les experts nationaux détachés auprès du SGC pour occuper un poste nécessitant un accès à des ICUE CONFIDENTIEL UE/EU CONFIDENTIAL ou d’un niveau de classification supérieur doivent présenter à l’autorité de sécurité du SGC avant de prendre leurs fonctions un certificat d’habilitation de sécurité du personnel (CHSP) valable leur donnant accès aux ICUE, sur la base de laquelle l’AIPN délivre une autorisation d’accès aux ICUE.

21.

Le SGC acceptera l’autorisation d’accès à des ICUE octroyée par toute autre institution, organe ou agence de l’Union, pour autant qu’elle reste valable. L’autorisation couvrira toute fonction exercée par l’intéressé au sein du SGC. L’institution, l’organe ou l’agence de l’Union dans lequel la personne prend ses fonctions signalera le changement d’employeur à l’ANS concernée.

22.

Si l’intéressé n’entame pas sa période de service dans un délai de douze mois à compter de la notification des conclusions de l’enquête de sécurité à l’AIPN du SGC ou si cette période de service connaît une interruption de douze mois au cours de laquelle l’intéressé n’occupe pas de poste au sein du SGC ou d’une administration nationale d’un État membre, les conclusions précitées sont soumises à l’ANS compétente afin que celle-ci confirme qu’elles restent valables et pertinentes.

23.

Si des informations sont portées à la connaissance du SGC concernant un risque de sécurité que représente une personne titulaire d’une autorisation d’accès à des ICUE, le SGC, agissant conformément à la réglementation applicable, en avertit l’ANS compétente et peut suspendre l’accès aux ICUE ou retirer l’autorisation d’accès à des ICUE.

24.

Lorsqu’une ANS notifie au SGC que l’assurance visée au paragraphe 18, point a), n’est plus fournie concernant une personne titulaire d’une autorisation d’accès à des ICUE, l’AIPN du SGC peut demander à l’ANS concernée tout éclaircissement qu’elle est en mesure de donner dans le respect de ses dispositions législatives et réglementaires nationales. Si les informations défavorables sont confirmées, l’autorisation est retirée et la personne concernée n’est plus autorisée à avoir accès aux ICUE, ni à des postes où un tel accès est possible et où elle pourrait nuire à la sécurité.

25.

Toute décision de retirer une autorisation à un fonctionnaire ou à un autre agent du SGC ou de suspendre une telle autorisation et, s’il y a lieu, les raisons la justifiant sont communiquées à la personne concernée, qui peut demander à être entendue par l’AIPN. Les informations communiquées par une ANS sont soumises aux dispositions législatives et réglementaires en vigueur dans l’État membre concerné, y compris celles relatives aux recours. Les décisions de l’AIPN du SGC sont susceptibles de recours conformément au statut et au régime applicable.

26.

Chaque État membre et le SGC tiennent respectivement des registres des HSP et des autorisations accordées aux fins d’accès à des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou d’un niveau de classification supérieur. Ces registres contiennent au minimum le niveau de classification des ICUE auxquelles l’intéressé peut se voir accorder l’accès, la date à laquelle l’habilitation de sécurité a été délivrée et sa durée de validité.

27.

L’autorité de sécurité compétente peut délivrer un CHSP précisant le niveau de classification des ICUE auxquelles l’intéressé peut se voir accorder l’accès (CONFIDENTIEL UE/EU CONFIDENTIAL ou un niveau supérieur), la durée de validité de l’HSP donnant accès aux ICUE ou de l’autorisation d’accès à des ICUE correspondante et la date d’expiration du certificat proprement dit.

28.

L’accès aux ICUE dont bénéficient les personnes dans les États membres qui sont dûment autorisées en raison de leurs fonctions est déterminé conformément aux dispositions législatives et réglementaires nationales; ces personnes sont informées des obligations qui leur incombent en matière de sécurité en ce qui concerne la protection des ICUE.

29.

Toutes les personnes qui se sont vu délivrer une habilitation de sécurité doivent reconnaître par écrit qu’elles sont conscientes de leurs obligations en matière de protection des ICUE et des conséquences qui pourraient résulter si des ICUE devaient être compromises. Le cas échéant, les États membres et le SGC tiennent un registre de ces déclarations écrites.

30.

Toutes les personnes autorisées à avoir accès aux ICUE ou tenues de les traiter sont averties dans un premier temps et périodiquement informées par la suite des menaces pesant sur la sécurité, et elles doivent rendre compte immédiatement aux autorités de sécurité compétentes de toute démarche ou activité qu’elles jugent suspecte ou inhabituelle.

31.

Toutes les personnes qui cessent d’exercer des fonctions nécessitant un accès aux ICUE sont informées, et le cas échéant reconnaissent par écrit, qu’elles ont l’obligation de continuer à protéger les ICUE.

32.

Lorsque les dispositions législatives et réglementaires nationales le permettent, une habilitation de sécurité délivrée par une autorité nationale compétente d’un État membre aux fins d’accès à des informations nationales classifiées peut, pendant une période temporaire dans l’attente de la délivrance d’une HSP aux fins d’accès à des ICUE, permettre à des fonctionnaires nationaux d’accéder à des ICUE jusqu’au niveau équivalent indiqué dans le tableau d’équivalence figurant à l’appendice B, dans les cas où un tel accès temporaire est requis dans l’intérêt de l’Union. Lorsque les dispositions législatives et réglementaires nationales ne permettent pas un tel accès temporaire à des ICUE, les ANS en informent le comité de sécurité.

33.

En cas d’urgence, lorsque cela est dûment justifié dans l’intérêt du service et en attendant l’achèvement de l’enquête de sécurité complète, l’AIPN du SGC peut, après avoir consulté l’ANS de l’État membre dont l’intéressé est ressortissant et sous réserve des résultats des vérifications préliminaires effectuées pour s’assurer de l’absence d’informations défavorables, accorder à titre temporaire aux fonctionnaires et autres agents du SGC l’autorisation d’accéder à des ICUE pour une fonction déterminée. Ces autorisations temporaires sont valables pour une période ne dépassant pas six mois et ne donnent pas accès aux informations classifiées TRÈS SECRET UE/EU TOP SECRET. Toutes les personnes auxquelles a été délivrée une autorisation temporaire reconnaissent par écrit qu’elles sont conscientes de leurs obligations en matière de protection des ICUE et des conséquences qui pourraient résulter si des ICUE devaient être compromises. Le SGC tient un registre de ces déclarations écrites.

34.

Lorsqu’une personne doit être affectée à un poste requérant une habilitation de sécurité dont le niveau dépasse d’un niveau celui qu’elle possède, l’affectation peut être décidée à titre provisoire, pour autant que les conditions suivantes soient réunies:

35.

La procédure décrite ci-dessus est utilisée pour un accès ponctuel à des ICUE dont la classification dépasse d’un niveau le niveau d’habilitation de la personne concernée. Il ne convient pas de recourir de manière répétée à cette procédure.

36.

Dans des circonstances très exceptionnelles, c’est-à-dire en cas de missions dans un environnement hostile ou au cours de périodes de tension internationale croissante lorsque des mesures d’urgence l’exigent, plus particulièrement afin de sauver des vies, les États membres et le secrétaire général peuvent accorder, si possible par écrit, un accès à des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET à des personnes qui ne détiennent pas l’habilitation de sécurité requise, à condition que l’accès accordé soit absolument indispensable et qu’il n’y ait pas de raison de douter de la loyauté, de l’intégrité et de la fiabilité de la personne concernée. Une trace de l’autorisation précisant les informations pour lesquelles l’accès a été approuvé doit être conservée.

37.

Pour les informations classifiées TRÈS SECRET UE/EU TOP SECRET, un tel accès d’urgence est limité aux ressortissants d’États membres de l’Union s’étant vu octroyer l’accès soit à des informations dont le niveau de classification national équivaut à TRÈS SECRET UE/EU TOP SECRET soit à des informations classifiées SECRET UE/EU SECRET.

38.

Le comité de sécurité est informé des cas où il est recouru à la procédure décrite aux paragraphes 36 et 37.

39.

Lorsque les dispositions législatives et réglementaires d’un État membre édictent des règles plus strictes en matière d’autorisations temporaires, d’affectations provisoires ou d’accès ponctuel ou d’urgence des personnes concernées à des informations classifiées, les procédures prévues dans la présente section ne sont appliquées que dans les limites éventuellement imposées par les dispositions législatives et réglementaires nationales en vigueur.

40.

Chaque année, le comité de sécurité reçoit un rapport sur le recours aux procédures énoncées dans la présente section.

41.

Sous réserve du paragraphe 28, les personnes désignées pour participer à des sessions du Conseil ou à des réunions d’instances préparatoires du Conseil au sein desquelles des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou d’un niveau de classification supérieur sont traitées, ne peuvent le faire qu’après confirmation de la situation de l’intéressé au regard de l’habilitation de sécurité. Pour les délégués, un CHSP ou une autre preuve d’habilitation de sécurité doit être transmis au bureau de sécurité du SGC par les autorités compétentes ou, à titre exceptionnel, présenté par le délégué concerné. Le cas échéant, il peut être fait usage d’une liste de noms récapitulative mentionnant les preuves d’habilitation de sécurité voulues.

42.

Lorsqu’une HSP, accordée à des fins d’accès à des ICUE, est, pour des raisons de sécurité, retirée à une personne dont les fonctions requièrent la participation à des sessions du Conseil ou à des réunions d’instances préparatoires du Conseil, l’autorité compétente en informe le SGC.

43.

Les courriers, les gardes et les escortes doivent disposer d’une habilitation de sécurité du niveau correspondant ou faire l’objet d’une enquête appropriée conformément aux dispositions législatives et réglementaires nationales, et être informés des procédures de sécurité applicables à la protection des ICUE ainsi que des obligations qui leur incombent en matière de protection des informations de cette nature qui leur sont confiées.

1.

La présente annexe énonce les modalités d’application de l’article 8. Elle prévoit les règles minimales de protection physique des locaux, bâtiments, bureaux, salles et autres zones où des ICUE sont traitées et stockées, y compris des zones où se trouvent des SIC.

2.

Les mesures de sécurité physique sont destinées à prévenir l’accès non autorisé aux ICUE en:

3.

Les mesures de sécurité physique sont choisies en fonction d’une évaluation de la menace réalisée par les autorités compétentes. Il convient que tant le SGC que les États membres appliquent une procédure de gestion du risque pour protéger les ICUE dans leurs locaux afin de garantir un niveau de protection physique qui soit proportionné au risque évalué. La procédure de gestion des risques tient compte de tous les facteurs pertinents, et notamment:

4.

En appliquant la notion de défense en profondeur, l’autorité de sécurité compétente détermine la bonne combinaison de mesures de sécurité physique qu’il convient de mettre en œuvre. Il peut s’agir d’une ou de plusieurs des mesures suivantes:

5.

L’autorité compétente peut être autorisée à mener des fouilles aux entrées et aux sorties afin d’avoir un effet dissuasif quant à l’introduction non autorisée de matériel dans des locaux ou des bâtiments ou au retrait non autorisé de toute ICUE des lieux précités.

6.

Lorsque des ICUE risquent d’être vues, même accidentellement, des mesures appropriées sont prises pour parer à ce risque.

7.

Pour les nouveaux établissements, les règles en matière de sécurité physique et leurs spécifications fonctionnelles doivent être définies lors de la planification et de la conception des établissements. Pour les établissements existants, les règles en matière de sécurité physique doivent être appliquées dans toute la mesure du possible.

8.

Lors de l’achat de l’équipement destiné à la protection physique des ICUE (comme des meubles de sécurité, des déchiqueteuses, des serrures de porte, des systèmes électroniques de contrôle des accès, des SDI, des systèmes d’alarme), l’autorité de sécurité compétente veille à ce que cet équipement réponde aux normes techniques et aux conditions minimales agréées.

9.

Les spécifications techniques de l’équipement devant servir à la protection physique des ICUE sont définies dans des lignes directrices en matière de sécurité, qu’il appartient au comité de sécurité d’approuver.

10.

Les systèmes de sécurité sont périodiquement inspectés et l’équipement est entretenu à intervalles réguliers. L’entretien prend en compte les résultats des inspections afin de garantir un fonctionnement optimal continu de l’équipement.

11.

Il convient de réévaluer à chaque inspection l’efficacité des différentes mesures de sécurité et du système de sécurité dans son ensemble.

12.

Deux types de zones physiquement protégées, ou leurs équivalents au niveau national, sont créés en vue de la protection physique des ICUE:

Dans la présente décision, toutes les références aux zones administratives et aux zones sécurisées, y compris les zones sécurisées du point de vue technique, s’entendent comme visant également les zones équivalentes au niveau national.

13.

Il appartient à l’autorité de sécurité compétente d’établir qu’une zone répond aux conditions requises pour être désignée comme zone administrative, zone sécurisée ou zone sécurisée du point de vue technique.

14.

Pour les zones administratives:

15.

Pour les zones sécurisées:

16.

Lorsque le fait de pénétrer dans une zone sécurisée équivaut en pratique à un accès direct aux informations classifiées qu’elle renferme, les règles supplémentaires suivantes sont d’application:

17.

Les zones sécurisées qui sont protégées contre les écoutes sont qualifiées de zones sécurisées du point de vue technique. Les règles supplémentaires suivantes sont applicables:

18.

Nonobstant le paragraphe 17, point d), avant d’être utilisé dans des zones dans lesquelles sont organisées des réunions ou sont exécutées des tâches mettant en jeu des informations classifiées SECRET UE/EU SECRET et d’un niveau de classification supérieur, et lorsque la menace pesant sur des ICUE est jugée élevée, tout dispositif de communication et tout matériel électrique ou électronique est d’abord examiné par l’autorité de sécurité compétente pour vérifier qu’aucune information intelligible ne peut être transmise par inadvertance ou de manière illicite par ces équipements en dehors du périmètre de la zone sécurisée.

19.

Les zones sécurisées qui ne sont pas occupées vingt-quatre heures sur vingt-quatre par le personnel de service sont, au besoin, inspectées après les heures normales de travail et à intervalles aléatoires en dehors de ces heures, sauf si un SDI a été installé.

20.

Des zones sécurisées et des zones sécurisées du point de vue technique peuvent être temporairement établies dans une zone administrative en vue de la tenue d’une réunion classifiée ou à toute autre fin similaire.

21.

Des procédures d’exploitation de sécurité sont arrêtées pour chacune des zones sécurisées et précisent:

22.

Les chambres fortes sont installées dans des zones sécurisées. Les murs, les planchers, les plafonds, les fenêtres et les portes verrouillables sont approuvés par l’autorité de sécurité compétente et offrent une protection équivalente à celle d’un meuble de sécurité approuvé pour le stockage d’ICUE du même niveau de classification.

23.

Les ICUE RESTREINT UE/EU RESTRICTED peuvent être traitées:

24.

Les ICUE RESTREINT UE/EU RESTRICTED sont stockées dans un meuble de bureau adapté et fermé dans une zone administrative ou dans une zone sécurisée. Ces informations peuvent être temporairement stockées en dehors d’une zone sécurisée ou d’une zone administrative à condition que le détenteur se soit engagé à se conformer aux mesures compensatoires prévues dans les instructions de sécurité émises par l’autorité de sécurité compétente.

25.

Les ICUE CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET peuvent être traitées:

26.

Les ICUE CONFIDENTIEL UE/EU CONFIDENTIAL et SECRET UE/EU SECRET sont stockées dans une zone sécurisée, soit dans un meuble de sécurité soit dans une chambre forte.

27.

Les ICUE TRÈS SECRET UE/EU TOP SECRET sont traitées dans une zone sécurisée.

28.

Les ICUE TRÈS SECRET UE/EU TOP SECRET sont stockées dans une zone sécurisée, selon l’une des modalités suivantes:

29.

Les règles régissant le transport des ICUE en dehors des zones physiquement protégées figurent à l’annexe III.

30.

L’autorité de sécurité compétente définit les procédures de gestion des clés et des combinaisons pour les bureaux, les salles, les chambres fortes et les meubles de sécurité. Ces procédures protègent d’un accès non autorisé.

31.

Les combinaisons doivent être mémorisées par le plus petit nombre possible de personnes qui ont besoin de les connaître. Les combinaisons des meubles de sécurité et des chambres fortes servant au stockage d’ICUE doivent être changées:

1.

La présente annexe énonce les modalités d’application de l’article 9. Elle prévoit les mesures administratives visant à contrôler les ICUE tout au long de leur cycle de vie en vue de contribuer à la prévention et à la détection d’une compromission ou d’une perte délibérée ou accidentelle de telles informations.

2.

Les informations sont classifiées dans les cas où elles doivent être protégées compte tenu de leur confidentialité.

3.

L’autorité d’origine des ICUE est chargée de déterminer le niveau de classification de sécurité, conformément aux lignes directrices applicables en matière de classification, et de la diffusion initiale des informations.

4.

Le niveau de classification des ICUE est fixé conformément à l’article 2, paragraphe 2, et en se reportant à la politique de sécurité qui doit être approuvée conformément à l’article 3, paragraphe 3.

5.

La classification de sécurité est clairement et correctement indiquée, indépendamment de la forme sous laquelle se présentent les ICUE: format papier, forme orale, électronique ou autre.

6.

Les différentes parties d’un document donné (pages, paragraphes, sections, annexes, appendices et pièces jointes) peuvent nécessiter une classification différente et doivent alors porter le marquage afférent, y compris lorsqu’elles sont stockées sous forme électronique.

7.

Le niveau général de classification d’un document ou d’un dossier est au moins aussi élevé que celui de sa partie portant la classification la plus élevée. Lorsqu’il rassemble des informations provenant de plusieurs sources, le document final est examiné pour en fixer le niveau général de classification de sécurité car il peut requérir un niveau de classification supérieur à celui de chacune des parties qui le composent.

8.

Dans la mesure du possible, les documents dont toutes les parties n’ont pas le même niveau de classification sont structurés de manière que les parties ayant des niveaux de classification différents puissent au besoin être aisément identifiées et séparées des autres.

9.

Les lettres ou notes d’envoi accompagnant des pièces jointes portent le plus haut niveau de classification attribué à ces dernières. L’autorité d’origine indique clairement leur niveau de classification lorsqu’elles sont séparées de leurs pièces jointes, au moyen d’un marquage approprié, par exemple:

CONFIDENTIEL UE/EU CONFIDENTIAL

Sans pièce(s) jointe(s) RESTREINT UE/EU RESTRICTED

10.

Outre l’un des marquages de classification de sécurité prévus à l’article 2, paragraphe 2, les ICUE peuvent porter des marquages complémentaires, tels que:

11.

Des abréviations uniformisées indiquant la classification peuvent être utilisées pour préciser le niveau de classification des différents paragraphes d’un texte. Les abréviations ne remplacent pas la mention de la classification en toutes lettres.

12.

Les abréviations uniformisées ci-après peuvent être utilisées dans les documents classifiés de l’Union européenne pour indiquer le niveau de classification de sections ou blocs de texte de moins d’une page:

13.

Lors de la création de documents classifiés de l’Union européenne:

14.

Lorsqu’il n’est pas possible d’appliquer le paragraphe 13 à des ICUE, d’autres mesures appropriées sont prises conformément aux lignes directrices en matière de sécurité qui doivent être arrêtées en vertu de l’article 6, paragraphe 2.

15.

Au moment de la création du document classifié, l’autorité d’origine indique, si possible et notamment en ce qui concerne les informations classifiées RESTREINT UE/EU RESTRICTED, si les ICUE qui y figurent peuvent ou non être déclassées ou déclassifiées à une date donnée ou après un événement spécifique.

16.

Le SGC réexamine régulièrement les ICUE en sa possession pour déterminer si leur niveau de classification est toujours d’application. Le SGC instaure un système pour réexaminer le niveau de classification des ICUE dont il est l’auteur, au moins une fois tous les cinq ans. Un tel réexamen n’est pas nécessaire lorsque l’autorité d’origine a indiqué dès le départ que les informations seraient automatiquement déclassées ou déclassifiées et que celles-ci se sont vu apposer les marquages correspondants.

17.

Pour chacune des entités structurées qui existent au sein du SGC et des administrations nationales des États membres et dans lesquelles des ICUE sont traitées, on détermine un bureau d’ordre compétent chargé de veiller à ce que les ICUE soient traitées conformément à la présente décision. Les bureaux d’ordre sont conçus comme des zones sécurisées telles que définies à l’annexe II.

18.

Aux fins de la présente décision, on entend par enregistrement à des fins de sécurité (ci-après dénommé «enregistrement») l’application de procédures permettant de garder la trace du cycle de vie d’un matériel, y compris de sa diffusion et de sa destruction.

19.

Tout matériel classifié CONFIDENTIEL UE/EU CONFIDENTIAL et d’un niveau de classification supérieur est enregistré par un bureau d’ordre déterminé à chaque fois qu’il parvient à une entité structurée ou qu’il en sort.

20.

Le bureau d’ordre central du SGC garde une trace de toutes les informations classifiées communiquées par le Conseil et le SGC à des États tiers et à des organisations internationales, ainsi que de toutes les informations classifiées reçues d’États tiers ou d’organisations internationales.

21.

Dans le cas d’un SIC, les procédures d’enregistrement peuvent être mises en œuvre au moyen de processus intervenant au sein du SIC même.

22.

Le Conseil approuve une politique de sécurité sur l’enregistrement des ICUE à des fins de sécurité.

23.

Un bureau d’ordre est désigné dans les États membres et au SGC pour faire fonction d’autorité centrale de réception et de diffusion des informations classifiées TRÈS SECRET UE/EU TOP SECRET. S’il y a lieu, les bureaux d’ordre subordonnés peuvent être désignés pour traiter ces informations à des fins d’enregistrement.

24.

Ces bureaux d’ordre subordonnés ne peuvent transmettre de documents TRES SECRET UE/EU TOP SECRET directement à d’autres bureaux d’ordre subordonnés rattachés au même bureau d’ordre TRES SECRET UE/EU TOP SECRET central sans l’autorisation expresse et écrite de ce dernier ni à des bureaux d’ordre extérieurs.

25.

Les documents classifiés TRÈS SECRET UE/EU TOP SECRET ne doivent pas être dupliqués ou traduits sans le consentement écrit préalable de l’autorité d’origine.

26.

Lorsque l’autorité d’origine de documents classifiés SECRET UE/EU SECRET et d’un niveau de classification inférieur n’a pas imposé de restrictions à leur duplication ou à leur traduction, lesdits documents peuvent être dupliqués ou traduits sur instruction du détenteur.

27.

Les mesures de sécurité applicables au document original le sont aussi à ses copies et à ses traductions.

28.

Le transport des ICUE est soumis aux mesures de protection énoncées aux paragraphes 30 à 41. Lorsque les ICUE sont transportées par des supports électroniques, et nonobstant l’article 9, paragraphe 4, les mesures de protection énoncées ci-après peuvent être complétées par des contre-mesures techniques appropriées prescrites par l’autorité de sécurité compétente, de façon à réduire au minimum le risque de perte ou de compromission.

29.

Les autorités de sécurité compétentes au sein du SGC et dans les États membres donnent des instructions sur le transport des ICUE conformément à la présente décision.

30.

Les ICUE transportées à l’intérieur d’un même bâtiment ou d’un groupe autonome de bâtiments sont dissimulées en vue de prévenir l’observation de leur contenu.

31.

À l’intérieur d’un même bâtiment ou d’un groupe autonome de bâtiments, les informations classifiées TRÈS SECRET UE/EU TOP SECRET sont transportées dans une enveloppe sécurisée avec pour seule mention le nom du destinataire.

32.

Les ICUE transportées entre des bâtiments ou des locaux à l’intérieur de l’Union européenne sont emballées de manière à être protégées de toute divulgation non autorisée.

33.

Le transport d’informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET à l’intérieur de l’Union s’effectue par l’un des moyens suivants:

En cas de transport d’un État membre vers un autre État membre, les dispositions du point c) sont limitées aux informations classifiées jusqu’au niveau CONFIDENTIEL UE/EU CONFIDENTIAL.

34.

Les informations classifiées RESTREINT UE/EU RESTRICTED peuvent aussi être transportées par des services postaux ou par des services de courrier commercial. Un certificat de courrier n’est pas requis pour le transport de telles informations.

35.

Le matériel classifié CONFIDENTIEL UE/EU CONFIDENTIAL et SECRET UE/EU SECRET (par exemple, équipement ou machine) qui ne peut être transporté par les moyens visés au paragraphe 33 est transporté en tant que fret par des sociétés de transport commercial conformément à l’annexe V.

36.

Le transport des informations classifiées TRÈS SECRET UE/EU TOP SECRET, entre des bâtiments ou des locaux à l’intérieur de l’Union, s’effectue par courrier militaire, gouvernemental ou diplomatique, selon le cas.

37.

Les ICUE transportées de l’Union vers le territoire d’un État tiers sont emballées de manière à être protégées de toute divulgation non autorisée.

38.

Le transport des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL et SECRET UE/EU SECRET de l’Union vers le territoire d’un État tiers s’effectue par l’un des moyens suivants:

39.

Le transport des informations CONFIDENTIEL UE/EU CONFIDENTIAL et SECRET UE/EU SECRET communiquées par l’Union à un État tiers ou à une organisation internationale est conforme aux dispositions applicables au titre d’un accord sur la sécurité des informations ou d’un arrangement administratif conclu en vertu de l’article 13, paragraphe 2, point a) ou b).

40.

Les informations classifiées RESTREINT UE/EU RESTRICTED peuvent aussi être transportées par des services postaux ou par des services de courrier commercial.

41.

Le transport des informations classifiées TRÈS SECRET UE/EU TOP SECRET, de l’Union vers le territoire d’un État tiers, s’effectue par courrier militaire ou diplomatique.

42.

Les documents classifiés de l’Union européenne qui ne sont plus nécessaires peuvent être détruits, sans préjudice de la réglementation applicable en matière d’archivage.

43.

Les documents faisant l’objet d’un enregistrement en application de l’article 9, paragraphe 2, de la présente décision sont détruits par le bureau d’ordre compétent sur instruction du détenteur ou d’une autorité compétente. Les cahiers d’enregistrement et les autres informations relatives aux enregistrements sont actualisés en conséquence.

44.

La destruction de documents classifiés SECRET UE/EU SECRET ou TRÈS SECRET UE/EU TOP SECRET est effectuée en présence d’un témoin justifiant de l’habilitation de sécurité correspondant au moins au niveau de classification du document à détruire.

45.

L’agent du bureau d’ordre et le témoin, lorsque la présence de ce dernier est requise, signent un procès-verbal de destruction qui est rempli dans le bureau d’ordre. Le bureau d’ordre conserve les procès-verbaux de destruction des documents TRÈS SECRET UE/EU TOP SECRET pendant dix ans au minimum, et ceux des documents CONFIDENTIEL UE/EU CONFIDENTIAL et SECRET UE/EU SECRET pendant cinq ans au minimum.

46.

Les documents classifiés, y compris ceux dont la classification est RESTREINT UE/EU RESTRICTED, sont détruits par des méthodes répondant aux normes de l’Union applicables ou à des normes équivalentes, ou homologuées par les États membres conformément aux normes techniques nationales, pour empêcher leur reconstitution totale ou partielle.

47.

La destruction des supports de données informatiques utilisés pour des ICUE s’effectue conformément à l’annexe IV, paragraphe 37.

48.

En cas d’urgence, s’il existe un risque imminent de divulgation non autorisée, les ICUE sont détruites par le détenteur de manière à ce qu’elles ne puissent pas être reconstituées en tout ou en partie. L’autorité d’origine et le bureau d’ordre d’origine sont informés de la destruction en urgence d’ICUE enregistrées.

49.

Le terme «visite d’évaluation» utilisé ci-après désigne:

ayant pour but d’évaluer l’efficacité des mesures mises en œuvre pour protéger les ICUE.

50.

Les visites d’évaluation sont notamment menées aux fins suivantes:

51.

Avant la fin de chaque année civile, le Conseil adopte le programme de visites d’évaluation prévu à l’article 16, paragraphe 1, point c), pour l’année suivante. Les dates exactes de chaque visite d’évaluation sont fixées en accord avec l’organe ou l’agence de l’Union, l’État membre, l’État tiers ou l’organisation internationale concerné(e).

52.

Les visites d’évaluation sont effectuées en vue de contrôler les prescriptions, les réglementations et les procédures applicables dans l’entité visitée et de vérifier que les pratiques en vigueur au sein de l’entité satisfont aux principes de base et aux normes minimales fixés par la présente décision et par les dispositions qui régissent l’échange d’informations classifiées avec cette entité.

53.

Les visites d’évaluation se déroulent en deux phases. Avant la visite proprement dite, une réunion préparatoire est organisée, si nécessaire, avec l’entité concernée. À l’issue de cette réunion préparatoire, l’équipe d’évaluation établit, de concert avec ladite entité, un programme de visite détaillé couvrant tous les secteurs de la sécurité. L’équipe d’évaluation devrait avoir accès à tous les lieux, notamment aux bureaux d’ordre et aux points de présence SIC, où sont traitées des ICUE.

54.

Les visites d’évaluation effectuées dans les administrations nationales des États membres, dans des États tiers et dans les organisations internationales sont réalisées en totale coopération avec les responsables de l’entité, de l’État tiers ou de l’organisation internationale faisant l’objet de la visite.

55.

Les visites d’évaluation effectuées auprès d’organes, d’agences et d’entités de l’Union qui appliquent la présente décision ou les principes y figurant sont menées avec l’aide de spécialistes de l’ANS dans le ressort de laquelle se situe l’organe ou l’agence.

56.

Dans le cadre des visites d’évaluation effectuées auprès des organes, agences et entités de l’Union qui appliquent la présente décision ou les principes y figurant, ainsi que dans des États tiers et des organisations internationales, le concours et l’assistance des experts des ANS peuvent être sollicités conformément à des modalités à définir par le comité de sécurité.

57.

À l’issue de la visite d’évaluation, les principales conclusions et recommandations sont présentées à l’entité ayant fait l’objet de la visite. Un rapport de visite d’évaluation est ensuite établi. Lorsque des mesures correctives et des recommandations ont été proposées, le rapport doit contenir suffisamment d’éléments précis pour étayer les conclusions dégagées. Le rapport est transmis à l’autorité compétente de l’entité ayant fait l’objet de la visite.

58.

En ce qui concerne les visites d’évaluation effectuées dans les administrations nationales des États membres:

Un rapport périodique est établi sous la responsabilité de l’autorité de sécurité du SGC (bureau de sécurité) pour souligner les enseignements qui ont été tirés des visites d’évaluation effectuées dans les États membres au cours d’une période précise et est examiné par le comité de sécurité.

59.

En ce qui concerne les visites d’évaluation dans les États tiers et les organisations internationales, le rapport est diffusé au comité de sécurité. Le rapport reçoit, au minimum, la classification RESTREINT UE/EU RESTRICTED. Toute mesure corrective est vérifiée lors d’une visite de suivi et signalée au comité de sécurité.

60.

En ce qui concerne les visites d’évaluation effectuées auprès des organes, agences et entités de l’Union qui appliquent la présente décision ou les principes y figurant, les rapports de visite d’évaluation sont diffusés au comité de sécurité. Le projet de rapport de visite d’évaluation est transmis à l’agence ou à l’organe concerné(e) afin de vérifier qu’il ne contient pas d’erreur de fait et qu’aucune information d’un niveau de classification supérieur à RESTREINT UE/EU RESTRICTED n’y figure. Toute mesure corrective est vérifiée lors d’une visite de suivi et signalée au comité de sécurité.

61.

L’autorité de sécurité du SGC procède régulièrement à des inspections des entités structurées du SGC aux fins prévues au paragraphe 50.

62.

L’autorité de sécurité du SGC (bureau de sécurité) établit et met à jour une liste de contrôle des éléments à vérifier au cours d’une visite d’évaluation. Cette liste de contrôle est transmise au comité de sécurité.

63.

Les informations nécessaires pour compléter la liste de contrôle sont obtenues, notamment au cours de la visite, auprès des services chargés de la gestion de la sécurité de l’entité faisant l’objet de l’inspection. Sitôt complétée avec les réponses détaillées obtenues, la liste de contrôle est classifiée en accord avec l’entité inspectée. Elle ne fait pas partie du rapport d’inspection.

1.

La présente annexe énonce les modalités d’application de l’article 10.

2.

Les propriétés et les notions d’AI figurant ci-après sont essentielles pour la sécurité et l’exécution correcte des opérations dans le cadre d’un SIC.

3.

Les dispositions énoncées ci-après constituent les éléments fondamentaux permettant de garantir la sécurité de tout SIC traitant des ICUE. Les modalités précises de mise en œuvre de ces dispositions sont définies dans les politiques et les lignes directrices en matière de sécurité d’AI.

4.

La gestion des risques de sécurité fait partie intégrante de la définition, de l’élaboration, de l’exploitation et de la maintenance d’un SIC. La gestion des risques (évaluation, traitement, acceptation et communication) est mise en œuvre conjointement, dans le cadre d’un processus itératif, par les représentants des détenteurs de systèmes, les autorités responsables du projet, les autorités chargées de l’exploitation et les autorités d’homologation de sécurité selon une procédure d’évaluation des risques ayant fait ses preuves, transparente et pouvant être parfaitement comprise. Le domaine d’application du SIC et ses ressources sont clairement définis dès le début du processus de gestion des risques.

5.

Les autorités compétentes examinent les menaces potentielles qui pèsent sur le SIC, tiennent à jour les évaluations des menaces et veillent à leur exactitude afin que celles-ci rendent compte de l’environnement opérationnel du moment. Elles actualisent en permanence leurs connaissances relatives aux questions de vulnérabilité et revoient régulièrement l’évaluation de la vulnérabilité afin de suivre l’évolution de la technologie de l’information.

6.

Le traitement des risques de sécurité vise à appliquer un ensemble de mesures de sécurité offrant un équilibre satisfaisant entre les besoins des utilisateurs, les coûts et le risque de sécurité résiduel.

7.

Les exigences spécifiques, l’étendue et le niveau de détail fixés par l’AHS compétente aux fins de l’homologation d’un SIC sont proportionnés au risque évalué, compte tenu de tous les facteurs pertinents, y compris le niveau de classification des ICUE qui sont traitées dans le SIC. Dans le cadre de l’homologation, le risque résiduel fait l’objet d’un énoncé formel et est accepté par une autorité responsable.

8.

Assurer la sécurité d’un SIC tout au long de son cycle de vie, de son lancement à son retrait, est une obligation.

9.

Le rôle de chaque acteur d’un SIC et les interactions entre ces acteurs, en termes de sécurité du système, doivent être clairement déterminés pour chaque phase du cycle de vie.

10.

Tout SIC, y compris les mesures de sécurité techniques et non techniques dont il fait l’objet, est soumis à des essais de sécurité au cours du processus d’homologation afin de s’assurer que le niveau d’assurance requis est atteint et de vérifier qu’il est correctement mis en œuvre, intégré et configuré.

11.

Des évaluations, inspections et examens de sécurité sont réalisés à intervalles réguliers durant la phase opérationnelle ainsi que dans le cadre de la maintenance d’un SIC, de même qu’en toute circonstance exceptionnelle.

12.

Les documents relatifs à la sécurité d’un SIC évoluent tout au long du cycle de vie de celui-ci, évolution qui s’inscrit pleinement dans le cadre du processus de gestion du changement et de la configuration.

13.

Le SGC et les États membres travaillent de concert à l’élaboration des meilleures pratiques destinées à protéger les ICUE traitées par un SIC. Les lignes directrices concernant les meilleures pratiques énoncent des mesures visant à assurer la sécurité du SIC sur le plan technique et physique ainsi qu’au niveau de l’organisation et des procédures et dont l’efficacité pour lutter contre certaines menaces et vulnérabilités a été démontrée.

14.

Il convient, aux fins de la protection des ICUE traitées par un SIC, de mettre à profit les enseignements tirés par les entités travaillant dans le domaine de l’AI, que ce soit au sein ou en dehors de l’Union.

15.

La diffusion et la mise en œuvre ultérieure des meilleures pratiques contribuent à atteindre un niveau équivalent d’assurance dans l’ensemble des SIC traitant des ICUE et exploités par le SGC et les États membres.

16.

Afin d’atténuer les risques qui pèsent sur un SIC, un éventail de mesures de sécurité techniques et non techniques organisées en plusieurs niveaux de défense doit être mis en œuvre. Ces niveaux sont notamment les suivants:

a)   la dissuasion: mesures de sécurité visant à dissuader un éventuel adversaire de projeter une attaque du SIC;

b)   la prévention: mesures de sécurité visant à empêcher ou à stopper une attaque du SIC;

c)   la détection: mesures de sécurité visant à déceler une attaque du SIC en train de se produire;

d)   la résilience: mesures de sécurité visant à faire en sorte que l’attaque n’ait un impact que sur un nombre aussi faible que possible d’informations ou de ressources du SIC et à prévenir d’autres dommages; et

e)   le retour aux conditions opérationnelles: mesures de sécurité visant à rétablir la sécurité du SIC.

La rigueur de ces mesures de sécurité est déterminée sur la base d’une évaluation des risques.

17.

L’ANS ou une autre autorité compétente s’assure:

18.

Seuls sont mis en œuvre les fonctions, dispositifs et services indispensables pour répondre aux exigences opérationnelles.

19.

Les utilisateurs d’un SIC et les processus automatisés se voient uniquement accorder les droits d’accès, les privilèges ou les autorisations requises pour mener à bien leur tâche, afin de limiter tout dommage résultant d’accidents, d’erreurs ou d’utilisations non autorisées des ressources du SIC.

20.

Les procédures d’enregistrement mises en œuvre par un SIC, le cas échéant, sont vérifiées dans le cadre du processus d’homologation.

21.

La sensibilisation aux risques et aux mesures de sécurité disponibles constitue la première ligne de défense destinée à assurer la sécurité des SIC. En particulier, tout le personnel intervenant dans le cycle de vie d’un SIC, y compris les utilisateurs, doit bien comprendre:

22.

Afin que les responsabilités en matière de sécurité soient bien comprises, une formation et une sensibilisation à l’AI sont obligatoires pour tout le personnel concerné, y compris les cadres supérieurs et les utilisateurs du SIC.

23.

Le niveau de confiance requis dans les mesures de sécurité, défini comme un niveau d’assurance, est déterminé à l’issue du processus de gestion des risques et conformément aux politiques et lignes directrices applicables en matière de sécurité.

24.

Le niveau d’assurance fait l’objet d’une vérification au moyen de procédés et de méthodes reconnus à l’échelon international ou agréés au niveau national. Il s’agit principalement d’évaluations, de contrôles et d’audits.

25.

Les produits cryptographiques destinés à protéger les ICUE sont évalués et agréés par une AAC nationale d’un État membre.

26.

Avant d’être recommandés au Conseil ou au secrétaire général pour agrément, en application de l’article 10, paragraphe 6, ces produits cryptographiques doivent avoir satisfait à une évaluation par seconde partie réalisée par une autorité dûment qualifiée (AQUA) d’un État membre n’intervenant pas dans la conception ni dans la fabrication de l’équipement concerné. L’ampleur de l’évaluation par seconde partie nécessaire dépend du niveau de classification maximal envisagé des ICUE que ces produits doivent protéger. Le Conseil approuve une politique de sécurité concernant l’évaluation et l’agrément de produits cryptographiques.

27.

Lorsque des motifs opérationnels particuliers le justifient, le Conseil ou le secrétaire général, selon le cas, peut, sur recommandation du comité de sécurité, ne pas respecter les exigences prévues aux paragraphes 25 et 26 de la présente annexe et délivrer un agrément à titre provisoire pour une période spécifique, en application de la procédure énoncée à l’article 10, paragraphe 6.

28.

Le Conseil, statuant sur recommandation du comité de sécurité, peut accepter le processus d’évaluation, de sélection et d’homologation des produits cryptographiques qui est en place dans un État tiers ou dans une organisation internationale et peut en conséquence tenir ces produits cryptographiques comme homologués aux fins de la protection des ICUE communiquées à cet État tiers ou à cette organisation internationale.

29.

L’AQUA est une AAC d’un État membre qui a été agréée, sur la base de critères définis par le Conseil, pour procéder à la deuxième évaluation des produits cryptographiques destinés à protéger les ICUE.

30.

Le Conseil approuve une politique de sécurité concernant la qualification et l’approbation des produits de sécurité informatique non cryptographiques.

31.

Nonobstant les dispositions de la présente décision, lorsque la transmission d’ICUE s’effectue uniquement à l’intérieur de zones sécurisées ou de zones administratives, une transmission non chiffrée ou d’un niveau de chiffrement inférieur peut être envisagée compte tenu des résultats d’un processus de gestion des risques et avec l’accord de l’AHS.

32.

Aux fins de la présente décision, on entend par «interconnexion» la connexion directe d’au moins deux systèmes informatiques permettant à ceux-ci d’échanger des données et d’autres ressources en matière d’information (communication, par exemple) de façon unidirectionnelle ou multidirectionnelle.

33.

Un SIC doit de prime abord considérer tout système informatique interconnecté comme n’étant pas fiable et mettre en œuvre des mesures de protection destinées à contrôler les échanges d’informations classifiées.

34.

Lorsqu’un SIC est interconnecté avec un autre système électronique, les conditions de base suivantes doivent être réunies:

35.

Il ne peut y avoir aucune interconnexion entre un SIC homologué et un réseau non protégé ou public, sauf lorsque le SIC comporte un système de protection en bordure homologué installé à cette fin entre le SIC et le réseau non protégé ou public. Les mesures de sécurité applicables à une telle interconnexion sont examinées par l’autorité chargée de l’assurance de l’information compétente et approuvées par l’AHS compétente.

Lorsque le réseau public ou non protégé sert uniquement à des fins de transmission et que les données sont chiffrées au moyen d’un produit cryptographique agréé conformément à l’article 10, une telle connexion n’est pas considérée comme une interconnexion.

36.

Un SIC homologué pour traiter des informations TRÈS SECRET UE/EU TOP SECRET ne peut pas être interconnecté directement ou en cascade à un réseau non protégé ou public.

37.

Les supports de données informatiques sont détruits conformément aux procédures approuvées par l’autorité de sécurité compétente.

38.

Les supports de données informatiques sont réutilisés, déclassés ou déclassifiés conformément aux lignes directrices en matière de sécurité qui doivent être arrêtées en vertu de l’article 6, paragraphe 2.

39.

Nonobstant les dispositions de la présente décision, les procédures spécifiques décrites ci-après peuvent être appliquées dans les situations d’urgence, telles que les crises, les conflits ou les guerres, imminentes ou effectives, ou dans des circonstances opérationnelles exceptionnelles.

40.

Sous réserve du consentement de l’autorité compétente, les ICUE peuvent être transmises au moyen de produits cryptographiques agréés pour un niveau de classification inférieur ou sans faire l’objet d’un chiffrement dans le cas où tout retard causerait un préjudice indéniablement plus important que celui qui découlerait de la divulgation du matériel classifié et dans les conditions suivantes:

41.

Les informations classifiées transmises dans les conditions visées au paragraphe 39 ne portent aucun marquage ni indication qui les distinguerait d’informations non classifiées ou pouvant être protégées à l’aide d’un produit cryptographique disponible. Leur destinataire est informé, sans délai et par d’autres moyens, du niveau de classification.

42.

Lorsque des informations sont transmises en application du paragraphe 39, un rapport est par la suite adressé à ce sujet à l’autorité compétente et au comité de sécurité.

43.

Les États membres et le SGC instituent les autorités compétentes en matière d’AI ci-après. Ces autorités ne doivent pas nécessairement être dotées d’entités structurées distinctes. Elles sont investies de mandats distincts. Cependant, ces autorités et leurs responsabilités connexes peuvent être associées ou intégrées dans la même entité structurée ou se partager entre différentes entités structurées, à condition que l’on veille à éviter au niveau interne tout conflit d’intérêt et tout chevauchement des tâches.

44.

L’AAI s’acquitte des tâches suivantes:

45.

L’autorité TEMPEST (AT) est chargée de veiller à la conformité des SIC aux stratégies et lignes directrices TEMPEST. Elle approuve les contre-mesures TEMPEST pour les installations et les produits destinés à protéger des ICUE jusqu’à un certain niveau de classification dans leur environnement opérationnel.

46.

L’autorité d’agrément cryptographique (AAC) est chargée de veiller à ce que les produits cryptographiques soient conformes aux politiques respectives des différents États membres et du Conseil en matière cryptographique. Elle agrée les produits cryptographiques pour la protection d’ICUE jusqu’à un certain niveau de classification dans leur environnement opérationnel. S’agissant des États membres, l’AAC est en outre chargée de l’évaluation des produits cryptographiques.

47.

L’autorité de distribution cryptographique (ADC) s’acquitte des tâches suivantes:

48.

L’autorité d’homologation de sécurité de chaque système s’acquitte des tâches suivantes:

49.

L’AHS du SGC est chargée de l’homologation de tous les SIC exploités dans le cadre de la compétence du SGC.

50.

L’AHS compétente d’un État membre est chargée de l’homologation des SIC et des éléments des SIC exploités dans le cadre de la compétence d’un État membre.

51.

Un comité conjoint d’homologation de sécurité (CHS) est chargé de l’homologation des SIC qui sont du ressort aussi bien de l’AHS du SGC que des AHS des États membres. Ce comité est composé d’un représentant de l’AHS de chaque État membre, un représentant de l’AHS de la Commission assistant à ses réunions. Les autres entités disposant de nœuds de connexion avec un SIC sont invitées à assister aux réunions lorsque celles-ci portent sur le système considéré.

Le CHS est présidé par un représentant de l’AHS du SGC. Il statue par consensus entre les représentants des AHS des institutions, des États membres et des autres entités disposant de nœuds de connexion avec le SIC considéré. Le CHS rend compte à intervalles réguliers de ses activités au comité de sécurité et notifie à celui-ci toute déclaration d’homologation.

52.

L’autorité opérationnelle chargée de l’AI pour chaque système s’acquitte des tâches suivantes:

1.

La présente annexe énonce les modalités d’application de l’article 11. Elle prévoit des mesures de sécurité générales applicables aux entités industrielles ou autres dans le cadre de négociations précontractuelles et tout au long du cycle de vie des contrats classifiés attribués par le SGC.

2.

Le Conseil approuve des lignes directrices en matière de sécurité industrielle indiquant en particulier les modalités précises en ce qui concerne les HSE, les annexes de sécurité (AS), les visites, la transmission et le transport des ICUE.

3.

Avant de lancer un appel d’offres en vue de l’attribution d’un contrat classifié ou d’attribuer un tel contrat, le SGC, en sa qualité d’autorité contractante, détermine la classification de sécurité de toute information devant être fournie aux soumissionnaires et aux contractants, ainsi que la classification de sécurité de toute information devant être créée pour le contractant. Dans cette perspective, le SGC élabore un guide de la classification de sécurité (GCS), qui sera utilisé aux fins de l’exécution du contrat.

4.

Les principes ci-après sont appliqués pour déterminer le niveau de classification de sécurité des différents éléments d’un contrat classifié:

5.

Les impératifs de sécurité propres à un contrat sont exposés dans une AS. Le cas échéant, l’AS contient le GCS et fait partie intégrante du contrat ou du contrat de sous-traitance classifié.

6.

L’AS contient les dispositions imposant au contractant et/ou au sous-traitant de respecter les normes minimales énoncées dans la présente décision. Le non-respect de ces normes minimales peut constituer un motif suffisant de résiliation du contrat.

7.

En fonction de la portée des programmes ou des projets impliquant l’accès à des ICUE ou leur traitement ou stockage, l’autorité contractante chargée de gérer le projet ou le programme considéré peut élaborer des ISP. Les ISP doivent être approuvées par les ANS/ASD ou toute autre autorité de sécurité compétente des États membres associées aux ISP et peuvent contenir d’autres exigences en matière de sécurité.

8.

Une HSE est délivrée par l’ANS/ASD ou toute autre autorité de sécurité compétente d’un État membre afin d’indiquer, conformément aux dispositions législatives et réglementaires nationales, que l’entité industrielle ou autre est en mesure, au sein de ses établissements, de garantir aux ICUE la protection adaptée au niveau de classification approprié (CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET). La HSE est communiquée au SGC, en sa qualité d’autorité contractante, avant que le contractant ou le sous-traitant ou un contractant ou un sous-traitant potentiel ne se voie communiquer des ICUE ou accorder un accès aux ICUE.

9.

Lorsqu’elle délivre une HSE, l’ANS/ASD compétente veille au minimum à:

10.

S’il y a lieu, le SGC, en sa qualité d’autorité contractante, avertit l’ANS/ASD ou toute autre autorité de sécurité compétente qu’une HSE est nécessaire dans la phase précontractuelle ou pour l’exécution du contrat. Une HSE ou une HSP est requise dans la phase précontractuelle lorsque des ICUE CONFIDENTIEL UE/EU CONFIDENTAL ou SECRET UE/EU SECRET doivent être fournies dans la phase de soumission des offres.

11.

L’autorité contractante n’attribue pas de contrat classifié au soumissionnaire sélectionné tant que l’ANS/ASD ou toute autre autorité de sécurité compétente de l’État membre dans lequel le contractant ou le soumissionnaire concerné est immatriculé, ne lui a pas confirmé qu’une HSE appropriée a été délivrée.

12.

L’ANS/ASD ou toute autre autorité de sécurité compétente ayant délivré une HSE notifie au SGC, en sa qualité d’autorité contractante, les modifications éventuellement apportées à ladite HSE. Dans le cadre d’un contrat de sous-traitance, l’ANS/ASD ou toute autre autorité de sécurité compétente en est informée.

13.

Le retrait d’une HSE par l’ANS/ASD concernée ou toute autre autorité de sécurité compétente constitue pour le SGC, en sa qualité d’autorité contractante, un motif suffisant pour résilier un contrat classifié ou exclure un soumissionnaire de la procédure d’appel d’offres.

14.

Lorsque des ICUE sont communiquées à un soumissionnaire durant la phase précontractuelle, l’appel d’offres contient une disposition prévoyant que le soumissionnaire qui ne présente pas d’offre ou qui n’est pas sélectionné sera tenu de restituer tous les documents classifiés dans un délai spécifié.

15.

Une fois qu’un contrat ou un contrat de sous-traitance classifié a été attribué, le SGC, en sa qualité d’autorité contractante, notifie les dispositions en matière de sécurité que comporte le contrat classifié à l’ANS/ASD ou à toute autre autorité de sécurité compétente dont relève le contractant ou le sous-traitant.

16.

Lorsqu’il est mis fin à un tel contrat, le SGC, en sa qualité d’autorité contractante, (et/ou l’ANS/ASD ou toute autre autorité de sécurité compétente, selon qu’il conviendra, dans le cas d’un contrat de sous-traitance) avertit immédiatement l’ANS/ASD ou toute autre autorité de sécurité compétente de l’État membre dans lequel le contractant ou le sous-traitant est immatriculé.

17.

En principe, le contractant ou le sous-traitant est tenu de restituer à l’autorité contractante les ICUE en sa possession, dès que le contrat ou le contrat de sous-traitance classifié arrive à expiration.

18.

Des dispositions spéciales concernant l’élimination d’ICUE durant l’exécution du contrat ou à son expiration figurent dans l’AS.

19.

Lorsque le contractant ou le sous-traitant est autorisé à conserver des ICUE après l’expiration d’un contrat, les normes minimales figurant dans la présente demeurent d’application et la confidentialité des ICUE est protégée par le contractant ou le sous-traitant.

20.

Les conditions dans lesquelles le contractant peut sous-traiter des activités sont définies dans l’appel d’offres et le contrat.

21.

Un contractant doit obtenir l’autorisation du SGC, en sa qualité d’autorité contractante, avant de pouvoir sous-traiter des éléments d’un contrat classifié. Aucun contrat de sous-traitance ne peut être attribué à des entités industrielles ou autres immatriculées dans un État non membre de l’Union européenne n’ayant pas conclu avec l’Union un accord sur la sécurité des informations.

22.

Il incombe au contractant de veiller à ce que toutes les activités de sous-traitance soient réalisées en conformité avec les normes minimales définies dans la présente décision et de s’abstenir de fournir des ICUE à un sous-traitant sans l’autorisation écrite préalable de l’autorité contractante.

23.

En ce qui concerne les ICUE créées ou traitées par le contractant ou le sous-traitant, les droits qui incombent à l’autorité d’origine sont exercés par l’autorité contractante.

24.

Lorsque le personnel du SGC, des contractants ou des sous-traitants doit avoir accès à des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET dans leurs locaux respectifs aux fins de l’exécution d’un contrat classifié, les visites sont organisées en liaison avec les ANS/ASD ou toute autre autorité de sécurité compétente concernée. Toutefois, dans le cadre de projets spécifiques, les ANS/ASD peuvent également convenir d’une procédure selon laquelle ces visites peuvent être organisées directement.

25.

Tous les visiteurs sont en possession d’une HSP adéquate et jouissent d’un accès aux ICUE liées au contrat attribué par le SGC sur la base du principe du besoin d’en connaître.

26.

Les visiteurs se voient uniquement accorder l’accès aux ICUE liées à l’objectif de la visite.

27.

En ce qui concerne la transmission des ICUE par voie électronique, les dispositions pertinentes de l’article 10 et de l’annexe IV s’appliquent.

28.

En ce qui concerne le transport d’ICUE, les dispositions pertinentes de l’annexe III s’appliquent, conformément aux dispositions législatives et réglementaires nationales.

29.

En ce qui concerne le transport de matériel classifié en tant que fret, les principes ci-après s’appliquent pour déterminer les mesures de sécurité à mettre en œuvre:

30.

Les ICUE sont transférées aux contractants et sous-traitants établis dans des États tiers conformément aux mesures de sécurité convenues entre le SGC, en sa qualité d’autorité contractante, et l’ANS/ASD de l’État tiers concerné dans lequel le contractant est immatriculé.

31.

En liaison, s’il y a lieu, avec l’ANS/ASD de l’État membre, le SGC, en sa qualité d’autorité contractante, est habilité à effectuer des inspections dans les établissements des contractants/sous-traitants, en vertu de dispositions contractuelles, afin de vérifier que les mesures de sécurité adaptées pour la protection des ICUE de niveau RESTREINT UE/EU RESTRICTED ont été mises en place, comme l’exige le contrat.

32.

Dans la mesure où cela est nécessaire en vertu des dispositions légales et réglementaires nationales, les ANS/ASD, ou toute autre autorité de sécurité compétente, doivent être informées par le SGC, en sa qualité d’autorité contractante, des contrats ou des contrats de sous-traitance contenant des informations classifiées RESTREINT UE/EU RESTRICTED.

33.

Les contractants ou sous-traitants et leur personnel ne sont pas tenus d’être en possession d’une HSE ou d’une HSP pour les contrats attribués par le SGC et comportant des informations classifiées RESTREINT UE/EU RESTRICTED.

34.

Le SGC, en sa qualité d’autorité contractante, examine les réponses aux appels d’offres portant sur des contrats nécessitant l’accès à des informations classifiées RESTREINT UE/EU RESTRICTED, nonobstant les exigences en matière d’HSE ou d’HSP pouvant être prévues par les dispositions législatives et réglementaires nationales.

35.

Les conditions régissant la sous-traitance d’activités par un contractant sont conformes au paragraphe 21.

36.

Lorsqu’un contrat prévoit le traitement d’informations classifiées RESTREINT UE/EU RESTRICTED dans un SIC exploité par un contractant, le SGC, en sa qualité d’autorité contractante, veille à ce que les exigences techniques et administratives à remplir concernant l’homologation du SIC soient précisées dans le contrat ou tout contrat de sous-traitance; ces exigences sont proportionnées au risque évalué, compte tenu de tous les facteurs pertinents. La portée de l’homologation dudit SIC est décidée d’un commun accord par l’autorité contractante et l’ANS/ASD compétente.

1.

La présente annexe énonce les modalités d’application de l’article 13.

2.

Lorsque le Conseil décide qu’il existe un besoin durable d’échanger des informations classifiées,

conformément à l’article 13, paragraphe 2, et aux sections III et IV et en vertu d’une recommandation du comité de sécurité.

3.

Lorsque des ICUE créées aux fins d’une opération PSDC doivent être communiquées à des États tiers ou à des organisations internationales participant à cette opération, et lorsque aucun des cadres prévus au paragraphe 2 n’existe, l’échange d’ICUE avec l’État tiers ou l’organisation internationale contributeur est régi, conformément à la section V ci-dessous, par:

4.

À défaut d’un des cadres mentionnés aux paragraphes 2 et 3, et lorsque décision est prise de communiquer des ICUE à un État tiers ou à une organisation internationale sur une base exceptionnelle ad hoc dans le respect des dispositions prévues dans la section VI, il est demandé à l’État tiers ou à l’organisation internationale concerné(e) de donner par écrit des assurances garantissant que toute ICUE qui lui est communiquée bénéficie d’une protection conforme aux principes de base et aux normes minimales énoncés dans la présente décision.

5.

Les accords sur la sécurité des informations fixent les principes de base et les normes minimales régissant l’échange d’informations classifiées entre l’Union et un État tiers ou une organisation internationale.

6.

Les accords sur la sécurité des informations prévoient des modalités techniques d’application qui doivent être arrêtées d’un commun accord entre les autorités de sécurité compétentes des institutions et organes de l’Union concernés et l’autorité de sécurité compétente de l’État tiers ou de l’organisation internationale concerné(e). Ces modalités tiennent compte du niveau de protection offert par les règlements, les structures et les procédures de sécurité en vigueur au sein de l’État tiers ou de l’organisation internationale concerné(e). Elles sont approuvées par le comité de sécurité.

7.

Les ICUE ne peuvent faire l’objet d’un échange par voie électronique en application d’un accord sur la sécurité des informations, sauf disposition expresse de l’accord ou des modalités techniques d’application correspondantes.

8.

Lorsque le Conseil conclut un accord de sécurité des informations avec un tiers, un bureau d’ordre est désigné au sein de chaque partie comme principal point d’entrée et de sortie des échanges d’informations classifiées.

9.

Afin d’évaluer l’efficacité des règlements, structures et procédures de sécurité en vigueur dans l’État tiers ou l’organisation internationale concerné(e), des visites d’évaluation sont menées d’un commun accord avec l’État tiers ou l’organisation internationale concerné(e). Ces visites d’évaluation sont menées conformément aux dispositions pertinentes de l’annexe III et ont pour finalité d’évaluer:

10.

L’équipe chargée de mener la visite d’évaluation au nom de l’Union détermine si les règles et procédures de sécurité mises en œuvre dans l’État tiers ou l’organisation internationale concerné(e) sont adaptées pour garantir la protection des ICUE au niveau requis.

11.

Les conclusions de ces visites sont consignées dans un rapport, sur la base duquel le comité de sécurité fixe le niveau maximal de classification des ICUE qui peuvent être communiquées sur support papier et le cas échéant par voie électronique avec la tierce partie concernée, ainsi que toute condition particulière régissant l’échange d’informations avec celle-ci.

12.

Tout est mis en œuvre pour qu’une visite complète d’évaluation de la sécurité soit menée dans l’État tiers ou l’organisation internationale concerné(e) avant l’approbation par le comité de sécurité des modalités d’application, afin d’établir la nature et l’efficacité du système de sécurité en place. Toutefois, lorsque cela n’est pas possible, le bureau de sécurité du SGC remet au comité de sécurité un rapport le plus complet qui soit, fondé sur les informations dont il dispose, qui contient des informations sur le règlement de sécurité applicable et le mode d’organisation de la sécurité dans l’État tiers ou l’organisation internationale concerné(e).

13.

Le rapport relatif à la visite d’évaluation ou, en l’absence d’un tel rapport, le rapport visé au paragraphe 12 est transmis au comité de sécurité, qui doit le juger satisfaisant, avant que des ICUE soient effectivement transmises à l’État tiers ou à l’organisation internationale concerné(e).

14.

Les autorités de sécurité compétentes des institutions et organes de l’Union notifient à l’État tiers ou à l’organisation internationale la date à compter de laquelle l’Union sera en mesure de communiquer des ICUE en application de l’accord, ainsi que le niveau maximal de classification des ICUE qui peuvent faire l’objet d’un échange sur support papier ou par voie électronique.

15.

Des visites de suivi de l’évaluation sont effectuées au besoin, en particulier dans les circonstances suivantes:

16.

Lorsque l’accord sur la sécurité des informations est en vigueur et que des informations classifiées sont échangées avec l’État tiers ou l’organisation internationale concerné(e), le comité de sécurité peut décider de modifier le niveau maximal de classification des ICUE pouvant être échangées au format papier ou par voie électronique, en particulier à la lumière de toute visite de suivi de l’évaluation.

17.

Lorsqu’il existe un besoin durable d’échanger, avec un État tiers ou une organisation internationale, des informations dont le niveau de classification n’est en principe pas supérieur à RESTREINT UE/EU RESTRICTED, et que le comité de sécurité a établi que la partie en question ne dispose pas d’un système de sécurité suffisamment développé lui permettant de conclure un accord sur la sécurité des informations, le secrétaire général peut, sous réserve de l’approbation du Conseil, conclure un arrangement administratif au nom du SGC avec les autorités compétentes de l’État tiers ou de l’organisation internationale concerné(e).

18.

Si, pour des raisons opérationnelles urgentes, un cadre doit être mis en place rapidement pour échanger des informations classifiées, le Conseil peut décider exceptionnellement qu’un arrangement administratif soit conclu pour échanger des informations dont le niveau de classification est supérieur à RESTREINT UE/EU RESTRICTED.

19.

Les arrangements administratifs prennent, en règle générale, la forme d’un échange de lettres.

20.

Une visite d’évaluation telle que visée au paragraphe 9 est réalisée, et le rapport y relatif ou, en l’absence d’un tel rapport, le rapport visé au paragraphe 12 est transmis au comité de sécurité, qui doit le juger satisfaisant, avant que des ICUE soient effectivement transmises à l’État tiers ou à l’organisation internationale concerné(e).

21.

Les ICUE ne peuvent faire l’objet d’aucun échange par voie électronique en application d’un arrangement administratif, sauf disposition expresse de l’arrangement.

22.

Les accords-cadres de participation régissent la participation des États tiers ou des organisations internationales aux opérations PSDC. Ces accords contiennent des dispositions relatives à la communication des ICUE créées aux fins des opérations PSDC aux États tiers ou aux organisations internationales contributeurs. Le niveau maximal de classification des ICUE qui peuvent être échangées est RESTREINT UE/EU RESTRICTED pour les opérations PSDC civiles et CONFIDENTIEL UE/EU CONFIDENTIAL pour les opérations PSDC militaires, sauf disposition contraire prévue dans la décision établissant chaque opération PSDC.

23.

Les accords de participation ad hoc conclus pour une opération PSDC particulière comprennent des dispositions relatives à la communication des ICUE créées aux fins de ladite opération à l’État tiers ou à l’organisation internationale y participant. Le niveau maximal de classification des ICUE qui peuvent être échangées est RESTREINT UE/EU RESTRICTED pour les opérations PSDC civiles et CONFIDENTIEL UE/EU CONFIDENTIAL pour les opérations PSDC militaires, sauf disposition contraire prévue dans la décision établissant chaque opération PSDC.

24.

En l’absence d’accord sur la sécurité des informations et dans l’attente de la conclusion d’un accord de participation, la communication des ICUE créées aux fins de l’opération à un État tiers ou à une organisation internationale participant à l’opération est régie par un arrangement administratif que doit conclure le haut représentant ou fait l’objet d’une décision sur leur communication ad hoc, conformément aux dispositions de la section VI. Les ICUE ne seront échangées en application de cet arrangement qu’aussi longtemps que la participation de l’État tiers ou de l’organisation internationale sera envisagée. Le niveau maximal de classification des ICUE qui peuvent être échangées est RESTREINT UE/EU RESTRICTED pour les opérations PSDC civiles et CONFIDENTIEL UE/EU CONFIDENTIAL pour les opérations PSDC militaires, sauf disposition contraire prévue dans la décision établissant chaque opération PSDC.

25.

Les dispositions relatives aux informations classifiées devant figurer dans les accords-cadres de participation, les accords de participation ad hoc et les arrangements administratifs ad hoc visés aux paragraphes 22 à 24 prévoient que l’État tiers ou l’organisation internationale concerné(e) veille à ce que son personnel détaché dans le cadre de toute opération protège les ICUE conformément au règlement de sécurité du Conseil, ainsi qu’aux autres instructions formulées par les autorités compétentes, y compris la chaîne de commandement de l’opération.

26.

Si un accord sur la sécurité des informations est conclu ultérieurement entre l’Union et un État tiers ou une organisation internationale contributeur, l’accord sur la sécurité des informations se substitue aux dispositions relatives à l’échange d’informations classifiées énoncées dans tout accord-cadre de participation, accord de participation ad hoc ou arrangement administratif ad hoc pour ce qui concerne l’échange et le traitement des ICUE.

27.

Aucun échange d’ICUE par voie électronique n’est autorisé au titre d’un accord-cadre de participation, d’un accord de participation ad hoc ou d’un arrangement administratif ad hoc conclu avec un État tiers ou une organisation internationale, sauf disposition expresse de l’accord ou l’arrangement en question.

28.

Les ICUE créées aux fins d’une opération PSDC peuvent être divulguées au personnel détaché par des États tiers ou des organisations internationales dans le cadre de cette opération, conformément aux dispositions des paragraphes 22 à 27. Lorsque l’accès aux ICUE est autorisé dans les locaux ou via le SIC d’une opération PSDC, il convient d’appliquer des mesures (y compris l’enregistrement des ICUE divulguées) permettant d’atténuer le risque de perte ou de compromission. Ces mesures sont définies dans les documents de planification ou de mission pertinents.

29.

En l’absence d’accord sur la sécurité des informations, la communication d’ICUE, en cas de besoin opérationnel spécifique et immédiat, à l’État hôte sur le territoire duquel une opération PSDC est menée peut être régie par un arrangement administratif que doit conclure le haut représentant. Cette possibilité est prévue dans la décision établissant l’opération PSDC. Seules peuvent être communiquées dans de telles circonstances les ICUE créées aux fins de l’opération PSDC dont le niveau de classification n’est pas supérieur à RESTREINT UE/EU RESTRICTED, sauf si un niveau de classification supérieur est prévu dans la décision établissant l’opération PSDC. Dans le cadre d’un tel arrangement administratif, l’État hôte est tenu de s’engager à protéger les ICUE conformément à des normes minimales qui ne sont pas moins strictes que celles prévues dans la présente décision.

30.

En l’absence d’accord sur la sécurité des informations, la communication d’ICUE aux États tiers concernés et aux organisations internationales concernées, autres que ceux et celles qui participent à une opération PSDC, peut être régie par un arrangement administratif que doit conclure le haut représentant. Le cas échéant, cette possibilité, ainsi que toutes les conditions qui lui sont liées, est prévue dans la décision établissant l’opération PSDC. Seules peuvent être communiquées dans de telles circonstances les ICUE créées aux fins de l’opération PSDC dont le niveau de classification n’est pas supérieur à RESTREINT UE/EU RESTRICTED, sauf si un niveau de classification supérieur est prévu dans la décision établissant l’opération PSDC. Dans le cadre d’un tel arrangement administratif, l’État tiers ou l’organisation internationale en question est tenu(e) de s’engager à protéger les ICUE conformément à des normes minimales qui ne sont pas moins strictes que celles prévues dans la présente décision.

31.

Aucune modalité d’application ou visite d’évaluation n’est requise préalablement à la mise en œuvre des dispositions relatives à la communication d’ICUE au titre des paragraphes 22, 23 et 24.

32.

Si aucun cadre n’existe conformément aux sections III à V, et si le Conseil ou l’une de ses instances préparatoires décide qu’il est nécessaire, à titre exceptionnel, de communiquer des ICUE à un État tiers ou à une organisation internationale, le SGC:

33.

Si le comité de sécurité émet une recommandation favorable à la communication des ICUE, la question est soumise au Comité des représentants permanents (Coreper), qui statue sur leur communication.

34.

Si le comité de sécurité émet une recommandation défavorable quant à la communication des ICUE:

35.

Lorsque cela est jugé nécessaire, et sous réserve du consentement préalable écrit de l’autorité d’origine, le Coreper peut décider que les informations classifiées ne peuvent être communiquées qu’en partie ou qu’après avoir été déclassées ou déclassifiées, ou que les informations à communiquer seront préparées sans indiquer de référence à l’origine ou au niveau initial de classification de l’Union européenne.

36.

Lorsqu’une décision de communiquer des ICUE a été prise, le SGC transmet le document concerné, qui porte un marquage relatif à la communicabilité indiquant l’État tiers ou l’organisation internationale auquel ce document a été communiqué. Avant la communication effective ou au moment de celle-ci, la tierce partie concernée s’engage par écrit à protéger les ICUE qui lui sont transmises conformément aux principes de base et aux normes minimales prévus dans la présente décision.

37.

Lorsqu’il existe, conformément au paragraphe 2, un cadre pour l’échange d’informations classifiées avec un État tiers ou une organisation internationale, le Conseil prend la décision d’autoriser le secrétaire général à communiquer des ICUE à l’État tiers ou à l’organisation internationale concerné(e), dans le respect du principe du consentement de l’autorité d’origine. Le secrétaire général peut déléguer ce pouvoir à de hauts fonctionnaires du SGC.

38.

Lorsqu’il existe, conformément au paragraphe 2, premier tiret, un accord sur la sécurité des informations, le Conseil peut prendre la décision d’autoriser le haut représentant à communiquer à l’État tiers ou à l’organisation internationale en question des ICUE provenant du Conseil dans le domaine de la Politique de sécurité et de défense commune, après avoir obtenu le consentement de l’autorité d’origine de chacune des sources que ces ICUE contiennent. Le haut représentant peut déléguer ce pouvoir à de hauts fonctionnaires du SEAE ou à des RSUE.

39.

Lorsqu’il existe, conformément au paragraphe 2 ou 3, un cadre pour l’échange d’informations classifiées avec un État tiers ou une organisation internationale, le haut représentant est autorisé à communiquer des ICUE, conformément à la décision établissant l’opération PSDC et au principe du consentement de l’autorité d’origine. Le haut représentant peut déléguer ce pouvoir à de hauts fonctionnaires du SEAE, à une opération de l’Union, à des commandants de force ou de mission, ou à des chefs de mission de l’Union.

«annexe de sécurité (AS)», un ensemble de conditions contractuelles spéciales, établi par l’autorité contractante, qui fait partie intégrante de tout contrat classifié impliquant l’accès à des ICUE ou la création de telles informations, dans lequel sont définis les conditions de sécurité ou les éléments du contrat qui doivent être protégés pour des raisons de sécurité;

«assurance de l’information», voir l’article 10, paragraphe 1;

«autorisation d’accès aux ICUE», une décision de l’AIPN du SGC prise en fonction d’une assurance donnée par une autorité compétente d’un État membre attestant qu’un fonctionnaire ou un autre agent du SGC ou un expert national détaché auprès du SGC peut, pour autant que son besoin d’en connaître ait été établi et qu’il ait été correctement informé des responsabilités qui lui incombent en la matière, être autorisé à avoir accès aux ICUE jusqu’à un niveau de classification donné (CONFIDENTIEL UE/EU CONFIDENTIAL ou supérieur) jusqu’à une date donnée;

«autorité d’origine», l’institution, l’organe ou l’agence de l’Union, l’État membre, l’État tiers ou l’organisation internationale sous l’autorité duquel/de laquelle les informations classifiées ont été créées et/ou introduites dans les structures de l’Union;

«autorité de sécurité désignée (ASD)», l’autorité responsable devant l’autorité nationale de sécurité (ANS) d’un État membre qui est chargée de communiquer à des entités industrielles ou autres la politique nationale dans tous les domaines relevant de la sécurité industrielle et de fournir des orientations et une aide pour sa mise en œuvre. Les fonctions de l’ASD peuvent être exercées par l’ANS ou par toute autre autorité compétente;

«certificat d’habilitation de sécurité du personnel (CHSP)», un certificat délivré par une autorité compétente attestant qu’une personne a obtenu une habilitation de sécurité et détient un certificat d’habilitation de sécurité valable ou une autorisation de l’AIPN permettant l’accès à des ICUE, et indiquant le niveau de classification des ICUE auxquelles la personne peut être autorisée à avoir accès (CONFIDENTIEL UE/EU CONFIDENTIAL ou supérieur), la durée de validité de l’HSP correspondante et la date d’expiration du certificat;

«contractant», une personne physique ou morale dotée de la capacité juridique de conclure des contrats;

«contrat classifié», un contrat conclu par le SGC avec un contractant en vue de la fourniture de biens, de la réalisation de travaux ou de la prestation de services, dont l’exécution requiert ou implique l’accès à des ICUE ou la création de telles informations;

«contrat de sous-traitance classifié», un contrat conclu par un contractant du SGC avec un autre contractant (c’est-à-dire le sous-traitant) en vue de la fourniture de biens, de la réalisation de travaux ou de la prestation de services, dont l’exécution requiert ou implique l’accès à des ICUE ou la création de telles informations;

«cycle de vie d’un SIC», la durée totale d’existence d’un SIC, laquelle comprend le lancement, la conception, la planification, l’analyse des besoins, l’élaboration, le développement, la mise à l’essai, la mise en œuvre, l’exploitation, la maintenance et le démantèlement;

«déclassement», le passage à un niveau de classification de sécurité inférieur;

«déclassification», la suppression de toute classification de sécurité;

«défense en profondeur», l’application d’un éventail de mesures de sécurité organisées en plusieurs niveaux de défense;

«détenteur», une personne dûment autorisée qui, sur la base d’un besoin d’en connaître avéré, est en possession d’un élément d’ICUE et à laquelle il incombe par conséquent d’en assurer la protection;

«document», toute information enregistrée quelles que soient sa forme ou ses caractéristiques physiques;

«enquête de sécurité», les procédures d’enquête menées par l’autorité compétente d’un État membre, dans le respect de ses dispositions législatives et réglementaires nationales, en vue d’obtenir l’assurance qu’il n’existe pas de renseignements défavorables de nature à empêcher une personne d’obtenir une HSP ou une autorisation lui permettant d’avoir accès à des ICUE jusqu’à un niveau déterminé (CONFIDENTIEL UE/EU CONFIDENTIAL ou supérieur);

«enregistrement», voir annexe III, paragraphe 18;

«entité industrielle ou autre», une entité s’occupant de la fourniture de biens, de la réalisation de travaux ou de la prestation de services; il peut s’agir d’une entité industrielle, commerciale ou scientifique, ou d’une entité de service, de recherche, d’enseignement ou de développement ou d’une personne exerçant une activité indépendante;

«gestion des informations classifiées», voir article 9, paragraphe 1;

«guide de la classification de sécurité (GCS)», un document qui décrit les éléments d’un programme ou d’un contrat qui sont classifiés, et précise les niveaux de classification de sécurité applicables. Le GCS peut être étoffé tout au long de la durée du programme ou du contrat et les éléments d’information peuvent être reclassifiés ou déclassés; lorsqu’il existe, le GCS fait partie de l’AS;

«habilitation de sécurité d’établissement (HSE)», une décision administrative prise par une ANS ou une ASD selon laquelle, du point de vue de la sécurité, un établissement peut assurer un niveau suffisant de protection pour les ICUE d’un niveau de classification de sécurité déterminé;

«habilitation de sécurité du personnel (HSP)», une déclaration émanant d’une autorité compétente d’un État membre établie à la suite d’une enquête de sécurité menée par les autorités compétentes d’un État membre et attestant qu’une personne peut être autorisée à avoir accès aux ICUE jusqu’à un niveau de classification donné (CONFIDENTIEL UE/EU CONFIDENTIAL ou supérieur) jusqu’à une date donnée;

«homologation», la procédure conduisant à une déclaration formelle de l’autorité d’homologation de sécurité (AHS) indiquant qu’un système est agréé pour fonctionner à un niveau de classification déterminé, selon un mode d’exploitation de sécurité spécifique dans son environnement opérationnel et à un niveau de risque acceptable, pour autant qu’un ensemble approuvé de mesures de sécurité ait été mis en place sur le plan technique et physique, ainsi qu’au niveau de l’organisation et des procédures;

«informations classifiées de l’Union européenne» (ICUE), voir article 2, paragraphe 1;

«instructions de sécurité relatives à un programme/un projet (ISP)», une liste des procédures de sécurité appliquées à un programme ou à un projet spécifique en vue d’uniformiser ces procédures. Elles peuvent être revues tout au long de la durée du programme ou du projet;

«interconnexion», voir annexe IV, paragraphe 32;

«matériel», tout document, support de données ou élément de machine ou d’équipement, déjà fabriqué ou en cours de fabrication;

«matériel cryptographique», les algorithmes cryptographiques, les modules matériels et logiciels cryptographiques, et les produits comprenant les modalités de mise en œuvre et la documentation y relative, ainsi que les éléments de mise à la clé;

«menace», la cause potentielle d’un incident non souhaité susceptible de porter atteinte à une organisation ou à tout système qu’elle utilise. Les menaces peuvent être accidentelles ou délibérées (malveillantes); elles sont caractérisées par des éléments menaçants, des cibles potentielles et des méthodes d’attaque;

«mesures de sécurité concernant le personnel», voir article 7, paragraphe 1;

«mode d’exploitation de sécurité», la définition des conditions d’exploitation d’un SIC, compte tenu de la classification des informations traitées et des niveaux d’habilitation, des autorisations formelles d’accès et du besoin d’en connaître de ses utilisateurs. Il existe quatre modes d’exploitation pour le traitement ou la transmission d’informations classifiées: le mode exclusif, le mode dominant, le mode par cloisonnement et le mode multiniveau; on entend par:

«opération PSDC», une opération militaire ou civile de gestion de crise mise en place en vertu du titre V, chapitre 2, du traité sur l’Union européenne;

«procédure de gestion des risques de sécurité», l’ensemble de la procédure consistant à identifier, contrôler et limiter les événements aléatoires susceptibles d’avoir des répercussions sur la sécurité d’une organisation ou de tout système qu’elle utilise. La procédure couvre l’ensemble des activités liées aux risques, y compris l’évaluation, le traitement, l’acceptation et la communication;

«produit cryptographique», un produit dont la fonction première et principale est la fourniture de services de sécurité (confidentialité, intégrité, disponibilité, authenticité, non-répudiation) par l’intermédiaire d’un ou de plusieurs mécanismes cryptographiques;

«ressource», tout ce qui présente de l’utilité pour une organisation, ses activités et la continuité de celles-ci, y compris les ressources en matière d’information dont l’organisation a besoin pour s’acquitter de sa mission;

«risque», la possibilité qu’une menace donnée se concrétise en tirant parti des vulnérabilités internes et externes d’une organisation ou d’un des systèmes qu’elle utilise et cause ainsi un préjudice à l’organisation ou à ses ressources matérielles ou immatérielles. Il se mesure en tenant compte à la fois de la probabilité de voir se concrétiser des menaces et de l’impact de celles-ci.

«risque résiduel», le risque qui subsiste après que des mesures de sécurité ont été mises en œuvre, étant entendu qu’il est impossible de contrer toutes les menaces et d’éliminer toutes les vulnérabilités;

«sécurité industrielle», voir article 11, paragraphe 1;

«sécurité physique», voir article 8, paragraphe 1;

«système d’information et de communication (SIC)», voir article 10, paragraphe 2;

«TEMPEST», l’analyse, l’étude et le contrôle des émissions électromagnétiques susceptibles de compromettre les informations, ainsi que les mesures destinées à les éliminer;

«traitement» d’ICUE, l’ensemble des actions dont les ICUE sont susceptibles de faire l’objet tout au long de leur cycle de vie. Sont ainsi visés leur création, leur traitement, leur transport, leur déclassement, leur déclassification et leur destruction. En ce qui concerne les SIC, sont en outre compris leur collecte, leur affichage, leur transmission et leur stockage;

«vulnérabilité», toute faiblesse de quelque nature que ce soit dont une ou plusieurs menaces est susceptible de tirer parti pour se concrétiser. La vulnérabilité peut résulter d’une omission ou être liée à un contrôle défaillant en termes de rigueur, d’exhaustivité ou d’homogénéité; elle peut être de nature technique, procédurale, physique, organisationnelle ou opérationnelle.