1.

La présente annexe énonce les modalités d'application de l'article 7. Elle prévoit notamment les critères permettant de déterminer si une personne, compte tenu de sa loyauté, de son intégrité et de sa fiabilité, peut être autorisée à avoir accès à des ICUE, ainsi que les procédures d'enquête et administratives à suivre à cet effet.

2.

Dans l'ensemble de la présente annexe, sauf dans les cas où il est nécessaire de faire une distinction, on entend par «habilitation de sécurité du personnel» une habilitation nationale de sécurité du personnel (HSP nationale) et/ou une habilitation de sécurité du personnel de l'UE (HSP de l'UE) telles que définies à l'appendice A.

3.

Une personne ne peut être autorisée à avoir accès à des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou d'un niveau de classification supérieur qu'après:

4.

Il appartient à chacun des États membres et au SGC de répertorier, au sein de leurs structures, les postes nécessitant l'accès à des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou d'un niveau de classification supérieur et exigeant par conséquent une HSP du niveau correspondant.

5.

Après réception d'une demande dûment autorisée, les ANS ou les autres autorités nationales compétentes sont chargées de veiller à la réalisation des enquêtes de sécurité relatives aux ressortissants de leur pays qui doivent accéder à des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou d'un niveau de classification supérieur. Les normes d'enquête doivent être conformes aux dispositions législatives et réglementaires nationales.

6.

Si la personne concernée réside sur le territoire d'un autre État membre ou d'un État tiers, les autorités nationales compétentes sollicitent une aide auprès de l'autorité compétente de l'État de résidence conformément aux dispositions législatives et réglementaires nationales. Les États membres se prêtent assistance pour effectuer les enquêtes de sécurité, conformément aux dispositions législatives et réglementaires nationales.

7.

Lorsque les dispositions législatives et réglementaires nationales le permettent, les ANS ou les autres autorités nationales compétentes peuvent effectuer les enquêtes relatives aux non-ressortissants qui doivent accéder à des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou d'un niveau de classification supérieur. Les normes d'enquête doivent être conformes aux dispositions législatives et réglementaires nationales.

8.

Il convient d'établir, au moyen d'une enquête de sécurité, la loyauté, l'intégrité et la fiabilité d'une personne aux fins de l'octroi d'une HSP lui permettant d'accéder à des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou d'un niveau de classification supérieur. L'autorité nationale compétente effectue une appréciation générale sur la base des conclusions de l'enquête. À lui seul, un élément défavorable ne constitue pas nécessairement un motif de refus d'une HSP. Parmi les principaux critères à retenir à cet effet, il conviendrait de déterminer, dans la mesure où les dispositions législatives et réglementaires nationales le permettent, si l'intéressé:

9.

Les antécédents financiers et médicaux de la personne concernée peuvent également être pris en considération, le cas échéant et dans le respect des dispositions législatives et réglementaires nationales, au cours de l'enquête de sécurité.

10.

La personnalité, la conduite et la situation du conjoint, du cohabitant ou d'un membre de la famille proche peuvent également être pris en considération, le cas échéant et dans le respect des dispositions législatives et réglementaires nationales, au cours de l'enquête de sécurité.

11.

La première HSP donnant accès aux informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL et SECRET UE/EU SECRET se fonde sur une enquête de sécurité portant sur les cinq dernières années au moins, ou sur la période comprise entre l'âge de 18 ans et la date de l'enquête, la période la plus courte étant retenue; cette enquête comprend les éléments suivants:

12.

La première HSP donnant accès aux informations TRÈS SECRET UE/EU TOP SECRET se fonde sur une enquête de sécurité portant sur les dix dernières années au moins, ou sur la période comprise entre l'âge de 18 ans et la date de l'enquête, la période la plus courte étant retenue. Si des entretiens ont lieu conformément au point e), les enquêtes portent sur les sept dernières années au moins, ou sur la période comprise entre l'âge de 18 ans et la date de l'enquête, la période la plus courte étant retenue. Outre les critères indiqués au paragraphe 8 ci-dessus, les éléments ci-après font l'objet d'une enquête, dans la mesure où les dispositions législatives et réglementaires nationales le permettent, avant l'octroi d'une HSP de niveau TRÈS SECRET UE/EU TOP SECRET; ils peuvent aussi faire l'objet d'une enquête avant l'octroi d'une HSP de niveau CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET, dans les cas où les dispositions législatives et réglementaires nationales l'exigent:

13.

Le cas échéant et conformément aux dispositions législatives et réglementaires nationales, des recherches complémentaires peuvent être menées pour exploiter toutes les informations pertinentes dont on dispose sur l'intéressé et pour corroborer des informations défavorables ou les infirmer.

14.

Après la première délivrance d'une HSP et pour autant que l'intéressé ait accompli une période de service ininterrompue auprès d'une administration nationale ou du SGC et qu'il ait toujours besoin d'avoir accès aux ICUE, l'HSP est réexaminée en vue de son renouvellement dans un délai ne dépassant pas cinq ans pour une habilitation TRÈS SECRET UE/EU TOP SECRET et dix ans pour une habilitation SECRET UE/EU SECRET ou CONFIDENTIEL UE/EU CONFIDENTIAL avec effet à compter de la date de notification des conclusions de la dernière enquête de sécurité sur laquelle elle était fondée. Toutes les enquêtes de sécurité à effectuer en vue du renouvellement d'une HSP couvrent la période écoulée depuis la dernière enquête.

15.

En vue du renouvellement d'une HSP, les éléments énoncés aux paragraphes 11 et 12 font l'objet d'une enquête.

16.

Les demandes de renouvellement sont présentées en temps voulu, compte tenu du délai nécessaire pour réaliser les enquêtes de sécurité. Néanmoins, lorsque l'ANS concernée ou une autre autorité nationale compétente a reçu la demande de renouvellement en question et le questionnaire de sécurité correspondant avant l'expiration d'une HSP et que l'enquête de sécurité nécessaire n'est pas achevée, l'autorité nationale compétente peut, lorsque les dispositions législatives et réglementaires nationales le permettent, proroger la validité de l'HSP existante pour une durée de douze mois au maximum. Si, à la fin de cette période de douze mois, l'enquête de sécurité n'est toujours pas achevée, l'intéressé est affecté à des fonctions qui ne nécessitent pas une HSP.

17.

En ce qui concerne les fonctionnaires et autres agents du SGC, l'autorité de sécurité du SGC transmet le questionnaire de sécurité rempli à l'ANS de l'État membre dont l'intéressé est ressortissant et demande qu'il soit procédé à une enquête de sécurité pour le niveau de classification des ICUE auxquelles l'intéressé devra avoir accès.

18.

Si des informations utiles à une enquête de sécurité sont portées à la connaissance du SGC concernant une personne ayant demandé une HSP de l'UE, le SGC, agissant conformément à la réglementation applicable, en avertit l'ANS compétente.

19.

À l'issue de l'enquête de sécurité, l'ANS compétente notifie à l'autorité de sécurité du SGC les conclusions de l'enquête en question, à l'aide du modèle-type prévu par le comité de sécurité pour la correspondance.

20.

L'enquête de sécurité et ses résultats obéissent aux dispositions législatives et réglementaires en vigueur dans l'État membre concerné, y compris celles relatives aux recours. Les décisions de l'AIPN du SGC sont susceptibles de recours conformément au statut des fonctionnaires de l'Union européenne et au régime applicable aux autres agents de l'Union européenne, fixés dans le règlement (CEE, Euratom, CECA) no 259/68 (1) (ci-après dénommés «statut et régime applicable»).

21.

L'assurance sur laquelle une HSP de l'UE se fonde, pour autant qu'elle reste valable, couvre toute fonction exercée par l'intéressé au sein du SGC ou de la Commission.

22.

Si l'intéressé n'entame pas sa période de service dans un délai de douze mois à compter de la notification des conclusions de l'enquête de sécurité à l'AIPN du SGC ou si cette période de service connaît une interruption de douze mois au cours de laquelle l'intéressé n'occupe pas de poste au sein du SGC ou d'une administration nationale d'un État membre, les conclusions précitées sont soumises à l'ANS compétente afin que celle-ci confirme qu'elles restent valables et pertinentes.

23.

Si des informations sont portées à la connaissance du SGC concernant un risque de sécurité que représente une personne titulaire d'une HSP de l'UE valide, le SGC, agissant conformément à la réglementation applicable, en avertit l'ANS compétente. Lorsqu'une ANS notifie au SGC que l'assurance visée au paragraphe 19, point a), n'est plus fournie concernant une personne titulaire d'HSP de l'UE valide, l'AIPN du SGC peut demander à l'ANS concernée tout éclaircissement qu'elle est en mesure de donner dans le respect de ses dispositions législatives et réglementaires nationales. Si les informations défavorables sont confirmées, l'HSP de l'UE est retirée et la personne concernée n'est plus autorisée à avoir accès aux ICUE, ni à des postes où un tel accès est possible et où elle pourrait nuire à la sécurité.

24.

Toute décision de retirer une HSP de l'UE à un fonctionnaire ou à un autre agent du SGC et, s'il y a lieu, les raisons la justifiant sont communiquées à la personne concernée, qui peut demander à être entendue par l'AIPN. Les informations communiquées par une ANS sont soumises aux dispositions législatives et réglementaires en vigueur dans l'État membre concerné, y compris celles relatives aux recours. Les décisions de l'AIPN du SGC sont susceptibles de recours conformément au statut et au régime applicable.

25.

Les experts nationaux détachés auprès du SGC pour occuper un poste nécessitant une HSP de l'UE doivent présenter à l'autorité de sécurité du SGC avant de prendre leurs fonctions une HSP nationale valable leur donnant accès aux ICUE.

26.

Chaque État membre et le SGC tiennent respectivement des registres des HSP nationales et des HSP de l'UE accordées aux fins d'accès à des ICUE. Ces registres contiennent au minimum le niveau de classification des ICUE auxquelles l'intéressé peut se voir accorder l'accès (CONFIDENTIEL UE/EU CONFIDENTIAL ou un niveau supérieur), la date à laquelle l'HSP a été délivrée et sa durée de validité.

27.

L'autorité de sécurité compétente peut délivrer un certificat d'habilitation de sécurité du personnel (CHSP) précisant le niveau de classification des ICUE auxquelles l'intéressé peut se voir accorder l'accès (CONFIDENTIEL UE/EU CONFIDENTIAL ou un niveau supérieur), la durée de validité de l'HSP nationale donnant accès aux ICUE ou de l'HSP de l'UE correspondante et la date d'expiration du certificat proprement dit.

28.

L'accès aux ICUE dont bénéficient les personnes dans les États membres qui sont dûment autorisées en raison de leurs fonctions est déterminé conformément aux dispositions législatives et réglementaires nationales; ces personnes sont informées des obligations qui leur incombent en matière de sécurité en ce qui concerne la protection des ICUE.

29.

Toutes les personnes qui se sont vu délivrer une HSP doivent reconnaître par écrit qu'elles sont conscientes de leurs obligations en matière de protection des ICUE et des conséquences qui pourraient résulter si des ICUE devaient être compromises. Le cas échéant, les États membres et le SGC tiennent un registre de ces déclarations écrites.

30.

Toutes les personnes autorisées à avoir accès aux ICUE ou tenues de les traiter sont averties dans un premier temps et périodiquement informées par la suite des menaces pesant sur la sécurité, et elles doivent rendre compte immédiatement aux autorités de sécurité compétentes de toute démarche ou activité qu'elles jugent suspecte ou inhabituelle.

31.

Toutes les personnes qui cessent d'exercer des fonctions nécessitant un accès aux ICUE sont informées, et le cas échéant reconnaissent par écrit, qu'elles ont l'obligation de continuer à protéger les ICUE.

32.

Lorsque les dispositions législatives et réglementaires nationales le permettent, une HSP délivrée par une autorité nationale compétente d'un État membre aux fins d'accès à des informations nationales classifiées peut, pendant une période temporaire dans l'attente de la délivrance d'une HSP nationale aux fins d'accès à des ICUE, permettre à des fonctionnaires nationaux d'accéder à des ICUE jusqu'au niveau équivalent indiqué dans le tableau d'équivalence figurant à l'appendice B, dans les cas où un tel accès temporaire est requis dans l'intérêt de l'UE. Lorsque les dispositions législatives et réglementaires nationales ne permettent pas un tel accès temporaire à des ICUE, les ANS en informent le comité de sécurité.

33.

En cas d'urgence, lorsque cela est dûment justifié dans l'intérêt du service et en attendant l'achèvement de l'enquête de sécurité complète, l'AIPN du SGC peut, après avoir consulté l'ANS de l'État membre dont l'intéressé est ressortissant et sous réserve des résultats des vérifications préliminaires effectuées pour s'assurer de l'absence d'informations défavorables, accorder à titre temporaire aux fonctionnaires et autres agents du SGC l'autorisation d'accéder à des ICUE pour une fonction déterminée. Ces autorisations temporaires sont valables pour une période ne dépassant pas six mois et ne donnent pas accès aux informations classifiées TRÈS SECRET UE/EU TOP SECRET. Toutes les personnes auxquelles a été délivrée une autorisation temporaire reconnaissent par écrit qu'elles sont conscientes de leurs obligations en matière de protection des ICUE et des conséquences qui pourraient résulter si des ICUE devaient être compromises. Le SGC tient un registre de ces déclarations écrites.

34.

Lorsqu'une personne doit être affectée à un poste requérant une HSP dont le niveau dépasse d'un niveau celui qu'elle possède, l'affectation peut être décidée à titre provisoire, pour autant que les conditions suivantes soient réunies:

35.

La procédure décrite ci-dessus est utilisée pour un accès ponctuel à des ICUE dont la classification dépasse d'un niveau le niveau d'habilitation de la personne concernée. Il ne convient pas de recourir de manière répétée à cette procédure.

36.

Dans des circonstances très exceptionnelles, c'est-à-dire en cas de missions dans un environnement hostile ou au cours de périodes de tension internationale croissante lorsque des mesures d'urgence l'exigent, plus particulièrement afin de sauver des vies, les États membres et le secrétaire général peuvent accorder, si possible par écrit, un accès à des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET à des personnes qui ne détiennent pas l'HSP requise, à condition que l'accès accordé soit absolument indispensable et qu'il n'y ait pas de raison de douter de la loyauté, de l'intégrité et de la fiabilité de la personne concernée. Une trace de l'autorisation précisant les informations pour lesquelles l'accès a été approuvé doit être conservée.

37.

Pour les informations classifiées TRÈS SECRET UE/EU TOP SECRET, un tel accès d'urgence est limité aux ressortissants d'États membres de l'UE s'étant vu octroyer l'accès soit à des informations dont le niveau de classification national équivaut à TRÈS SECRET UE/EU TOP SECRET soit à des informations classifiées SECRET UE/EU SECRET.

38.

Le comité de sécurité est informé des cas où il est recouru à la procédure décrite aux paragraphes 36 et 37.

39.

Lorsque les dispositions législatives et réglementaires d'un État membre édictent des règles plus strictes en matière d'autorisations temporaires, d'affectations provisoires ou d'accès ponctuel ou d'urgence des personnes concernées à des informations classifiées, les procédures prévues dans la présente section ne sont appliquées que dans les limites éventuellement imposées par les dispositions législatives et réglementaires nationales en vigueur.

40.

Chaque année, le comité de sécurité reçoit un rapport sur le recours aux procédures énoncées dans la présente section.

41.

Sous réserve du paragraphe 28, les personnes désignées pour participer à des sessions du Conseil ou à des réunions d'instances préparatoires du Conseil au sein desquelles des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou d'un niveau de classification supérieur sont traitées, ne peuvent le faire qu'après confirmation de la situation de l'intéressé au regard de l'HSP. Pour les délégués, un CHSP ou une autre preuve d'HSP doit être transmis au bureau de sécurité du SGC par les autorités compétentes ou, à titre exceptionnel, présenté par le délégué concerné. Le cas échéant, il peut être fait usage d'une liste de noms récapitulative mentionnant les preuves d'habilitation voulues.

42.

Lorsqu'une HSP nationale, accordée à des fins d'accès à des ICUE, est, pour des raisons de sécurité, retirée à une personne dont les fonctions requièrent la participation à des sessions du Conseil ou à des réunions d'instances préparatoires du Conseil, l'autorité compétente en informe le SGC.

43.

Lorsqu'une personne doit être employée dans une fonction susceptible de lui donner un accès potentiel à des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou d'un niveau supérieur, elle doit être dûment habilitée ou escortée en permanence.

44.

Les courriers, les gardes et les escortes doivent disposer d'une habilitation de sécurité du niveau correspondant ou faire l'objet d'une enquête appropriée conformément aux dispositions législatives et réglementaires nationales, et être informés des procédures de sécurité applicables à la protection des ICUE ainsi que des obligations qui leur incombent en matière de protection des informations de cette nature qui leur sont confiées.

1.

La présente annexe énonce les modalités d'application de l'article 8. Elle prévoit les règles minimales de protection physique des locaux, bâtiments, bureaux, salles et autres zones où des ICUE sont traitées et stockées, y compris des zones où se trouvent des SIC.

2.

Les mesures de sécurité physique sont destinées à prévenir l'accès non autorisé aux ICUE en:

3.

Les mesures de sécurité physique sont choisies en fonction d'une évaluation de la menace réalisée par les autorités compétentes. Il convient que tant le SGC que les États membres appliquent une procédure de gestion du risque pour protéger les ICUE dans leurs locaux afin de garantir un niveau de protection physique qui soit proportionné au risque évalué. La procédure de gestion des risques tient compte de tous les facteurs pertinents, et notamment:

4.

En appliquant la notion de défense en profondeur, l'autorité de sécurité compétente détermine la bonne combinaison de mesures de sécurité physique qu'il convient de mettre en œuvre. Il peut s'agir d'une ou de plusieurs des mesures suivantes:

5.

L'autorité compétente peut être autorisée à mener des fouilles aux entrées et aux sorties afin d'avoir un effet dissuasif quant à l'introduction non autorisée de matériel dans des locaux ou des bâtiments ou au retrait non autorisé de toute ICUE des lieux précités.

6.

Lorsque des ICUE risquent d'être vues, même accidentellement, des mesures appropriées sont prises pour parer à ce risque.

7.

Pour les nouveaux établissements, les règles en matière de sécurité physique et leurs spécifications fonctionnelles doivent être définies lors de la planification et de la conception des établissements. Pour les établissements existants, les règles en matière de sécurité physique doivent être appliquées dans toute la mesure du possible.

8.

Lors de l'achat de l'équipement destiné à la protection physique des ICUE (comme des meubles de sécurité, des déchiqueteuses, des serrures de porte, des systèmes électroniques de contrôle des accès, des SDI, des systèmes d'alarme), l'autorité de sécurité compétente veille à ce que cet équipement réponde aux normes techniques et aux conditions minimales agréées.

9.

Les spécifications techniques de l'équipement devant servir à la protection physique des ICUE sont définies dans des lignes directrices en matière de sécurité, qu'il appartient au comité de sécurité d'approuver.

10.

Les systèmes de sécurité sont périodiquement inspectés et l'équipement est entretenu à intervalles réguliers. L'entretien prend en compte les résultats des inspections afin de garantir un fonctionnement optimal continu de l'équipement.

11.

Il convient de réévaluer à chaque inspection l'efficacité des différentes mesures de sécurité et du système de sécurité dans son ensemble.

12.

Deux types de zones physiquement protégées, ou leurs équivalents au niveau national, sont créés en vue de la protection physique des ICUE:

Dans la présente décision, toutes les références aux zones administratives et aux zones sécurisées, y compris les zones sécurisées du point de vue technique, s'entendent comme visant également les zones équivalentes au niveau national.

13.

Il appartient à l'autorité de sécurité compétente d'établir qu'une zone répond aux conditions requises pour être désignée comme zone administrative, zone sécurisée ou zone sécurisée du point de vue technique.

14.

Pour les zones administratives:

15.

Pour les zones sécurisées:

16.

Lorsque le fait de pénétrer dans une zone sécurisée équivaut en pratique à un accès direct aux informations classifiées qu'elle renferme, les règles supplémentaires suivantes sont d'application:

17.

Les zones sécurisées qui sont protégées contre les écoutes sont qualifiées de zones sécurisées du point de vue technique. Les règles supplémentaires suivantes sont applicables:

18.

Nonobstant le paragraphe 17, point d), avant d'être utilisé dans des zones dans lesquelles sont organisées des réunions ou sont exécutées des tâches mettant en jeu des informations classifiées SECRET UE/EU SECRET et d'un niveau de classification supérieur, et lorsque la menace pesant sur des ICUE est jugée élevée, tout dispositif de communication et tout matériel électrique ou électronique est d'abord examiné par l'autorité de sécurité compétente pour vérifier qu'aucune information intelligible ne peut être transmise par inadvertance ou de manière illicite par ces équipements en dehors du périmètre de la zone sécurisée.

19.

Les zones sécurisées qui ne sont pas occupées vingt-quatre heures sur vingt-quatre par le personnel de service sont, au besoin, inspectées après les heures normales de travail et à intervalles aléatoires en dehors de ces heures, sauf si un SDI a été installé.

20.

Des zones sécurisées et des zones sécurisées du point de vue technique peuvent être temporairement établies dans une zone administrative en vue de la tenue d'une réunion classifiée ou à toute autre fin similaire.

21.

Des procédures d'exploitation de sécurité sont arrêtées pour chacune des zones sécurisées et précisent:

22.

Les chambres fortes sont installées dans des zones sécurisées. Les murs, les planchers, les plafonds, les fenêtres et les portes verrouillables sont approuvés par l'autorité de sécurité compétente et offrent une protection équivalente à celle d'un meuble de sécurité approuvé pour le stockage d'ICUE du même niveau de classification.

23.

Les ICUE classifiées RESTREINT UE/EU RESTRICTED peuvent être traitées:

24.

Les ICUE classifiées RESTREINT UE/EU RESTRICTED sont stockées dans un meuble de bureau adapté et fermé dans une zone administrative ou dans une zone sécurisée. Ces informations peuvent être temporairement stockées en dehors d'une zone sécurisée ou d'une zone administrative à condition que le détenteur se soit engagé à se conformer aux mesures compensatoires prévues dans les instructions de sécurité émises par l'autorité de sécurité compétente.

25.

Les ICUE classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET peuvent être traitées:

26.

Les ICUE classifiées CONFIDENTIEL UE/EU CONFIDENTIAL et SECRET UE/EU SECRET sont stockées dans une zone sécurisée, dans un meuble de sécurité ou une chambre forte.

27.

Les ICUE classifiées TRÈS SECRET UE/EU TOP SECRET sont traitées dans une zone sécurisée.

28.

Les ICUE classifiées TRÈS SECRET UE/EU TOP SECRET sont stockées dans une zone sécurisée, selon l'une des modalités suivantes:

29.

Les règles régissant le transport des ICUE en dehors des zones physiquement protégées figurent à l'annexe III.

30.

L'autorité de sécurité compétente définit les procédures de gestion des clés et des combinaisons pour les bureaux, les salles, les chambres fortes et les meubles de sécurité. Ces procédures protègent d'un accès non autorisé.

31.

Les combinaisons doivent être mémorisées par le plus petit nombre possible de personnes qui ont besoin de les connaître. Les combinaisons des meubles de sécurité et des chambres fortes servant au stockage d'ICUE doivent être changées:

1.

La présente annexe énonce les modalités d'application de l'article 9. Elle prévoit les mesures administratives visant à contrôler les ICUE tout au long de leur cycle de vie en vue de contribuer à la dissuasion, à la détection et au retour aux conditions opérationnelles dans le cadre de la compromission ou de la perte délibérée ou accidentelle de telles informations.

2.

Les informations sont classifiées dans les cas où elles doivent être protégées compte tenu de leur confidentialité.

3.

L'autorité d'origine des ICUE est chargée de déterminer le niveau de classification de sécurité, conformément aux lignes directrices applicables en matière de classification, et de la diffusion initiale des informations.

4.

Le niveau de classification des ICUE est fixé conformément à l'article 2, paragraphe 2, et en se reportant à la politique de sécurité qui doit être approuvée conformément à l'article 3, paragraphe 3.

5.

La classification de sécurité est clairement et correctement indiquée, indépendamment de la forme sous laquelle se présentent les ICUE: format papier, forme orale, électronique ou autre.

6.

Les différentes parties d'un document donné (pages, paragraphes, sections, annexes, appendices et pièces jointes) peuvent nécessiter une classification différente et doivent alors porter le marquage afférent, y compris lorsqu'elles sont stockées sous forme électronique.

7.

Le niveau général de classification d'un document ou d'un dossier est au moins aussi élevé que celui de sa partie portant la classification la plus élevée. Lorsqu'il rassemble des informations provenant de plusieurs sources, le document final est examiné pour en fixer le niveau général de classification de sécurité car il peut requérir un niveau de classification supérieur à celui de chacune des parties qui le composent.

8.

Dans la mesure du possible, les documents dont toutes les parties n'ont pas le même niveau de classification sont structurés de manière à ce que les parties ayant des niveaux de classification différents puissent au besoin être aisément identifiées et séparées des autres.

9.

Les lettres ou notes d'envoi accompagnant des pièces jointes portent le plus haut niveau de classification attribué à ces dernières. L'autorité d'origine indique clairement leur niveau de classification lorsqu'elles sont séparées de leurs pièces jointes, au moyen d'un marquage approprié, par exemple:

CONFIDENTIEL UE/EU CONFIDENTIAL

Sans pièce(s) jointe(s) RESTREINT UE/EU RESTRICTED

10.

Outre l'un des marquages de classification de sécurité prévus à l'article 2, paragraphe 2, les ICUE peuvent porter des marquages complémentaires, tels que:

11.

Des abréviations uniformisées indiquant la classification peuvent être utilisées pour préciser le niveau de classification des différents paragraphes d'un texte. Les abréviations ne remplacent pas la mention de la classification en toutes lettres.

12.

Les abréviations uniformisées ci-après peuvent être utilisées dans les documents classifiés de l'UE pour indiquer le niveau de classification de sections ou blocs de texte de moins d'une page:

13.

Lors de la création de documents classifiés de l'UE:

14.

Lorsqu'il n'est pas possible d'appliquer le paragraphe 13 à des ICUE, d'autres mesures appropriées sont prises conformément aux lignes directrices en matière de sécurité qui doivent être arrêtées en vertu de l'article 6, paragraphe 2.

15.

Au moment de la création du document classifié, l'autorité d'origine indique, si possible et notamment en ce qui concerne les informations classifiées RESTREINT UE/EU RESTRICTED, si les ICUE qui y figurent peuvent ou non être déclassées ou déclassifiées à une date donnée ou après un événement spécifique.

16.

Le SGC réexamine régulièrement les ICUE en sa possession pour déterminer si leur niveau de classification est toujours d'application. Le SGC instaure un système pour réexaminer le niveau de classification des ICUE enregistrées dont il est l'auteur, au moins une fois tous les cinq ans. Un tel réexamen n'est pas nécessaire lorsque l'autorité d'origine a indiqué dès le départ que les informations seraient automatiquement déclassées ou déclassifiées et que celles-ci se sont vu apposer les marquages correspondants.

17.

Pour chacune des entités structurées qui existent au sein du SGC et des administrations nationales des États membres et dans lesquelles des ICUE sont traitées, on détermine un bureau d'ordre compétent chargé de veiller à ce que les ICUE soient traitées conformément à la présente décision. Les bureaux d'ordre sont conçus comme des zones sécurisées telles que définies à l'annexe II.

18.

Aux fins de la présente décision, on entend par enregistrement à des fins de sécurité (ci-après dénommé «enregistrement») l'application de procédures permettant de garder la trace du cycle de vie d'un matériel, y compris de sa diffusion et de sa destruction.

19.

Tout matériel classifié CONFIDENTIEL UE/EU CONFIDENTIAL et d'un niveau de classification supérieur est enregistré par un bureau d'ordre déterminé à chaque fois qu'il parvient à une entité structurée ou qu'il en sort.

20.

Le bureau d'ordre central du SGC garde une trace de toutes les informations classifiées communiquées par le Conseil et le SGC à des États tiers et à des organisations internationales, ainsi que de toutes les informations classifiées reçues d'États tiers ou d'organisations internationales.

21.

Dans le cas d'un SIC, les procédures d'enregistrement peuvent être mises en œuvre au moyen de processus intervenant au sein du SIC même.

22.

Le Conseil approuve une politique de sécurité sur l'enregistrement des ICUE à des fins de sécurité.

23.

Un bureau d'ordre est désigné dans les États membres et au SGC pour faire fonction d'autorité centrale de réception et de diffusion des informations classifiées TRÈS SECRET UE/EU TOP SECRET. S'il y a lieu, les bureaux d'ordre subordonnés peuvent être désignés pour traiter ces informations à des fins d'enregistrement.

24.

Ces bureaux d'ordre subordonnés ne peuvent transmettre de documents TRES SECRET UE/EU TOP SECRET directement à d'autres bureaux d'ordre subordonnés rattachés au même bureau d'ordre TRES SECRET UE/EU TOP SECRET central sans l'autorisation expresse et écrite de ce dernier ni à des bureaux d'ordre extérieurs.

25.

Les documents classifiés TRÈS SECRET UE/EU TOP SECRET ne doivent pas être dupliqués ou traduits sans le consentement écrit préalable de l'autorité d'origine.

26.

Lorsque l'autorité d'origine de documents classifiés SECRET UE/EU SECRET et d'un niveau de classification inférieur n'a pas imposé de restrictions à leur duplication ou à leur traduction, lesdits documents peuvent être dupliqués ou traduits sur instruction du détenteur.

27.

Les mesures de sécurité applicables au document original le sont aussi à ses copies et à ses traductions.

28.

Le transport des ICUE est soumis aux mesures de protection énoncées aux paragraphes 30 à 40. Lorsque les ICUE sont transportées par des supports électroniques, et nonobstant l'article 9, paragraphe 4, les mesures de protection énoncées ci-après peuvent être complétées par des contre-mesures techniques appropriées prescrites par l'autorité de sécurité compétente, de façon à réduire au minimum le risque de perte ou de compromission.

29.

Les autorités de sécurité compétentes au sein du SGC et dans les États membres donnent des instructions sur le transport des ICUE conformément à la présente décision.

30.

Les ICUE transportées à l'intérieur d'un même bâtiment ou d'un groupe autonome de bâtiments sont dissimulées en vue de prévenir l'observation de leur contenu.

31.

À l'intérieur d'un même bâtiment ou d'un groupe autonome de bâtiments, les informations classifiées TRÈS SECRET UE/EU TOP SECRET sont transportées dans une enveloppe sécurisée avec pour seule mention le nom du destinataire.

32.

Les ICUE transportées entre des bâtiments ou des locaux à l'intérieur de l'UE sont emballées de manière à être protégées de toute divulgation non autorisée.

33.

Le transport d'informations classifiées jusqu'au niveau SECRET UE/EU SECRET à l'intérieur de l'UE s'effectue par l'un des moyens suivants:

En cas de transport d'un État membre vers un autre État membre, les dispositions du point c) sont limitées aux informations classifiées jusqu'au niveau CONFIDENTIEL UE/EU CONFIDENTIAL.

34.

Le matériel classifié CONFIDENTIEL UE/EU CONFIDENTIAL et SECRET UE/EU SECRET (par exemple, équipement ou machine) qui ne peut être transporté par les moyens visés au paragraphe 33 est transporté en tant que fret par des sociétés de transport commercial conformément à l'annexe V.

35.

Le transport des informations classifiées TRÈS SECRET UE/EU TOP SECRET, entre des bâtiments ou des locaux à l'intérieur de l'UE, s'effectue par courrier militaire, gouvernemental ou diplomatique, selon le cas.

36.

Les ICUE transportées de l'UE vers le territoire d'un pays tiers sont emballées de manière à être protégées de toute divulgation non autorisée.

37.

Le transport des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL et SECRET UE/EU SECRET de l'UE vers le territoire d'un pays tiers s'effectue par l'un des moyens suivants:

38.

Le transport des informations CONFIDENTIEL UE/EU CONFIDENTIAL et SECRET UE/EU SECRET communiquées par l'UE à un pays tiers ou à une organisation internationale est conforme aux dispositions applicables au titre d'un accord sur la sécurité des informations ou d'un arrangement administratif conclu en vertu de l'article 12, paragraphe 2, point a) ou b).

39.

Les informations classifiées RESTREINT UE/EU RESTRICTED peuvent aussi être transportées par des services postaux ou par des services de courrier commercial.

40.

Le transport des informations classifiées TRÈS SECRET UE/EU TOP SECRET, de l'UE vers le territoire d'un pays tiers, s'effectue par courrier militaire ou diplomatique.

41.

Les documents classifiés de l'UE qui ne sont plus nécessaires peuvent être détruits, sans préjudice de la réglementation applicable en matière d'archivage.

42.

Les documents faisant l'objet d'un enregistrement en application de l'article 9, paragraphe 2, de la présente décision sont détruits par le bureau d'ordre compétent sur instruction du détenteur ou d'une autorité compétente. Les cahiers d'enregistrement et les autres informations relatives aux enregistrements sont actualisés en conséquence.

43.

La destruction de documents classifiés SECRET UE/EU SECRET ou TRÈS SECRET UE/EU TOP SECRET est effectuée en présence d'un témoin justifiant de l'habilitation de sécurité correspondant au moins au niveau de classification du document à détruire.

44.

L'agent du bureau d'ordre et le témoin, lorsque la présence de ce dernier est requise, signent un procès-verbal de destruction qui est rempli dans le bureau d'ordre. Le bureau d'ordre conserve les procès-verbaux de destruction des documents TRÈS SECRET UE/EU TOP SECRET pendant dix ans au minimum, et ceux des documents CONFIDENTIEL UE/EU CONFIDENTIAL et SECRET UE/EU SECRET pendant cinq ans au minimum.

45.

Les documents classifiés, y compris ceux dont la classification est RESTREINT UE/EU RESTRICTED, sont détruits par des méthodes répondant aux normes UE applicables ou à des normes équivalentes, ou homologuées par les États membres conformément aux normes techniques nationales, pour empêcher leur reconstitution totale ou partielle.

46.

La destruction des supports de données informatiques utilisés pour des ICUE s'effectue conformément à l'annexe IV, paragraphe 36.

47.

Le terme «inspection» utilisé ci-après désigne:

ayant pour but d'évaluer l'efficacité des mesures mises en œuvre pour protéger les ICUE.

48.

Les inspections sont notamment menées aux fins suivantes:

49.

Avant la fin de chaque année civile, le Conseil adopte le programme d'inspection prévu à l'article 15, paragraphe 1, point c), pour l'année suivante. Les dates exactes de chaque inspection sont fixées en accord avec l'agence ou l'organe de l'UE, l'État membre, le pays tiers ou l'organisation internationale concerné(e).

50.

Les inspections sont effectuées en vue de contrôler les prescriptions, les réglementations et les procédures applicables dans l'entité inspectée et de vérifier que les pratiques en vigueur au sein de l'entité satisfont aux principes de base et aux normes minimales fixés par la présente décision et par les dispositions qui régissent l'échange d'informations classifiées avec cette entité.

51.

Les inspections se déroulent en deux phases. Avant l'inspection proprement dite, une réunion préparatoire est organisée, si nécessaire, avec l'entité concernée. À l'issue de cette réunion préparatoire, l'équipe d'inspection établit, de concert avec ladite entité, un programme d'inspection détaillé couvrant tous les secteurs de la sécurité. L'équipe d'inspection a accès à tous les lieux, notamment aux bureaux d'ordre et aux points de présence SIC, où sont traitées des ICUE.

52.

Les inspections effectuées dans les administrations nationales des États membres sont réalisées sous la responsabilité d'une équipe d'inspection commune SGC/Commission en totale coopération avec les responsables de l'entité inspectée.

53.

Les inspections effectuées dans des pays tiers et dans les organisations internationales sont réalisées sous la responsabilité d'une équipe d'inspection commune SGC/Commission en totale coopération avec les responsables du pays tiers ou de l'organisation internationale faisant l'objet de l'inspection.

54.

Les inspections d'agences et d'organes de l'UE créés en vertu du titre V, chapitre 2, du traité sur l'Union européenne, ainsi que celles d'Europol et d'Eurojust, sont menées par le bureau de sécurité du SGC avec l'aide de spécialistes de l'ANS dans le ressort de laquelle se situe l'agence ou l'organe. La direction de la sécurité de la Commission européenne (DSCE) peut être associée dans les cas où elle échange régulièrement des ICUE avec l'agence ou l'organe en question.

55.

Dans le cadre des inspections des agences et organes de l'UE créés en vertu du titre V, chapitre 2, du traité sur l'Union européenne, ainsi que de celles d'Europol et d'Eurojust, des pays tiers et des organisations internationales, le concours et l'assistance des experts des ANS sont sollicités conformément à des modalités à définir par le comité de sécurité.

56.

À l'issue de l'inspection, les principales conclusions et recommandations sont présentées à l'entité inspectée. Un rapport d'inspection est ensuite établi sous la responsabilité de l'autorité de sécurité du SGC (bureau de sécurité). Lorsque des mesures correctives et des recommandations ont été proposées, le rapport doit contenir suffisamment d'éléments précis pour étayer les conclusions dégagées. Le rapport d'inspection est transmis à l'autorité compétente de l'entité inspectée.

57.

En ce qui concerne les inspections effectuées dans les administrations nationales des États membres:

Un rapport périodique est établi sous la responsabilité de l'autorité de sécurité du SGC (bureau de sécurité) pour souligner les enseignements qui ont été tirés des inspections effectuées dans les États membres au cours d'une période précise et est examiné par le comité de sécurité.

58.

En ce qui concerne les visites d'évaluation dans les pays tiers et les organisations internationales, le rapport est diffusé au comité de sécurité ainsi qu'à la DSCE. Le rapport reçoit, au minimum, la classification RESTREINT UE/EU RESTRICTED. Toute mesure corrective est vérifiée lors d'une visite de suivi et signalée au comité de sécurité.

59.

En ce qui concerne les inspections d'agences et d'organes de l'UE créés en vertu du titre V, chapitre 2, du traité sur l'Union européenne, ainsi que celles d'Europol et d'Eurojust, les rapports d'inspection sont diffusés aux membres du comité de sécurité et à la DSCE. Le projet de rapport d'inspection est transmis à l'agence ou à l'organe concerné(e) afin de vérifier qu'il ne contient pas d'erreur de fait et qu'aucune information d'un niveau de classification supérieur à RESTREINT UE/EU RESTRICTED n'y figure. Toute mesure corrective est vérifiée lors d'une visite de suivi et signalée au comité de sécurité.

60.

L'autorité de sécurité du SGC procède régulièrement à des inspections des entités structurées du SGC aux fins prévues au paragraphe 48.

61.

L'autorité de sécurité du SGC (bureau de sécurité) établit et met à jour une liste de contrôle des éléments à vérifier au cours d'une inspection. Cette liste de contrôle est transmise au comité de sécurité.

62.

Les informations nécessaires pour compléter la liste de contrôle sont obtenues, notamment au cours de l'inspection, auprès des services chargés de la gestion de la sécurité de l'entité faisant l'objet de l'inspection. Sitôt complétée avec les réponses détaillées obtenues, la liste de contrôle est classifiée en accord avec l'entité inspectée. Elle ne fait pas partie du rapport d'inspection.

1.

La présente annexe énonce les modalités d'application de l'article 10.

2.

Les propriétés et les notions d'AI figurant ci-après sont essentielles pour la sécurité et l'exécution correcte des opérations dans le cadre d'un SIC.

3.

Les dispositions énoncées ci-après constituent les éléments fondamentaux permettant de garantir la sécurité de tout SIC traitant des ICUE. Les modalités précises de mise en œuvre de ces dispositions sont définies dans les politiques et les lignes directrices en matière de sécurité d'AI.

4.

La gestion des risques de sécurité fait partie intégrante de la définition, de l'élaboration, de l'exploitation et de la maintenance d'un SIC. La gestion des risques (évaluation, traitement, acceptation et communication) est mise en œuvre conjointement, dans le cadre d'un processus itératif, par les représentants des détenteurs de systèmes, les autorités responsables du projet, les autorités chargées de l'exploitation et les autorités d'homologation de sécurité selon une procédure d'évaluation des risques ayant fait ses preuves, transparente et pouvant être parfaitement comprise. Le domaine d'application du SIC et ses ressources sont clairement définis dès le début du processus de gestion des risques.

5.

Les autorités compétentes examinent les menaces potentielles qui pèsent sur le SIC, tiennent à jour les évaluations des menaces et veillent à leur exactitude afin que celles-ci rendent compte de l'environnement opérationnel du moment. Elles actualisent en permanence leurs connaissances relatives aux questions de vulnérabilité et revoient régulièrement l'évaluation de la vulnérabilité afin de suivre l'évolution de la technologie de l'information.

6.

Le traitement des risques de sécurité vise à appliquer un ensemble de mesures de sécurité offrant un équilibre satisfaisant entre les besoins des utilisateurs, les coûts et le risque de sécurité résiduel.

7.

Les exigences spécifiques, l'étendue et le niveau de détail fixés par l'AHS compétente aux fins de l'homologation d'un SIC sont proportionnés au risque évalué, compte tenu de tous les facteurs pertinents, y compris le niveau de classification des ICUE qui sont traitées dans le SIC. Dans le cadre de l'homologation, le risque résiduel fait l'objet d'un énoncé formel et est accepté par une autorité responsable.

8.

Assurer la sécurité d'un SIC tout au long de son cycle de vie, de son lancement à son retrait, est une obligation.

9.

Le rôle de chaque acteur d'un SIC et les interactions entre ces acteurs, en termes de sécurité du système, doivent être clairement déterminés pour chaque phase du cycle de vie.

10.

Tout SIC, y compris les mesures de sécurité techniques et non techniques dont il fait l'objet, est soumis à des essais de sécurité au cours du processus d'homologation afin de s'assurer que le niveau d'assurance requis est atteint et de vérifier qu'il est correctement mis en œuvre, intégré et configuré.

11.

Des évaluations, inspections et examens de sécurité sont réalisés à intervalles réguliers durant la phase opérationnelle ainsi que dans le cadre de la maintenance d'un SIC, de même qu'en toute circonstance exceptionnelle.

12.

Les documents relatifs à la sécurité d'un SIC évoluent tout au long du cycle de vie de celui-ci, évolution qui s'inscrit pleinement dans le cadre du processus de gestion du changement et de la configuration.

13.

Le SGC et les États membres travaillent de concert à l'élaboration des meilleures pratiques destinées à protéger les ICUE traitées par un SIC. Les lignes directrices concernant les meilleures pratiques énoncent des mesures visant à assurer la sécurité du SIC sur le plan technique et physique ainsi qu'au niveau de l'organisation et des procédures et dont l'efficacité pour lutter contre certaines menaces et vulnérabilités a été démontrée.

14.

Il convient, aux fins de la protection des ICUE traitées par un SIC, de mettre à profit les enseignements tirés par les entités travaillant dans le domaine de l'AI, que ce soit au sein ou en dehors de l'UE.

15.

La diffusion et la mise en œuvre ultérieure des meilleures pratiques contribuent à atteindre un niveau équivalent d'assurance dans l'ensemble des SIC traitant des ICUE et exploités par le SGC et les États membres.

16.

Afin d'atténuer les risques qui pèsent sur un SIC, un éventail de mesures de sécurité techniques et non techniques organisées en plusieurs niveaux de défense doit être mis en œuvre. Ces niveaux sont notamment les suivants:

a)   la dissuasion: mesures de sécurité visant à dissuader un éventuel adversaire de projeter une attaque du SIC;

b)   la prévention: mesures de sécurité visant à empêcher ou à stopper une attaque du SIC;

c)   la détection: mesures de sécurité visant à déceler une attaque du SIC en train de se produire;

d)   la résilience: mesures de sécurité visant à faire en sorte que l'attaque n'ait un impact que sur un nombre aussi faible que possible d'informations ou de ressources du SIC et à prévenir d'autres dommages; et

e)   le retour aux conditions opérationnelles: mesures de sécurité visant à rétablir la sécurité du SIC.

La rigueur de ces mesures de sécurité est déterminée sur la base d'une évaluation des risques.

17.

Les autorités compétentes s'assurent qu'elles sont en mesure de faire face aux incidents dont l'ampleur dépasse les limites de l'organisation ou du pays touché, afin de coordonner les réactions et d'échanger des informations sur ces incidents et l'ensemble des risques qui en découlent (capacités de réaction en cas d'urgence informatique).

18.

Seuls sont mis en œuvre les fonctions, dispositifs et services indispensables pour répondre aux exigences opérationnelles.

19.

Les utilisateurs d'un SIC et les processus automatisés se voient uniquement accorder les droits d'accès, les privilèges ou les autorisations requises pour mener à bien leur tâche, afin de limiter tout dommage résultant d'accidents, d'erreurs ou d'utilisations non autorisées des ressources du SIC.

20.

Les procédures d'enregistrement mises en œuvre par un SIC, le cas échéant, sont vérifiées dans le cadre du processus d'homologation.

21.

La sensibilisation aux risques et aux mesures de sécurité disponibles constitue la première ligne de défense destinée à assurer la sécurité des SIC. En particulier, tout le personnel intervenant dans le cycle de vie d'un SIC, y compris les utilisateurs, doit bien comprendre:

22.

Afin que les responsabilités en matière de sécurité soient bien comprises, une formation et une sensibilisation à l'AI sont obligatoires pour tout le personnel concerné, y compris les cadres supérieurs et les utilisateurs du SIC.

23.

Le niveau de confiance requis dans les mesures de sécurité, défini comme un niveau d'assurance, est déterminé à l'issue du processus de gestion des risques et conformément aux politiques et lignes directrices applicables en matière de sécurité.

24.

Le niveau d'assurance fait l'objet d'une vérification au moyen de procédés et de méthodes reconnus à l'échelon international ou agréés au niveau national. Il s'agit principalement d'évaluations, de contrôles et d'audits.

25.

Les produits cryptographiques destinés à protéger les ICUE sont évalués et agréés par une AAC nationale d'un État membre.

26.

Avant d'être recommandés au Conseil ou au secrétaire général pour agrément, en application de l'article 10, paragraphe 6, ces produits cryptographiques doivent avoir satisfait à une évaluation par seconde partie réalisée par une autorité dûment qualifiée (AQUA) d'un État membre n'intervenant pas dans la conception ni dans la fabrication de l'équipement concerné. L'ampleur de l'évaluation par seconde partie nécessaire dépend du niveau de classification maximal envisagé des ICUE que ces produits doivent protéger. Le Conseil approuve une politique de sécurité concernant l'évaluation et l'agrément de produits cryptographiques.

27.

Lorsque des motifs opérationnels particuliers le justifient, le Conseil ou le secrétaire général, selon le cas, peut, sur recommandation du comité de sécurité, ne pas respecter les exigences prévues aux paragraphes 25 et 26 et délivrer un agrément à titre provisoire pour une période spécifique, en application de la procédure énoncée à l'article 10, paragraphe 6.

28.

L'AQUA est une AAC d'un État membre qui a été agréée, sur la base de critères définis par le Conseil, pour procéder à la deuxième évaluation des produits cryptographiques destinés à protéger les ICUE.

29.

Le Conseil approuve une politique de sécurité concernant la qualification et l'approbation des produits de sécurité informatique non cryptographiques.

30.

Nonobstant les dispositions de la présente décision, lorsque la transmission d'ICUE s'effectue uniquement à l'intérieur de zones sécurisées, une diffusion non chiffrée ou d'un niveau de chiffrement inférieur peut être envisagée compte tenu des résultats d'un processus de gestion des risques et avec l'accord de l'AHS.

31.

Aux fins de la présente décision, on entend par «interconnexion» la connexion directe d'au moins deux systèmes informatiques permettant à ceux-ci d'échanger des données et d'autres ressources en matière d'information (communication, par exemple) de façon unidirectionnelle ou multidirectionnelle.

32.

Un SIC doit de prime abord considérer tout système informatique interconnecté comme n'étant pas fiable et mettre en œuvre des mesures de protection destinées à contrôler les échanges d'informations classifiées.

33.

Lorsqu'un SIC est interconnecté avec un autre système électronique, les conditions de base suivantes doivent être réunies:

34.

Il ne peut y avoir aucune interconnexion entre un SIC homologué et un réseau non protégé ou public, sauf lorsque le SIC comporte un système de protection en bordure homologué installé à cette fin entre le SIC et le réseau non protégé ou public. Les mesures de sécurité applicables à une telle interconnexion sont examinées par l'autorité chargée de l'assurance de l'information compétente et approuvées par l'AHS compétente.

Lorsque le réseau public ou non protégé sert uniquement à des fins de transmission et que les données sont chiffrées au moyen d'un produit cryptographique agréé conformément à l'article 10, une telle connexion n'est pas considérée comme une interconnexion.

35.

Un SIC homologué pour traiter des informations TRÈS SECRET UE/EU TOP SECRET ne peut pas être interconnecté directement ou en cascade à un réseau non protégé ou public.

36.

Les supports de données informatiques sont détruits conformément aux procédures approuvées par l'autorité de sécurité compétente.

37.

Les supports de données informatiques sont réutilisés, déclassés ou déclassifiés conformément à une politique de sécurité arrêtée en vertu de l'article 6, paragraphe 1.

38.

Nonobstant les dispositions de la présente décision, les procédures spécifiques décrites ci-après peuvent être appliquées dans les situations d'urgence, telles que les crises, les conflits ou les guerres, imminentes ou effectives, ou dans des circonstances opérationnelles exceptionnelles.

39.

Sous réserve du consentement de l'autorité compétente, les ICUE peuvent être transmises au moyen de produits cryptographiques agréés pour un niveau de classification inférieur ou sans faire l'objet d'un chiffrement dans le cas où tout retard causerait un préjudice indéniablement plus important que celui qui découlerait de la divulgation du matériel classifié et dans les conditions suivantes:

40.

Les informations classifiées transmises dans les conditions visées au paragraphe 38 ne portent aucun marquage ni indication qui les distinguerait d'informations non classifiées ou pouvant être protégées à l'aide d'un produit cryptographique disponible. Leur destinataire est informé, sans délai et par d'autres moyens, du niveau de classification.

41.

Lorsque des informations sont transmises en application du paragraphe 38, un rapport est par la suite adressé à ce sujet à l'autorité compétente et au comité de sécurité.

42.

Les États membres et le SGC instituent les autorités compétentes en matière d'AI ci-après. Ces autorités ne doivent pas nécessairement être dotées d'entités structurées distinctes. Elles sont investies de mandats distincts. Cependant, ces autorités et leurs responsabilités connexes peuvent être associées ou intégrées dans la même entité structurée ou se partager entre différentes entités structurées, à condition que l'on veille à éviter au niveau interne tout conflit d'intérêt et tout chevauchement des tâches.

43.

L'AAI s'acquitte des tâches suivantes:

44.

L'autorité Tempest (AT) est chargée de veiller à la conformité des SIC aux stratégies et lignes directrices Tempest. Elle approuve les contre-mesures Tempest pour les installations et les produits destinés à protéger des ICUE jusqu'à un certain niveau de classification dans leur environnement opérationnel.

45.

L'autorité d'agrément cryptographique (AAC) est chargée de veiller à ce que les produits cryptographiques soient conformes aux politiques respectives des différents États membres et du Conseil en matière cryptographique. Elle agrée les produits cryptographiques pour la protection d'ICUE jusqu'à un certain niveau de classification dans leur environnement opérationnel. S'agissant des États membres, l'AAC est en outre chargée de l'évaluation des produits cryptographiques.

46.

L'autorité de distribution cryptographique (ADC) s'acquitte des tâches suivantes:

47.

L'autorité d'homologation de sécurité de chaque système s'acquitte des tâches suivantes:

48.

L'AHS du SGC est chargée de l'homologation de tous les SIC exploités dans le cadre de la compétence du SGC.

49.

L'AHS compétente d'un État membre est chargée de l'homologation des SIC et des éléments des SIC exploités dans le cadre de la compétence d'un État membre.

50.

Un comité conjoint d'homologation de sécurité (CHS) est chargé de l'homologation des SIC qui sont du ressort aussi bien de l'AHS du SGC que des AHS des États membres. Ce comité est composé d'un représentant de l'AHS de chaque État membre, un représentant de l'AHS de la Commission assistant à ses réunions. Les autres entités disposant de nœuds de connexion avec un SIC sont invitées à assister aux réunions lorsque celles-ci portent sur le système considéré.

Le CHS est présidé par un représentant de l'AHS du SGC. Il statue par consensus entre les représentants des AHS des institutions, des États membres et des autres entités disposant de nœuds de connexion avec le SIC considéré. Le CHS rend compte à intervalles réguliers de ses activités au comité de sécurité et notifie à celui-ci toute déclaration d'homologation.

51.

L'autorité opérationnelle chargée de l'AI pour chaque système s'acquitte des tâches suivantes:

1.

La présente annexe énonce les modalités d'application de l'article 11. Elle prévoit des mesures de sécurité générales applicables aux entités industrielles ou autres dans le cadre de négociations précontractuelles et tout au long du cycle de vie des contrats classifiés attribués par le SGC.

2.

Le Conseil approuve une politique de sécurité industrielle indiquant en particulier les modalités précises en ce qui concerne les HSE, les annexes de sécurité (AS), les visites, la transmission et le transport des ICUE.

3.

Avant de lancer un appel d'offres en vue de l'attribution d'un contrat classifié ou d'attribuer un tel contrat, le SGC, en sa qualité d'autorité contractante, détermine la classification de sécurité de toute information devant être fournie aux soumissionnaires et aux contractants, ainsi que la classification de sécurité de toute information devant être créée pour le contractant. Dans cette perspective, le SGC élabore un guide de la classification de sécurité (GCS), qui sera utilisé aux fins de l'exécution du contrat.

4.

Les principes ci-après sont appliqués pour déterminer le niveau de classification de sécurité des différents éléments d'un contrat classifié:

5.

Les impératifs de sécurité propres à un contrat sont exposés dans une AS. Le cas échéant, l'AS contient le GCS et fait partie intégrante du contrat ou du contrat de sous-traitance classifié.

6.

L'AS contient les dispositions imposant au contractant et/ou au sous-traitant de respecter les normes minimales énoncées dans la présente décision. Le non-respect de ces normes minimales peut constituer un motif suffisant de résiliation du contrat.

7.

En fonction de la portée des programmes ou des projets impliquant l'accès à des ICUE ou leur traitement ou stockage, l'autorité contractante chargée de gérer le projet ou le programme considéré peut élaborer des instructions de sécurité relatives à un programme/un projet (ISP). Les ISP doivent être approuvées par les ANS/ASD ou toute autre autorité de sécurité compétente des États membres associées au programme/projet et peuvent contenir d'autres exigences en matière de sécurité.

8.

Une HSE est délivrée par l'ANS/ASD ou toute autre autorité de sécurité compétente d'un État membre afin d'indiquer, conformément aux dispositions législatives et réglementaires nationales, que l'entité industrielle ou autre est en mesure, au sein de ses établissements, de garantir aux ICUE la protection adaptée au niveau de classification approprié (CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET). La HSE est communiquée au SGC, en sa qualité d'autorité contractante, avant que le contractant ou le sous-traitant ou un contractant ou un sous-traitant potentiel ne se voie communiquer des ICUE ou accorder un accès aux ICUE.

9.

Lorsqu'elle délivre une HSE, l'ANS/ASD compétente veille au minimum à:

10.

S'il y a lieu, le SGC, en sa qualité d'autorité contractante, avertit l'ANS/ASD ou toute autre autorité de sécurité compétente qu'une HSE est nécessaire dans la phase précontractuelle ou pour l'exécution du contrat. Une HSE ou une HSP est requise dans la phase précontractuelle lorsque des ICUE classifiées CONFIDENTIEL UE/EU CONFIDENTAL ou SECRET UE/EU SECRET doivent être fournies dans la phase de soumission des offres.

11.

L'autorité contractante n'attribue pas de contrat classifié au soumissionnaire sélectionné tant que l'ANS/ASD ou toute autre autorité de sécurité compétente de l'État membre dans lequel le contractant ou le soumissionnaire concerné est immatriculé, ne lui a pas confirmé qu'une HSE appropriée a été délivrée.

12.

L'ANS/ASD ou toute autre autorité de sécurité compétente ayant délivré une HSE notifie au SGC, en sa qualité d'autorité contractante, les modifications éventuellement apportées à ladite HSE. Dans le cadre d'un contrat de sous-traitance, l'ANS/ASD ou toute autre autorité de sécurité compétente en est informée.

13.

Le retrait d'une HSE par l'ANS/ASD concernée ou toute autre autorité de sécurité compétente constitue pour le SGC, en sa qualité d'autorité contractante, un motif suffisant pour résilier un contrat classifié ou exclure un soumissionnaire de la procédure d'appel d'offres.

14.

Lorsque des ICUE sont communiquées à un soumissionnaire durant la phase précontractuelle, l'appel d'offres contient une disposition prévoyant que le soumissionnaire qui ne présente pas d'offre ou qui n'est pas sélectionné sera tenu de restituer tous les documents classifiés dans un délai spécifié.

15.

Une fois qu'un contrat ou un contrat de sous-traitance classifié a été attribué, le SGC, en sa qualité d'autorité contractante, notifie les dispositions en matière de sécurité que comporte le contrat classifié à l'ANS/ASD ou à toute autre autorité de sécurité compétente dont relève le contractant ou le sous-traitant.

16.

Lorsqu'il est mis fin à un tel contrat, le SGC, en sa qualité d'autorité contractante, (et/ou l'ANS/ASD ou toute autre autorité de sécurité compétente, selon qu'il conviendra, dans le cas d'un contrat de sous-traitance) avertit immédiatement l'ANS/ASD ou toute autre autorité de sécurité compétente de l'État membre dans lequel le contractant ou le sous-traitant est immatriculé.

17.

En principe, le contractant ou le sous-traitant est tenu de restituer à l'autorité contractante les ICUE en sa possession, dès que le contrat ou le contrat de sous-traitance classifié arrive à expiration.

18.

Des dispositions spéciales concernant l'élimination d'ICUE durant l'exécution du contrat ou à son expiration figurent dans l'AS.

19.

Lorsque le contractant ou le sous-traitant est autorisé à conserver des ICUE après l'expiration d'un contrat, les normes minimales figurant dans la présente demeurent d'application et la confidentialité des ICUE est protégée par le contractant ou le sous-traitant.

20.

Les conditions dans lesquelles le contractant peut sous-traiter des activités sont définies dans l'appel d'offres et le contrat.

21.

Un contractant doit obtenir l'autorisation du SGC, en sa qualité d'autorité contractante, avant de pouvoir sous-traiter des éléments d'un contrat classifié. Aucun contrat de sous-traitance ne peut être attribué à des entités industrielles ou autres immatriculées dans un État non membre de l'Union européenne n'ayant pas conclu avec l'UE un accord sur la sécurité des informations.

22.

Il incombe au contractant de veiller à ce que toutes les activités de sous-traitance soient réalisées en conformité avec les normes minimales définies dans la présente décision et de s'abstenir de fournir des ICUE à un sous-traitant sans l'autorisation écrite préalable de l'autorité contractante.

23.

En ce qui concerne les ICUE créées ou traitées par le contractant ou le sous-traitant, les droits qui incombent à l'autorité d'origine sont exercés par l'autorité contractante.

24.

Lorsque le SGC, les contractants ou les sous-traitants doivent avoir accès à des informations classifiées CONFIDENTIEL UE/EU CONFIDENTIAL ou SECRET UE/EU SECRET dans leurs locaux respectifs aux fins de l'exécution d'un contrat classifié, les visites sont organisées en liaison avec les ANS/ASD ou toute autre autorité de sécurité compétente concernée. Toutefois, dans le cadre de projets spécifiques, les ANS/ASD peuvent également convenir d'une procédure selon laquelle ces visites peuvent être organisées directement.

25.

Tous les visiteurs sont en possession d'une HSP adéquate et jouissent d'un accès aux ICUE liées au contrat attribué par le SGC sur la base du principe du besoin d'en connaître.

26.

Les visiteurs se voient uniquement accorder l'accès aux ICUE liées à l'objectif de la visite.

27.

En ce qui concerne la transmission des ICUE par voie électronique, les dispositions pertinentes de l'article 10 et de l'annexe IV s'appliquent.

28.

En ce qui concerne le transport d'ICUE, les dispositions pertinentes de l'annexe III s'appliquent, conformément aux dispositions législatives et réglementaires nationales.

29.

En ce qui concerne le transport de matériel classifié en tant que fret, les principes ci-après s'appliquent pour déterminer les mesures de sécurité à mettre en œuvre:

30.

Les ICUE sont transférées aux contractants et sous-traitants établis dans des pays tiers conformément aux mesures de sécurité convenues entre le SGC, en sa qualité d'autorité contractante, et l'ANS/ASD du pays tiers concerné dans lequel le contractant est immatriculé.

31.

En liaison, s'il y a lieu, avec l'ANS/ASD de l'État membre, le SGC, en sa qualité d'autorité contractante, est habilité à effectuer des visites dans les établissements des contractants/sous-traitants, en vertu de dispositions contractuelles, afin de vérifier que les mesures de sécurité adaptées pour la protection des ICUE de niveau RESTREINT UE/EU RESTRICTED ont été mises en place, comme l'exige le contrat.

32.

Dans la mesure où cela est nécessaire en vertu des dispositions légales et réglementaires nationales, les ANS/ASD, ou toute autre autorité de sécurité compétente, doivent être informées par le SGC, en sa qualité d'autorité contractante, des contrats ou des contrats de sous-traitance contenant des informations classifiées RESTREINT UE/EU RESTRICTED.

33.

Les contractants ou sous-traitants et leur personnel ne sont pas tenus d'être en possession d'une HSE ou d'une HSP pour les contrats attribués par le SGC et comportant des informations classifiées RESTREINT UE/EU RESTRICTED.

34.

Le SGC, en sa qualité d'autorité contractante, examine les réponses aux appels d'offres portant sur des contrats nécessitant l'accès à des informations classifiées RESTREINT UE/EU RESTRICTED, nonobstant les exigences en matière d'HSE ou d'HSP pouvant être prévues par les dispositions législatives et réglementaires nationales.

35.

Les conditions régissant la sous-traitance d'activités par un contractant sont conformes au paragraphe 21.

36.

Lorsqu'un contrat prévoit le traitement d'informations classifiées RESTREINT UE/EU RESTRICTED dans un SIC exploité par un contractant, le SGC, en sa qualité d'autorité contractante, veille à ce que les exigences techniques et administratives à remplir concernant l'homologation du SIC soient précisées dans le contrat ou tout contrat de sous-traitance; ces exigences sont proportionnées au risque évalué, compte tenu de tous les facteurs pertinents. La portée de l'homologation dudit SIC est décidée d'un commun accord par l'autorité contractante et l'ANS/ASD compétente.

1.

La présente annexe énonce les modalités d'application de l'article 12.

2.

Lorsque le Conseil décide qu'il existe un besoin durable d'échanger des informations classifiées,

conformément à l'article 12, paragraphe 2, et aux sections III et IV et en vertu d'une recommandation du comité de sécurité.

3.

Lorsque des ICUE créées aux fins d'une opération PSDC doivent être communiquées à des pays tiers ou à des organisations internationales participant à cette opération, et lorsqu'aucun des cadres prévus au paragraphe 2 n'existe, l'échange d'ICUE avec le pays tiers ou l'organisation internationale contributeur est régi, conformément à la section V ci-dessous, par:

4.

À défaut d'un des cadres mentionnés aux paragraphes 2 et 3, et lorsque décision est prise de communiquer des ICUE à un pays tiers ou à une organisation internationale sur une base exceptionnelle ad hoc dans le respect des dispositions prévues dans la section VI, il est demandé au pays tiers ou à l'organisation internationale concerné(e) de donner par écrit des assurances garantissant que toute ICUE qui lui est communiquée bénéficie d'une protection conforme aux principes de base et aux normes minimales énoncés dans la présente décision.

5.

Les accords sur la sécurité des informations fixent les principes de base et les normes minimales régissant l'échange d'informations classifiées entre l'UE et un pays tiers ou une organisation internationale.

6.

Les accords sur la sécurité des informations prévoient des modalités techniques d'application qui doivent être arrêtées d'un commun accord entre le bureau de sécurité du SGC, la DSCE et l'autorité de sécurité compétente du pays tiers ou de l'organisation internationale concerné(e). Ces modalités tiennent compte du niveau de protection offert par les règlements, les structures et les procédures de sécurité en vigueur au sein du pays tiers ou de l'organisation internationale concerné(e). Elles sont approuvées par le comité de sécurité.

7.

Les ICUE ne font l'objet d'aucun échange par voie électronique, sauf disposition expresse de l'accord sur la sécurité des informations ou des modalités techniques d'application.

8.

Les accords sur la sécurité des informations prévoient que, préalablement à l'échange d'informations classifiées au titre de l'accord, le bureau de sécurité du SGC et la DSCE doivent s'accorder à estimer que la partie destinataire est apte à protéger et sauvegarder de manière appropriée les informations qui lui sont transmises.

9.

Lorsque le Conseil conclut un accord de sécurité des informations avec un tiers, un bureau d'ordre est désigné au sein de chaque partie comme principal point d'entrée et de sortie des échanges d'informations classifiées.

10.

Afin d'évaluer l'efficacité des règlements, structures et procédures de sécurité en vigueur dans le pays tiers ou l'organisation internationale concerné(e), des visites d'évaluation sont menées par le bureau de sécurité du SGC en collaboration avec la DSCE, d'un commun accord avec le pays tiers ou l'organisation internationale concerné(e). Ces visites d'évaluation sont menées conformément aux dispositions pertinentes de l'annexe III et ont pour finalité d'évaluer:

11.

L'équipe chargée de mener la visite d'évaluation au nom de l'UE détermine si les règles et procédures de sécurité mises en œuvre dans le pays tiers ou l'organisation internationale concerné(e) sont adaptées pour garantir la protection des ICUE au niveau requis.

12.

Les conclusions de ces visites sont consignées dans un rapport, sur la base duquel le comité de sécurité fixe le niveau maximal de classification des ICUE qui peuvent être communiquées sur support papier et le cas échéant par voie électronique avec la tierce partie concernée, ainsi que toute condition particulière régissant l'échange d'informations avec celle-ci.

13.

Tout est mis en œuvre pour qu'une visite complète d'évaluation de la sécurité soit menée dans le pays tiers ou l'organisation internationale concerné(e) avant l'approbation par le comité de sécurité des modalités d'application, afin d'établir la nature et l'efficacité du système de sécurité en place. Toutefois, lorsque cela n'est pas possible, le bureau de sécurité du SGC remet au comité de sécurité un rapport le plus complet qui soit, fondé sur les informations dont il dispose, qui contient des informations sur le règlement de sécurité applicable et le mode d'organisation de la sécurité dans le pays tiers ou l'organisation internationale concerné(e).

14.

Le comité de sécurité peut décider que, dans l'attente de l'examen des conclusions d'une visite d'évaluation, aucune ICUE ne peut être communiquée, ou que de telles informations ne peuvent être communiquées que jusqu'à un niveau déterminé de classification, au pays tiers ou à l'organisation internationale concerné(e); il peut également assortir cette communication d'autres conditions particulières. Le bureau de sécurité du SGC en informe le pays tiers ou l'organisation internationale concerné(e).

15.

D'un commun accord avec le pays tiers ou l'organisation internationale concerné(e), le bureau de sécurité du SGC effectue, à intervalles réguliers, des visites de suivi de l'évaluation, afin de s'assurer que les dispositifs en place continuent de satisfaire aux normes minimales qui ont été arrêtées.

16.

Lorsque l'accord sur la sécurité des informations est en vigueur et que des informations classifiées sont échangées avec le pays tiers ou l'organisation internationale concerné(e), le comité de sécurité peut décider de modifier le niveau maximal de classification des ICUE pouvant être échangées au format papier ou par voie électronique, en particulier à la lumière de toute visite de suivi de l'évaluation.

17.

Lorsqu'il existe un besoin durable d'échanger, avec un pays tiers ou une organisation internationale, des informations dont le niveau de classification n'est en principe pas supérieur à RESTREINT UE/EU RESTRICTED, et que le comité de sécurité a établi que la partie en question ne dispose pas d'un système de sécurité suffisamment développé lui permettant de conclure un accord sur la sécurité des informations, le secrétaire général peut, sous réserve de l'approbation du Conseil, conclure un arrangement administratif avec les autorités compétentes du pays tiers ou de l'organisation internationale concerné(e).

18.

Si, pour des raisons opérationnelles urgentes, un cadre doit être mis en place rapidement pour échanger des informations classifiées, le Conseil peut décider exceptionnellement qu'un arrangement administratif soit conclu pour échanger des informations dont le niveau de classification est supérieur à RESTREINT UE/EU RESTRICTED.

19.

Les arrangements administratifs prennent, en règle générale, la forme d'un échange de lettres.

20.

Une visite d'évaluation telle que visée au paragraphe 10 est réalisée, et le rapport y relatif est transmis au comité de sécurité, qui doit le juger satisfaisant, avant que des ICUE soient effectivement transmises au pays tiers ou à l'organisation internationale concerné(e). Cependant, si des raisons exceptionnelles, portées à la connaissance du Conseil, justifient l'échange urgent d'informations classifiées, les ICUE peuvent être communiquées à condition que tout soit mis en œuvre pour effectuer dès que possible une visite d'évaluation.

21.

Les ICUE ne font l'objet d'aucun échange par voie électronique, sauf disposition expresse de l'arrangement administratif.

22.

Les accords-cadres de participation régissent la participation des pays tiers ou des organisations internationales aux opérations PSDC. Ces accords contiennent des dispositions relatives à la communication des ICUE créées aux fins des opérations PSDC aux pays tiers ou aux organisations internationales contributeurs. Le niveau maximal de classification des ICUE qui peuvent être échangées est RESTREINT UE/EU RESTRICTED pour les opérations PSDC civiles et CONFIDENTIEL UE/EU CONFIDENTIAL pour les opérations PSDC militaires, sauf disposition contraire prévue dans la décision établissant chaque opération PSDC.

23.

Les accords de participation ad hoc conclus pour une opération PSDC particulière comprennent des dispositions relatives à la communication des ICUE créées aux fins de ladite opération au pays tiers ou à l'organisation internationale contributeurs. Le niveau maximal de classification des ICUE qui peuvent être échangées est RESTREINT UE/EU RESTRICTED pour les opérations PSDC civiles et CONFIDENTIEL UE/EU CONFIDENTIAL pour les opérations PSDC militaires, sauf disposition contraire prévue dans la décision établissant chaque opération PSDC.

24.

Les arrangements administratifs ad hoc concernant la participation d'un pays tiers ou d'une organisation internationale à une opération PSDC particulière peuvent porter, entre autres, sur la communication des ICUE créées aux fins de l'opération à ce pays tiers ou à cette organisation internationale. Ces arrangements administratifs ad hoc sont conclus conformément aux procédures prévues aux paragraphes 17 et 18 de la section IV. Le niveau maximal de classification des ICUE qui peuvent être échangées est RESTREINT UE/EU RESTRICTED pour les opérations PSDC civiles et CONFIDENTIEL UE/EU CONFIDENTIAL pour les opérations PSDC militaires, sauf disposition contraire prévue dans la décision établissant chaque opération PSDC.

25.

Aucune modalité d'application ou visite d'évaluation n'est requise préalablement à la mise en œuvre des dispositions relatives à la communication d'ICUE au titre des paragraphes 22, 23 et 24.

26.

Si l'État hôte sur le territoire duquel une opération PSDC est menée n'a pas conclu d'accord sur la sécurité des informations ou d'arrangement administratif avec l'UE pour échanger des informations classifiées, un arrangement administratif ad hoc peut être mis en place en cas de besoin opérationnel spécifique et immédiat. Cette possibilité est prévue dans la décision établissant l'opération PSDC. Seules peuvent être communiquées dans de telles circonstances les ICUE créées aux fins de l'opération PSDC dont le niveau de classification n'est pas supérieur à RESTREINT UE/EU RESTRICTED. Dans le cadre d'un tel arrangement administratif ad hoc, l'État hôte s'engage à protéger les ICUE conformément à des normes minimales qui ne sont pas moins strictes que celles prévues dans la présente décision.

27.

Les dispositions relatives aux informations classifiées devant figurer dans les accords-cadres de participation, les accords de participation ad hoc et les arrangements administratifs ad hoc visés aux paragraphes 22 à 24 prévoient que le pays tiers ou l'organisation internationale concerné(e) veille à ce que son personnel détaché dans le cadre de toute opération protège les ICUE conformément au règlement de sécurité du Conseil, ainsi qu'aux autres instructions formulées par les autorités compétentes, y compris la chaîne de commandement de l'opération.

28.

Si un accord sur la sécurité des informations est conclu ultérieurement entre l'UE et un pays tiers ou une organisation internationale contributeur, l'accord sur la sécurité des informations se substitue à tout accord-cadre de participation, accord de participation ad hoc ou arrangement administratif ad hoc pour ce qui concerne l'échange et le traitement des ICUE.

29.

Aucun échange d'ICUE par voie électronique n'est autorisé au titre d'un accord-cadre de participation, d'un accord de participation ad hoc ou d'un arrangement administratif ad hoc conclu avec un pays tiers ou une organisation internationale, sauf disposition expresse de l'accord ou l'arrangement en question.

30.

Les ICUE créées aux fins d'une opération PSDC peuvent être divulguées au personnel détaché par des pays tiers ou des organisations internationales dans le cadre de cette opération, conformément aux dispositions des paragraphes 22 à 29. Lorsque l'accès aux ICUE est autorisé dans les locaux ou via le SIC d'une opération PSDC, il convient d'appliquer des mesures (y compris l'enregistrement des ICUE divulguées) permettant d'atténuer le risque de perte ou de compromission. Ces mesures sont définies dans les documents de planification ou de mission pertinents.

31.

Si aucun cadre n'existe conformément aux sections III à V, et si le Conseil ou l'une de ses instances préparatoires décide qu'il est nécessaire, à titre exceptionnel, de communiquer des ICUE à un pays tiers ou à une organisation internationale, le SGC:

32.

Si le comité de sécurité émet une recommandation favorable à la communication des ICUE, la question est soumise au Comité des représentants permanents (Coreper), qui statue sur leur communication.

33.

Si le comité de sécurité émet une recommandation défavorable quant à la communication des ICUE:

34.

Lorsque cela est jugé nécessaire, et sous réserve du consentement préalable écrit de l'autorité d'origine, le Coreper peut décider que les informations classifiées ne peuvent être communiquées qu'en partie ou qu'après avoir été déclassées ou déclassifiées, ou que les informations à communiquer seront préparées sans indiquer de référence à l'origine ou au niveau initial de classification de l'UE.

35.

Lorsqu'une décision de communiquer des ICUE a été prise, le SGC transmet le document concerné, qui porte un marquage relatif à la communicabilité indiquant le pays tiers ou l'organisation internationale auquel ce document a été communiqué. Avant la communication effective ou au moment de celle-ci, la tierce partie concernée s'engage par écrit à protéger les ICUE qui lui sont transmises conformément aux principes de base et aux normes minimales prévus dans la présente décision.

36.

Lorsqu'il existe, conformément au paragraphe 2, un cadre pour l'échange d'informations classifiées avec un pays tiers ou une organisation internationale, le Conseil prend la décision d'autoriser le secrétaire général à communiquer des ICUE au pays tiers ou à l'organisation internationale concerné(e), dans le respect du principe du consentement de l'autorité d'origine.

37.

Lorsqu'il existe, conformément au paragraphe 3, un cadre pour l'échange d'informations classifiées avec un pays tiers ou une organisation internationale, le secrétaire général est autorisé à communiquer des ICUE, conformément à la décision établissant l'opération PSDC et au principe du consentement de l'autorité d'origine.

38.

Le secrétaire général peut déléguer ce pouvoir à de hauts fonctionnaires du SGC ou à d'autres personnes placées sous son autorité.

«annexe de sécurité (AS)», un ensemble de conditions contractuelles spéciales, établi par l'autorité contractante, qui fait partie intégrante de tout contrat classifié impliquant l'accès à des ICUE ou la création de telles informations, dans lequel sont définis les conditions de sécurité ou les éléments du contrat qui doivent être protégés pour des raisons de sécurité;

«assurance de l'information», voir l'article 10, paragraphe 1;

«autorité d'origine», l'institution, l'agence ou l'organe de l'UE, l'État membre, le pays tiers ou l'organisation internationale sous l'autorité duquel/de laquelle les informations classifiées ont été créées et/ou introduites dans les structures de l'UE;

«autorité de sécurité désignée (ASD)», l'autorité responsable devant l'autorité nationale de sécurité (ANS) d'un État membre qui est chargée de communiquer à des entités industrielles ou autres la politique nationale dans tous les domaines relevant de la sécurité industrielle et de fournir des orientations et une aide pour sa mise en œuvre. Les fonctions de l'ASD peuvent être exercées par l'ANS ou par toute autre autorité compétente;

«certificat d'habilitation de sécurité du personnel (CHSP)», un certificat délivré par une autorité compétente attestant qu'une personne a obtenu une habilitation de sécurité et détient une HSP nationale ou de l'UE valable, et indiquant le niveau de classification des ICUE auxquelles la personne peut être autorisée à avoir accès (CONFIDENTIEL UE/EU CONFIDENTIAL ou supérieur), la durée de validité de l'HSP correspondante et la date d'expiration du certificat;

«contractant», une personne physique ou morale dotée de la capacité juridique de conclure des contrats;

«contrat classifié», un contrat conclu par le SGC avec un contractant en vue de la fourniture de biens, de la réalisation de travaux ou de la prestation de services, dont l'exécution requiert ou implique l'accès à des ICUE ou la création de telles informations;

«contrat de sous-traitance classifié», un contrat conclu par un contractant du SGC avec un autre contractant (c'est-à-dire le sous-traitant) en vue de la fourniture de biens, de la réalisation de travaux ou de la prestation de services, dont l'exécution requiert ou implique l'accès à des ICUE ou la création de telles informations;

«cycle de vie d'un SIC», la durée totale d'existence d'un SIC, laquelle comprend le lancement, la conception, la planification, l'analyse des besoins, l'élaboration, le développement, la mise à l'essai, la mise en œuvre, l'exploitation, la maintenance et le démantèlement;

«déclassement», le passage à un niveau de classification de sécurité inférieur;

«déclassification», la suppression de toute classification de sécurité;

«défense en profondeur», l'application d'un éventail de mesures de sécurité organisées en plusieurs niveaux de défense;

«détenteur», une personne dûment autorisée qui, sur la base d'un besoin d'en connaître avéré, est en possession d'un élément d'ICUE et à laquelle il incombe par conséquent d'en assurer la protection;

«document», toute information enregistrée quelles que soient sa forme ou ses caractéristiques physiques;

«enquête de sécurité», les procédures d'enquête menées par l'autorité compétente d'un État membre, dans le respect de ses dispositions législatives et réglementaires nationales, en vue d'obtenir l'assurance qu'il n'existe pas de renseignements défavorables de nature à empêcher une personne d'obtenir une HSP nationale ou de l'UE lui permettant d'avoir accès à des ICUE jusqu'à un niveau déterminé (CONFIDENTIEL UE/EU CONFIDENTIAL ou supérieur);

«enregistrement», voir annexe III, paragraphe 18;

«entité industrielle ou autre», une entité s'occupant de la fourniture de biens, de la réalisation de travaux ou de la prestation de services; il peut s'agir d'une entité industrielle, commerciale ou scientifique, ou d'une entité de service, de recherche, d'enseignement ou de développement ou d'une personne exerçant une activité indépendante;

«gestion des informations classifiées», voir article 9, paragraphe 1;

«guide de la classification de sécurité (GCS)», un document qui décrit les éléments d'un programme ou d'un contrat qui sont classifiés, et précise les niveaux de classification de sécurité applicables. Le GCS peut être étoffé tout au long de la durée du programme ou du contrat et les éléments d'information peuvent être reclassifiés ou déclassés; lorsqu'il existe, le GCS fait partie de l'AS;

«habilitation de sécurité d'établissement (HSE)», une décision administrative prise par une ANS ou une ASD selon laquelle, du point de vue de la sécurité, un établissement peut assurer un niveau suffisant de protection pour les ICUE d'un niveau de classification de sécurité déterminé et selon laquelle le personnel de l'établissement qui doit accéder à des ICUE possède une habilitation de sécurité appropriée et a été informé des conditions de sécurité requises pour accéder à des ICUE et les protéger;

«habilitation de sécurité du personnel (HSP)», l'une des habilitations suivantes ou les deux:

«homologation», la procédure conduisant à une déclaration formelle de l'autorité d'homologation de sécurité (AHS) indiquant qu'un système est agréé pour fonctionner à un niveau de classification déterminé, selon un mode d'exploitation de sécurité spécifique dans son environnement opérationnel et à un niveau de risque acceptable, pour autant qu'un ensemble approuvé de mesures de sécurité ait été mis en place sur le plan technique et physique, ainsi qu'au niveau de l'organisation et des procédures;

«informations classifiées de l'UE» (ICUE), voir article 2, paragraphe 1;

«instructions de sécurité relatives à un programme/un projet (ISP)», une liste des procédures de sécurité appliquées à un programme ou à un projet spécifique en vue d'uniformiser ces procédures. Elles peuvent être revues tout au long de la durée du programme ou du projet;

«interconnexion», voir annexe IV, paragraphe 31;

«matériel», tout document ou élément de machine ou d'équipement, déjà fabriqué ou en cours de fabrication;

«matériel cryptographique», les algorithmes cryptographiques, les modules matériels et logiciels cryptographiques, et les produits comprenant les modalités de mise en œuvre et la documentation y relative, ainsi que les éléments de mise à la clé;

«menace», la cause potentielle d'un incident non souhaité susceptible de porter atteinte à une organisation ou à tout système qu'elle utilise. Les menaces peuvent être accidentelles ou délibérées (malveillantes); elles sont caractérisées par des éléments menaçants, des cibles potentielles et des méthodes d'attaque;

«mesures de sécurité concernant le personnel», voir article 7, paragraphe 1;

«mode d'exploitation de sécurité», la définition des conditions d'exploitation d'un SIC, compte tenu de la classification des informations traitées et des niveaux d'habilitation, des autorisations formelles d'accès et du besoin d'en connaître de ses utilisateurs. Il existe quatre modes d'exploitation pour le traitement ou la transmission d'informations classifiées: le mode exclusif, le mode dominant, le mode par cloisonnement et le mode multiniveau; on entend par:

«opération PSDC», une opération militaire ou civile de gestion de crise mise en place en vertu du titre V, chapitre 2, du traité sur l'Union européenne;

«procédure de gestion des risques de sécurité», l'ensemble de la procédure consistant à identifier, contrôler et limiter les événements aléatoires susceptibles d'avoir des répercussions sur la sécurité d'une organisation ou de tout système qu'elle utilise. La procédure couvre l'ensemble des activités liées aux risques, y compris l'évaluation, le traitement, l'acceptation et la communication;

«ressource», tout ce qui présente de l'utilité pour une organisation, ses activités et la continuité de celles-ci, y compris les ressources en matière d'information dont l'organisation a besoin pour s'acquitter de sa mission;

«risque», la possibilité qu'une menace donnée se concrétise en tirant parti des vulnérabilités internes et externes d'une organisation ou d'un des systèmes qu'elle utilise et cause ainsi un préjudice à l'organisation ou à ses ressources matérielles ou immatérielles. Il se mesure en tenant compte à la fois de la probabilité de voir se concrétiser des menaces et de l'impact de celles-ci.

«risque résiduel», le risque qui subsiste après que des mesures de sécurité ont été mises en œuvre, étant entendu qu'il est impossible de contrer toutes les menaces et d'éliminer toutes les vulnérabilités;

«sécurité industrielle», voir article 11, paragraphe 1;

«sécurité physique», voir article 8, paragraphe 1;

«système d'information et de communication (SIC)», voir article 10, paragraphe 2;

«Tempest», l'analyse, l'étude et le contrôle des émissions électromagnétiques susceptibles de compromettre les informations, ainsi que les mesures destinées à les éliminer;

«traitement» d'ICUE, l'ensemble des actions dont les ICUE sont susceptibles de faire l'objet tout au long de leur cycle de vie. Sont ainsi visés leur création, leur traitement, leur transport, leur déclassement, leur déclassification et leur destruction. En ce qui concerne les SIC, sont en outre compris leur collecte, leur affichage, leur transmission et leur stockage;

«vulnérabilité», toute faiblesse de quelque nature que ce soit dont une ou plusieurs menaces est susceptible de tirer parti pour se concrétiser. La vulnérabilité peut résulter d'une omission ou être liée à un contrôle défaillant en termes de rigueur, d'exhaustivité ou d'homogénéité; elle peut être de nature technique, procédurale, physique, organisationnelle ou opérationnelle.

Autorité nationale de sécurité

SPF Affaires étrangères, commerce extérieur et coopération au développement

Rue des Petits Carmes 15

1000 Bruxelles

Téléphone secrétariat: +32 25014542

Télécopieur: +32 25014596

Adresse électronique: nvo-ans@diplobel.fed.be

Politiets Efterretningstjeneste

(Danish Security Intelligence Service)

Klausdalsbrovej 1

2860 Søborg

Téléphone: +45 33148888

Télécopieur: +45 33430190

Forsvarets Efterretningstjeneste

(Danish Defence Intelligence Service)

Kastellet 30

2100 Copenhagen Ø

Téléphone: +45 33325566

Télécopieur: +45 33931320

State Commission on Information Security

90 Cherkovna Str.

1505 Sofia

Téléphone: +359 29215911

Télécopieur: +359 29873750

Adresse électronique: dksi@government.bg

Site web: www.dksi.bg

Bundesministerium des Innern

Referat ÖS III 3

Alt-Moabit 101 D

11014 Berlin

Téléphone: +49 30186810

Télécopieur: +49 30186811441

Adresse électronique: oesIII3@bmi.bund.de

Národní bezpečnostní úřad

(National Security Authority)

Na Popelce 2/16

150 06 Praha 56

Téléphone: +420 257283335

Télécopieur: +420 257283110

Adresse électronique: czech.nsa@nbu.cz

Site web: www.nbu.cz

National Security Authority Department

Estonian Ministry of Defence

Sakala 1

15094 Tallinn, Estonia

Téléphone: +372 7170113, +372 7170117

Télécopieur: +372 7170213

Adresse électronique: nsa@kmin.ee

National Security Authority

Department of Foreign Affairs

76 - 78 Harcourt Street

Dublin 2 Irlande

Téléphone: +353 14780822

Télécopieur: +353 14082959

Autoridad Nacional de Seguridad

Oficina Nacional de Seguridad

Avenida Padre Huidobro s/n

28023 Madrid

Téléphone: +34 913725000

Télécopieur: +34 913725808

Adresse électronique: nsa-sp@areatec.com

Γενικό Επιτελείο Εθνικής Άμυνας (ΓΕΕΘΑ)

Διακλαδική Διεύθυνση Στρατιωτικών Πληροφοριών (ΔΔΣΠ)

Διεύθυνση Ασφαλείας και Αντιπληροφοριών

ΣΤΓ 1020 -Χολαργός (Αθήνα)

Ελλάδα

Τηλέφωνα: +30 2106572045 (ώρες γραφείου)

+30 2106572009 (ώρες γραφείου)

Φαξ: +30 2106536279

+30 2106577612

Hellenic National Defence General Staff (HNDGS)

Military Intelligence Sectoral Directorate

Security Counterintelligence Directorate

STG 1020 Holargos – Athens

Téléphone: +30 2106572045

+30 2106572009

Télécopieur: +30 2106536279

+30 2106577612

Secrétariat général de la défense et de la sécurité nationale

Sous-direction Protection du secret (SGDSN/PSD)

51 boulevard de la Tour-Maubourg

75700 Paris 07 SP

Téléphone: +33 171758177

Télécopieur: +33 171758200

Presidenza del Consiglio dei Ministri

Autorità Nazionale per la Sicurezza

D.I.S. - U.C.Se.

Via di Santa Susanna, 15

00187 Roma

Téléphone: +39 0661174266

Télécopieur: +39 064885273

National Security Authority

Constitution Protection Bureau of the Republic of Latvia

P.O.Box 286

LV-1001 Riga

Téléphone: +371 67025418

Télécopieur: +371 67025454

Adresse électronique: ndi@sab.gov.lv

ΥΠΟΥΡΓΕΙΟ ΑΜΥΝΑΣ

ΣΤΡΑΤΙΩΤΙΚΟ ΕΠΙΤΕΛΕΙΟ ΤΟΥ ΥΠΟΥΡΓΟΥ

Εθνική Αρχή Ασφάλειας (ΕΑΑ)

Υπουργείο Άμυνας

Λεωφόρος Εμμανουήλ Ροΐδη 4

1432 Λευκωσία, Κύπρος

Τηλέφωνα: +357 22807569, +357 22807643, +357 22807764

Τηλεομοιότυπο: +357 22302351

Ministry of Defence

Minister's Military Staff

National Security Authority (NSA)

4 Emanuel Roidi street

1432 Nicosia

Téléphone: +357 22807569, +357 22807643, +357 22807764

Télécopieur: +357 22302351

Adresse électronique: cynsa@mod.gov.cy

Lietuvos Respublikos paslapčių apsaugos koordinavimo komisija

(The Commission for Secrets Protection Coordination of the Republic of Lithuania

National Security Authority)

Gedimino 40/1

LT-01110 Vilnius

Téléphone: +370 52663201, +370 52663202

Télécopieur: +370 52663200

Adresse électronique: nsa@vsd.lt

Autorité nationale de sécurité

Boîte postale 2379

1023 Luxembourg

Téléphone: +352 24782210 central,

+352 24782253 direct

Télécopieur: +352 24782243

Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Postbus 20010

2500 EA Den Haag

Téléphone: +31 703204400

Télécopieur: +31 703200733

Ministerie van Defensie

Beveiligingsautoriteit

Postbus 20701

2500 ES Den Haag

Téléphone: +31 703187060

Télécopieur: +31 703187522

Nemzeti Biztonsági Felügyelet

(National Security Authority)

P.O. Box 2

1357 Budapest

Téléphone: +361 3469652

Télécopieur: +361 3469658

Adresse électronique: nbf@nbf.hu

Site web: www.nbf.hu

Ministry of Justice and Home Affairs

P.O. Box 146

Valletta

Téléphone: +356 21249844

Télécopieur: +356 25695321

Informationssicherheitskommission

Bundeskanzleramt

Ballhausplatz 2

1014 Wien

Téléphone: +43 1531152594

Télécopieur: +43 1531152615

Adresse électronique: ISK@bka.gv.at

Agencja Bezpieczeństwa Wewnętrznego – ABW

(Internal Security Agency)

2A Rakowiecka St.

00-993 Warszawa

Téléphone: +48 225857360

Télécopieur: +48 225858509

Adresse électronique: nsa@abw.gov.pl

Site web: www.abw.gov.pl

Służba Kontrwywiadu Wojskowego

(Military Counter-Intelligence Service)

Classified Information Protection Bureau

Oczki 1

02-007 Warszawa

Téléphone: +48 226841247

Télécopieur: +48 226841076

Adresse électronique: skw@skw.gov.pl

Oficiul Registrului Național al Informațiilor Secrete de Stat

(Romanian NSA – ORNISS

National Registry Office for Classified Information)

4 Mures Street

012275 Bucharest

Téléphone: +40 212245830

Télécopieur: +40 212240714

Adresse électronique: nsa.romania@nsa.ro

Site web: www.orniss.ro

Presidência do Conselho de Ministros

Autoridade Nacional de Segurança

Rua da Junqueira, 69

1300-342 Lisboa

Téléphone: +351 213031710

Télécopieur: +351 213031711

Urad Vlade RS za varovanje tajnih podatkov

Gregorčičeva 27

SI-1000 Ljubljana

Téléphone: +386 14781390

Télécopieur: +386 14781399

Národný bezpečnostný úrad

(National Security Authority)

Budatínska 30

P.O. Box 16

SVK-850 07 Bratislava

Téléphone: +421 268692314

Télécopieur: +421 263824005

Site web: www.nbusr.sk

Utrikesdepartementet

(Ministry for Foreign Affairs)

SSSB

SE-103 39 Stockholm

Téléphone: +46 84051000

Télécopieur: +46 87231176

Adresse électronique: ud-nsa@foreign.ministry.se

National Security Authority

Ministry for Foreign Affairs

P.O. Box 453

FI-00023 Government

Téléphone 1: +358 916056487

Téléphone 2: +358 916056484

Fax: +358 916055140

Adresse électronique: NSA@formin.fi

UK National Security Authority

Room 335, 3rd Floor

70 Whitehall

London

SW1A 2AS

Téléphone 1: +44 2072765649

Téléphone 2: +44 2072765497

Télécopieur: +44 2072765651

Adresse électronique: UK-NSA@cabinet-office.x.gsi.gov.uk