Art. Instruction générale (suite 2), Arrêté du 30 novembre 2011 portant approbation de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale

TITRE VI

LA PROTECTION DU SECRET DANS LES CONTRATS

Les personnes morales de droit privé, de la même façon que les personnes physiques, doivent être habilitées pour l'exécution de travaux classifiés ;

La détention par un contractant d'informations ou de supports classifiés est conditionnée par l'aptitude physique des locaux à accueillir de tels informations ou supports.

Article 93

Principes généraux de sécurité

La sécurité des informations ou supports classifiés dans les contrats, entendus au sens de l'article 2 de la présente instruction, est garantie par l'insertion de stipulations répondant aux présentes prescriptions et précisant les obligations des contractants. Tout contrat de sous-traitance (142) d'un marché nécessitant l'accès aux informations ou supports classifiés obéit aux règles de la présente instruction, y compris dans la phase précontractuelle.

Tout contrat qui implique l'accès aux informations ou supports classifiés comporte des clauses de protection du secret précisant les obligations des contractants telles que définies en annexe 9. Le titulaire d'un tel contrat s'engage, sous sa responsabilité pénale et contractuelle, à assurer la protection des informations ou supports classifiés qu'il aura à détenir ou à connaître au titre de ce contrat en tenant compte des dispositions particulières stipulées dans l'annexe de sécurité se rapportant au contrat.

L'aptitude physique à détenir des informations ou supports classifiés est conditionnée par le respect des dispositions législatives et réglementaires en matière de protection du secret de la défense nationale. Le titulaire d'un contrat dont l'objet implique la détention d'informations ou de supports classifiés est tenu de mettre en œuvre dans son ou ses établissements les mesures de sécurité requises pour assurer la protection du secret de la défense nationale conformément à l'article 71. A l'égard de toute personne qu'il emploie, qu'il reçoit ou avec laquelle il a des liens, le titulaire du contrat concerné prend toutes mesures utiles pour contrôler, et le cas échéant limiter, l'accès aux parties de ses installations dans lesquelles la protection des informations ou supports classifiés le justifie.

Chapitre Ier

Mesures de sécurité dans la négociation

et la passation des contrats

Section 1

Phase précontractuelle

Article 94

Obligations de l'autorité contractante

Dès le début d'une procédure de passation d'un contrat ou s'il y a lieu dans l'avis d'appel public à la concurrence, l'autorité contractante est tenue d'informer les futurs candidats du délai imparti pour fournir les documents nécessaires à l'habilitation et, si le contrat nécessite la détention d'informations ou de supports classifiés, les documents nécessaires pour faire procéder à l'évaluation de l'aptitude physique de l'entreprise à détenir de tels informations ou supports. Ce délai ne peut être inférieur à quinze jours à compter de la date de l'information délivrée par l'autorité contractante. A cet effet, l'autorité contractante communique tous les formulaires nécessaires ou les modalités pour se les procurer et, le cas échéant, le service compétent pour traiter le dossier.

Les candidats à des contrats nécessitant la détention d'informations ou de supports classifiés sont informés des normes physiques à satisfaire et des obligations induites par la détention de tels informations ou supports et du fait que le début des travaux classifiés est suspendu à l'évaluation de l'aptitude qui peut, le cas échéant, intervenir après la notification du contrat.

Lorsque le dossier est incomplet, l'autorité contractante informe les soumissionnaires des pièces manquantes, qui devront être fournies avant l'expiration du délai fixé.

L'autorité contractante informe l'autorité d'habilitation des candidats retenus et lui transmet le projet d'annexe de sécurité. L'autorité d'habilitation transmet le dossier de demande d'habilitation au service enquêteur compétent dès réception de cette information.

Article 95

Obligations du soumissionnaire

Tout candidat, personne physique ou morale, à un contrat, quels que soient sa nationalité, la forme ou le statut juridique de l'entreprise, doit faire l'objet d'une habilitation dans les conditions définies au présent titre. A cet effet, dans le cadre de sa candidature, la personne morale ou physique soumissionnaire doit présenter un dossier de demande d'habilitation ou un certificat de sécurité en cours de validité attestant de son habilitation. Sous réserve des dispositions de l'article 97 de la présente instruction, ce dossier d'habilitation doit être conforme à l'annexe 11.

A l'appui de sa candidature à un contrat dont l'exécution implique la détention d'informations ou de supports classifiés, l'entreprise, quelle que soit sa nationalité, doit, en outre, s'engager à déposer un dossier d'aptitude pour chacun des établissements situés sur le territoire français dans lesquels il est envisagé d'exécuter des travaux classifiés. Ce dossier est destiné à l'évaluation de l'aptitude desdits établissements à assurer la protection des éléments couverts par le secret de la défense nationale.

A défaut d'avoir fourni ou complété le ou les dossiers mentionnés aux paragraphes 1 et 2 du présent article dans les délais fixés, le soumissionnaire est réputé avoir renoncé à demander une habilitation aux informations et supports classifiés pour le contrat considéré.

Article 96

Communication d'informations

classifiées en phase précontractuelle

Dès lors que la prise de connaissance d'informations classifiées est nécessaire dans la phase précontractuelle, et notamment pour l'élaboration et la soumission de l'offre, l'habilitation des personnes physiques est possible sans que la personne morale qui les emploie ne soit elle-même habilitée, à condition que la procédure d'habilitation la concernant ait été initiée. A cet effet, le soumissionnaire doit désigner parmi son personnel, au plus tard lorsque sa candidature a été retenue pour établir une offre, une ou plusieurs personnes qui accéderont aux informations ou supports classifiés dans le strict besoin d'élaboration de l'offre.

Si les personnes désignées en application de la présente section ne sont pas titulaires d'une habilitation ou si la décision d'habilitation les concernant n'est pas appropriée aux besoins du contrat, le soumissionnaire dont elles relèvent dépose simultanément une demande d'habilitation pour chacune d'elles. Cette demande est instruite et fait l'objet d'une décision d'habilitation provisoire ou d'une décision de refus délivrée dans les conditions et délais prévus au titre II (chapitre 2) de la présente instruction. Les habilitations provisoires délivrées en application de la procédure définie à la présente section ne préjugent pas de l'habilitation de la personne morale pour exécuter ledit contrat.

L'autorité contractante définit la liste des personnes autorisées à prendre connaissance d'informations et supports classifiés dans le cadre de l'élaboration de l'offre et fixe les lieux et les modalités d'exploitation des éléments couverts par le secret de la défense nationale. Ces lieux doivent présenter les garanties de protection inhérentes au niveau d'informations classifiées traitées telles que définies à l'article 71.

Les candidats non retenus détenant des informations et supports classifiés sont tenus de les restituer à leur émetteur dès la notification du rejet de leur offre et selon les modalités définies par l'autorité contractante.

Article 97

Cas des entreprises étrangères

Toute entreprise de droit étranger candidate à un contrat est tenue, à l'appui de sa candidature, de produire une attestation justifiant de son habilitation ou de la procédure en cours engagée à cette fin. Cette attestation est délivrée par une autorité d'habilitation de l'Etat dont elle relève lorsque cet Etat a conclu un accord de sécurité bilatéral ou multilatéral couvrant les échanges d'informations ou supports classifiés avec la France.

L'autorité d'habilitation peut saisir le secrétariat général de la défense et de la sécurité nationale, autorité nationale de sécurité, ou l'autorité de sécurité déléguée mentionnée dans l'accord de sécurité aux fins de requérir l'autorité nationale de sécurité de l'Etat de nationalité de l'entreprise candidate en vue de procéder à l'habilitation appropriée de cette entreprise.

Aucune entreprise candidate de droit étranger ne peut être retenue lorsque l'exécution du contrat conclu dans le cadre du présent titre implique la détention ou l'échange d'informations ou supports classifiés portant la mention " Spécial France " (143).

Article 98

Cas des entreprises françaises qui soumissionnent

dans un cadre international

Les entreprises françaises candidates à un contrat nécessitant l'accès à des informations classifiées en dehors du cadre national et pour lesquelles une habilitation est requise, adressent, si elles ne sont pas déjà titulaires d'une habilitation, leur dossier d'habilitation soit au secrétariat général de la défense et de la sécurité nationale en sa qualité d'autorité nationale de sécurité soit à l'autorité de sécurité déléguée mentionnée dans l'accord de sécurité applicable entre la France et le pays au profit duquel elles soumissionnent. Une entreprise déjà habilitée s'adresse à son autorité d'habilitation pour une extension éventuelle du domaine d'habilitation. L'autorité d'habilitation transmet, le cas échéant, les éléments à l'autorité nationale de sécurité pour la délivrance d'une attestation d'habilitation appropriée.

Section 2

La procédure d'habilitation

Article 99

L'enquête préalable

Afin d'évaluer si une entreprise ne présente pas de vulnérabilité pour la défense et la sécurité nationale, les investigations menées par le service enquêteur portent notamment sur les détenteurs réels du pouvoir de direction et de contrôle ainsi que sur le ou les actionnaires. L'autorité nationale de sécurité de l'Etat de la nationalité des dirigeants ou des actionnaires peut être consultée. Le sens de l'enquête de vulnérabilité n'affecte en rien l'honorabilité de l'entreprise concernée ni celle de ses dirigeants.

Au terme des investigations, le service enquêteur émet un avis de sécurité qui n'est communiqué qu'à l'autorité d'habilitation.

Les conclusions de l'avis de sécurité sont de trois types :

-" avis sans objection ", lorsque l'instruction n'a révélé aucun élément de vulnérabilité de nature à constituer un risque pour la sécurité des informations ou supports classifiés ni pour celle de la personne morale ;

-" avis restrictif ", lorsque la personne morale présente certaines vulnérabilités constituant des risques directs ou indirects pour la sécurité des informations ou supports classifiés auxquels elle aurait accès, mais que des mesures de sécurité spécifiques prises par l'officier de sécurité permettraient de maîtriser ;

-" avis défavorable ", lorsque des informations précises font apparaître que la personne morale présente des vulnérabilités faisant peser des risques tels qu'aucune mesure de sécurité ne semble suffisante à les neutraliser.

L'avis de sécurité est émis pour un niveau donné d'habilitation. L'avis " sans objection " est valable pour le niveau précisé ainsi que pour le (s) niveau (x) inférieur (s). Pour les avis restrictifs ou défavorables, les services enquêteurs se prononcent, au cas par cas, sur l'opportunité d'accorder une habilitation pour le (s) niveau (x) inférieur (s).

Les avis restrictifs ou défavorables ne sont pas classifiés. Ils sont assortis d'une fiche confidentielle indiquant les motifs de l'avis. Cette fiche, classifiée en tout ou partie, explicite les motifs de vulnérabilité décelés lors de l'enquête. Ces motifs ne peuvent être portés qu'à la connaissance de la seule autorité d'habilitation. Ne pouvant être reproduite, la fiche confidentielle est retournée après communication et sans délai au service enquêteur qui l'a émise, aux fins de conservation.

Toutefois, afin de permettre la reconnaissance des habilitations entre autorités d'habilitation, l'avis de sécurité ainsi que tous les éléments relatifs à l'habilitation de la personne morale concernée peuvent être transmis entre autorités d'habilitation. Sauf changement dans la situation de fait ou de droit de l'entreprise, la durée de validité de l'avis de sécurité émis est fixée conformément aux dispositions de l'article 24.

Article 100

L'habilitation de la personne morale

L'habilitation du contractant est une décision explicite qui est délivrée par l'autorité d'habilitation sur la base de l'avis de sécurité émis par l'un des services enquêteurs désignés à l'article 24.

L'autorité d'habilitation prend sa décision au vu de l'avis de sécurité émis avant la date d'attribution du contrat, sans être liée par cet avis. En cas d'urgence justifiée et après saisine du service enquêteur, l'autorité d'habilitation prend en dernier ressort, si elle l'estime nécessaire, sa décision au vu de tout autre élément utile en sa possession.

La décision de refus d'habilitation est notifiée au représentant de la personne morale dans les conditions définies à l'article 26. Une décision de refus ne préjuge pas de la conclusion de contrats de toute nature n'impliquant pas la mise en œuvre de mesures de protection du secret de la défense nationale.

Les décisions d'habilitation délivrées à l'occasion de la passation d'un contrat nécessitant la prise de connaissance d'informations classifiées ou leur détention comportent une date limite de validité fixée par l'autorité d'habilitation ainsi que, s'il y a lieu, un domaine de validité. La durée de validité de la décision d'habilitation peut être distincte de celle de l'avis de sécurité, sans pouvoir lui être supérieure.

Article 101

Durée de validité de l'habilitation

des personnes morales

L'habilitation délivrée à une entreprise par un ministère à l'occasion d'un contrat nécessitant l'accès ou la détention d'informations ou supports classifiés demeure valable pour toute autre consultation d'une autorité contractante relevant de ce même ministère, à l'occasion d'un autre contrat, dans les limites de date et de domaine de validité de cette habilitation et sauf changement dans la situation de fait ou de droit de l'entreprise considérée.

L'habilitation en cours de validité précédemment délivrée par un autre département ministériel, dont une attestation peut être établie, est étendue au nouveau contrat sauf changement dans la situation de droit ou de fait du soumissionnaire. L'autorité d'habilitation, le cas échéant après examen du dossier transmis, à sa demande, par l'autorité ayant précédemment habilité le soumissionnaire, peut prendre une décision d'habilitation relative au domaine du nouveau contrat si l'habilitation précédemment délivrée a été limitée à un domaine particulier.

Si la décision d'habilitation arrive à expiration au cours de l'exécution d'un contrat régi par les présentes dispositions, une demande de renouvellement doit être déposée auprès de l'autorité d'habilitation, dans les six mois et, au plus tard, un mois avant cette date d'expiration. La durée de validité de la décision est alors prorogée dans les conditions définies à l'article 31.

Tout changement affectant le titulaire d'une habilitation, personne morale ou personne physique, intervenant après la décision doit être signalé à l'autorité d'habilitation afin de lui permettre de reconsidérer sa décision.

Article 102

Confidentialité de l'habilitation

de la personne morale

La personne morale titulaire d'une décision d'habilitation ne peut faire publiquement état de cette décision ou s'en prévaloir, ni communiquer à des tiers des informations se référant à des travaux classifiés sauf autorisation expresse de l'autorité contractante de référence.

Article 103

L'habilitation des personnes physiques

Sont seules autorisées à connaître des informations ou supports classifiés pour le compte d'une entreprise habilitée les personnes appartenant à cette entreprise qui ont fait l'objet au préalable d'une décision d'habilitation délivrée dans les conditions prévues à l'article 24. Sauf exception, le niveau de cette habilitation ne peut excéder celui de l'habilitation de la personne morale.

Il pourra être fait recours à l'agrément défini à l'article 33 pour un accès ponctuel à des informations classifiées à un niveau supérieur à celui de l'habilitation de la personne morale.

Les contrats de travail privés ou publics des personnes mentionnées au premier alinéa comportent une clause de protection du secret conforme à la clause type figurant à l'annexe 9 (4°). En cas de changement d'affectation amenant le salarié à travailler dans les conditions définies au premier alinéa, le contrat de travail fait l'objet d'un avenant écrit conforme aux présentes dispositions. Les parties au contrat de travail peuvent compléter ou adapter la clause type selon les spécificités dudit contrat sans lui être contraire.

Section 3

Phase de contractualisation

Article 104

Conditions de signature du contrat

L'autorité contractante ne peut signer aucun contrat nécessitant la connaissance d'informations classifiées avant réception de l'attestation d'habilitation de la personne morale ou physique candidate retenue, établie, sauf dans le cas d'une procédure d'urgence, sur la base de l'avis de sécurité du service enquêteur.

Lorsque le contrat nécessite la détention d'informations classifiées, la validation définitive de l'aptitude, sur la base d'un dossier établi conformément aux prescriptions de l'annexe 13, doit avoir été transmise à l'autorité contractante avant le début des travaux classifiés mais peut être communiquée à l'entreprise après la notification du contrat. Dans ce cas, et selon le calendrier établi en liaison avec le service enquêteur et l'autorité contractante, la date de début d'exécution du contrat est précisée au moment de la notification dans les conditions suivantes :

1. Un contrôle initial d'aptitude portant sur les mesures prises par l'entreprise habilitée pour assurer la sécurité des informations ou supports classifiés est effectué par le service enquêteur dans le ou les établissements concernés, préalablement à tout commencement d'exécution des travaux classifiés. A l'issue de ce contrôle, l'avis technique délivré par le service enquêteur est transmis à l'autorité contractante et notifié au contractant. A réception de cet avis, et s'il est sans réserve, le responsable de l'entreprise établit une attestation (144) certifiant la mise aux normes des locaux du ou des établissements concernés.

2. Si l'avis technique fait état de carences dans le dispositif de sécurité mis en œuvre au sein de l'entreprise, le titulaire est tenu de s'engager à mettre en œuvre toutes les mesures nécessaires à la mise en conformité de son établissement dans un délai défini en liaison avec le service enquêteur et l'autorité contractante et compatible avec la date de début des travaux classifiés.

3. A l'issue des travaux de mise aux normes et au plus tard à la date d'expiration du délai stipulé lors de la notification, la certification de l'aptitude mentionnée au paragraphe 1 du présent article (145) est transmise par le responsable de l'entreprise à l'autorité contractante, qui en informe le service enquêteur et peut le solliciter pour diligenter un contrôle.

4. Si l'attestation n'est pas parvenue dans le délai prédéfini ou si des carences sont constatées lors des contrôles effectués par le service enquêteur, une mise en demeure de se conformer aux prescriptions de l'article 71 est effectuée. Le défaut d'exécution des travaux engage la responsabilité du titulaire.

Si le titulaire dispose d'un local apte au traitement d'informations ou de supports classifiés ayant fait l'objet d'un avis d'aptitude dans le cadre d'un précédent contrat, il communique à l'autorité contractante de référence cet avis ainsi que l'attestation de non-changement des conditions qui ont amené la délivrance de l'avis d'aptitude (146).

Chapitre II

Mesures de sécurité liées à l'exécution des contrats

Section 1

La structure de sécurité

Article 105

Le responsable de la politique de sécurité de l'entreprise

Sous sa responsabilité pénale et contractuelle et celle de la personne morale, le chef de l'entreprise titulaire du contrat est tenu de mettre en œuvre les prescriptions réglementaires pour assurer la sécurité des informations ou supports classifiés. A ce titre, une politique de sécurité garantissant la mise en œuvre du dispositif de protection des informations ou supports classifiés au sein de l'entreprise et, le cas échéant, de ses différents établissements doit être établie. Pour l'élaboration et la mise en œuvre de la politique de sécurité, le représentant de la personne morale désigne une ou plusieurs personnes à la fonction d'officier de sécurité. Les personnes ainsi désignées doivent avoir un niveau hiérarchique suffisant dans l'entreprise et disposer de tous les moyens nécessaires pour accomplir les missions qui leur sont confiées. A cet effet, elles sont rattachées dans l'exercice de leurs missions de sécurité au chef d'entreprise et agissent pour le compte et sous la responsabilité de ce dernier.

L'officier de sécurité doit faire l'objet d'un agrément par l'autorité d'habilitation. Pour être agréé, l'officier de sécurité doit être préalablement habilité. Cet agrément peut être délivré pour une période probatoire de douze mois au plus. A l'issue de cette période probatoire, sauf décision explicite contraire, l'agrément est réputé confirmé. L'agrément peut être retiré à tout moment par l'autorité d'habilitation, notamment lorsque son titulaire cesse d'être habilité. Dans ce cas, le chef de l'entreprise titulaire du contrat concerné doit proposer un nouveau titulaire dans les mêmes conditions et dans les plus brefs délais.

En fonction des besoins de protection du secret dans chaque établissement de l'entreprise, le chef de l'entreprise titulaire d'un contrat impliquant la détention d'éléments classifiés peut désigner un ou plusieurs adjoints à l'officier de sécurité, qui est alors identifié comme officier central de l'entreprise. Ses adjoints sont appelés officiers de sécurité d'établissement.

Dès lors que des systèmes d'information hébergent et traitent des informations classifiées, le chef d'entreprise doit également désigner un officier de sécurité affecté à la sécurité des systèmes d'information afin de renforcer la structure de sécurité. Cette fonction peut être exercée par l'officier de sécurité ou sous son autorité.

Les dispositions de la présente section sont applicables à tout adjoint d'un officier de sécurité.

Le chef d'entreprise peut, le cas échéant, désigner des correspondants de sécurité au sein de subdivisions physiques ou opérationnelles de l'entreprise pour consolider l'action de l'officier de sécurité au sein de ces subdivisions. Placés, pour cette mission, sous le contrôle opérationnel d'un officier de sécurité, ces correspondants de sécurité ne font pas l'objet de l'agrément prescrit ci-dessus.

Article 106

Rôle et obligations de l'officier de sécurité

Sous l'autorité du chef de l'entreprise, l'officier de sécurité est chargé de l'organisation générale de la sécurité de l'établissement, et notamment des relations, au titre de sa fonction, avec le service enquêteur, les autorités d'habilitation et les autorités contractantes.

1. A ce titre, il est amené à s'assurer notamment :

-de l'application des règles de sécurité énoncées dans les différents textes au sein de l'établissement ;

-de la gestion des dossiers d'habilitation du personnel de l'établissement en fonction du besoin d'en connaître ; il est également chargé des demandes d'habilitation de sous-traitants éventuels. Il est tenu de signaler au service enquêteur les éléments de vulnérabilité portés à sa connaissance apparaissant après la décision d'habilitation et de signaler à l'autorité d'habilitation tout changement dans les statuts de la personne morale ;

-de la tenue à jour d'un registre des membres du personnel titulaires d'une habilitation et auxquels l'accès est autorisé, dans le cadre du contrat et d'éventuels contrats de sous-traitance. Ce registre indique les dates de délivrance et de fin de validité ainsi que le niveau de ces habilitations ;

-de fournir, à la demande du service enquêteur, des renseignements sur toutes les personnes qui seront appelées à avoir accès à des informations classifiées ;

-de la sensibilisation et de la formation du personnel ;

-de signaler les compromissions du secret avérées ou supposées, dans les conditions définies à l'article 67 ;

-de la gestion et de la mise à jour des annexes de sécurité des contrats de droit public ou de droit privé ;

-de la mise à jour du dossier de sécurité.

2. Dans le cadre des contrats impliquant la détention d'informations ou de supports classifiés, il est en outre chargé :

-du contrôle permanent de la gestion et de la protection des informations ou supports classifiés ;

-de la gestion et du suivi des ACSSI ;

-de la gestion des demandes d'autorisation d'accès au périmètre d'accès restreint et de la gestion des contrôles élémentaires pour l'accès des personnels extérieurs à l'établissement ;

-de l'application des règles internationales en matière de visites de ressortissants étrangers se rendant dans l'établissement dont il a la charge ;

-de l'application des règles internationales en matière de visites à l'étranger des personnels de son établissement ;

-de la sensibilisation aux prescriptions de sécurité à respecter dans l'établissement par les différents intervenants ;

-du respect des dispositions réglementaires en matière d'accès, de manipulation, de conservation, de reproduction et de destruction des informations classifiées.

Section 2

L'annexe de sécurité

Article 107

Contenu de l'annexe de sécurité

Tout contrat comporte une annexe de sécurité qui énumère les instructions de sécurité relatives au contrat. Lorsque son contenu le justifie, elle peut être classifiée en tout ou partie. Elle peut être modifiée en cours d'exécution du contrat à l'initiative de l'autorité contractante ou sur proposition du titulaire du contrat.

L'autorité contractante approuve l'annexe de sécurité du contrat et les annexes de sécurité des éventuels contrats de sous-traitance. Le suivi des annexes de sécurité des contrats de sous-traitance est effectué par le primo-contractant sous sa responsabilité et sous le contrôle de l'autorité contractante de référence. Les modalités de ce contrôle peuvent être définies dans des clauses particulières ou dans l'annexe de sécurité du contrat principal.

L'annexe de sécurité porte sur les prescriptions mentionnées en annexe 13. Celles-ci peuvent être adaptées par l'autorité contractante en liaison avec le titulaire sans pouvoir leur être contraires.

Article 108

Cas de la sous-traitance

Tout contrat nécessitant la détention d'informations ou de supports classifiés donnant lieu à au moins un contrat de sous-traitance nécessitant lui-même un accès à des informations ou supports classifiés doit intégrer dans son annexe de sécurité la liste des sous-traitants concernés, les travaux réalisés et leurs dates prévisionnelles de début et de fin d'exécution ainsi que les informations et supports classifiés dont la connaissance est nécessaire à leur réalisation. La modification de l'annexe de sécurité peut se faire a posteriori sous réserve de l'accord de l'autorité contractante de référence.

Section 3

Suivi de l'exécution

Article 109

Obligations du titulaire

Durant l'exécution du contrat, le titulaire est tenu de mettre en œuvre les mesures de sécurité requises pour assurer la protection des informations classifiées. En particulier, dans le cadre de la détention d'informations ou de supports classifiés, il contrôle l'accès à ses installations et doit se soumettre à des contrôles d'aptitude périodiques tout au long de l'exécution du contrat. Il est tenu d'informer l'autorité d'habilitation et le service enquêteur de tout changement de fait ou de droit dans la situation de l'entreprise ou des personnels participant à l'exécution du contrat.

Article 110

Obligations spécifiques des primocontractants

Les primocontractants doivent garantir, en outre, l'application par leurs sous-traitants de conditions de sécurité non moins strictes que celles prévues dans le contrat. Les primocontractants doivent demander l'autorisation à l'autorité contractante de référence pour communiquer des informations classifiées à des sous-traitants. Selon les modalités définies par les parties, cette autorisation peut porter sur tout ou partie des informations classifiées, selon le besoin d'en connaître, en fonction de l'étendue des prestations définies par le contrat de sous-traitance.

Il ne peut être communiqué à des sous-traitants des informations ou supports classifiés se rapportant audit contrat avant que ces sous-traitants, ainsi que leurs employés ayant à en connaître, n'aient fait l'objet d'une décision d'habilitation. L'éventuelle détention d'informations et supports classifiés par les sous-traitants ne peut se faire que sous couvert de contrats avec annexe de sécurité approuvée par l'autorité contractante de référence.

Article 111

Les contrôles de sécurité et d'aptitude

Des contrôles d'aptitude et des inspections peuvent être diligentés périodiquement dans les locaux des entreprises, conformément à l'article 8, pour vérifier l'application de la présente instruction pendant l'exécution de chaque contrat.

Sous la responsabilité du chef d'entreprise, les locaux de l'entreprise titulaire doivent être réaménagés en conformité avec les dispositions réglementaires en vigueur lorsqu'ils ne présentent plus les garanties suffisantes pour la sécurité des informations ou supports classifiés. Pendant les travaux de réaménagement de ces locaux, l'entreprise prend toutes mesures pour assurer la sécurité des informations ou supports classifiés. Après chaque mise en conformité, un contrôle donnant lieu à un nouvel avis d'aptitude des locaux concernés peut être effectué par le service enquêteur et la procédure mentionnée à l'article 104 s'applique. Tout refus de mise en conformité ou tout retard pour se mettre en conformité peut être considéré comme un non-respect des engagements contractuels en matière de protection du secret et entraîner le prononcé des sanctions prévues au contrat, sans préjudice d'éventuelles sanctions pénales.

Article 112

Mesures particulières en fin d'exécution du contrat

Lorsque les travaux classifiés sont terminés, le titulaire du contrat doit en informer dans le délai d'un mois l'autorité contractante, qui lui précise la destination à donner aux informations ou supports classifiés qu'il détenait jusqu'alors. L'annexe de sécurité mentionnée est clôturée. A cet effet, les modalités d'archivage des informations ou supports classifiés sont définies par l'autorité contractante de référence en liaison avec les services concernés.

L'annexe de sécurité d'un contrat ayant généré un ou plusieurs contrats de sous-traitance ne peut être clôturée qu'après la clôture de toutes les annexes de sécurité de sous-traitance.

Lorsque après la clôture d'une annexe de sécurité l'entreprise conserve des informations ou des supports classifiés, elle doit faire l'objet d'une décision d'habilitation valide et d'un suivi par un service enquêteur, quand bien même cette entreprise ne serait titulaire d'aucun autre contrat générant l'accès à des éléments couverts par le secret de la défense nationale.

Glossaire

Accord de sécurité : accord intergouvernemental conclu entre au moins deux Etats ou au sein d'une alliance multinationale et ayant pour objet la protection d'informations ou de supports classifiés. Ces accords comprennent l'identification et la reconnaissance mutuelle des autorités nationales de sécurité, la correspondance des niveaux de classification, la reconnaissance mutuelle des habilitations de personnes, les modalités de transmission et de protection des informations et supports classifiés.

Administrateur de sécurité : personne chargée de la mise en œuvre, du maintien, du contrôle et de l'évolution des mesures de sécurité à appliquer à tout système d'information contenant des informations ou supports classifiés aux niveaux Secret Défense ou Confidentiel Défense.

Administrateur système : personne chargée de la mise au point, de l'exploitation, de la maintenance, du contrôle et des évolutions du système informatique.

Agent de sécurité des SSI : personne chargée de la gestion et du suivi des moyens de sécurité des systèmes d'information se trouvant sur le ou les sites où s'exercent ses responsabilités, notamment lorsque la gestion et le suivi des articles nécessitent une comptabilité individuelle.

Agrément : décision prise à l'issue d'une procédure d'habilitation ordinaire au profit d'une personne amenée à prendre occasionnellement connaissance d'informations ou supports classifiés du niveau Très Secret Défense de différentes classifications spéciales, du niveau Secret Défense ou du niveau Confidentiel Défense.

Agrément d'un produit de sécurité : reconnaissance formelle que le produit de sécurité évalué peut protéger des informations jusqu'à un niveau spécifié dans les conditions d'emploi définies.

Antenne d'utilisation : bureau où sont émis, reçus, manipulés, expédiés et conservés les informations ou supports classifiés Très Secret Défense.

Aptitude : capacité d'une entreprise à traiter ou à détenir des informations ou des supports classifiés. Cette capacité, évaluée par un service enquêteur, est fondée sur le contrôle de l'ensemble des mesures de sécurité physique mises en œuvre par le titulaire du contrat pour un ou plusieurs établissements et incluant, si nécessaire, la sécurité des systèmes d'information.

Archivage : opération consistant à verser à un service d'archives des supports d'information lorsqu'ils ne sont plus d'utilisation habituelle. Les supports faisant encore l'objet d'une classification ne peuvent être archivés que dans certaines conditions et dans des services habilités à les recevoir. Un support classifié au niveau Très Secret Défense ne peut en aucun cas être archivé.

Authenticité : propriété d'une information ou d'un traitement qui garantit son identité, son origine et, éventuellement, sa destination.

Autorité contractante : toute personne publique ou privée, y compris dans le cas des contrats de sous-traitance, qui fait appel à un fournisseur ou à un prestataire pour l'exécution d'un contrat ou d'un marché. Lorsque le marché est régi par les dispositions du code des marchés publics, l'expression " autorité contractante " désigne le pouvoir adjudicateur. Lorsqu'un marché régi par les dispositions du code des marchés publics entraîne des contrats de sous-traitance, le pouvoir adjudicateur à l'origine de celui-ci est appelé " autorité contractante de référence ".

Autorité d'habilitation : autorité compétente pour solliciter une enquête d'habilitation ou un contrôle élémentaire et émettre la décision.

Autorité nationale de sécurité (ANS) : organisme gouvernemental chargé des relations avec les autres Etats et les structures internationales en matière d'habilitation de personnes et de protection des informations ou supports classifiés. En France, l'autorité nationale de sécurité est le secrétaire général de la défense et de la sécurité nationale.

Autorité de sécurité déléguée (ASD) : autorité responsable devant l'autorité nationale de sécurité (ANS) et chargée de faire connaître aux entreprises la politique nationale dans un domaine, notamment industriel, ainsi que de donner des orientations et de fournir une aide pour sa mise en application.

Autorité qualifiée en matière de SSI : responsable de la sécurité des systèmes d'information dans les administrations centrales et les services déconcentrés de l'Etat, dans les établissements publics placés sous l'autorité d'un ministre ainsi que dans les organismes et établissements relevant de ses attributions.

Avis de sécurité : conclusion émise par un service enquêteur à l'issue d'investigations se rapportant à une personne et visant à détecter et à évaluer les vulnérabilités de cette personne. L'avis de sécurité est une aide à la décision d'habilitation, mais il ne lie pas l'autorité responsable de la décision.

Besoin d'en connaître : nécessité impérieuse de prendre connaissance d'une information dans le cadre d'une fonction déterminée, pour la bonne exécution d'une mission précise.

Bureau de protection du secret : bureau situé en zone réservée et dont l'existence est obligatoire pour procéder à l'élaboration, au marquage, au stockage, à l'acheminement, à l'enregistrement, au suivi et à la destruction des informations ou supports classifiés Secret Défense.

Catalogue des emplois : dans un organisme, liste des emplois qui peuvent nécessiter l'accès aux informations ou supports classifiés. Le catalogue est dressé sur le seul critère du besoin d'en connaître.

Certificat de sécurité : document prouvant l'habilitation d'une personne au traitement d'informations ou supports classifiés à un niveau précisé.

Classification spéciale : catégorie d'informations ou supports classifiés au niveau Très Secret Défense et répondant à la nécessité de cloisonnement. Les classifications spéciales sont organisées en réseaux de sécurité constitués d'antennes d'utilisation. Les habilitations au niveau Très Secret Défense sont prononcées au titre d'une ou plusieurs classifications spéciales expressément désignées.

Compromission : prise de connaissance, certaine ou possible, d'une information ou d'un support classifié par une ou plusieurs personnes non qualifiées.

Confidentialité : caractère réservé d'une information ou d'un traitement dont l'accès est limité aux seules personnes admises à la (le) connaître pour les besoins du service, ou aux entités ou processus autorisés.

Contrôle élémentaire : enquête administrative simplifiée, destinée à s'assurer de l'intégrité d'une personne et sollicitée par l'autorité d'habilitation, l'autorité contractante ou le responsable d'un site afin d'autoriser son accès à un établissement ou pour assurer, durant un transport, la garde d'informations ou de supports classifiés.

Décision d'habilitation : acte administratif autorisant, au terme de la procédure d'habilitation, le titulaire, en fonction de son besoin d'en connaître, à accéder aux informations ou aux supports classifiés d'un niveau déterminé. L'intéressé est informé de la décision d'habilitation, qui ne lui est jamais remise.

Décision d'habilitation provisoire : décision exceptionnelle et temporaire prise au vu d'un avis de sécurité provisoire et permettant l'accès d'une personne aux informations ou supports classifiés. Cette autorisation prend fin lors de la délivrance de la décision définitive et au plus tard six mois après avoir été accordée.

Décision de sécurité convoyeur : autorisation accordée non pas pour prendre connaissance d'informations ou de supports classifiés, mais pour assurer, durant le transport, la garde des informations ou des supports classifiés. Pour cette raison, cette décision est délivrée non pas au terme de la procédure d'habilitation, mais après un contrôle élémentaire effectué auprès des services enquêteurs des ministères de l'intérieur et de la défense.

Déclassement : modification, par abaissement, du niveau de classification d'informations ou supports classifiés.

Déclassification : suppression de la classification d'informations ou supports classifiés à quelque niveau que ce soit.

Disponibilité : propriété d'une information ou d'un traitement d'être utilisable à la demande par une personne ou par un système.

Dossier d'habilitation : dossier constitué en vue de l'habilitation d'une personne. Il comporte la demande d'habilitation établie par l'autorité demanderesse et attestant le besoin d'en connaître, la notice individuelle renseignée par l'intéressé et une photographie d'identité récente.

Donnée : toute représentation d'une information sous une forme conventionnelle destinée à faciliter son traitement.

Engagement de responsabilité : document en deux volets signés par le titulaire de l'habilitation lors de sa prise et de sa cessation de fonction. L'engagement a pour but de rappeler à cette personne la responsabilité pénale qui lui incombe du fait de son habilitation. La signature de l'encart central du formulaire de l'engagement de responsabilité par l'intéressé vaut prise de connaissance de la décision.

Entreprise étrangère : tout soumissionnaire à un contrat dont le siège social n'est pas situé en France.

Fonctionnaire de sécurité de défense (FSD) : personne assistant le HFDS et contrôlant sous sa direction, notamment, l'exécution des mesures de protection des informations ou des supports classifiés.

Fonctionnaire de sécurité des systèmes d'information (FSSI) : personne chargée de porter la réglementation interministérielle à la connaissance des organismes et entreprises concernés, d'élaborer la réglementation propre à son ministère en définissant pour chaque type de système d'information les mesures de protection nécessaires et de contrôler dans son département l'application de cette réglementation et l'efficacité des mesures prescrites.

Habilitation d'une personne morale de droit privé : décision rendue à l'issue d'une procédure permettant d'apprécier les garanties offertes par la personne morale de droit privé et d'évaluer l'intérêt porté par ses dirigeants à la protection du secret de la défense nationale et aux aspects liés à la sécurité des informations ou des supports classifiés.

Haut fonctionnaire de défense et de sécurité (HFDS) : personne chargée d'assister le ministre dans l'exercice de ses attributions de sécurité, de défense et de protection du secret. Il est, dans certains ministères, appelé haut fonctionnaire correspondant de sécurité et de défense (HFCDS) ou haut fonctionnaire de défense (HFD).

Homologation de sécurité : déclaration par l'autorité d'homologation, au vu du dossier d'homologation, que le système d'information considéré est apte à traiter des informations d'un niveau de classification donné conformément aux objectifs de sécurité visés, et que les risques de sécurité résiduels sont acceptés et maîtrisés. L'homologation de sécurité reste valide tant que le système d'information (SI) opère dans les conditions approuvées par l'autorité d'homologation.

Identification : mention figurant sur un support d'information et précisant le numéro de l'exemplaire ainsi que son numéro d'enregistrement.

Imputabilité : capacité à identifier l'auteur d'une action.

Information : tout renseignement ou tout élément de connaissance susceptible d'être représenté sous une forme adaptée à une communication, à un enregistrement ou à un traitement.

Information ou support classifié : procédé, objet, document, information, réseau informatique, donnée informatisée ou fichier présentant un caractère de secret de la défense nationale (art. 413-9 du code pénal).

Intégrité : propriété assurant qu'une information ou un traitement n'a pas été modifié ou détruit de façon non autorisée.

Lieux abritant des éléments classifiés : locaux dans lesquels sont détenus des informations ou supports classifiés, quel qu'en soit le niveau.

Marquage : opération consistant à apposer sur un support classifié les mentions précisant son niveau de classification, le numéro d'exemplaire, le numéro d'enregistrement, la pagination pour un document papier et, le cas échéant, la destination exclusivement nationale.

Matériel classifié : objet, équipement, installation, système ou substance présentant un caractère de secret de la défense nationale et qui nécessite une protection appropriée au niveau Très Secret Défense, Secret Défense ou Confidentiel Défense.

Mise en éveil : démarche initiée par l'autorité d'habilitation auprès de la personne à habiliter pour la sensibiliser à ses vulnérabilités découvertes au cours de l'enquête administrative.

Mise en garde : démarche initiée par l'autorité d'habilitation visant à sensibiliser l'officier de sécurité du service employeur d'une personne sur l'existence d'éléments pouvant présenter un risque de vulnérabilité de la personne à habiliter.

Non-répudiation : impossibilité de nier la participation au traitement d'une information.

Notice individuelle : formulaire destiné à recueillir les renseignements nécessaires à l'habilitation d'une personne. Elle doit être renseignée par l'intéressé lui-même et constitue un élément majeur du dossier d'habilitation. Elle est exploitée par l'autorité chargée de prononcer la décision et par les services enquêteurs.

Officier de sécurité : nommé par le chef du service employeur, il est le correspondant du HFDS et des services enquêteurs. Il a pour mission, sous les ordres de son autorité d'emploi et en fonction des modalités propres à chaque structure, de fixer les règles et consignes de sécurité à mettre en œuvre concernant les personnes et les informations ou supports classifiés et d'en contrôler l'application. Il participe à l'instruction et à la sensibilisation du personnel en matière de protection du secret. Il est chargé de la gestion des habilitations et, en liaison avec les services enquêteurs, du contrôle des accès aux zones protégées. Il dirige le bureau de protection du secret.

Ses missions sont à distinguer de celles dévolues à l'officier de sécurité dans une entreprise titulaire d'un contrat, qui est désigné par le responsable de l'entreprise après agrément de l'administration contractante.

Personne qualifiée : est qualifiée, au sens de l'article 413-10 du code pénal, la personne qui, par son état, sa profession, sa fonction ou sa mission, temporaire ou permanente, est habilitée à avoir accès à une information classifiée et a le besoin d'en connaître.

Plan d'urgence : document établi par un organisme détenteur d'informations ou supports classifiés, prévoyant, en cas de circonstances exceptionnelles, les modalités d'évacuation ou de destruction des supports d'information.

Primocontractant : est ainsi dénommé celui qui, dans le cadre d'un marché public, a conclu le contrat avec la personne publique, maître d'ouvrage, et qui confie, sous sa responsabilité, tout ou partie de l'exécution de ce contrat à un ou plusieurs sous-traitants.

Procédure d'habilitation : procédure visant à s'assurer qu'une personne peut, sans risque pour la défense nationale ou pour sa propre sécurité, connaître des informations ou supports classifiés dans l'exercice de ses fonctions.

Reclassement : modification, par relèvement, du niveau de classification d'informations ou de supports classifiés.

Refus d'habilitation : décision prise par l'autorité d'emploi, au vu de l'avis de sécurité ou de tout autre élément recueilli sur une personne, de ne pas habiliter cette personne. Sa motivation est régie par les articles L. 211-2 à L. 211-7 du code des relations entre le public et l'administration.

Réseau de sécurité : ensemble des moyens humains, matériels et organisationnels qui permettent l'acheminement en toute sécurité des informations ou supports classifiés à un niveau déterminé (et en deçà), entre un ensemble de correspondants habilités.

Responsable de la classification : autorité émettrice d'informations qui leur attribue, en fonction de leur contenu, un niveau de classification approprié.

Renouvellement d'habilitation : procédure déclenchée à la fin de validité d'un avis de sécurité concernant une personne déjà habilitée en vue d'obtenir un avis actualisé. Ce nouvel avis permettra de prononcer une décision d'habilitation au profit de la personne qui présente encore le besoin d'en connaître.

Responsable de l'entreprise : personne représentant une personne morale pour un contrat et ayant le pouvoir d'engager celle-ci.

Retrait d'habilitation : décision prise par l'autorité d'emploi, au vu d'éléments nouveaux de vulnérabilité, de supprimer l'habilitation d'une personne.

Sensibilisation : instruction périodiquement prodiguée aux personnes habilitées ou susceptibles d'être habilitées et destinée à leur faire prendre conscience des enjeux de la protection du secret de la défense nationale, des sanctions judiciaires et administratives encourues et de la nécessité d'appliquer les mesures de sécurité prescrites.

Service enquêteur : service d'Etat chargé de procéder aux investigations sur les personnes préalablement à une décision d'habilitation ou dans le cadre d'un contrôle élémentaire, d'évaluer l'aptitude des locaux et de contrôler les mesures de sécurité. Ces services rendent leurs conclusions sous la forme d'avis de sécurité.

Soumissionnaire : toute personne morale candidate à un contrat. Dans les cas précisément identifiés dans la présente instruction, le soumissionnaire peut être une personne physique.

Spécial France : mention figurant sur des supports d'information et précisant leur destination exclusivement nationale.

Support : tout moyen matériel, quelles qu'en soient la forme et les caractéristiques physiques, permettant de recevoir, de conserver ou de restituer des informations ou des données.

Système d'information : ensemble des moyens informatiques ayant pour finalité d'élaborer, de traiter, de stocker, d'acheminer, de présenter ou de détruire des informations.

Timbre : mention figurant sur un support d'information précisant son niveau de classification et, le cas échéant, son usage national exclusif. Le timbre possède des caractéristiques définies (dimensions, aspect).

Titulaire : toute personne attributaire d'un contrat. Lorsque le contrat est un marché public avec sous-traitance, le titulaire de ce marché est appelé " primocontractant ".

Travaux classifiés : prestations, quelle qu'en soit la nature, nécessitant l'accès à des informations ou à des supports classifiés.

Vulnérabilité : fait relatif à la situation d'une personne et qui amoindrit les garanties qu'elle présente pour la protection des informations ou supports classifiés. Il s'agit d'une fragilité qui peut donner lieu à des pressions de diverses natures et qui doit être prise en compte pour accorder avec ou sans restriction, pour refuser ou pour retirer l'accès aux informations ou supports classifiés.

Zone protégée : zone créée par arrêté des ministres intéressés et faisant l'objet d'une interdiction d'accès sans autorisation, sanctionnée pénalement en cas d'infraction (articles 413-7 et R. 413-1 à R. 413-5 du code pénal).

Zone réservée : local ou emplacement qui fait l'objet de mesures de protection matérielle particulières et dont l'accès est réglementé et subordonné à des conditions spéciales.

Index

A

Accord de sécurité

Administrateur de sécurité

Administrateur système

Agent de sécurité

Agrément

Antenne d'utilisation

Archivage

Authenticité

Autorité de sécurité déléguée

Autorité émettrice

Autorité expéditrice

Autorité nationale de sécurité

Avis de sécurité

B

Besoin d'en connaître

C

Catalogue des emplois

Certificat de sécurité

Classification spéciale

Compromission

Confidentialité

Contrôle élémentaire

D

Décision d'habilitation provisoire

Décision de sécurité convoyeur

Décision d'habilitation

Déclassement

Déclassification

Disponibilité

Dossier d'habilitation

E

Engagement de responsabilité

H

Haut fonctionnaire de défense et de sécurité

Homologation de sécurité

I

Identification

L

Lieux abritant des éléments classifiés

M

Marquage

Matériel classifié

Mise en éveil

Mise en garde

N

Notice individuelle

O

Officier de sécurité

P

Procédure d'habilitation

R

Reclassement

Refus d'habilitation

Renouvellement d'habilitation

Réseau de sécurité

S

Sécurité des systèmes d'information

Sensibilisation

Service enquêteur

Système d'information

T

Timbre

V

Vulnérabilité

Z

Zone protégée

Zone réservée