2011/292/EU: Council Decision of 31 March 2011 on the security rules for protecting EU classified information
| Published date | 27 May 2011 |
| Subject Matter | Information and verification |
| Official Gazette Publication | Official Journal of the European Union, L 141, 27 May 2011 |
| 27.5.2011 | FR | Journal officiel de l'Union européenne | L 141/17 |
DÉCISION DU CONSEIL
du 31 mars 2011
concernant les règles de sécurité aux fins de la protection des informations classifiées de l'UE
(2011/292/UE)
LE CONSEIL DE L'UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 240, paragraphe 3,
vu la décision 2009/937/UE du Conseil du 1er décembre 2009 portant adoption de son règlement intérieur (1), et notamment son article 24,
considérant ce qui suit:
| (1) | Afin de développer les activités du Conseil dans tous les domaines qui requièrent le traitement d'informations classifiées, il convient de mettre en place un système de sécurité global aux fins de la protection des informations classifiées couvrant le Conseil, son secrétariat général et les États membres. |
| (2) | La présente décision devrait s'appliquer lorsque le Conseil, ses instances préparatoires et son secrétariat général (SGC) traitent des informations classifiées de l'UE (ICUE). |
| (3) | Conformément aux dispositions législatives et réglementaires nationales et dans la mesure requise pour le fonctionnement du Conseil, les États membres devraient respecter la présente décision lorsque leurs autorités compétentes, leur personnel ou leurs contractants traitent des ICUE, afin que chacun puisse avoir la certitude qu'un niveau équivalent de protection est assuré pour les ICUE. |
| (4) | Le Conseil et la Commission sont résolus à appliquer des normes équivalentes de sécurité pour protéger les ICUE. |
| (5) | Le Conseil souligne qu'il importe d'associer, le cas échéant, le Parlement européen et d'autres institutions, agences, organes ou organismes de l'UE aux principes, aux normes et à la réglementation relatifs à la protection des informations classifiées qui sont nécessaires pour protéger les intérêts de l'Union et de ses États membres. |
| (6) | Les agences et les organes de l'UE créés en vertu du titre V, chapitre 2, du traité sur l'Union européenne, Europol et Eurojust appliquent, dans le cadre de leur organisation interne, les principes de base et les normes minimales énoncés dans la présente décision aux fins de la protection des ICUE, comme le prévoient leurs actes fondateurs respectifs. |
| (7) | Les règles de sécurité adoptées par le Conseil aux fins de la protection des ICUE sont appliquées dans le cadre des opérations de gestion de crise mises en place en vertu du titre V, chapitre 2, du traité sur l'Union européenne et par leur personnel. |
| (8) | Les représentants spéciaux de l'UE et les membres de leurs équipes appliquent les règles de sécurité adoptées par le Conseil aux fins de la protection des ICUE. |
| (9) | La présente décision est arrêtée sans préjudice des articles 15 et 16 du traité sur le fonctionnement de l'Union européenne, ni des instruments les mettant en œuvre. |
| (10) | La présente décision est arrêtée sans préjudice des pratiques en vigueur au sein des États membres en matière d'information de leurs parlements nationaux sur les activités de l'Union, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Objectif, champ d'application et définitions
1. La présente décision définit les principes de base et les normes de sécurité minimales pour la protection des ICUE.
2. Ces principes de base et normes minimales s'appliquent au Conseil et au SGC et sont respectés par les États membres, conformément à leurs dispositions législatives et réglementaires nationales, afin que chacun puisse avoir la certitude qu'un niveau équivalent de protection est assuré pour les ICUE.
3. Aux fins de la présente décision, les définitions figurant à l'appendice A s'appliquent.
Article 2
Définition des ICUE, classifications et marquages de sécurité
1. Par «informations classifiées de l'UE» (ICUE), on entend toute information ou tout matériel identifié comme tel par une classification de sécurité de l'UE, dont la divulgation non autorisée pourrait porter atteinte à des degrés divers aux intérêts de l'Union européenne, ou à ceux d'un ou de plusieurs de ses États membres.
2. Les ICUE relèvent de l'un des niveaux de classification suivants:
a) TRÈS SECRET UE/EU TOP SECRET: informations et matériels dont la divulgation non autorisée pourrait causer un préjudice exceptionnellement grave aux intérêts essentiels de l'Union européenne ou d'un ou de plusieurs de ses États membres;
b) SECRET UE/EU SECRET: informations et matériels dont la divulgation non autorisée pourrait nuire gravement aux intérêts essentiels de l'Union européenne ou d'un ou de plusieurs de ses États membres;
c) CONFIDENTIEL UE/EU CONFIDENTIAL: informations et matériels dont la divulgation non autorisée pourrait nuire aux intérêts essentiels de l'Union européenne ou d'un ou de plusieurs de ses États membres;
d) RESTREINT UE/EU RESTRICTED: informations et matériels dont la divulgation non autorisée pourrait être défavorable aux intérêts de l'Union européenne ou d'un ou de plusieurs de ses États membres.
3. Les ICUE portent un marquage de classification de sécurité conformément au paragraphe 2. Elles peuvent porter des marquages supplémentaires pour désigner le domaine d'activité auquel elles sont liées, identifier l'autorité d'origine, limiter la diffusion, restreindre l'utilisation ou indiquer la communicabilité.
Article 3
Gestion de la classification
1. Les autorités compétentes veillent à ce que les ICUE soient classifiées de manière appropriée, clairement identifiées en tant qu'informations classifiées, et qu'elles ne conservent leur niveau de classification qu'aussi longtemps que nécessaire.
2. Les ICUE ne sont pas déclassées ni déclassifiées, et aucun des marquages visés à l'article 2, paragraphe 3, n'est modifié ni supprimé sans le consentement écrit préalable de l'autorité d'origine.
3. Le Conseil approuve une politique de sécurité sur la création d'ICUE, qui comprend un guide pratique de la classification.
Article 4
Protection des informations classifiées
1. Les ICUE sont protégées conformément à la présente décision.
2. Il incombe au détenteur de tout élément d'ICUE de le protéger conformément à la présente décision.
3. Lorsque les États membres introduisent des informations classifiées portant un marquage national de classification de sécurité dans les structures ou réseaux de l'Union européenne, le Conseil et le SGC protègent ces informations conformément aux règles applicables aux ICUE de niveau équivalent tel que prévu dans le tableau d'équivalence des classifications de sécurité figurant à l'appendice B.
4. Les grandes quantités ou la compilation d'ICUE peuvent justifier un niveau de protection correspondant à une classification plus élevée.
Article 5
Gestion des risques de sécurité
1. Les risques pesant sur les ICUE sont gérés dans le cadre d'une procédure. Cette dernière vise à déterminer les risques connus pesant sur la sécurité, à définir des mesures de sécurité permettant de ramener ces risques à un niveau acceptable conformément aux principes de base et aux normes minimales énoncés dans la présente décision et à appliquer ces mesures selon la notion de défense en profondeur, telle que définie à l'appendice A. L'efficacité de telles mesures fait l'objet d'une évaluation constante.
2. Les mesures de sécurité pour la protection des ICUE tout au long de leur cycle de vie sont proportionnées en particulier à leur classification de sécurité, à la forme sous laquelle se présentent les informations ou les matériels ainsi qu'à leur volume, au lieu et à la construction des établissements où se trouvent des ICUE et à la menace évaluée à l'échelle locale que représentent les activités malveillantes et/ou criminelles, y compris l'espionnage, le sabotage et le terrorisme.
3. Les plans d'urgence tiennent compte de la nécessité de protéger les ICUE en cas d'urgence afin de prévenir l'accès et la divulgation non autorisés ainsi que la perte d'intégrité ou de disponibilité.
4. Les mesures de prévention et de retour aux conditions opérationnelles visant à limiter l'impact de défaillances ou d'incidents graves sur le traitement et le stockage des ICUE sont prévues dans les plans de continuité de l'activité.
Article 6
Mise en œuvre de la présente décision
1. Le cas échéant, le Conseil approuve, sur recommandation du comité de sécurité, les politiques de sécurité énonçant les mesures destinées à mettre en œuvre la présente décision.
2. Le comité de sécurité peut arrêter à son niveau des lignes directrices en matière de sécurité en complément ou à l'appui de la présente décision et de toute politique de sécurité approuvée par le Conseil.
Article 7
Mesures de sécurité concernant le personnel
1. La sécurité du personnel passe par l'application de mesures visant à faire en sorte que l'accès aux ICUE ne soit accordé qu'aux personnes qui ont:
| — | un besoin d'en connaître, |
| — | fait l'objet d'une habilitation de sécurité du niveau correspondant, lorsqu'il y a lieu, et |
| — | été informées de leurs responsabilités. |
2. Les procédures d'habilitation de sécurité concernant le personnel ont pour but de déterminer si une personne, compte tenu de sa loyauté, de son intégrité et de sa fiabilité, peut être autorisée à avoir accès à des ICUE.
3. Toutes les personnes au sein du SGC qui, en raison de leurs attributions, peuvent avoir besoin d'accéder à des ICUE CONFIDENTIEL UE/EU CONFIDENTIAL ou d'un niveau de classification supérieur font l'objet d'une habilitation de sécurité du niveau correspondant avant que l'accès à de telles ICUE leur soit accordé. La procédure d'habilitation de sécurité concernant le personnel pour les fonctionnaires et autres agents du SGC est présentée à l'annexe I.
4. Le personnel des États membres visé à l'article 14, paragraphe 3, qui, en raison de ses attributions, peut avoir besoin d'accéder à des ICUE...
To continue reading
Request your trial