Une instruction ministérielle a organisé la protection du secret de la défense nationale au sein des ministères de l’éducation nationale et de la jeunesse, de l’enseignement supérieur et de la recherche, des sports et des jeux Olympiques et Paralympiques.
Instruction générale interministérielle 1300 (IGI 1300) du 9 août 2021
La protection du secret de la défense nationale (PSDN) participe à la sauvegarde des intérêts fondamentaux de la Nation. Elle fait l’objet d’une instruction générale interministérielle 1300 (IGI 1300) du 9 août 2021. L’instruction décline ces orientations pour l’ensemble des organismes publics et privés relevant du ministère de l’éducation nationale et de la jeunesse, du ministère de l’enseignement supérieur et de la recherche et du ministère des sports, des jeux olympiques et paralympiques.
Deux niveaux de classification et d’habilitation sont en vigueur : « Secret » qui protège les informations ou supports susceptibles de porter atteinte à la défense nationale et « Très Secret » pour la protection contre les risques d’atteintes exceptionnellement graves à la défense nationale.
En outre, les informations non classifiées, mais soumises à un devoir de discrétion, sont protégées par la « diffusion restreinte ».
Tout manquement au respect du secret de la défense et à l’obligation de discrétion professionnelle peut donner lieu à des sanctions administratives et disciplinaires, voire, pour les informations classifiées, pénales.
L’habilitation ne suffit pas pour accéder à des informations classifiées. Cet accès requiert en outre de justifier du besoin d’en connaître.
Pour les services du MENJ et du MSJOP, la nécessité de classifier peut s’avérer faible. Elle est notamment impérative pour les informations relatives au suivi et à la prévention de la radicalisation (au niveau Secret).
Pour l’enseignement supérieur et la recherche, les partenariats de recherche comprenant des travaux classifiés du ministère des armées, les activités de recherche dans le domaine du renseignement, les contrats liés à des programmes européens devront être classifiés (Secret ou Très Secret). La classification d’une information ou d’un support est indépendante de la protection du potentiel scientifique et technique.
La classification
En pratique, la classification revient à :
– appliquer le « timbre de classification » dès les premiers brouillons ou premiers supports ;
– manipuler et conserver les documents et supports en respectant des mesures de protection : enregistrement des documents, sécurisation physique, diffusion sécurisée, numérique ou matérielle garantissant notamment l’identité du destinataire et la traçabilité du document et l’encadrement de la destruction.
L’instruction rappelle les grandes lignes de la PSDN des trois ministères. Un document annexe précise les responsabilités et procédures.
Gouvernance au sein des trois ministères
Le haut fonctionnaire de défense et de sécurité (HFDS) a, en matière de PSDN, autorité sur l’ensemble des structures relevant du champ d’attribution ministériel
Le fonctionnaire de sécurité de défense, chef du bureau de la protection du secret, au sein du service de défense et de sécurité (SDS), met en œuvre cette réglementation. Il dispose de compétences en termes de gestion des habilitations et de protection des informations et supports classifiés.
Le fonctionnaire de sécurité des systèmes d’information (FSSI), également au sein du SDS, contribue à la définition et au déploiement ministériel des SI classifiés
Dans les services centraux, le directeur ou chef du service ayant accès à des informations et supports classifiés est responsable de la PSDN.
Dans les services déconcentrés et les opérateurs, les recteurs de région académique et recteurs d’académie, les présidents d’université, directeurs d’établissement de l’enseignement supérieur et présidents et/ou directeurs d’organisme de recherche assurent cette responsabilité.
Ces derniers approuvent la politique de protection du secret rédigée par les correspondants PSDN des services déconcentrés du MENJ et du MSJOP et par les FSD des ESR. Ils assument la responsabilité des mesures de protection relatives aux personnes physiques, à la sécurité des lieux, à la gestion des informations et supports classifiés et aux systèmes d’information classifiés.
Les correspondants PSDN des services déconcentrés sont désignés par les recteurs parmi les cadres de l’académie et sont habilités au secret de la défense nationale. Leur positionnement hiérarchique leur permet de faire appliquer les principes de la protection du secret au sein de leur académie et de conseiller directement le recteur.
Les fonctionnaires de sécurité défense des établissements d’enseignement supérieur et de recherche (FSD ESR) sont le relais fonctionnel du HFDS des ministères pour la mise en œuvre de la PSDN. Ils sont proposés par leur gouvernance et nommés par le HFDS à l’issue d’une procédure d’habilitation. Une instruction (SDS n° 2023-2212 du 25 mai 2023) précise leurs fonctions et mode de désignation.
La chaîne fonctionnelle de sécurité des systèmes d’information
Elle garantit la sécurité de l’ensemble des systèmes d’information détenus par l’organisme, tout au long de leur cycle de vie. Elle doit être renforcée dès lors qu’un organisme dispose d’un ou plusieurs systèmes classifiés. Elle contrôle alors l’application de la réglementation en matière de protection du secret sur ces systèmes. Elle fait l’objet d’une instruction pour les trois ministères.
Mesures de sécurité
Autorités d’habilitation
Le HFDS est autorité d’habilitation des personnes physiques et morales pour les niveaux Secret et Très Secret, hors classifications spéciales, ainsi que pour les niveaux UE et OTAN. Le haut fonctionnaire adjoint de défense et de sécurité (HFADS), chef du service de défense et de sécurité, est autorité d’habilitation par délégation du HFDS.
L’habilitation des personnes physiques : le catalogue des emplois
Il revient aux responsables PSDN d’établir un catalogue des emplois (1) pour chaque niveau de classification Secret ou Très Secret et de le mettre à jour. Ce catalogue est adressé pour validation au HFDS à l’attention du FSD-chef du bureau de la protection du secret. Un dossier de demande d’habilitation doit être dûment rempli par chaque agent concerné.
Classification des informations et supports classifiés
Au sein des services déconcentrés et des établissements d’enseignement supérieur et de recherche, les autorités peuvent être amenées à classifier aux niveaux Très Secret et Secret. La décision de classifier une information est prise, sur proposition du rédacteur du document, par l’autorité appropriée, qui doit être habilitée.
Au sein des services déconcentrés, la décision de classification revient aux recteurs d’académie. Les correspondants PSDN peuvent être consultés et informés de la décision d’une classification afin de veiller aux mesures de gestion et de protection afférentes.
Pour les établissements publics d’enseignement supérieur et de recherche, la décision de classification revient aux présidents/directeurs. Les FSD peuvent être consultés et sont informés de la décision de classification aux fins des mesures de gestion et de protection.
Délit de compromission
Ce délit est puni d’une peine maximale de sept ans d’emprisonnement et de 100 000 euros d’amende. Il doit être rendu compte immédiatement de toute découverte de compromission possible au responsable de structure ou d’organisme (pénalement responsable des informations et supports classifiés que son entité détient) et au FSD pour les ESR, ou au correspondant PSDN pour les services déconcentrés du MENJ. L’autorité compétente et les responsables PSDN prennent immédiatement, en lien avec le service du HFDS, les mesures adéquates pour prévenir la réitération de tels faits.
Perquisition dans un lieu abritant des éléments couverts par le secret de la défense nationale
Le détenteur d’une information classifiée a le devoir d’en refuser la communication à un tiers. Pour être consultés par un magistrat ou un OPJ, les éléments classifiés sont au préalable déclassifiés sur décision des ministres, autorités émettrices. La demande de déclassification est instruite par la commission ministérielle de classification placée sous l’autorité du HFDS des ministères.
En cas de perquisition, seul un magistrat, accompagné du président de la commission consultative du secret de la défense nationale (CSDN), de son représentant ou d’un délégué dûment habilité, peut procéder à une perquisition dans un lieu abritant des secrets de la défense nationale. Il doit cependant en faire la demande écrite et motivée au président de la CSDN. La perquisition devra s’effectuer en présence du chef d’établissement, de son délégué ou du responsable du lieu, ainsi que du FSD de l’établissement, garant de la protection du secret de la défense nationale au sein de ce dernier.
Le rapport annuel sur la protection du secret
Le HFDS remet annuellement au SGDSN un compte-rendu d’évaluation de la protection du secret de la défense nationale dans son champ d’attribution, ainsi que sur les autres personnes morales avec lesquelles les ministères ont conclu une convention ou un contrat nécessitant l’accès à des informations ou supports classifiés.
Ce compte-rendu comporte des actions correctrices envisagées et engagées en cas d’éventuelles carences dans le dispositif de protection du secret.
Pour l’établir, il est demandé aux responsables PSDN de rendre compte des éléments portant notamment sur le nombre de personnes habilitées – personnes physiques et morales – et sur le nombre de supports classifiés détenus dans chaque organisme.
Inventaire des lieux abritant des documents et supports classifiés
Le HFDS fait également procéder chaque année par les structures relevant de son champ ministériel à l’inventaire exhaustif des lieux abritant des éléments, documents et supports classifiés couverts par le secret de la défense nationale. Il ne peut être réalisé que par une personne dûment habilitée, sous peine d’entraîner un délit de compromission.
Inventaire des documents classifiés
Tout détenteur de documents classifiés doit effectuer un inventaire annuel des documents qu’il détient, ainsi que lors d’une passation de fonction, et être en mesure de les dénombrer selon leur niveau de classification ainsi que de connaître leur lieu de stockage.
Les structures détenant des documents classifiés rendent compte annuellement au HFDS du nombre total des documents classifiés qu’ils détiennent, par niveau de classification. Cela leur permet, ainsi qu’au HFDS, d’évaluer ou de réévaluer le besoin de protection des documents détenus et de créer si nécessaire une zone protégée, si leur nombre est conséquent.
Annexe à la Circulaire Secret Défense
La présente annexe détaille les procédures présentées dans l’instruction ministérielle sur le respect de la protection du secret de la défense nationale au sein du ministère de l’éducation nationale et de la jeunesse (MENJ), du ministère de l’enseignement supérieur et de la recherche (MESR) et du ministère des sports et des jeux olympiques et paralympiques (MSJOP).
Pour les principes d’ordre général, il convient de se reporter aux textes de référence, en particulier à l’instruction générale interministérielle, dite « IGI 1300 » (2), publiée le 11 août 2021.
1. GOUVERNANCE ET MISE EN ŒUVRE DE LA PROTECTION DU SECRET
• Mise en œuvre de la protection du secret par le fonctionnaire de sécurité de défense-chef du bureau de la protection du secret (FSD-CBPS) des MENJ/MESR/MSJOP.
En termes de gestion des habilitations pour les niveaux « Secret » et « Très Secret » :
– il vérifie que les agents des ministères et établissements rattachés susceptibles de recevoir, manipuler, exploiter ou détenir des documents classifiés sont bien habilités et ont le « besoin d’en connaître ». Il s’appuie sur les catalogues des emplois adressés par les différents organismes concernés et alimentant le catalogue ministériel des emplois, dont il effectue l’actualisation générale tous les ans a minima ;
– il délivre les certificats de sécurité attestant de l’habilitation d’un agent (signés par délégation du HFADS) pour les services déconcentrés, et établis directement par les FSD des ESR) ;
– il signale au HFDS les éventuelles compromissions du secret (même involontaires) qui se seraient produites dans des établissements sous tutelle. Il les transmet au SGDSN.
En termes de protection des informations et supports classifiés pour les niveaux Secret et Très Secret :
– il met en place les règles et procédures de protection, de diffusion et d’acheminement des informations et supports classifiés ;
– il s’assure de l’existence des armoires ou coffres nécessaires, dans lesquels les supports protégés doivent être stockés et sensibilise les détenteurs de documents classifiés aux nécessités de la sécurité physique notamment des lieux traitant des informations sensibles tant pour l’administration centrale que les établissements rattachés ;
– il apporte aux HFDS et HFADS son avis sur toute question relative à la nécessité de classifier ou non une information.
• Mise en œuvre de la protection du secret par les correspondants PSDN des services déconcentrés et fonctionnaires de sécurité de défense des établissements d’enseignement supérieur et de recherche (FSD-ESR).
Sous l’autorité du responsable de leur structure, les correspondants PSDN des services déconcentrés du MENJ et les FSD des établissements d’enseignement supérieur (à entendre au sens des officiers de sécurité -OS-cités dans l’IGI 1300 et en charge de la protection du secret [3]) doivent être habilités au secret de la défense nationale et, a minima dans le délai de l’enquête de sécurité, avoir fait l’objet d’une enquête administrative de sécurité simplifiée (EAS).
– ils vérifient que tous les personnels susceptibles de recevoir, manipuler, exploiter ou détenir des documents classifiés sont habilités et ont le « besoin d’en connaître ». Ils établissent un catalogue des emplois par niveau de classification (Secret et/ou Très Secret) ;
– ils apportent au FSD-CBPS toute information de nature à éclairer une enquête de sécurité en cours ou la révision d’une habilitation en vigueur, si des vulnérabilités nouvelles concernant une personne habilitée apparaissent (comportement devenant incompatible avec la fonction exercée, pressions extérieures etc.) ;
– ils informent le candidat à l’habilitation de décisions prises le concernant ;
– ils apportent au président/directeur ou à toute autorité ayant délégation pour la classification, leur avis sur toute question relative à la nécessité de classifier ou non un document administratif ou de recherche. Ils peuvent prendre l’attache du FSD-CBPS pour mettre en place les mesures de protection, de diffusion et d’acheminement des informations et supports classifiés ;
– ils doivent notamment s’assurer de l’existence et du bon emploi des armoires ou coffres où les supports protégés doivent être impérativement stockés et doivent sensibiliser les détenteurs d’informations et supports classifiés aux nécessités de la sécurité physique notamment des lieux où sont stockés ces informations et supports, ainsi que des sanctions en cas de compromission ;
– ils signalent systématiquement et sans délai au HFDS et FSD-CBPS des compromissions, même involontaires, du secret de la défense nationale ;
– ils veillent à la prise en compte des mesures de sécurité dans la négociation et la passation des contrats classifiés et à l’accès des personnes non qualifiées dans certaines zones protégées en mettant en œuvre les contrôles d’accès réglementairement prévus ;
– ils font procéder par leurs détenteurs au sein de leur structure à l’inventaire annuel des documents classifiés et en font état au FSD-CBPS.
2. MESURES DE SÉCURITÉ APPLICABLES AUX PERSONNES
• Catalogue des emplois.
Il revient aux responsables de la PSDN d’établir un catalogue des emplois pour chaque niveau de classification Secret ou Très Secret. Ce catalogue identifie, via l’octroi d’un numéro de poste, chaque fonction ou mission impliquant nécessairement l’accès à des informations et supports classifiés au niveau de classification considéré, ainsi que les noms et prénoms des personnes physiques occupant les postes inscrits au catalogue des emplois. Chaque catalogue est mis à jour par le responsable PSDN au sein de sa structure.
Il est adressé pour validation au HFDS à l’attention du FSD-CBPS.
Pour effectuer une mission ou des travaux particuliers, une personne peut avoir besoin d’une habilitation même si sa fonction ne figure pas dans le catalogue. La demande écrite est formulée par la voie hiérarchique ou par l’intermédiaire du FSD pour les établissements d’enseignement supérieur et de recherche. Enfin, sur les fiches de poste, la précision indiquant que le poste requiert l’habitation au secret de la défense nationale est impérative.
• Constitution de la notice individuelle de sécurité (NIS).
Il revient aux responsables de la PSDN de :
– veiller à ce que les postulants renseignent toutes les informations demandées dans la notice, c’est-à-dire :
– saisir directement en format numérique et enregistrer tel quel pour avoir une notice en version « active » demeurant modifiable ;
– renseigner tous les champs (y compris si les parents ou beaux-parents sont décédés) ;
– dans le cas d’ex-conjoint(e), renseigner s’il y a encore des enfants mineurs ;
– imprimer la dernière page, la signer, la scanner, ainsi que la joindre à la notice en version « active » ;
– vérifier que soit intégrée une photo d’identité ;
– vérifier que les postulants signent la dernière page de la notice puis la scannent pour l’ajouter au dossier ;
– vérifier que la notice soit transmise en version active (modifiable) et ce afin que des corrections éventuelles puissent être apportées par le FSD-CBPS et qu’elle soit exploitable par le service enquêteur.
• Procédure de demande d’habilitation.
Le responsable de la PSDN du service ou de l’établissement saisit le HFDS par courrier papier ou électronique signé de l’autorité hiérarchique compétente pour demander l’habilitation de la ou des personnes concernées. Il joint la ou les notices en version numérique et protégée par ACID ou par tout autre moyen permettant de sécuriser l’échange de données à caractère personnel ou sous double enveloppe par voie postale à l’adresse du service.
Le formulaire de demande de clés ACID est à solliciter auprès de l’adjoint du fonctionnaire des systèmes d’information en charge des moyens sécurisés de communication du SDS.
• Instruction du dossier d’habilitation.
Le bureau de la protection du secret centralise les demandes d’habilitation et les soumet au HFDS. Il apporte aide et conseil dans le suivi des dossiers.
Le FSD-CBPS saisit le service enquêteur. Dans le délai de deux mois fixé par la réglementation, le service enquêteur délivre un avis de sécurité.
Cet avis peut être de 3 types :
– sans objection ;
– avec mise en garde et/ou mise en éveil ;
– défavorable (avec fiche généralement classifiée).
Notamment sur la base de cet avis, le HFDS prend une décision soit d’habilitation, soit d’habilitation avec mise en éveil et/ou mise en garde, ou de refus d’habilitation. Il informe le service enquêteur de la nature de la décision prise.
• Information du candidat en cas d’habilitation sans mesures particulières.
En cas d’avis favorable du service enquêteur, le HFDS prend une décision d’habilitation dont l’original est conservé dans le bureau de la protection du secret du SDS. La décision est notifiée par courrier à l’autorité hiérarchique compétente et à l’attention du responsable PSDN.
Une fois que le service du HFDS a notifié la prise de décision d’habilitation à l’autorité compétente (recteur, président université, directeur, etc.), il revient au responsable PSDN de :
– recevoir les personnes pour leur notifier la décision prise via un échange (si possible en présentiel). Cet échange doit notamment permettre de sensibiliser le nouveau détenteur de l’habilitation à ses responsabilités pénales à l’égard de la protection du secret de la défense nationale ;
– faire remplir le volet n° 1 de l’engagement de responsabilité.
Une photocopie de la notification établie par le HFDS est déconseillée, car les coordonnées du service et des rédacteurs des courriers doivent rester confidentielles.
Le catalogue des emplois de la structure peut alors être assorti d’une colonne supplémentaire indiquant le nom de la personne en regard de chaque emploi et indiquant la durée de validité de la décision prise.
• Modalités d’information du candidat en cas d’habilitation avec mesures particulières.
– Mise en garde.
Le HFDS peut accorder l’habilitation à l’intéressé sous réserve de la mise en garde de l’autorité compétente ou du responsable de la PSDN de la structure dont il relève. Cette procédure permet de mettre en œuvre des mesures de sécurité ou de prendre des précautions particulières à l’égard du candidat, si besoin avec le conseil du HFDS ou du service enquêteur.
Dans certains cas, les responsables PSDN pourront être reçus par le service du HFDS.
– Mise en éveil.
Dans ce cas, le responsable PSDN sensibilise le candidat sur certains éléments de vulnérabilité révélés par l’enquête dont il a été l’objet. Il peut s’agir par exemple de ses attaches à l’étranger ou de diverses particularités de son environnement.
• Modalités d’information en cas de refus d’habilitation.
La décision de refus d’habilitation est notifiée à l’intéressé par le responsable PSDN lors d’un entretien. Cette décision est dispensée de l’obligation de motivation.
Lors de cet entretien, le responsable PSDN remet à l’intéressé la décision de refus d’habilitation ainsi qu’un récépissé de notification de décision de refus d’habilitation (cf. modèle de récépissé de refus en fin d’annexe) qui comporte la mention des voies et délais de recours et dont un exemplaire, daté et signé par l’intéressé, est conservé par l’autorité d’habilitation.
Dans ce cas, et préalablement à cet entretien, le service du HFDS recevra directement le responsable PSDN avec ou sans le candidat.
• Fin d’habilitation.
La décision d’habilitation cesse de produire ses effets :
– soit à la fin de validité figurant sur la décision, laquelle ne peut être, au plus, qu’égale à celle de l’avis de sécurité ;
– soit lorsque la fonction ou la mission l’ayant justifiée cesse.
La décision d’habilitation est implicitement abrogée au terme de la durée de validité de la décision ou lorsque la fonction ou la mission cesse, même si la date de fin de validité inscrite sur la décision d’habilitation n’est pas échue.
A cet égard, les responsables PSDN doivent signaler au HFDS, dans les plus brefs délais, tout changement de fonctions, d’affectation ou de position statutaire (mobilité, retraite…) des agents habilités et dont les emplois sont répertoriés dans leur catalogue (4).
Lorsque l’habilitation cesse de produire ses effets, le responsable PSDN prend les mesures nécessaires pour faire signer à la personne habilitée le volet n° 2 de l’engagement de responsabilité. Ce dernier est adressé au service du HFDS, daté et signé, par le supérieur hiérarchique.
Le titulaire doit quitter sans délai les fonctions ou cesser la mission ayant justifié son habilitation à expiration de la décision initiale. L’accession à des informations et documents classifiés est alors caractéristique d’une compromission.
• Renouvellement d’une habilitation.
Afin d’éviter une interruption inopportune de l’habilitation d’une personne dont l’exercice de la fonction ou l’accomplissement de la mission nécessite l’accès au secret de la défense nationale, le responsable PSDN anticipe son renouvellement.
Lorsque la demande de renouvellement, pour la même fonction ou la même mission, a été engagée dans un délai d’un an minimum et, au plus tard, trois mois avant la date d’expiration de l’habilitation en cours, la validité de la décision initiale est tacitement prorogée d’une durée maximale de douze mois après la fin de validité de la décision initiale.
Cette demande de renouvellement s’accompagne d’une nouvelle notice à remplir intégralement, transmise dans les mêmes conditions que décrites ci-dessus.
• Révision de l’habilitation et abrogation.
Il revient au responsable de la PSDN de signaler au FSD-CBPS tout changement dans le comportement ou de situation d’une personne habilitée qui serait devenu incompatible avec les exigences relatives à la protection du secret de la défense nationale.
L’autorité d’habilitation se réservera alors le droit de saisir le service enquêteur et, si de nouvelles vulnérabilités sont apparues, pourra abroger explicitement la décision d’habilitation.
Cette abrogation se traduit par une décision explicite notifiée à l’intéressé qui devra signer le volet n° 2. Le responsable PSDN de l’établissement devra alors communiquer ce volet n° 2 signé au FSD-CBPS.
• Cas du changement de fonction nécessitant une nouvelle habilitation.
En cas de changement de fonction ou de mission de la personne habilitée, l’habilitation détenue à ce titre devient caduque. Si l’intéressé exerce une nouvelle fonction ou accomplit une nouvelle mission pour laquelle une habilitation est requise, une nouvelle procédure est engagée.
Pour un nouvel agent occupant un emploi devant faire l’objet d’une habilitation et ayant été habilité sur son précédent poste par un autre ministère, une nouvelle procédure de demande d’habilitation doit être engagée. Il revient au responsable PSDN d’informer au plus vite le FSD-CBPS et de lui communiquer toutes coordonnées lui permettant de prendre l’attache de son homologue afin d’obtenir la transmission des éléments liés à la précédente habilitation.
Si les circonstances le permettent (selon la nature de l’avis, sa date de validité et les éventuels éléments complémentaires), une nouvelle décision sera alors prise sur la base de l’avis de sécurité initial sans que l’intéressé ait à remplir une notice individuelle de sécurité. Toutefois, dans certains cas (où il y aura eu par exemple un changement dans l’état civil depuis la délivrance de l’avis initial), une nouvelle notice individuelle de sécurité sera demandée.
• Certificat de sécurité.
Les responsables PSDN peuvent délivrer aux personnes habilitées ayant une mission temporaire à effectuer auprès d’un organisme extérieur, un certificat de sécurité attestant de leur niveau d’habilitation nationale.
Ce certificat ne peut être délivré que pour la durée de la mission et doit être restitué à l’issue de la mission par les intéressés aux responsables PSDN, chargés de le détruire, et doit comporter une date de validité d’un an maximum (cf. modèle de certificat en fin de document).
3. MESURES DE PROTECTION DES INFORMATIONS ET SUPPORTS CLASSIFIÉS
• Niveaux de classification.
Depuis le 1er juillet 2021, il existe, au niveau national, deux niveaux de classification (5) (à mettre en parallèle des niveaux d’habilitation) : Secret et Très Secret.
L’habilitation Secret est « réservée aux personnes pouvant connaître des informations ou supports protégés dont la divulgation non autorisée est de nature à porter atteinte à la défense nationale ».
L’habilitation Très Secret est « réservée aux personnes pouvant avoir à connaître des informations ou supports protégés dont la divulgation non autorisée est de nature à nuire de manière exceptionnellement grave à la défense nationale (6) ».
En dehors des niveaux de classification, l’IGI 1300 prévoit une mention de protection pour les informations non classifiées mais dont l’utilisation impose un devoir de discrétion car elles présentent une sensibilité particulière à l’égard de l’un des secrets, autres que le secret de la défense nationale, mentionnés au 2° de l’article L. 311-5 du code des relations entre le public et l’administration.
Ces informations doivent être protégées par l’apposition du timbre « Diffusion restreinte (DR) » et les mesures de gestion afférentes.
La divulgation d’informations et supports portant la mention DR à des personnes physiques ou morales n’ayant pas le besoin d’en connaître expose son auteur à des sanctions disciplinaires, administratives et éventuellement pénales, notamment au titre de la violation du secret professionnel (tel que prévu et réprimé à l’article 223-16 du code pénal). Aussi est-il recommandé de transmettre les informations protégées DR via un bordereau spécifique, sur le modèle du bordereau applicable aux supports classifiés (modèle A-B-B’).
La simple mention DR ne suffit pas à interdire l’accès à un document qui restera notamment déterminé par l’article L. 311-8 du code des relations entre le public et l’administration ou les articles L. 213-1 et 213-2 du code du patrimoine. Il s’agit uniquement d’une mention de prudence.
Classifiées ou protégées par la mention DR, les informations marquées Spécial France (SF) ne peuvent être transmises qu’à des personnes physiques ayant la nationalité française et à des personnes morales établies en France et ayant le besoin d’en connaître.
Certaines informations, sans être classifiées ou protégées par la mention de protection DR, peuvent néanmoins revêtir un caractère sensible. Il s’agit d’informations qui pourraient nuire aux intérêts des services des ministères, des organismes placés sous leur autorité, sous leur tutelle ou liés par contrat ou convention, ou à leur personnel.
Ainsi, dans le champ d’application de l’instruction, sont considérées comme sensibles :
– les informations couvertes par le secret des délibérations du Gouvernement ;
– les données à caractère personnel ;
– les informations stratégiques et organisationnelles, les informations techniques et technico-commerciales, les informations commerciales et les données économiques et financières ;
– les données de recherche entrant dans le champ de la protection du potentiel scientifique et technique.
Tout manquement au respect du secret de la défense et à l’obligation de discrétion professionnelle peut donner lieu à des sanctions administratives et disciplinaires.
• Principes de la classification.
L’apposition de la marque du niveau de classification est l’un des éléments fondamentaux de la protection des documents et supports couverts par le secret de la défense nationale. Ce marquage confère matériellement le caractère de secret aux éléments concernés et permet la mise en œuvre, en cas d’inobservation délibérée ou non de la réglementation applicable, d’un régime pénal spécifique (articles 413-9 et suivants du code pénal).
L’auteur d’une information ou d’un support doit donc :
– éviter qu’une information justifiant une classification ne soit pas classifiée, ce qui constituerait un délit au regard des règles de protection du secret dont l’autorité émettrice est responsable ;
– veiller à ce que le niveau de classification soit à la fois nécessaire et suffisant, donc approprié au caractère de l’information et du contexte ;
– limiter la prolifération de documents classifiés et éviter les classifications abusives qui génèrent des coûts de gestion, des charges de travail importantes et altèrent la valeur du secret de la défense nationale.
D’une manière générale, la décision de classification doit résulter de l’analyse de l’importance et de la sensibilité de l’information au regard de son contexte, selon le principe général de l’IGI 1300 de « moins classifier pour mieux classifier ».
Pour les services déconcentrés du MENJ, la nécessité de classifier peut s’avérer plutôt faible. Elle peut toutefois s’avérer impérative notamment dans le cadre du suivi et de la prévention de la radicalisation (au niveau Secret).
Pour l’enseignement supérieur, les chercheurs peuvent être concernés par la procédure de classification notamment dans le cadre de partenariats de recherche comprenant des travaux classifiés du ministère des armées, des activités de recherche dans le domaine du renseignement en lien avec des services enquêteurs, des contrats liés à des programmes européens.
La classification d’une information ou d’un support n’exclut pas le fait qu’elle puisse entrer également dans le dispositif de protection du potentiel scientifique et technique national dont l’objet est de protéger contre les détournements et/ou la captation de savoirs et savoir-faire de ce potentiel. A cet égard, le correspondant PSDN veillera à assurer la cohérence de ce dispositif avec la protection du secret de la défense nationale, leurs champs d’action étant complémentaires et leurs procédures compatibles.
• Procédure de classification.
Les modalités générales de classification des supports papiers et dématérialisés (marquage, pagination, documents éphémères etc.), sont précisées dans la fiche pratique n° 4 « Classifier une information » élaborée par le SGDSN et reproduite en fin de la présente annexe.
En pratique, il convient :
– d’appliquer le « timbre de classification » dès les premiers brouillons ou premiers supports ;
– de manipuler immédiatement et de conserver les documents et supports classifiés en respectant les mesures de protection exigées.
L’agrégat d’un ensemble d’informations d’un niveau de protection ou de classification donné peut en accroître la sensibilité. Ainsi, un agrégat d’informations protégées par la mention Diffusion restreinte peut nécessiter une classification au niveau Secret. De même, un agrégat d’informations de niveau Secret peut nécessiter une classification au niveau Très Secret.
• Echéance de classification, de déclassification, reclassement, déclassement.
Il revient à l’auteur d’un document ou à l’autorité classificatrice de faire figurer une date d’échéance de classification au-delà de laquelle l’information perd automatiquement sa protection. L’auteur de la classification procède donc simultanément à deux opérations juridiques distinctes :
– la classification, qu’il matérialise par l’apposition d’un timbre de classification ;
– la déclassification à une date d’entrée en vigueur différée, qu’il matérialise par l’apposition d’une date d’échéance valant timbre de déclassification (7).
Les informations et supports ayant fait l’objet d’une mesure de classification et qui comportent une date d’échéance de classification sont automatiquement déclassifiés à cette date.
Toutefois, pendant la durée de classification d’une information ou d’un support, la sensibilité de ces derniers peut évoluer en fonction du temps ou des circonstances. La protection qui leur est accordée initialement peut ainsi être réévaluée soit dans le sens d’un renforcement (reclassement au niveau supérieur), soit, dans la majorité des cas, dans le sens d’un abaissement prenant la forme d’un déclassement ou d’une déclassification. De même, une information ou un support non protégé peut être classifié postérieurement à son émission si l’évolution de sa sensibilité au regard de la défense et de la sécurité nationales l’exige. Sauf lorsqu’il y a déclassification à échéance, il convient de prendre l’attache du FSD-CBPS afin d’évaluer avec lui l’opportunité de déclassifier ou non et de faire valider par la commission ministérielle de déclassification.
• Modalités de conservation.
La sécurité des informations et supports classifiés est assurée par un ensemble de mesures destinées à garantir l’intégrité des sites, bâtiments, lieux qui abritent les locaux et/ou meubles dans lesquels ils sont conservés ou dans lesquels une information ou un support classifié est déployé. La fiabilité des meubles dans lesquels ils sont conservés est impérative. Ces mesures ont pour objet d’éviter toute dégradation, compromission ou risque de compromission.
Le degré de sécurité physique à appliquer pour assurer la protection des lieux abritant dépend des niveaux de classification et, le cas échéant, de la protection numérique des informations et supports classifiés qu’ils abritent et des menaces auxquelles ils sont exposés.
Le service du HFDS/bureau de la protection du secret peut être consulté sur l’évaluation des mesures de protection physique à prendre et sur l’opportunité d’une visite du service enquêteur pour l’établissement d’un avis technique d’aptitude physique -ATAP (obligatoire pour le niveau Très Secret).
La capacité physique de lieux propres au stockage et au traitement au niveau requis est appréciée par :
– le responsable PSDN pour tous les lieux abritant des informations et supports de niveau Secret ;
– le service enquêteur (DGSI) dans les autres cas (organisme sous contrat avec les ministères ou lieux abritant des informations ou supports de niveau Très Secret).
Le dispositif global de protection et les solutions techniques retenues reposent sur :
– l’évaluation des menaces et des contraintes inhérentes à l’environnement du site reposant sur une analyse de risque ;
– les méthodes de travail et de gestion des informations et supports classifiés concernés (par exemple, en fonction de la circulation de ces informations et supports dans l’établissement concerné et du nombre de personnes y ayant accès).
Les conclusions rendues par le service enquêteur.
La sécurisation physique des accès d’énergie, des locaux techniques et des moyens de communication participe également de la protection physique des informations et supports classifiés.
Le dispositif de protection physique des informations, supports et systèmes d’information classifiés est constitué de plusieurs barrières successives, que sont :
– l’emprise du bâtiment et/ou le bâtiment lui-même ;
– les locaux qui contiennent le meuble ou les éléments du système d’information ;
– le meuble dans lequel sont conservés les informations et supports classifiés ;
– et, pour les systèmes d’information, la sécurité numérique à l’égard des utilisateurs du système et, éventuellement, à l’égard des ressources du système d’information.
Tous les documents classifiés, y compris les supports préparatoires encore utiles, doivent être enregistrés dans une base numérique (ou un cahier d’enregistrement du courrier classifié) prévue à cet effet, et dont l’accès est protégé et strictement réservé aux seules personnes habilitées.
Les documents ou supports (papier ou clé USB, compact disque) doivent être conservés dans un meuble de sécurité dédié à un niveau et un domaine de classification.
Lorsqu’un meuble de sécurité contient, à titre exceptionnel, des documents de différents niveaux de classification, les documents doivent être isolés dans des boîtes de rangement identifiées par niveaux.
La protection des lieux peut également se traduire par la mise en œuvre de zones protégées ou réservées. La création d’une zone protégée est conseillée pour les lieux abritant des informations et supports classifiés au niveau Secret et obligatoire au niveau Très Secret. Une zone protégée est un local ou un terrain clos rattaché à un service, un établissement, public ou privé, intéressant la défense nationale, auquel l’accès est soumis à autorisation afin de protéger les installations, les matériels, le secret des recherches, des études ou des fabrications ou les informations et supports classifiés qui s’y trouvent.
Les demandes de création de ces zones sont adressées, pour instruction, au service du HFDS. Celui-ci s’assure de l’existence du besoin et prescrit les aménagements nécessaires dans les locaux concernés (en s’appuyant le cas échéant sur les préconisations émises par le service enquêteur). Il rédige le projet d’arrêté de création présenté à la signature du HFDS et veille à sa publication au Journal officiel.
Une zone réservée est obligatoire pour la protection physique des informations et supports de niveau Très Secret, y compris ceux faisant l’objet d’une classification spéciale.
En l’espèce, le besoin de création d’une zone réservée pour les services déconcentrés du MENJ est quasi inexistant. Il peut être nécessaire, à de très rares exceptions, et pour certains organismes de recherche relevant du MESR.
• Modalités de diffusion et d’acheminement.
La diffusion d’informations ou supports classifiés ne peut se faire que par le biais de moyens sécurisés, numériques ou matériels, garantissant notamment l’identité du destinataire et la traçabilité du document.
L’acheminement papier se fait sous double enveloppe présentant des garanties de solidité de nature à assurer au maximum l’intégrité physique des supports. Le modèle de bordereaux d’envoi A, B, B’est à utiliser lors d’envoi de tout document classifié.
• Modalités de destruction.
La destruction d’un document classifié de niveau Secret peut se faire à l’initiative de l’autorité détentrice par une personne habilitée, après avis du service des archives.
Pour le niveau Très Secret, l’autorité détentrice du document informe par écrit l’autorité émettrice (ministère, préfecture par exemple) que, sauf avis contraire de sa part, elle va procéder à la destruction du support (par une personne habilitée Très secret). Sans réponse dans un délai de deux mois, l’autorité détentrice procède à la destruction du support et en rend compte au bureau de la protection du secret de l’autorité émettrice en lui adressant une copie du procès-verbal.
Les supports préparatoires non enregistrés devenus sans objet sont détruits sans formalité particulière, sous la responsabilité de leur détenteur.
• Modalités d’évacuation et destruction d’urgence.
Pour faire face à des circonstances exceptionnelles et en cas de menace immédiate nécessitant l’évacuation des bâtiments par le personnel ou la destruction des informations et supports classifiés, des plans d’évacuation et de destruction d’urgence sont établis par chaque service ou organisme qui détient des informations et supports classifiés. Ces plans prévoient notamment les procédures d’accès, en toute circonstance, aux locaux et aux informations et supports classifiés. Les modalités d’exécution pratiques de ces plans figurent sur des fiches placées dans chaque coffre par les personnes détenant des éléments couverts par le secret de la défense nationale.
Il revient à chaque structure d’établir ce type de plan. Le bureau de la protection du secret du SDS peut être saisi pour avis.
• Versement aux archives.
Concernant cette procédure, on se reportera aux paragraphes 7.5.4.2 et suivants de l’IGI 1300.
• Identification et regroupement des supports classifiés.
Se référer également à l’IGI 1300, annexe 46.
• Homologation de sécurité des systèmes d’information (SI) classifiés ou avec mention de protection.
L’autorité d’homologation de la sécurité des SI classifiés (dont ceux de l’OSIIC) est le secrétariat général de la défense et de la sécurité nationale (SGDSN) pour les SI :
– traitant d’informations classifiées au niveau Très Secret avec classification spéciale ;
– traitant d’informations classifiées de l’Union Européenne ou de l’OTAN (8).
L’autorité d’homologation de la sécurité de SI classifiés conçus et opérés dans le département ministériel est le haut fonctionnaire de défense et de sécurité :
– pour les SI traitant d’informations, classifiés au niveau Secret, l’agence nationale de la sécurité des systèmes d’information (ANSSI) participe à la commission d’homologation de ces SI ;
– pour les SI traitant d’informations, sous mention Diffusion Restreinte. L’ANSSI est sollicitée pour participer à la commission d’homologation de ces SI.
Sauf dispositions réglementaires spécifiques, l’autorité d’homologation de la sécurité des SI conçus et opérés dans un établissement public du périmètre est l’autorité qualifiée de la sécurité des SI de l’entité :
– pour les SI traitant d’information, classifiés au niveau Secret, l’ANSSI et le FSSI participent à la commission d’homologation de ces SI ;
– pour les SI traitant d’informations sous mention Diffusion restreinte, l’ANSSI et le FSSI sont sollicités pour participer à la commission d’homologation de ces SI.
• Gestion des incidents de SI classifiés.
La gestion des incidents de sécurité des systèmes d’information classifiés dispose d’une chaîne de signalement spécifique :
– tout incident ou suspicion d’incident de sécurité du SI portant sur un SI classifié doit faire l’objet d’un signalement sans délai au fonctionnaire de sécurité des systèmes d’information (FSSI) ;
– à défaut, en cas d’indisponibilité du FSSI ou de son adjoint, le signalement peut être émis directement auprès de l’opérateur de sécurité des SI interministériels classifiés (OSIIC), avec information au FSSI ;
– le FSD-CBPS est informé par le FSSI de tous les incidents impactant des SI classifiés du périmètre ministériel.
• Signalement d’une compromission.
Il doit être rendu compte immédiatement de toute découverte de compromission possible au responsable d’organisme (pénalement responsable des informations et supports classifiés que son organisme détient) et à la personne exerçant la fonction d’officier de sécurité de l’organisme concerné (FSD pour les ESR et correspondants PSDN et/ou directeurs de cabinet et recteurs pour les services déconcentrés).
Qu’il y ait compromission avérée ou simple suspicion, sont informés, par le responsable de l’organisme et/ou responsables PSDN, directement et dans les plus brefs délais :
– l’émetteur du document ;
– le service compétent de la direction générale de la sécurité intérieure, chargé de centraliser les cas et de procéder à l’enquête sous le contrôle de l’autorité judiciaire ;
– dans le cadre d’un contrat de sous-traitance ou de sous-contrat, l’autorité publique contractante ;
– le HFDS des ministères, qui avise lui-même le secrétariat général de la défense et de la sécurité nationale de chaque cas de compromission ;
– la chaîne fonctionnelle de SSI classifiés pour toute perte ou vol d’un élément constitutif d’un système d’information classifié ou d’un support amovible.
L’autorité compétente et les correspondants PSDN, en lien avec le service du HFDS, prennent immédiatement les mesures pour prévenir la réitération de tels faits. Une personne qui ne signale pas de tels actes favorisant la divulgation d’une information ou d’un support classifié est susceptible d’encourir des sanctions administratives ou professionnelles, voire pénales, dès lors qu’une telle abstention crée les conditions de nouvelles compromissions.
L’ensemble de ces procédures s’exécute sans préjudice de l’obligation générale faite à tout officier public ou fonctionnaire et à toute autorité constituée de dénoncer au procureur de la République l’existence d’un délit suffisamment étayé.
• Procédure de perquisition dans un lieu abritant des éléments couverts par le secret de la défense nationale.
Les structures des MENJ/MESR/MSJOP peuvent être concernées par une mesure de perquisition réalisée dans le cadre d’une enquête judiciaire.
Si cette perquisition concerne des locaux abritant des éléments couverts par le secret de la défense nationale, le magistrat doit s’en être assuré et suivre les règles spécifiques visant à garantir la confidentialité des informations et supports classifiés qui s’y trouvent, y compris à l’égard des officiers de police judicaire et des magistrats procédant aux opérations de perquisition. Ces règles sont rappelées et détaillées dans la fiche dédiée en fin de la présente annexe.
En particulier :
– dès le début de la perquisition, le magistrat doit informer le responsable de l’organisme et l’agent faisant office d’officier de sécurité de la nature de l’infraction faisant l’objet de ses investigations, des motifs justifiant la perquisition et les lieux concernés. Il revient aux responsables présents de vérifier que les locaux concernés figurent effectivement comme lieux abritant des éléments couverts par le secret de la défense nationale, ou que les lieux concernés par la perquisition n’abritent pas d’informations et supports classifiés. Dans ce cas, ils en informent immédiatement le magistrat ;
– la perquisition des lieux abritant doit être réalisée directement par un juge et se faire en présence du président de la commission du secret de la défense nationale ou de son représentant. Dans le cas contraire, les responsables des MENJ, MESR ou MSJOP ou le détenteur d’une information classifiée présents rappellent aux responsables de la perquisition qu’eux-mêmes ou leurs agents ne peuvent accéder aux informations et supports classifiés ni les saisir directement et qu’ils doivent alerter sans délai la commission du secret de la défense nationale ;
– le magistrat ou l’officier de police judiciaire ne peuvent prendre connaissance ni saisir directement des informations et supports classifiés. Si, au cours de la perquisition, ils devaient découvrir de manière fortuite de tels informations et supports, la procédure prévoit que les opérations de perquisition soient suspendues jusqu’à l’arrivée du président de la commission du secret de la défense nationale ou de son représentant qui placeront les informations ou supports sous scellés afin qu’ils soient examinés par eux selon la procédure prévue (cf. IGI 1300 §. 1.2.2.2 a ii). Si des informations et supports classifiés sont découverts de manière fortuite, les responsables des MENJ, MESR ou MSJOP, ou le détenteur d’une information classifiée, présents, rappellent la procédure en vigueur aux autorités responsables de la perquisition.
Les mêmes procédures spécifiques sont appliquées dans le cas d’une perquisition impliquant l’accès ou la saisie d’un système d’information classifié.
En dehors du rappel de la procédure aux autorités responsables de la perquisition, les responsables des MENJ, MESR ou MSJOP ou les détenteurs d’information classifiée ne doivent en aucun cas s’opposer aux actes judiciaires.
Dans tous les cas, le service du HFDS est à prévenir dans les plus brefs délais. Les cas de non-respect de la procédure de perquisition dans un lieu abritant des éléments couverts par le secret de la défense nationale lui sont signalés. Le personnel habilité est informé de la conduite à tenir en cas de perquisition et des dispositions qui précèdent.
4. SUIVI DE L’ACTIVITÉ DE LA PSDN
• Rapport annuel.
Afin d’assurer le contrôle de l’application de la PSDN, chaque haut fonctionnaire de défense et de sécurité remet, avant le 31 mars de chaque année, au secrétaire général de la défense et de la sécurité nationale, un compte rendu d’évaluation de la PSDN dans son champ d’attribution. Il est établi sur la base d’un questionnaire transmis par le secrétariat général de la défense et de la sécurité nationale au plus tard le 30 novembre de chaque année.
Ce compte rendu porte à la fois sur la mise en œuvre de la protection du secret par les services centraux, déconcentrés, services à compétence nationale et établissements publics dont ils ont la charge, mais également sur les opérateurs d’importance vitale qui leur sont rattachés, ainsi que sur les autres personnes morales avec lesquelles les ministères ont conclu une convention ou un contrat nécessitant l’accès à des informations ou supports classifiés.
Ce compte rendu fait également état des carences relevées dans le dispositif de protection du secret et des actions correctrices envisagées et engagées.
• Inventaire des lieux abritant.
Afin de pouvoir établir ce rapport annuel, le HFDS fait procéder à l’inventaire des lieux abritant des éléments, documents et supports classifiés couverts par le secret de la défense nationale.
Aussi est-il demandé aux responsables PSDN de transmettre au bureau de la protection du secret les renseignements suivants :
– l’adresse administrative très précise du bâtiment où se trouve l’armoire forte (stockage obligatoire) contenant les documents protégés ;
– l’étage, le service, la pièce avec son numéro éventuel.
Si les opérations de recensement annuel – qui ne sont pas exclusives d’une remontée au fil de l’eau – conduisent à accéder à des documents ou supports classifiés, elles ne peuvent alors être effectuées que par une personne dûment habilitée, sous peine d’entraîner un délit de compromission.
• Inventaire des documents classifiés.
Tout détenteur de documents classifiés doit effectuer un inventaire annuel des documents qu’il détient (ainsi que lors d’une passation de fonction) et être en mesure de les dénombrer selon leur niveau de classification ainsi que de connaître leur lieu de stockage.
Il est donc nécessaire que les structures détenant des documents classifiés communiquent annuellement au HFDS par niveau de classification le nombre total des documents classifiés qu’elles détiennent.
Cela doit permettre à la structure et au HFDS d’évaluer ou de réévaluer le besoin de protection des documents détenus et de créer si nécessaire une zone protégée si leur nombre est conséquent.
Cette information, accompagnée d’un courrier de l’autorité compétente, sera protégée Diffusion restreinte a minima ou classifiée « Secret » et envoyée à l’attention du FSD-CBPS au plus tard le 31 décembre de chaque année.
Si aucun document classifié n’est détenu, un simple courrier ou courriel émanant de l’autorité compétente ou FSD, devra en informer le service du HFDS.