Arrêté royal portant exécution de la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, aux avis de sécurité et au service public réglementé

source: service public federal justice et service public federal interieur et ministere de la defense

numac: 2024011702

pub.: 22/01/2025

prom.: 20/12/2024


moniteur: https://www.ejustice.just.fgov.be/cgi/article_body(...)

20 DECEMBRE 2024. - Arrêté royal portant exécution de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer relative à la classification, aux habilitations de sécurité, aux avis de sécurité et au service public réglementé

RAPPORT AU ROI Sire, Le présent projet soumis à Votre Signature respecte la circulaire du 27 mai 2024 du Premier Ministre relative aux affaires courantes. La circulaire précitée prévoit notamment que « les affaires qui n'exigent aucune initiative nouvelle de la part du Gouvernement et pour lesquelles la continuité du pouvoir impose l'intervention du Pouvoir exécutif sous peine de créer une carence préjudiciable aux citoyens, doivent être traitées. Il est toujours possible, après avoir recueilli l'avis du Conseil d'Etat, de finaliser des textes réglementaires dont la préparation a été entamée bien avant la période critique, et qui ont fait l'objet, d'une part, d'une négociation sectorielle clôturée par la signature d'un protocole d'accord et, d'autre part, de l'accord des Ministres compétents, particulièrement dans le cadre du contrôle administratif, budgétaire et de gestion ».

Le projet a été approuvé par le Conseil des Ministres du 26 avril 2024 et a ensuite été soumis à l'avis du Conseil d'Etat.

La loi du 7 avril 2023Documents pertinents retrouvés type loi prom. 07/04/2023 pub. 09/06/2023 numac 2023042056 source service public federal affaires etrangeres, commerce exterieur et cooperation au developpement Loi portant modificatio de la loi du 11 décembre 1998, relative à la classification et aux habilitations, attestations et avis de sécurité fermer portant modification de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer relative à la classification, aux habilitations de sécurité, attestations de sécurité et avis de sécurité (Moniteur belge du 9 juin 2023, éd. 1) a modifié la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer relative à la classification, aux habilitations de sécurité, attestations de sécurité et avis de sécurité de manière fondamentale.

En exécution de la loi du 7 avril 2023Documents pertinents retrouvés type loi prom. 07/04/2023 pub. 09/06/2023 numac 2023042056 source service public federal affaires etrangeres, commerce exterieur et cooperation au developpement Loi portant modificatio de la loi du 11 décembre 1998, relative à la classification et aux habilitations, attestations et avis de sécurité fermer, les modalités de protection des informations classifiées (y compris celles du nouveau niveau de classification « RESTREINT ») doivent être fixées par arrêté royal.

L'objectif de ces mesures de protection est de clarifier les règles relatives à l'utilisation des informations classifiées dans un monde où la dématérialisation est de plus en plus rapide et les besoins des acteurs privés et des partenaires étrangers en matière d'information sont accrus.

Le présent arrêté vise également à contrôler avec une rigueur accrue la manière dont la classification des informations est utilisée. La classification des informations s'applique uniquement si elle est strictement nécessaire à la protection de l'un des intérêts fondamentaux du pays, tels qu'énumérés de manière exhaustive à l'article 3, § 1er, de la loi du 11 décembre relative à la classification, aux habilitations de sécurité, avis de sécurité et au service public réglementé (ci-après dénommée « Loi relative à la classification »). Le gouvernement souhaite toutefois également trouver un équilibre entre la protection de ces intérêts fondamentaux et la nécessité d'une transparence (accrue).

Optimiser la classification (sans nécessairement étendre ce processus) offre une meilleure protection. Classifier requiert toutefois une attention particulière : il convient de choisir le niveau de classification correct et le marquage doit être appliqué de manière juste et complète à l'information. Tant la surclassification que la sous-classification comportent un risque pour la sécurité du pays : (1) en cas de surclassification, l'autorité n'est pas toujours en mesure de réagir de manière appropriée ;cette surclassification entraîne une dévalorisation du secret protégé et une érosion progressive du respect des mesures de protection ; (2) en cas de sous-classification, l'accès à l'information est facilité pour les acteurs étrangers ou hostiles qui souhaitent nuire aux intérêts protégés.

Les règles de marquage permettent de garantir que toute personne qui entre en contact avec les informations sache clairement qu'il s'agit d'informations classifiées, et donc protégées. Le caractère protégé doit être clair, étant donné que l'utilisation inappropriée de ces informations peut être sanctionnée pénalement.

Par conséquent, la classification et la déclassification ne sont pas une sinécure et exigent des règles claires.

La protection assurée par chacun de ces niveaux de classification consiste en un ensemble de mesures de protection minimales. Ces mesures sont réparties en cinq catégories : les mesures applicables à la gestion des informations classifiées, la sécurité des personnes (morales), les mesures de protection liées aux marchés publics, la sécurité physique et la sécurité des systèmes de communication et d'information (voir l'article 7 de la loi relative à la classification). Ces cinq catégories figurent également dans le cadre réglementaire de l'UE, de l'OTAN et de l'ESA, dont les auteurs du présent arrêté se sont inspirés.

Le présent arrêté régit également le contrôle de la mise en oeuvre de ces mesures de protection.

En outre, il clarifie les rôles et les responsabilités de chaque acteur impliqué dans la protection des informations classifiées.

Lorsque tous les membres d'une organisation connaissent leurs tâches et responsabilités spécifiques en matière d'informations classifiées, le risque de malentendu et de négligence est considérablement réduit.

Une structure dûment définie permet de réagir rapidement et efficacement aux éventuels incidents de sécurité et à la compromission d'informations classifiées. Les bonnes personnes sont mobilisées au bon moment.

Dans son avis, le Conseil d'Etat a émis la recommandation suivante : « Dans un souci de sécurité juridique et compte tenu de la matière sensible réglée par le projet, la publication au Moniteur belge de l'arrêté qui en résultera gagnerait à être accompagnée d'un rapport au Roi permettant d'en expliciter les dispositions ». Voici qui répond à cette recommandation.

De manière générale, le Conseil d'Etat a fait remarquer qu'en vertu des articles 4, 13, 22, 23, 29, 31, 39, 41, 49, 54, 58, 60, 64, 70, 84, alinéa 2, 95, 96 et 98 du projet initial, le Conseil national de Sécurité était chargé de prendre des mesures qualifiées de mesures complémentaires de nature administrative et technique ou de proposer des directives, mais que les mesures que le Conseil national de Sécurité pouvait prendre en vertu des articles précités du projet semblaient avoir un caractère réglementaire, ce qui n'était pas acceptable et devait dès lors faire l'objet d'une révision. Le Conseil d'Etat a ajouté que, selon une pratique consultative établie, les délégations telles que celles envisagées dans le projet ne pouvaient être acceptées que pour des raisons pratiques et dans la mesure où celles-ci avaient une portée très limitée ou principalement technique, et pour autant que l'on puisse partir du principe que les organismes chargés d'appliquer ou de contrôler la réglementation en question soient également les mieux placés pour l'élaborer en connaissance de cause. Chaque disposition mentionnant les directives du Conseil national de Sécurité a donc été examinée à la lumière de cet avis quant à (1) la nature et la nécessité des directives et (2) la question de savoir si la délégation prévue était effectivement fondée sur des raisons pratiques et avait une portée très limitée (par exemple, parce qu'elle ne s'adresse qu'à certaines entités qui utilisent des informations classifiées ou qu'elle ne s'adresse qu'aux officiers de sécurité) ou essentiellement technique, ce qui permet de partir du principe que seule l'Autorité nationale de Sécurité, qui exerce le contrôle sur le respect des mesures de protection, est la mieux placée pour se prononcer en connaissance de cause. Les projets des nouvelles directives feront préalablement l'objet de concertation avec les experts des services partenaires qui siègent dans le Comité de coordination pour le Renseignement et la Sécurité, compte tenu des coûts que la mise en oeuvre de telles directives peut entraîner. Cette concertation préalable a pour but d'expliquer et de clarifier les directives, si nécessaire.

A la suite de la remarque formulée par le Conseil d'Etat selon laquelle aucune base juridique n'autorisait le Roi à prendre des dispositions au sujet des informations non classifiées et, le cas échéant, à qualifier ces informations de « SENSIBLE NON CLASSIFIE », le titre IV a été supprimé du projet d'arrêté. Par conséquent, le présent arrêté ne compte plus que cinq titres au lieu de six. Les dispositions transitoires et finales prévoient cependant une réglementation pour les informations portant la mention « DIFFUSION RESTREINTE » afin de pouvoir les distinguer des informations classifiées au niveau de protection « RESTREINT ». Cette disposition est indépendante des éventuelles autres législations ou réglementations visant la protection des informations non classifiées.

Discussion des articles.

TITRE I. - Définitions

Article 1er Le titre 1er ne contient qu'un seul article, qui fournit une série de définitions. 1° La définition de la « loi » n'appelle pas de commentaire supplémentaire ;2° La définition du « fonctionnaire dirigeant » est reprise de l'arrêté royal du 24 mars 2000.Les termes « et son remplaçant » sont maintenant ajoutés.

Le Comité permanent R note dans son avis que la délégation au remplaçant n'a pas de fondement juridique et renvoie à cet égard à l'article 1er, 3°, de la loi relative à la classification. Le Comité permanent R estime qu'il n'existe aucune disposition permettant de déléguer cette tâche.

Les auteurs du projet soulignent que l'article 1er, 3°, de la loi relative à la classification - auquel le Comité permanent R se réfère dans son avis - est inexistant. La définition de « fonctionnaire dirigeant » figure bien à l'article 1er, 3°, de l'arrêté royal du 24 mars 2000. Dans le projet d'arrêté royal, les termes « et son remplaçant » ont été ajoutés pour que les compétences puissent être exercées par le chef faisant fonction en cas d'absence et/ou d'empêchement du fonctionnaire dirigeant ; 3° et 4° Les définitions de « compromission » et d'« incident de sécurité » sont reprises du document C-M(2002)49-REV 1 de l'OTAN du 20 novembre 2020.La distinction entre les deux termes réside dans le fait que, dans le cas d'une compromission, les données ont été mises en péril (et non potentiellement mises en péril). Dans le cas d'un incident de sécurité, seule une règle a été enfreinte sans qu'il ait été établi que les données ont été mises en péril. Dans son avis (p. 44), le Conseil d'Etat relève que la signification de la notion de « mettre en péril » correspond quant au fond à celle de « compromission ». En effet, ces deux notions peuvent être considérées comme des synonymes, étant entendu qu'en cas d'incident de sécurité, l'accent est mis sur « potentiellement ».

La définition de la compromission inclut la situation dans laquelle des services et moyens d'appui ont perdu leur intégrité ou leur disponibilité, en ce compris le déni de service. Le « déni de service » fait référence au fait de ne plus fonctionner correctement. A titre d'exemple, on cite une armoire cassée ou un réseau qui n'est pas opérationnel ; 5° et 6° Les définitions d'« Autorité nationale de Sécurité » et de « Conseil national de Sécurité » n'appellent pas de commentaires ;7° La définition de « sécurité industrielle » repose, quant au fond, sur la définition du Conseil européen (Décision du Conseil européen du 23 septembre 2013 concernant les règles de sécurité aux fins de la protection des informations classifiées de l'UE (2013/488/UE) art. 11). Cette définition a été ajoutée pour garantir l'application des mesures de protection pendant la phase de négociation précontractuelle et pendant toute la durée des marchés publics classifiés. Les formulations utilisées dans cet article sont cohérentes avec les termes utilisés dans l'article 100 du présent arrêté ; 8° La définition de « titulaire » se fonde sur la définition du Conseil européen (Décision du Conseil européen du 23 septembre 2013 concernant les règles de sécurité aux fins de la protection des informations classifiées de l'UE (2013/488/UE) p.42). La définition a été ajoutée afin de préciser qu'une distinction peut exister entre l'autorité d'origine et le titulaire d'informations classifiées.

Ainsi, les personnes morales, telles que définies dans le cadre du présent arrêté, peuvent être détentrices d'informations classifiées, mais jamais autorités d'origine. Le titulaire a toujours un besoin d'en connaître ; 9° La définition de « porteur » est nouvelle.L'article 16 de l'arrêté royal du 24 mars 2000 faisait mention de « courrier spécial ». Ce terme prêtait à confusion, car sa signification exacte n'était pas claire.

Le terme « porteur » s'entend au sens large et inclut toute personne transportant des informations classifiées. Il s'agit notamment des entreprises publiques chargées de la distribution du courrier (par exemple Bpost), les entreprises de courrier privées et/ou les services de colis (par exemple DHL ou Fedex), les services postaux au sein d'une entreprise ou d'une administration (« courrier interne », huissiers, chauffeurs), etc.

La définition a été ajoutée pour préciser qu'un porteur doit être titulaire d'une habilitation de sécurité. Cette exigence se justifie par le fait que l'expédition est souvent effectuée par la même personne. De plus, cette personne est en possession d'informations classifiées alors qu'elle n'a pas de « besoin d'en connaître ».

Cette exigence d'habilitation de sécurité est analogue à l'exigence de posséder une habilitation de sécurité pour l'accès à durée indéterminée d'une personne à une zone sécurisée, sans que cette personne ait accès aux informations classifiées proprement dites.

L'exigence d'habilitation de sécurité s'applique à tous les « porteurs », y compris aux huissiers et aux chauffeurs du ministère public ; 10° La définition des « organes » de la personne morale. L'article 1bis, 10°, b), de la loi utilise les notions d'« organes » et « préposés ». Dans la pratique de l'Autorité nationale de Sécurité, il est devenu nécessaire de définir et distinguer clairement ces deux concepts. Parallèlement, sur avis du Conseil d'Etat, le terme « personne morale » est également défini au point 12°.

Le terme « organes » désigne les personnes ou les collèges de personnes déterminés par le Code des sociétés et des associations, de manière obligatoire ou facultative, qui accomplissent une tâche spécifique dans la structure des personnes morales et qui, dans la mesure où leur rôle n'est pas purement interne, représentent à titre permanent la personne morale à l'égard de tiers. Tant le comportement effectif de l'organe que les actes juridiques posés par celui-ci sont directement imputés à la personne morale. A l'égard des tiers, l'organe et la personne morale sont considérés comme étant identiques. (VAN DEN BRANDEN, S., MARYSSE, S., Focus op de besloten vennootschap, 77-94 (18 p.)).

Il en ressort que les « dirigeants de fait », y compris les « dirigeants de l'ombre », qui exercent un véritable pouvoir de direction en coulisses, relèvent également du terme « organes ».

Ce terme doit être clairement distingué de celui de « préposé », défini au point 11° ; 11° La définition du terme « préposé ».« Préposer » est compris dans son acceptation courante, à savoir « charger, employer » (dictionnaire Le Robert) et requiert un lien de subordination, à savoir la capacité réelle d'exercer une autorité et un contrôle sur le comportement d'un tiers sans nécessairement exercer une autorité effective au moment du fait préjudiciable (Cass. 16 octobre 1992, Pas. 1993, 16 ; Cass. 11 décembre 2001, De Verz. 2002, 361, note J. VANHOVEN ; Cass. 22 janvier 2007, Arr. Cass. 2007, 136).

Pour que le lien de subordination existe, une convention ou un contrat est conclu entre le « préposé » et la personne morale (ou entité), que ce « préposé » soit payé ou non.

Par conséquent, un « préposé » est de manière générale un membre du personnel ou une personne exécutant un rôle ou une tâche pour une personne morale (ou une entité) qui ne représente pas la personne morale (ou l'entité) de manière permanente vis-à-vis de tiers. Un préposé peut exercer une fonction purement interne.

Les « bénévoles » qui ne sont pas liés par une convention à l'entité donneuse d'ordre ne peuvent par conséquent pas être considérés comme des « préposés » au sens du présent arrêté . Autrement dit, les « bénévoles » qui sont liés par un contrat ou une convention à une entité dans un contexte professionnel sont donc bien considérés comme des « préposés ». Il doit clairement ressortir du contrat que le « bénévole » a pris connaissance des mesures de sécurité prévues dans la loi et le présent arrêté et qu'il s'engage à accomplir son rôle ou sa tâche en respectant les instructions de et sous la responsabilité de l'entité donneuse d'ordre. Les collaborateurs « détachés » auprès d'une autre autorité publique peuvent bien évidemment être aussi considérés comme des « préposés » ; 12° La définition de « personne morale » a été ajoutée à la demande du Conseil d'Etat.Etant donné que les points 10° et 11° définissent qui sont les organes et les préposés de la personne morale, il était également nécessaire de définir la personne morale.

La notion de « personne morale » renvoie, quant au fond, à toute personne morale, quelle que soit sa forme juridique, pour laquelle une habilitation de sécurité est demandée ou qui est titulaire d'une habilitation de sécurité. Dans le cadre du présent arrêté, la notion de personne morale désigne toute personne morale qui n'est pas une entité de droit public belge. Par conséquent, celles-ci doivent suivre la procédure décrite à l'article 1bis, 10°, b) et 15°, b), de la loi et au chapitre 5, section 2 (habilitation de sécurité pour les personnes morales), du présent arrêté. Cette disposition vise à définir quelles personnes morales doivent demander une habilitation de sécurité pour les personnes morales afin de pouvoir prendre connaissance d'informations classifiées. Par conséquent, les personnes morales qui ne relèvent pas de cette définition (= secteur public) sont dispensées de la demande d'habilitation de sécurité pour les personnes morales afin de pouvoir prendre connaissance d'informations classifiées. En revanche, les personnes physiques d'un organisme public doivent bien évidemment être en possession d'une habilitation de sécurité afin de pouvoir prendre connaissance d'informations classifiées ; 13° La définition de « personne de contact pour la sécurité » est nouvelle.Conformément à l'article 1bis, 15°, a) et b), de la loi, toutes les administrations publiques, les organismes d'intérêt public, les entreprises publiques autonomes et les personnes morales qui utilisent des informations classifiées doivent désigner un officier de sécurité. L'officier de sécurité est chargé de veiller au respect des règles de sécurité. L'officier de sécurité doit être titulaire d'une habilitation de sécurité.

Pour les personnes morales, cela implique une lourde obligation.

Ainsi, l'officier de sécurité, qui est un collaborateur de la personne morale, ne pourra être habilité qu'après l'habilitation de la personne morale. Cela a des conséquences financières pour les personnes morales.

Les auteurs du projet d'arrêté royal ont dès lors estimé qu'il était excessif d'exiger des personnes morales utilisant exclusivement des informations classifiées de niveau « RESTREINT » que celles-ci désignent un officier de sécurité. Cela impliquerait que la personne morale doive être titulaire d'une habilitation de sécurité, étant donné que l'article 1bis, 15°, b), impose à la personne morale d'être titulaire d'une habilitation de sécurité, ce qui entraverait l'attribution rapide et efficace des contrats.

C'est pourquoi la nouvelle fonction de « personne de contact pour la sécurité » a été créée par analogie avec la fonction de « gestionnaire des avis de sécurité » introduite par l'article 3 de la loi du 2 juin 2024Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer0 modifiant la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé et la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel fermer relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.

Dans son avis (p. 2), le Comité permanent R indique que la loi attribue à l'officier de sécurité la responsabilité du respect des règles de sécurité relatives aux informations classifiées (article 1erocties de la loi). Etant donné que les informations classifiées au niveau « RESTREINT » relèvent également de la définition des informations classifiées (prévue à l'art. 4 de la loi), le Comité permanent R estime que la responsabilité du respect des règles de sécurité pour le niveau « RESTREINT » ne peut pas être déléguée à la personne de contact pour la sécurité.

L'article 7, § 1er, 1°, de la loi relative à la classification précise que le Roi détermine les mesures de protection applicables à la classification et à la gestion des informations classifiées. La désignation d'une « personne de contact pour la sécurité » en ce qui concerne l'utilisation d'informations classifiées au niveau « RESTREINT » est l'une de ces mesures de protection, ce qui signifie que la mission de vérification du respect des règles de sécurité pour le niveau « RESTREINT » peut effectivement être confiée à la « personne de contact pour la sécurité » susmentionnée.

La définition précise que la personne de contact pour la sécurité doit avoir obtenu un avis de sécurité positif. Dans son avis (p. 2), le Comité permanent R indique que l'exigence d'un avis de sécurité positif ne peut être imposée par arrêté royal car cela ne permettrait pas à la personne morale de droit privé ou de droit public concernée de déroger à l'avis.

Les auteurs du projet d'arrêté royal estiment que la possibilité de déroger à l'avis n'est pas retirée à la personne morale de droit privé ou de droit public. Si l'Autorité nationale de Sécurité, visée à l'article 23 de la loi, émet un avis positif, l'autorité administrative compétente peut encore émettre un avis négatif. Dans ce cas, cette personne ne pourra pas exercer la fonction de personne de contact pour la sécurité ; 14° La définition de la notion d'« entité ».Dans son avis, le Conseil d'Etat recommande, dans un souci de sécurité juridique, de définir la notion d'« entité » dans le projet. La notion d'« entité » doit être comprise dans son acceptation la plus large. Il peut s'agir de personnes morales de droit privé ou de droit public, d'autorités administratives, etc. Elle concerne toutes les instances qui utilisent des informations classifiées ; 15° La définition de l'« autorité fonctionnelle d'un système de communication et d'information » est nouvelle et a été ajoutée pour indiquer qui est responsable de la mise en oeuvre de la politique relative aux systèmes de communication et d'information au sein d'un service donné. L'autorité fonctionnelle peut être non seulement une personne physique, mais aussi une entité (par exemple un réseau financé par plusieurs nations). Lorsqu'il s'agit d'une entité, celle-ci doit toujours désigner une personne habilitée à signer des documents au nom de l'entité. Tout service travaillant avec un système de communication et d'information destiné à traiter des informations classifiées doit ainsi disposer d'une autorité fonctionnelle, y compris le ministère public.

TITRE II. - Rôles et responsabilités CHAPITRE 1er. - L'officier de sécurité Article 2 L'article 2 dispose que les membres du gouvernement fédéral et des gouvernements des entités fédérées désignent un officier de sécurité au sein de leur cellule stratégique et au moins un officier de sécurité au sein de chaque administration publique relevant de leur autorité, dans laquelle des informations classifiées de niveau « CONFIDENTIEL » ou supérieur sont utilisées. Cette disposition figurait déjà dans l'arrêté royal du 24 mars 2000 en ce qui concerne le gouvernement fédéral. Les gouvernements des entités fédérées ont été ajoutés pour aligner la réglementation sur la pratique.

En effet, la loi s'applique à toute personne qui utilise ou souhaite utiliser des informations classifiées. Même lorsque ces informations sont utilisées par des entités fédérées, les mesures de protection (telles que la désignation d'un officier de sécurité), définies par la loi et le présent arrêté d'exécution, doivent être respectées.

Cependant, le Conseil d'Etat a souligné qu'à la lumière du principe de l'exercice autonome des compétences, l'article 1bis, 15°, a), de la loi ne pouvait être lu ou interprété comme habilitant le Roi à utiliser cette disposition comme base juridique pour imposer unilatéralement aux entités fédérées des obligations auxquelles ces dernières n'auraient pas consenti volontairement, étant donné que l'instrument juridique requis pour les y contraindre - l'accord de coopération - fait défaut en l'espèce.

Le Conseil d'Etat estime dès lors que la disposition proposée dans le projet n'est acceptable que si les entités fédérées choisissent volontairement de coopérer, dans un souci de sécurité, à une classification des documents dans les matières pour lesquelles elles sont compétentes. Il y a alors lieu de penser que, lorsqu'une entité constitutive coopère volontairement à une telle classification afin de bénéficier des avantages que celle-ci induit, elle doit automatiquement se soumettre aux conséquences opérationnelles que cette classification implique, lesquelles sont déterminées par l'autorité compétente en la matière, à savoir l'Etat fédéral, telles que l'obligation prévue à l'article 2, alinéa 1er, du projet de nommer un officier de sécurité auprès des organes et services concernés. La désignation de l'officier de sécurité relève de la responsabilité des entités fédérées et non de l'autorité fédérale.

L'article 2, alinéa 1er, du projet est donc légèrement modifié en conséquence.

Article 3 L'article 3 du projet dispose que la fonction d'officier de sécurité ne peut être exercée que par des personnes qui possèdent la nationalité belge.

Les « informations classifiées » sont des informations qui, dans l'intérêt de la sécurité nationale, sont protégées par des mesures de sécurité contre tout accès non autorisé, toute utilisation inappropriée et toute diffusion. En d'autres termes, des intérêts fondamentaux de l'Etat belge sont en jeu et doivent être protégés, quelle que soit leur forme et leur localisation. Dans le cadre de la gestion des risques, et notamment de l'identification des menaces contre les intérêts fondamentaux de l'Etat belge, il est logique d'imposer des mesures de sécurité permettant de résister à ces menaces ou de les réduire à un risque acceptable.

L'imposition de la nationalité belge à certaines personnes clés, dont l'officier de sécurité, fait partie de ces mesures de sécurité.

En effet, l'officier de sécurité veille au respect des règles de sécurité belges en matière de protection des informations classifiées (article 1erocties de la loi). L'officier de sécurité doit s'assurer que l'entreprise et son personnel respectent les mesures de protection des informations classifiées. L'officier de sécurité doit également être titulaire d'une habilitation de sécurité pour les personnes physiques démontrant des garanties suffisantes en termes de discrétion, de loyauté et d'intégrité. En raison de cette fonction indépendante de contrôle du respect des règles de sécurité relatives aux informations classifiées qui, comme mentionné précédemment, protègent les intérêts fondamentaux de l'Etat belge, il importe également que l'officier de sécurité (et la personne de contact pour la sécurité) possède la nationalité belge.

D'autres pays suivent la même logique (Royaume-Uni, Canada et Pays-Bas).

Au sein d'un groupe d'entreprises dont au moins une entreprise a accès à des informations classifiées, ou au sein d'une société holding dont une des filiales a accès à des informations classifiées, un officier de sécurité (ou une personne de contact pour la sécurité) peut être désigné pour veiller à la cohérence entre l'administration du groupe ou du holding et les défis que la protection de ces informations classifiées implique. L'Autorité nationale de Sécurité procède à une évaluation de l'officier de sécurité proposé par le groupe de sociétés ou la société holding afin de déterminer si cette personne sera en mesure d'exercer efficacement sa fonction.

Pour les informations classifiées de l'UE, de l'OTAN ou d'institutions inter- ou supranationales, il suffit que l'officier de sécurité ou la personne de contact pour la sécurité soit un ressortissant d'un Etat membre de l'une de ces organisations, étant donné qu'il s'agit ici - logiquement - de protéger la « sécurité nationale » de l'UE ou de l'OTAN. Exiger que l'officier de sécurité ou la personne de contact pour la sécurité possède également la nationalité belge serait disproportionné.

Article 4 L'article 4 dispose que l'Autorité nationale de Sécurité fixe les modalités du contrôle de l'exécution des missions de l'officier de sécurité. Etant donné que l'Autorité nationale de Sécurité doit contrôler l'exécution des missions de l'officier de sécurité, elle est également la mieux placée pour élaborer avec expertise ces règles complexes à portée technique. CHAPITRE 2. - La personne de contact pour la sécurité

Article 5 L'article 5 décrit les responsabilités de la personne de contact pour la sécurité.

Article 6 L'article 6 définit certaines missions de la personne de contact pour la sécurité relatives à la prise de connaissance des mesures de protection concernant les informations classifiées au niveau « RESTREINT ». Sur avis du Conseil d'Etat, le point 1° est supprimé car il est redondant. En effet, la définition de la « personne de contact pour la sécurité » figure déjà à l'article 1er, 13°, qui énonce les définitions.

Article 7 A cet égard, il est renvoyé à l'explication de la définition de « personne de contact pour la sécurité ». Si un officier de sécurité a déjà été désigné au sein d'une entité, il n'est évidemment plus nécessaire de désigner une personne de contact pour la sécurité, étant donné que, conformément à l'article 1er octies, § 1er, 1°, de la loi relative à la classification, l'officier de sécurité veille également au respect des règles de sécurité relatives à la protection des informations classifiées, qui incluent dès lors également les informations classifiées au niveau « RESTREINT ».

Article 8 L'article 8 dispose que l'Autorité nationale de Sécurité fixe les modalités du contrôle de l'exécution des missions de la personne de contact pour la sécurité. Etant donné que l'Autorité nationale de Sécurité doit contrôler l'exécution des missions de l'officier de sécurité, elle est également la mieux placée pour élaborer ces règles à portée technique en connaissance de cause. Les missions de la personne de contact pour la sécurité sont analogues à celles de l'officier de sécurité. CHAPITRE 3. - L'autorité fonctionnelle d'un système de communication et d'information

Article 9 L'article 9 définit les missions de l'autorité fonctionnelle d'un système de communication et d'information et n'appelle pas de commentaire supplémentaire.

TITRE III. - Informations classifiées CHAPITRE 1er. - Mesures de protection applicables à la classification et à la gestion d'informations classifiées Section 1re. - Disposition générale

Article 10 Cet article veille à préserver la compétence pour chaque ministre de prescrire des règles complémentaires d'ordre technique en matière de classification, de déclassification et de mesures de protection inhérentes à la classification.

Les règles prévues par le présent arrêté constituent la norme minimale à laquelle les personnes (morales) doivent satisfaire afin de pouvoir traiter des informations classifiées. Toutefois, ces règles ne mettent en lumière qu'une seule dimension de la sécurité militaire. La sécurité opérationnelle en constitue par exemple un autre aspect. La sécurité opérationnelle peut être définie comme suit : "All measures taken to give a military operation or exercise appropriate security, using passive or active means, to deny an adversary knowledge of the essential elements of friendly information or indicators thereof" (NATO Glossary of Terms and definitions, AAP-06).

En vertu de l'article 11, § 1er, 2°, de la loi du 30 novembre 1998Documents pertinents retrouvés type loi prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 source ministere de la defense nationale Loi organique des services de renseignement et de sécurité type loi prom. 30/11/1998 pub. 02/02/1999 numac 1998003675 source ministere des finances Loi contenant le onzième ajustement du budget générale des dépenses de l'année budgétaire 1998, Section 12, Ministère de la Justice fermer organique des services de renseignement et de sécurité, le SGRS a pour mission de « veiller au maintien de la sécurité militaire du personnel relevant du ministre de la Défense nationale, et des installations militaires, armes, munitions, équipements, plans, écrits, documents, systèmes informatiques et de communications ou autres objets militaires ».

Le maintien de la sécurité militaire, par exemple au cours d'une opération à l'étranger, requiert des mesures de sécurité strictes.

Chaque opération nécessite des règles différentes et la situation sécuritaire diffère par ailleurs dans chaque pays.

De plus, les règles doivent pouvoir être adaptées en fonction de la menace et des besoins opérationnels. Il est dès lors essentiel que le chef du SGRS puisse, le cas échéant, imposer des règles plus strictes en matière de protection des informations classifiées afin de garantir la sécurité militaire.

C'est pourquoi, il est également prévu que, outre le ministre, le chef du SGRS puisse prescrire des règles supplémentaires (plus strictes) de nature technique en ce qui concerne la Défense. Cela n'exclut cependant pas la possibilité pour les fonctionnaires dirigeants d'établir des directives supplémentaires (plus strictes) pour les services qui leur sont subordonnés. Dans ce cas, ces directives n'ont pas de caractère réglementaire, mais elles sont contraignantes pour les services subordonnés. Section 2. - Personnes et autorités compétentes pour la

classification, la modification du niveau de classification et la déclassification

Article 11 L'article 11 définit le champ d'application ratione personae en matière de classification, de déclassification et de modification du niveau de classification des informations classifiées. Ces personnes doivent être titulaires d'une habilitation de sécurité de niveau « SECRET » au minimum, même s'il s'agit de classifier des informations de niveau « RESTREINT ».

Il permet dès lors de déterminer précisément les personnes compétentes pour classifier, modifier le niveau de classification, et déclassifier les informations classifiées, ce qui permet ainsi un meilleur contrôle sur le flux de ces informations et une meilleure sécurité vis-à-vis de leur contenu et de leur pertinence.

On peut également se référer à l'explication de la modification de l'article 1bis de la loi (DOC 55 n° 2443/003, p. 7) : « [...], car les décisions de déclassification et de modification des niveaux de classification appartiennent exclusivement à un gouvernement public. [...] Il est donc clair que les personnes morales privées - avec lesquelles une autorité administrative passe des contrats - ne peuvent être considérées comme une "autorité d'origine", même si elles produisent des pièces classifiées au profit et sous l'autorité d'une autorité administrative.

Le Collège des procureurs généraux a soulevé que le procureur fédéral et les magistrats qu'il désigne devraient également avoir l'autorisation de classifier et de déclassifier des informations aux niveaux « SECRET », « CONFIDENTIEL » et « RESTREINT », en plus du niveau « TRES SECRET ». Ils ont donc été inclus dans cet article.

Article 12 L'article 12 définit le champ d'application ratione personae de la compétence de classification, de déclassification et de modification du niveau de classification des informations de niveau « TRES SECRET ».

Il précise ainsi les personnes autorisées à classifier, modifier ou déclassifier des informations classifiées « TRES SECRET », ce qui permet un meilleur contrôle sur l'utilisation de ces données et renforce la sécurité quant à leur contenu.

Le procureur fédéral ainsi que les magistrats qu'il désigne sont les personnes qui doivent avoir une habilitation pour effectuer ces actions.

Dans son avis 61.551/2 du 14 juin 2017, le Conseil d'Etat remet en question la nécessité d'exiger, par le biais de cet article 12, que ces magistrats doivent s'être vu délivrer une habilitation de sécurité au préalable pour user de la compétence de classification, de déclassification et de modification des informations classifiées du niveau « TRES SECRET » car l'article 8 de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer n'exige pas que ces mêmes magistrats possèdent une habilitation pour la consultation de pièces classifiées.

Selon le Conseil d'Etat, cela soulève une incohérence, car il semble contradictoire d'exiger une habilitation pour que ces magistrats puissent remplir leurs fonctions alors que cela n'est pas exigé dans le cadre de l'article 8 de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer.

Néanmoins, il est fondamental que le procureur fédéral et les magistrats délégués possèdent une habilitation de sécurité appropriée pour classifier, modifier ou déclassifier des informations, surtout celles classifiées « TRES SECRET ». Cette exigence est essentielle pour garantir la sécurité et la confidentialité des données sensibles, car elle assure que seules des personnes formées et vérifiées puissent activement créer, modifier ou supprimer les niveaux d'habilitation d'informations critiques, contrairement à l'article 8 de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer, qui ne concerne qu'un accès passif à ces informations, une simple consultation.

Le Conseil d'Etat souligne que l'article 8 mentionne que les magistrats n'ont pas besoin d'une habilitation pour consulter des documents classifiés. Cependant, il est important de noter que cette disposition concerne uniquement l'accès à des documents déjà classifiés, et ne concerne aucunement le fait de conférer le pouvoir de classifier, modifier ou déclassifier. Ces deux processus sont fondamentalement distincts : l'un permet simplement la consultation, tandis que l'autre implique une responsabilité active dans la gestion de la sécurité des informations.

Il semble donc difficile de pouvoir transposer la même logique que celle développée pour l'article 8 afin d'établir que le procureur fédéral et les magistrats désignés puissent classifier, modifier ou déclassifier des informations classifiées « TRES SECRET » sans une habilitation adéquate.

Par exemple, en ce qui concerne l'article 3 de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer, qui traite des témoins protégés, il est crucial que ces magistrats aient la capacité de classifier de nouvelles pièces. Une telle responsabilité requiert une connaissance approfondie des enjeux de sécurité et des procédures de classification, accessible uniquement par le biais d'une habilitation de sécurité adéquate.

Il est donc fondamental de distinguer le rôle passif de consultation des documents classifiés, comme le prévoit l'article 8, d'un rôle actif de classification et de déclassification. Pour garantir la sécurité et l'intégrité des informations, le procureur fédéral et les magistrats doivent être en mesure de prendre des décisions éclairées, ce qui ne peut être assuré qu'en possédant les habilitations nécessaires pour agir de manière responsable sur les informations classifiées « TRES SECRET ». Section 3. - Gestion des informations classifiées

Article 13 Cet article permet à l'Autorité nationale de Sécurité de pouvoir compléter de manière rapide les dispositions du présent arrêté par des mesures administratives et techniques supplémentaires qui permettraient une meilleure gestion des informations classifiées.

Sous-section 1. - Marquages

Article 14 La gestion des informations sensibles est cruciale et nécessite une attention particulière pour éviter toute confusion. Les autorités doivent classifier, modifier ou déclassifier ces informations de manière appropriée, en veillant à ce qu'elles soient clairement identifiées selon leur niveau de confidentialité. La classification n'est pas statique et peut évoluer ; il est donc essentiel de mettre à jour le niveau de classification lorsque cela s'avère nécessaire. Il est également important de déclassifier. Ainsi, les mesures de sécurité rigoureuses qui s'appliquaient à des informations devenues moins sensibles peuvent être levées. Les marquages doivent être clairs et visibles pour garantir une bonne identification. En définitive, une gestion responsable des informations sensibles est essentielle pour les protéger et éviter toute confusion. Les personnes compétentes doivent être conscientes de leur rôle et agir avec prudence.

Articles 15 à 19 Ces articles ne nécessitent pas d'explication particulière, si ce n'est que la traduction en allemand et en anglais des niveaux de classification n'a pas été prévue, étant donné que ces niveaux de classification en allemand et en anglais sont inexistants dans la loi et que, par conséquent, ces documents ne seront pas non plus protégés si le marquage est effectué en allemand ou en anglais. Toutefois, conformément à l'article 16, alinéa 4, du projet d'arrêté royal il est possible de compléter le marquage en néerlandais ou en français par l'équivalent international en langue anglaise repris dans le tableau comparatif de l'annexe 1. Les compatriotes germanophones peuvent toujours opter pour un marquage supplémentaire en allemand, conformément à l'article 18, qui indique clairement le niveau de classification aux destinataires germanophones d'un document classifié, même s'ils préparent déjà des documents classifiés avec une indication du niveau de classification en français ou en néerlandais.

Sous-section 2. - Déclassification du niveau de classification « RESTREINT »

Article 20 Cet article n'appelle aucun commentaire.

Sous-section 3. - Classification ou déclassification collective

Article 21 Cet article traite de la possibilité de classification ou de déclassification collectives des documents par l'autorité d'origine.

Cela signifie qu'une autorité peut décider d'attribuer un niveau de classification ou de le retirer pour un ensemble de documents, fichiers ou dossiers qui sont identifiables par un sujet commun, sans avoir à examiner chaque document individuellement.

Cette approche vise à simplifier le processus de gestion des informations classifiées, en permettant une action globale plutôt que détaillée.

Cette règle figure déjà dans l'actuel arrêté royal du 24 mars 2000 portant exécution de la loi du 11 décembre relative à la classification, aux habilitations de sécurité, attestations de sécurité et avis de sécurité (article 32) et est parfois appliquée à des fonds d'archives anciens (antérieurs à l'entrée en vigueur de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer), pour lesquels il n'est pas opportun de marquer individuellement le document proprement dit en raison de leur vulnérabilité/fragilité, de leur valeur historique, de leur taille ou pour des raisons techniques (documents anciens sur microfiches).

Toutefois, une décision écrite de l'autorité d'origine indique toujours que le fonds d'archives doit être considéré comme (dé)classifié dans son intégralité.

Sous-section 4. - Enregistrement

Article 22 Cet article dispose que chaque information classifiée doit être clairement attribuée à un titulaire identifié, garantissant ainsi une traçabilité des données sensibles.

Article 23 Cet article introduit une exception pour les informations classifiées de niveau « RESTREINT » qui ne nécessitent pas d'enregistrement.

Dans ce cas, la responsabilité de la protection des informations incombe au titulaire dès qu'il en prend connaissance, après avoir été informé des restrictions d'utilisation par l'autorité d'origine.

Pour les informations classifiées de niveau « CONFIDENTIEL » ou « SECRET », un enregistrement est obligatoire lors de leur entrée ou sortie de l'organisation.

Les informations de niveau « TRES SECRET » doivent également être enregistrées, mais dans un registre distinct.

Par ailleurs, les copies imprimées des documents classifiés de niveau « CONFIDENTIEL » qui restent à l'intérieur de l'organisation ne nécessitent pas d'enregistrement.

Toutefois, les projets de documents de niveau « SECRET » peuvent être exemptés d'enregistrement pendant cinq jours ouvrables, après quoi ils devront être détruits ou enregistrés.

Les registres pour les niveaux « CONFIDENTIEL », « SECRET » et « TRES SECRET » peuvent aussi être tenus sous forme électronique, à condition de respecter les normes de sécurité appropriées.

Article 24 Cet article précise que l'utilisation d'informations classifiées dans des systèmes de communication approuvés doit être enregistrée conformément aux processus internes.

Article 25 Cet article souligne que les titulaires des informations classifiées de niveau « SECRET » ou « TRES SECRET » doivent toujours connaître leur localisation, garantissant ainsi un contrôle rigoureux sur ces données sensibles.

Sous-section 5. - Reproduction et traduction

Articles 26 à 28 Ces articles établissent des règles concernant la reproduction et la traduction des documents classifiés. Ils disposent que la reproduction ou la traduction d'un document classifié de niveau « TRES SECRET » nécessite l'accord écrit de l'autorité d'origine, soulignant ainsi l'importance de la sécurité pour les informations sensibles.

Pour les documents de niveau « SECRET » ou inférieur, si aucune restriction n'est imposée par l'autorité d'origine, le titulaire peut les reproduire ou les traduire.

En outre, toutes les reproductions et traductions doivent être soumises aux mêmes mesures de protection que celles appliquées à l'original, garantissant ainsi la sécurité continue des informations classifiées. Ces dispositions visent à équilibrer la nécessité de sécurité avec la possibilité d'utiliser les informations de manière efficace.

Sous-section 6. - Transmission et transport

Articles 29 à 32 Les articles 29 à 32 établissent des règles strictes pour la transmission des informations classifiées, en insistant sur la nécessité de prendre des mesures visant à empêcher toute consultation non autorisée.

Les informations doivent être transmises soit par porteur, sous double enveloppe fermée, soit par voie électronique via des systèmes approuvés par l'Autorité nationale de Sécurité, en respectant les mesures de protection appropriées.

Pour les informations classifiées de niveau « RESTREINT », il est également possible de les envoyer par pli recommandé, toujours sous double enveloppe fermée. En cas de circulation interne, les informations de niveau « CONFIDENTIEL » ou supérieur doivent être transportées par porteur (en possession d'une habilitation de sécurité valable d'un niveau au moins équivalent à celle des informations transportées) ou par leur titulaire dans une enveloppe fermée.

Il est impératif que l'organisation où circulent des informations de niveau « RESTREINT » mette en oeuvre toutes les mesures de sécurité possibles pour empêcher leur consultation non autorisée, garantissant ainsi la protection de ces informations sensibles.

En outre, les informations classifiées peuvent être transportées au sein de l'installation physique par le titulaire, à condition que toutes les mesures de sécurité nécessaires soient en place pour prévenir toute consultation non autorisée.

Sous-section 7. - Destruction

Article 33 Cet article dispose que les articles de la sous-section s'appliquent sans préjudice des diverses lois existantes qui régissent la classification, la gestion des informations sensibles, l'archivage et la protection des données à caractère personnel.

Cette précision est essentielle car elle garantit que les nouvelles dispositions ne remplacent pas ou ne contredisent pas les règles déjà établies, assurant ainsi une continuité et une cohérence législative.

Par ailleurs, le texte souligne que le titulaire et l'autorité d'origine des informations classifiées doivent régulièrement évaluer l'utilité de ces informations et décider si leur destruction est nécessaire.

Cela reflète une approche proactive et responsable dans la gestion des informations sensibles, visant à éviter la conservation indéfinie de données qui pourraient ne plus être pertinentes ou nécessaires.

Article 34 Cet article établit des règles strictes concernant la gestion des informations classifiées de niveau « TRES SECRET ». Il dispose que le titulaire de telles informations ne doit jamais procéder à leur destruction, mais doit les retourner à l'autorité d'origine. Cette mesure vise à garantir la sécurité et l'intégrité des informations sensibles, en évitant qu'elles ne soient perdues ou détruites de manière inappropriée.

L'autorité d'origine est alors responsable de dresser un procès-verbal de la destruction, qui doit inclure des détails sur l'objet détruit et être signé par les personnes ayant effectué la destruction ainsi que par l'officier de sécurité.

Cela crée une traçabilité et une responsabilité claires, essentielles dans le cadre de la gestion des informations classifiées, afin de prévenir toute utilisation abusive ou fuite d'informations.

Cet article souligne donc l'importance de la responsabilité et de la traçabilité dans la gestion des informations classifiées, tout en garantissant que les procédures de destruction soient effectuées de manière sécurisée et documentée. Cela contribue à maintenir la confiance dans le système de gestion des informations sensibles et à protéger les intérêts de la sécurité nationale.

Article 35 Cet article traite de la destruction des informations classifiées, spécifiquement celles de niveau « SECRET » ou inférieur.

Il prévoit que cette destruction peut être effectuée par l'autorité d'origine, le titulaire de l'information, ou un officier de sécurité désigné.

Cela inclut également la possibilité pour une personne de contact pour la sécurité de procéder à la destruction des informations classifiées de niveau « RESTREINT ».

Cette procédure est essentielle pour garantir que les informations sensibles ne tombent pas entre de mauvaises mains, ce qui pourrait compromettre la sécurité nationale ou la confidentialité des données.

La nécessité d'enregistrer la destruction des informations classifiées de niveau « CONFIDENTIEL » ou « SECRET » dans un registre souligne l'importance de la traçabilité et de la responsabilité dans la gestion des informations sensibles.

En effet, cette obligation d'enregistrement permet de maintenir un contrôle rigoureux sur les informations classifiées, assurant ainsi que chaque acte de destruction est documenté et justifié. Cela contribue à prévenir les abus et à garantir que seules les personnes autorisées peuvent manipuler ces informations.

Logiquement, cette réglementation s'inscrit dans un cadre plus large de protection des données et de sécurité.

Dans un monde où les cybermenaces et les fuites d'informations sont de plus en plus fréquentes, il est crucial d'établir des protocoles clairs pour la gestion des informations classifiées.

La destruction appropriée de ces informations, accompagnée d'un enregistrement systématique, constitue une mesure préventive contre les risques de divulgation non autorisée.

Cet article établit donc des règles précises pour la destruction des informations classifiées, mettant en avant la responsabilité des autorités et des titulaires d'informations. Cette approche logique et structurée vise à protéger la sécurité des données sensibles tout en assurant une traçabilité nécessaire pour prévenir les abus.

Sous-section 8. - Incidents de sécurité et compromission

Articles 36 à 38 Ces articles disposent qu'en cas d'incident de sécurité impliquant des informations classifiées, l'officier de sécurité ou la personne de contact pour la sécurité doivent être immédiatement informés par écrit.

L'officier de sécurité ou la personne de contact pour la sécurité mène alors une enquête administrative interne et en informe simultanément la direction de l'administration ou de l'organisme concerné, ainsi que l'Autorité nationale de Sécurité. Cela permet à l'Autorité nationale de Sécurité d'exercer ses pouvoirs de contrôle. Si nécessaire, l'Autorité nationale de sécurité informera également l'autorité d'origine des informations classifiées. En effet, selon les réglementations internationales, cela n'est requis que s'il a été constaté que les informations classifiées ont été compromises.

Si une compromission d'informations classifiées de niveau « CONFIDENTIEL » ou supérieur est constatée, l'officier de sécurité doit en faire immédiatement rapport à l'Autorité nationale de Sécurité.

Dans ce cas, l'Autorité nationale de Sécurité est tenue d'informer l'autorité d'origine de la compromission et des résultats de l'enquête.

En outre, un résumé des incidents de sécurité et des compromissions survenus au cours de l'année écoulée doit être transmis à l'Autorité nationale de Sécurité par l'officier de sécurité ou, le cas échéant, par la personne de contact pour la sécurité, au plus tard le 15 mars de chaque année.

Ces incidents de sécurité ou compromissions peuvent également concerner des personnes qui ne sont plus en service ou des personnes n'ayant plus besoin d'une habilitation de sécurité. CHAPITRE 2. - Mesures de protection physique Le chapitre 2 contient les mesures de protection physique pour l'utilisation d'informations classifiées. Section 1re. - Dispositions générales

Article 39 L'article 39 dispose que l'Autorité nationale de Sécurité détermine les mesures de protection physique minimales supplémentaires de nature administrative et technique pour l'utilisation d'informations classifiées au sein et en dehors des zones visées à l'article 42.

L'Autorité nationale de Sécurité est en effet l'instance qui devra contrôler la conformité des zones visées à l'article 42 avec les mesures de protection exigées par la loi relative à la classification et le présent arrêté. Elle est donc la mieux placée pour élaborer les spécifications techniques.

Article 40 L'article 40 n'appelle aucun commentaire.

Article 41 L'article 41 décrit les informations classifiées pouvant être consultées et les conditions dans lesquelles elles peuvent l'être, respectivement dans la zone administrative et dans la zone sécurisée.

Dans son avis, le Conseil d'Etat demande que l'article 41, alinéas 3 et 4, soit révisé afin de préciser que l'entité est tenue de prendre les mesures permettant d'empêcher toute consultation. Cette disposition a été adaptée en ce sens. Section 2. - Zones administratives et sécurisées

Tout d'abord, cette section porte sur la mise en place des zones administrative et sécurisée. Elle comprend également les conditions d'accès aux zones administrative et sécurisée, et aborde ensuite la procédure d'approbation d'une zone sécurisée.

Articles 42 et 43 Les articles 42 et 43 n'appellent pas de commentaire supplémentaire.

Article 44 L'article 44 définit les conditions d'accès à une zone sécurisée. A la suite d'une remarque formulée par le Conseil d'Etat dans son avis et par analogie avec les dispositions de l'article 8, § 2, alinéa 1er, de la loi, il a été précisé à l'article 44, § 1er, 2°, que les compétences propres des autorités judiciaires n'étaient pas affectées.

Cela signifie que les magistrats sont exemptés des exigences de l'article 44, § 1er, 2°, pendant l'exercice de leurs fonctions judiciaires et qu'ils ont accès à la zone sécurisée sans être escortés.

En réponse à une remarque formulée par le Comité permanent R dans son avis, les précisions nécessaires ont été apportées à l'article 44, § 1er, 3°, afin de clarifier que le fait d'être titulaire d'une habilitation de sécurité et d'une autorisation spécifique du chef de l'entité s'appliquait cumulativement à l'accès à la zone sécurisée sans être escorté. L'absence de l'une ou de l'autre conduit à ce que l'on ne puisse pénétrer dans la zone sécurisée que sous escorte.

Enfin, le Comité permanent R relève, dans son avis (point 4), que la possibilité prévue à l'article 8, § 2, alinéa 2, de la loi n'était pas développée.

L'article 8, § 2, al. 2 de la loi prévoit que les autorités désignées par le Roi peuvent conditionner l'accès aux locaux, bâtiments ou sites où se trouvent des informations classifiées, notamment à la possession d'une habilitation de sécurité.

Comme indiqué plus haut, l'article 44, § 1er, 2° du présent arrêté reprend le principe selon lequel l'accès à une zone sécurisée est conditionné à la possession d'une habilitation de sécurité (et à l'autorisation du chef de l'entité). Il est possible de déroger au principe de la possession d'une habilitation de sécurité, si la personne non habilitée est escortée par une personne habilitée pendant son accès à la zone sécurisée (voir article 44, § 1, 3° du présent arrêté).

Pour répondre à la remarque du Comité permanent R, l'article 44, § 2 du présent arrêté prévoit que ce sont les autorités visées à l'article 12 qui peuvent établir des zones sécurisées, sachant que l'accès à cette zone est conditionné à la possession d'une habilitation de sécurité, comme mentionné ci-dessus (voir article 44, § 1, 2° du présent arrêté). Pour ces autorités, il est en effet évident qu'elles ont besoin d'une zone sécurisée, qu'elles peuvent donc mettre en place, étant donné qu'elles peuvent classifier jusqu'au niveau « TRES SECRET ». Bien entendu, cette zone de sécurité doit également être homologuée par l'Autorité nationale de Sécurité et elles doivent introduire une demande à cet effet conformément à la procédure décrite dans le présent arrêté. Toutefois, la nécessité d'établir cette zone sécurisée sera déjà présumée en vertu de l'article 44, § 2.

La désignation des autorités visées à l'article 12, à savoir les autorités compétentes pour classifier au niveau « TRES SECRET » se justifie par le fait que la mesure de sécurité exigée pour la consultation d'informations classifiées au niveau « TRES SECRET » correspond à l'exigence de se trouver dans une zone sécurisée (voir article 41 du présent arrêté).

Les autorités autres que celles visées à l'article 12, ou les personnes morales qui ont besoin d'une zone sécurisée parce qu'elles utilisent des informations classifiées, soumettent la demande à cet effet à l'Autorité nationale de Sécurité, conformément à la procédure décrite dans le présent arrêté, qui évaluera la nécessité de cette zone, comme c'est le cas pour une demande d'habilitation de sécurité.

Article 45 Cet article n'appelle aucun commentaire.

Article 46 Cet article traite de la vérification de la déclaration de conformité par l'Autorité nationale de Sécurité. Dans son avis, le Conseil d'Etat pose la question de savoir si le modèle de déclaration de conformité doit être ajouté en annexe à l'arrêté royal, à l'instar des modèles déjà repris aux annexes 2 à 5.

Cependant, les auteurs soulignent que les évolutions techniques en matière de protection des informations classifiées peuvent entraîner la nécessité de modifier (le modèle de) la déclaration de conformité d'une zone sécurisée. En ce sens, (le modèle de) la déclaration de conformité se distingue fondamentalement des modèles repris aux annexes 2 à 5. C'est pourquoi, et afin d'éviter toute confusion possible due à la diffusion de différents modèles via l'annexe de l'arrêté royal, d'une part, et le site web de l'Autorité nationale de Sécurité, d'autre part, les auteurs ont choisi de ne pas ajouter de modèle de déclaration de conformité en annexe de l'arrêté royal.

Article 47 Cet article n'appelle aucun commentaire.

Article 48 L'article 48 prévoit l'obligation de signaler à l'Autorité nationale de Sécurité toute modification apportée à une installation physique.

Le Conseil d'Etat a relevé dans son avis que les conséquences d'une notification de modification de l'installation physique n'avaient pas été précisées, de sorte que la question se pose de savoir si l'ensemble de la procédure d'approbation doit être à nouveau appliquée. Par conséquent, il est ajouté à la disposition que si la modification concerne une zone sécurisée, l'Autorité nationale de Sécurité peut juger si une nouvelle enquête sur le terrain est nécessaire. La décision d'approbation de cette modification sera notifiée à l'officier de sécurité. CHAPITRE 3. - Mesures de protection des systèmes de communication et d'information pour les informations classifiées Le chapitre 3 comporte les mesures de protection des systèmes de communication et d'information pour les informations classifiées.

Article 49 L'article 49 dispose que l'Autorité nationale de Sécurité détermine les mesures de protection minimales supplémentaires de nature administrative et technique des systèmes de communication et d'information pour les informations classifiées. Il s'agit de mesures qui contribuent à la protection de l'information et garantissent les propriétés de confidentialité, d'intégrité, de disponibilité, de non-répudiation et d'authenticité. L'application d'un ensemble de mesures de protection est basée sur la gestion et l'évaluation des risques de sécurité, dans le but d'établir une sécurité proportionnelle avec un équilibre acceptable entre les besoins des utilisateurs, l'investissement requis et le risque de sécurité résiduel. Plus concrètement, il s'agit des mesures de protection techniques des systèmes et réseaux de télécommunication dans lesquels des données classifiées sont utilisées. La directive n'ajoute pas de nouvelles règles juridiques, mais interprète et concrétise l'arrêté d'exécution. En raison de la complexité technique et pour des raisons de sécurité, il convient de partir du principe que l'Autorité nationale de Sécurité, qui doit veiller au respect de ces mesures de protection, est également la mieux placée pour les élaborer en connaissance de cause.

Article 50 L'article 50 prévoit l'obligation pour l'officier de sécurité d'évaluer si un système de communication et d'information offre les garanties suffisantes en ce qui concerne la confidentialité, l'intégrité et la disponibilité du système et des informations qu'il contient. L'article aborde ensuite la déclaration de conformité que l'officier de sécurité doit envoyer à l'Autorité nationale de Sécurité.

Dans son avis, le Conseil d'Etat pose la question de savoir si le modèle de déclaration de conformité doit être ajouté en annexe à l'arrêté royal, à l'instar des modèles déjà repris aux annexes 2 à 5.

Les auteurs soulignent cependant que les évolutions techniques en matière de protection des systèmes de communication et d'information et les informations qu'ils contiennent peuvent entraîner la nécessité de modifier (le modèle de) la déclaration de conformité d'un système de communication et d'information. En ce sens, (le modèle de) la déclaration de conformité se distingue fondamentalement des modèles repris aux annexes 2 à 5. Pour cette raison, et afin d'éviter toute confusion possible due à la diffusion de différents modèles au moyen de l'annexe de l'arrêté royal, d'une part, et du site web de l'Autorité nationale de Sécurité, d'autre part, les auteurs ont choisi de ne pas ajouter de modèle de déclaration de conformité en annexe de l'arrêté royal.

Articles 51 et 52 L'article 51 n'appelle aucun commentaire.

L'article 52 prévoit que, pour les systèmes d'information utilisant des informations classifiées de niveau « RESTREINT », l'Autorité nationale de Sécurité PEUT demander à l'entité de soumettre le système concerné à des tests de sécurité afin de vérifier que les garanties suffisantes sont atteintes en termes de confidentialité, d'authenticité et de non-répudiation de ces systèmes et des informations qu'ils contiennent.

Tant l'OTAN que l'UE autorisent que des entités approuvent par elles-mêmes leur système de communication et d'information jusqu'au niveau « RESTREINT » tout au plus. Les auteurs du présent projet ne sont toutefois pas favorables à ce genre d'auto-homologation ou d'auto-accréditation pour des raisons de sécurité, et préfèrent que l'Autorité nationale de Sécurité examine la documentation fournie en ce qui concerne la sécurité, y compris la gestion des risques et les déclarations sur les risques résiduels, les spécifications des exigences en matière de sécurité liées au système, les documents attestant la mise en oeuvre/le déploiement de la sécurité et les procédures de sécurité opérationnelle, ainsi que la garantie que cette documentation est conforme aux règles et aux directives imposées par l'Autorité nationale de Sécurité. L'Autorité nationale de Sécurité effectue un contrôle physique à un stade ultérieur afin d'éviter qu'un certain nombre d'entités belges ne puissent, à défaut d'approbation d'un système de communication et d'information en temps et en heure, prendre part à des projets lancés par l'OTAN ou l'UE. Article 53 L'article 53 dispose que l'Autorité nationale de Sécurité notifie sa décision concernant l'approbation du système de communication et d'information à l'autorité fonctionnelle du système de communication et d'information et à l'officier de sécurité ou à la personne de contact pour la sécurité. Si l'Autorité nationale de Sécurité prend une décision de refus d'approbation du système de communication et d'information, il s'agit d'une décision administrative contre laquelle un recours peut être introduit devant la section du contentieux administratif du Conseil d'Etat conformément à l'article 14 des lois coordonnées sur le Conseil d'Etat, à moins que le législateur ne décide encore à l'avenir de confier cette compétence à une juridiction administrative spécifique créée à cet effet, tel que l'Organe de recours en matière d'habilitations, d'attestations et d'avis de sécurité.

La décision d'approbation du système de communication et d'information a une durée de validité de trois ans au maximum. Ce délai se justifie par l'évolution rapide des technologies. Le même délai a été prévu pour les produits cryptographiques (article 61 du présent arrêté).

Une demande de renouvellement de la décision peut être introduite entre le sixième et le septième mois avant la date d'expiration de sa validité, délai considéré comme réaliste par les services. En effet, il ne serait pas souhaitable que la demande soit introduite un jour avant la fin de la période de validité de la décision, et que l'autorité fonctionnelle continue ensuite à utiliser le système de communication et d'information sans approbation. Le délai pour la demande de renouvellement est nouveau et ne figurait pas encore dans l'actuel arrêté royal du 24 mars 2000. CHAPITRE 4. - Mesures de protection relatives au matériel cryptographique destiné au traitement d'informations classifiées Section 1re. - Généralités

Le chapitre 4 contient les mesures de protection relatives au matériel cryptographique destiné au traitement d'informations classifiées. La section 1 établit les dispositions générales.

Article 54 L'article 54 dispose que l'Autorité nationale de Sécurité fixe les exigences minimales administratives et techniques en termes d'évaluation, d'approbation, d'utilisation, y compris du compte cryptographique, de transport, de partage, de conservation, de gestion, y compris la production des clés cryptographiques, et de destruction du matériel cryptographique destiné au traitement des informations classifiées.

L'Autorité nationale de Sécurité est habilitée à délivrer, modifier, suspendre ou révoquer les approbations des produits cryptographiques.

Une approbation signifie que certains produits cryptographiques peuvent être utilisés comme mesure de protection des informations classifiées employées dans les systèmes de communication et d'information. En outre, l'Autorité nationale de Sécurité est également compétente pour gérer le matériel cryptographique destiné à la protection des informations classifiées, y compris les clés cryptographiques, en Belgique. La gestion comprend également le partage de matériel cryptographique national et international pour les utilisateurs. Le matériel cryptographique international est principalement, mais pas exclusivement, celui utilisé dans les contextes de l'UE, de l'OTAN et de l'ESA. L'Autorité nationale de Sécurité garde le contrôle sur les utilisateurs belges de ce matériel sensible, obligation par ailleurs inscrite dans la réglementation internationale.

En raison de la complexité technique et pour des raisons de sécurité, il est souhaitable d'exposer plus en détail les mesures fixées par l'arrêté d'exécution par le biais d'une directive de l'Autorité nationale de Sécurité. Compte tenu de la complexité technique et dans l'intérêt de la sécurité, l'Autorité nationale de Sécurité, qui doit veiller au respect de ces mesures de protection, est également la mieux placée pour les élaborer en connaissance de cause.

Articles 55 et 56 Les articles 55 et 56 n'appellent aucun commentaire. Section 2. - Procédure d'approbation de produits cryptographiques

La section 2 traite de la procédure d'approbation de produits cryptographiques.

Article 57 L'article 57 n'appelle aucun commentaire.

Article 58 L'article 58 dispose que le produit cryptographique est évalué par l'Autorité nationale de Sécurité. A la demande de l'Autorité nationale de Sécurité, cette évaluation peut également être effectuée par le Service général du Renseignement et de la Sécurité des Forces Armées ou par un autre organisme (tel que l'Ecole Royale Militaire) conformément à la politique de sécurité de l'Autorité nationale de Sécurité, par analogie avec ce qui est prévu en matière de gestion et de partage de matériel cryptographique à l'article 3 de l'arrêté royal du 22 décembre 2023 relatif au fonctionnement et à l'organisation de l'Autorité nationale de Sécurité.

Compte tenu de la remarque formulée par le Conseil d'Etat au sujet de la nature « réglementaire » des directives du Conseil national de Sécurité, les auteurs du présent projet ont choisi de supprimer la référence à celles-ci. Les dispositions nécessaires seront prises entre les instances compétentes en ce qui concerne cette évaluation, conformément à la politique de sécurité établie par l'Autorité nationale de Sécurité.

Article 59 A l'article 59, les termes « de niveau « RESTREINT » ou supérieur » sont supprimés car ceux-ci sont redondants, comme également souligné par le Conseil d'Etat.

Article 60 L'article 60 est modifié conformément à la remarque du Conseil d'Etat.

Les termes « Dans les cas prévus par le Conseil national de sécurité » sont supprimés afin que l'Autorité nationale de Sécurité puisse déterminer par elle-même les cas dans lesquels un autre pays ou une autre instance peut demander une évaluation d'un produit cryptographique, conformément aux compétences confiées à l'Autorité nationale de Sécurité à l'article 1quater de la loi.

Article 61 L'article 61 dispose que l'Autorité nationale de Sécurité notifie sa décision concernant l'approbation d'un produit cryptographique à l'autorité fonctionnelle du système de communication et d'information.

Si l'Autorité nationale de Sécurité prend une décision de refus d'approbation d'un produit cryptographique, il s'agit d'une décision administrative contre laquelle un recours peut être introduit devant la section du contentieux administratif du Conseil d'Etat conformément à l'article 14 des lois coordonnées sur le Conseil d'Etat, à moins que le législateur ne décide à l'avenir de confier cette compétence à une juridiction administrative spécifique créée à cet effet, tel que l'Organe de recours en matière d'habilitations de sécurité, attestations de sécurité ou avis de sécurité.

Articles 63 et 63 Les articles 62 et 63 n'appellent aucun commentaire. Section 3. - Gestion et distribution du matériel cryptographique

La section 3 traite de la gestion et de la distribution du matériel cryptographique.

Article 64 L'article 64 impose la possession d'un compte cryptographique, délivrée par l'Autorité nationale de Sécurité, aux instances qui souhaitent utiliser du matériel cryptographique pour les informations classifiées.

Par souci de clarté, la "crypto licence" a été remplacée dans le projet soumis pour avis au Conseil d'Etat par « compte cryptographique ».

La gestion et la distribution du matériel cryptographique relèvent de la compétence de l'Autorité nationale de Sécurité (article 1quater, 8°, de la loi relative à la classification). Afin que l'Autorité nationale de Sécurité puisse distribuer du matériel cryptographique aux instances qui souhaitent l'utiliser pour transmettre des informations classifiées, un compte cryptographique approuvée par l'Autorité nationale de Sécurité est nécessaire. Dans le cas contraire, le fonctionnement de l'Autorité nationale de Sécurité en ce qui concerne la gestion et la distribution du matériel cryptographique serait sérieusement perturbé. Le compte cryptographique montre qu'une entreprise peut utiliser du matériel cryptographique conformément aux exigences de la loi et du présent arrêté, et qu'elle dispose par conséquent d'une infrastructure adéquate (en termes de sécurité physique et de systèmes de communication et d'information), ainsi que d'un personnel formé et titulaire d'une habilitation de sécurité. A l'article 1ter de la loi précitée, le législateur a stipulé que l'Autorité nationale de Sécurité était une autorité de sécurité dont le fonctionnement et l'organisation étaient déterminés par le Roi, par arrêté délibéré en Conseil des Ministres. L'article 64 de l'arrêté s'y rapporte. L'article 1ter de la loi précitée est également mentionné dans les fondements juridiques énumérés dans le préambule de l'arrêté.

En outre, l'article 7, § 1er, de la loi précitée prévoit que le Roi, par arrêté délibéré en Conseil des Ministres, détermine les modalités de la protection et de la déclassification des informations classifiées. La possession d'un compte cryptographique approuvée par l'Autorité nationale de Sécurité est requise pour que du matériel cryptographique puisse être distribué à son possesseur en vue de l'utilisation d'informations classifiées.

Articles 65 et 66 Les articles 65 et 66 n'appellent aucun commentaire. Section 4. - Situations d'urgence

La section 4 définit les situations d'urgence.

Articles 67 et 68 Les articles 67 et 68 ont été adaptés sur avis du Conseil d'Etat pour préciser que les informations classifiées du niveau de classification « RESTREINT » ou « CONFIDENTIEL » pouvaient être transmises au moyen d'un produit cryptographique approuvé pour un niveau de classification inférieur ou sans cryptage, lorsque toutes les conditions étaient remplies (article 67, (a) ET (b)). Ces conditions représentent une liste exhaustive.

Les informations classifiées du niveau de classification « RESTREINT » ou « CONFIDENTIEL » ne permettront que rarement de « neutraliser la menace ». Il s'agit, par conséquent, de circonstances très exceptionnelles. Si les conditions ne sont pas remplies, il peut s'agir d'un incident de sécurité ou d'une compromission.

Contrairement à ce que suggère le Conseil d'Etat, l'article 68 ne devrait pas faire référence aux « circonstances exceptionnelles visées à l'article 67 », car il s'agit d'une situation différente, dans laquelle des informations ayant le niveau de classification « RESTREINT » peuvent, dans les circonstances décrites à l'article 68, être transmises sans avoir été cryptées.

Article 69 L'article 69 n'appelle aucun commentaire. CHAPITRE 5. - Mesures de protection relatives aux personnes physiques et morales Section 1re. - Habilitation de sécurité pour les personnes physiques

Sous-section 1re. - Généralités Le chapitre 5 contient les mesures de protection relatives aux personnes physiques et morales et la section 1 traite de l'habilitation de sécurité pour les personnes physiques.

Article 70 L'article 70 définit la manière dont l'Autorité nationale de Sécurité doit traiter les demandes d'habilitation de sécurité pour les personnes physiques. Il s'agit de l'accès aux informations classifiées à partir du niveau « CONFIDENTIEL », étant donné qu'aucune habilitation de sécurité n'est requise pour les informations classifiées au niveau « RESTREINT ».

Le paragraphe 1er décrit la situation des personnes de nationalité belge. Si ces personnes ont besoin d'accéder à des informations classifiées dans les strictes limites du besoin d'en connaître, elles peuvent se voir octroyer une habilitation de sécurité par les autorités compétentes, aux conditions prévues par la loi et le présent arrêté. Il convient de tenir compte à cet égard de la directive du Conseil national de Sécurité définissant l'ampleur de l'enquête de sécurité visée à l'article 18, alinéa 5, de la loi. Cette directive n'est communiquée qu'aux agents et membres des services de renseignement et de sécurité, à l'autorité de sécurité, ainsi qu'au Comité permanent R, conformément à l'article 18, alinéa 6, de la loi.

Le paragraphe 2 indique que les personnes de nationalité étrangère (y compris les ressortissants d'un pays non membre de l'UE) peuvent également se voir octroyer une habilitation de sécurité à condition d'être ressortissantes d'un pays avec lequel la Belgique a conclu un accord en matière d'échange et de protection mutuelle des informations classifiées. Une enquête devrait dès lors pouvoir être menée par le service de renseignement et de sécurité belge compétent, conformément à la directive du Conseil national de Sécurité susmentionnée.

L'habilitation de sécurité étrangère peut également être reconnue par les autorités compétentes.

Le paragraphe 3 prévoit qu'un tel accord en matière d'échange et de protection mutuelle des informations classifiées n'est pas requis pour les ressortissants d'un Etat membre de l'Espace économique européen ou de la Confédération suisse. Pour les pays qui ne font pas partie de l'Espace économique européen ou de la Confédération suisse, un tel accord est nécessaire afin d'instaurer un cadre juridique objectif pour l'échange bilatéral et la protection mutuelle d'informations classifiées et disposer d'une vue d'ensemble de la teneur de l'assistance fournie par le pays étranger concerné, le cas échéant.

Par conséquent, le paragraphe 3 est une exception au paragraphe 2 et a été adapté à la suite de la remarque formulée par le Conseil d'Etat à ce sujet.

Par ailleurs, les auteurs du projet ne sont pas d'accord avec la remarque formulée par le Comité permanent R (point 6) selon laquelle, sauf accord de sécurité, la possibilité d'être titulaire d'une habilitation de sécurité belge en vertu de la loi relative à la classification est réservée aux seules personnes de nationalité belge.

Ni la loi relative à la classification ni l'arrêté royal du 24 mars 2000 ne limitent la possibilité d'octroyer une habilitation de sécurité belge aux personnes de nationalité belge (le Comité R ne l'explique pas non plus dans son avis). L'article 1bis, 10°, a), de la loi cite les habilitations de sécurité accordées à des « personnes physiques », sans les limiter aux personnes physiques belges. Cela n'exclut évidemment pas la possibilité laissée à « l'autorité d'origine » de restreindre l'accès aux seules personnes titulaires de la nationalité belge, pour des raisons légitimes liées à la protection des informations, mais il s'agit là d'une décision de « l'autorité d'origine » concernée et non de l'Autorité nationale de Sécurité.

L'existence d'un accord en matière d'échange et de protection mutuelle des informations classifiées n'est pas non plus une condition nécessaire pour délivrer une habilitation de sécurité à un ressortissant étranger, conformément à la loi relative à la classification. Cet accord est toutefois nécessaire pour fournir une assistance lors d'une enquête de sécurité visant à octroyer une habilitation de sécurité à un résident d'un Etat étranger, par les autorités compétentes de cet Etat (article 19, dernier alinéa de la loi). Un tel accord n'est pas nécessaire pour demander l'assistance d'un Etat étranger dans le cadre d'une enquête de sécurité (article 18, alinéa 2, de la loi).

Sous-section 2. - Procédure de demande

Articles 71 à 73 Ces articles traitent de la procédure à suivre pour introduire une demande d'habilitation de sécurité.

Il est d'abord stipulé qu'une demande doit être dûment motivée. En d'autres termes, la demande doit préciser concrètement les raisons pour lesquelles la personne concernée a besoin d'une habilitation de sécurité et les informations classifiées auxquelles elle doit avoir accès. Ces informations permettent à l'Autorité nationale de Sécurité d'évaluer la recevabilité de la demande. Dans son avis, le Conseil d'Etat a noté que le mot « précisément » devait être omis, dans la mesure où sa portée ne pouvait être précisée. Le mot « précisément » est tiré de l'article 24, § 1er, de l'arrêté royal du 24 mars 2000.

Les auteurs du présent projet préfèrent remplacer le mot « précisément » par « dûment » afin d'éviter l'introduction de demandes d'habilitation de sécurité sans aucune raison ou pour des raisons très vagues.

L'article énumère ensuite les personnes qui signent et introduisent la demande d'habilitation de sécurité par l'intermédiaire de l'officier de sécurité. Cette disposition a été largement reprise de l'arrêté royal du 24 mars 2000, avec quelques modifications. Ainsi, le paragraphe 4 est abrogé. Historiquement, cette disposition spécifique pour les membres du personnel de la police intégrée reposait sur le constat que les fonctionnaires de police ne devaient pas avoir connaissance d'informations classifiées, étant donné que la procédure stricte de gestion et de traitement des « informations classifiées » entravait la diffusion et l'utilisation de ces informations dans le cadre de leurs missions.

A l'heure actuelle, les échanges d'informations classifiées entre les services de police et les services de renseignement et de sécurité, mais aussi avec d'autres services partenaires, augmentent de manière significative, notamment dans le cadre de dossiers judiciaires relevant de leur compétence. Par ailleurs, le fait d'obliger la police intégrée à établir une liste des fonctions nécessitant une habilitation de sécurité, liste que le Conseil national de sécurité doit valider, n'offre pas la souplesse nécessaire pour répondre aux évolutions de la structure de la police (changement des noms de services, nouvelles directions, nouvelles missions, etc.), à sa complexité, et aux évolutions auxquelles les services de police sont confrontés.

Il convient donc de supprimer ce régime particulier uniquement applicable à la police intégrée et d'appliquer le régime général des paragraphes 1 à 3, en vertu duquel un supérieur hiérarchique déterminé valide et signe la demande d'habilitation de sécurité. Ce supérieur se doit de vérifier le besoin d'en connaître de la personne qui demande cette habilitation de sécurité, ce qui permettra aussi de limiter les demandes d'habilitation qui seraient uniquement fondées sur l'appartenance à un service.

Les demandes d'habilitation de sécurité introduites par des indépendants ayant ou non la personnalité juridique (respectivement la société unipersonnelle et l'entreprise unipersonnelle) peuvent être signées par le donneur d'ordre, à savoir le fonctionnaire dirigeant d'une administration publique, d'un organisme d'intérêt public ou d'une entreprise publique autonome pour laquelle l'indépendant travaille exclusivement, ou la ou les personnes qui assure(nt) la gestion de la personne morale dûment habilitée pour laquelle l'indépendant travaille exclusivement, sans qu'il soit question d'exercer une autorité d'employeur sur ces personnes. Ces indépendants peuvent également choisir d'introduire (et de financer) eux-mêmes la demande d'habilitation de sécurité. Cette disposition vise à éviter que les entreprises individuelles ou les sociétés unipersonnelles qui travaillent exclusivement pour un seul donneur d'ordre doivent demander et payer des habilitations de sécurité pour des personnes morales et, par conséquent, à simplifier et rendre plus efficace l'attribution des contrats. Le donneur d'ordre parraine et aide l'indépendant à demander une habilitation de sécurité, étant donné que l'indépendant travaille exclusivement pour ce donneur d'ordre. En d'autres termes, le donneur d'ordre collecte les données nécessaires auprès de l'indépendant pour pouvoir soumettre cette demande et aide l'indépendant à respecter ses obligations contractuelles. Par conséquent, ce parrainage entraîne une responsabilité accrue pour le donneur d'ordre : d'une part, au niveau de la collecte de données (fiables) auprès de l'indépendant et, d'autre part, au niveau du suivi et de la prévention des incidents de sécurité dans le chef de l'indépendant. Pour cette raison, il est explicitement prévu qu'il doit s'agir d'indépendants travaillant au lieu du siège d'exploitation ou du siège réel du donneur d'ordre (le siège d'exploitation peut être le siège social, mais le siège social n'est pas nécessairement le siège d'exploitation). Il est recommandé que le donneur d'ordre n'utilise cette disposition que si peu de sous-traitants travaillent pour l'entité, afin de permettre un suivi efficace. Des informations classifiées ne peuvent en aucun cas être utilisées au siège ou à l'adresse où l'indépendant est établi. Cette disposition est également mentionnée dans le contrat conclu avec l'indépendant. En cas de recours à ce « parrainage », le donneur d'ordre, et plus particulièrement l'officier de sécurité du donneur d'ordre, est responsable de l'indépendant en ce qui concerne les briefings de sécurité, le suivi des incidents de sécurité, la demande de renouvellement des habilitations de sécurité, le débriefing de sécurité..., de la même manière que pour les membres du personnel régulier du donneur d'ordre.

Si l'indépendant avec ou sans personnalité juridique travaille pour plusieurs donneurs d'ordre dans le cadre de marchés publics classifiés, il est tenu de suivre la procédure décrite au chapitre 5, section 2 (habilitation de sécurité pour les personnes morales) et de signer lui-même l'habilitation de sécurité, le cas échéant, comme prévu à l'alinéa 7 du paragraphe 2.

En réponse à une observation formulée par le Comité permanent R, il a été examiné à chaque fois si l'ajout « ou les autorités de sécurité visées à l'article 1quinquies de la loi » était indiqué.

Sous-section 3. - Appréciation de la recevabilité de la demande

Article 74 L'article 74 a été adapté à la suite d'une observation du Comité permanent R dans le sens où une demande peut être irrecevable non seulement parce que certaines formalités n'ont pas été respectées, mais également parce que les motifs de la demande ne sont pas corrects ou convaincants (par exemple une demande émanant d'une personne morale qui ne doit pas utiliser des informations classifiées).

En outre, il est précisé que cet article ne prévoit pas de délai spécifique pour le contrôle de la demande par l'Autorité nationale de Sécurité. Le texte utilise les termes « sans délai », soit le plus rapidement possible. La décision est prise en même temps que l'envoi du dossier aux services de renseignement et de sécurité (la facture pour le paiement de la rétribution est également envoyée automatiquement). Dans la pratique, la procédure est assez rapide étant donné qu'elle s'effectue généralement par voie numérique (plateforme HABIL+). Cependant, la possibilité demeure de passer par une procédure manuelle, par exemple en cas de panne de la plateforme HABIL+.

Article 75 L'article 75 n'appelle aucun commentaire.

Sous-section 4. - Enquête de sécurité La sous-section 4 décrit l'enquête de sécurité.

Article 76 L'article 76 fixe les délais dans lesquels les services de renseignement et de sécurité doivent clôturer l'enquête de sécurité.

Il est précisé que la procédure de demande prévoit que l'officier de sécurité dispose de 15 jours pour transmettre les documents à l'ANS. L'ANS dispose d'environ un mois (« immédiatement ») pour les transmettre aux services de renseignement et de sécurité. Les services de renseignement et de sécurité disposent de 2, 3 ou 6 mois pour clôturer leur enquête. Dès que l'Autorité nationale de Sécurité reçoit les résultats de l'enquête de sécurité, elle dispose d'un mois pour statuer sur la demande d'habilitation de sécurité et transmettre sa décision à l'officier de sécurité.

L'intéressé devra donc attendre environ 5 mois pour une habilitation de sécurité de niveau « CONFIDENTIEL », 6 mois pour le niveau « SECRET » et 9 mois pour le niveau « TRES SECRET ». La note explicative, annexée au présent arrêté, a pour objet d'expliquer à l'intéressé la procédure de demande d'une habilitation de sécurité. Les délais indiqués dans la note explicative visent à informer l'intéressé du délai d'attente global probable.

Articles 77 et 78 Les articles 77 et 78 n'appellent aucun commentaire.

Sous-section 5 - Décision concernant l'habilitation de sécurité La sous-section 5 concerne la décision relative à l'habilitation de sécurité.

Articles 79 et 80 Les articles 79 et 80 n'appellent aucun commentaire.

Sous-section 6. - Durée de validité de l'habilitation de sécurité

Article 81 La sous-section 6 traite de la durée de validité de l'habilitation de sécurité et contient l'article 81, qui n'appelle pas de commentaire supplémentaire.

Sous-section 7. - Enquête de sécurité complémentaire

Article 82 La sous-section 7 aborde les enquêtes de sécurité complémentaires et contient le seul article 82. Dans son avis, le Comité permanent R s'interroge sur la légalité de l'obligation (par ailleurs vague) de l'employeur de « signaler à l'officier de sécurité tout élément troublant dans le comportement de la personne concernée qui est inconciliable avec les garanties de discrétion, de loyauté et d'intégrité ». Vu l'article 22 de la Constitution, le Comité permanent R estime qu'il appartient au législateur de déterminer les informations sur la base desquelles une enquête de sécurité peut être menée (comme régi par la loi pour l'officier de sécurité, par exemple).

Les auteurs soulignent qu'il n'est pas demandé à l'employeur de mener une enquête de sécurité, mais tout au plus d'être attentif aux signaux graves indiquant que la personne concernée pourrait ne plus répondre aux conditions requises pour traiter des informations classifiées et les transmettre à l'officier de sécurité. Section 2. - Habilitation de sécurité pour les personnes morales

Sous-section 1. - Généralités

Article 83 L'article 83 du projet d'arrêté royal prévoit que « toute personne morale peut être autorisée à accéder à des informations classifiées pour autant que le besoin d'en connaître soit reconnu par l'autorité et que cette personne morale dispose d'une habilitation de sécurité pour les personnes morales ».

L'article 83 a été conçu comme une disposition introductive qui, par analogie avec l'article 8 de la loi, définit les conditions de base auxquelles une personne morale peut accéder à des informations classifiées. Par analogie avec les règles applicables aux personnes physiques, les personnes morales ne peuvent accéder aux informations classifiées que si elles disposent d'une habilitation de sécurité correspondante pour les personnes morales et si elles ont le besoin d'en connaître. Sur avis du Conseil d'Etat (p. 25), il est précisé que, conformément à l'article 8 § 2 de la loi, l'habilitation de sécurité n'est pas requise pour les informations classifiées de niveau « RESTREINT ». Les personnes physiques sont soumises à l'exigence supplémentaire de recevoir un briefing de sécurité. Etant donné qu'une personne morale ne peut pas recevoir de briefing, cette troisième condition n'a pas été retenue pour les personnes morales.

Le Comité permanent R a indiqué dans son avis (p. 5, § 9) qu'il n'était pas possible de déterminer si le terme « autorité » se référait au pouvoir adjudicateur ou à l'autorité de sécurité. Afin de préciser qu'il s'agit ici de l'autorité de sécurité, le texte du projet d'arrêté royal a été adapté en conséquence.

En outre, le Conseil d'Etat a indiqué dans son avis qu'une exception devrait être prévue pour le niveau RESTREINT (p. 25). Il convient ici de se référer au commentaire relatif à l'article 84, alinéa 2, du présent arrêté.

Article 84 L'article 84, alinéa 1er, du projet d'arrêté royal prévoit que seules les personnes morales ayant leur siège en Belgique peuvent obtenir une habilitation de sécurité.

Les auteurs du projet d'arrêté estiment que l'exigence d'avoir le siège social en Belgique pour être éligible aux marchés publics classifiés ne s'oppose pas à la libre circulation des services car elle se justifie pour des raisons d'intérêt public, à savoir la sécurité nationale, et du fait que la mesure est proportionnée à l'objectif poursuivi.

En l'occurrence, il ne s'agit pas d'une exigence de nationalité. Les personnes morales étrangères peuvent également soumissionner à de tels marchés si elles ont leur siège social ou une unité d'établissement en Belgique. Les personnes morales titulaires d'une habilitation de sécurité étrangère reconnue par l'Autorité nationale de Sécurité en application d'un accord international peuvent également soumissionner à ces marchés.

Dans son avis (p. 8), le Conseil d'Etat considère que la possibilité de faire valoir une habilitation de sécurité délivrée à l'étranger ne s'applique qu'aux marchés publics dans le domaine de la défense et de la sécurité, et donc pas dans les domaines relevant en principe de la loi du 17 juin 2016Documents pertinents retrouvés type loi prom. 17/06/2016 pub. 14/07/2016 numac 2016021053 source service public federal chancellerie du premier ministre Loi relative aux marchés publics type loi prom. 17/06/2016 pub. 14/07/2016 numac 2016021052 source service public federal chancellerie du premier ministre Loi relative aux contrats de concession fermer.

Cela aurait pour conséquence que les personnes morales n'ayant pas de siège social en Belgique, mais qui satisfont à toutes les exigences de sécurité sur la base d'une attestation délivrée par une autorité étrangère et reconnue par l'Autorité nationale de Sécurité en vertu d'un accord international, ne pourraient pas soumissionner à des marchés publics. Le Conseil d'Etat estime que cette exclusion n'est pas proportionnée.

La loi du 13 août 2011Documents pertinents retrouvés type loi prom. 13/08/2011 pub. 01/02/2012 numac 2011021082 source service public federal chancellerie du premier ministre Loi relative aux marchés publics et à certains marchés de travaux, de fournitures et de services dans les domaines de la défense et de la sécurité fermer relative aux marchés publics dans les domaines de la défense et de la sécurité restera d'application lorsque l'utilisation d'informations classifiées s'avère nécessaire. Cela découle de la définition des équipements sensibles. Les équipements sensibles sont définis comme les « équipements, travaux et services destinés à des fins de sécurité qui font intervenir, nécessitent et/ou comportent des informations classifiées » (art. 3, 17°, de la loi précitée).

La situation décrite par le Conseil d'Etat ne peut pas se produire dans la réalité car les entreprises n'invoqueront les habilitations de sécurité étrangères que lorsqu'il s'agit d'informations classifiées et, par définition, la loi du 13 août 2011Documents pertinents retrouvés type loi prom. 13/08/2011 pub. 01/02/2012 numac 2011021082 source service public federal chancellerie du premier ministre Loi relative aux marchés publics et à certains marchés de travaux, de fournitures et de services dans les domaines de la défense et de la sécurité fermer est dès lors d'application.

Sur la base de ce qui précède, les auteurs estiment que la disposition du projet d'arrêté royal est conforme au droit européen.

A la demande du Comité permanent R (point 10 de l'avis), la possibilité de déroger à l'exigence de nationalité par un traité ou un accord de sécurité a été explicitement prévue dans un souci de clarté.

Cette disposition est prévue à l'alinéa 2 du présent arrêté.

L'article 84, alinéa 3, du projet d'arrêté prévoit qu'en ce qui concerne les marchés publics impliquant des informations classifiées, l'administrateur ICT doit être titulaire d'une habilitation de sécurité du niveau fixé conformément à la politique de sécurité de l'Autorité nationale de Sécurité.

Le Conseil d'Etat (p. 25) et le Comité R (p. 6) ont noté dans leur avis que cette disposition serait incompatible avec l'art. 8, § 2, de la loi, qui dispose qu'une personne ne doit pas être titulaire d'une habilitation de sécurité pour accéder à des informations classifiées de niveau « RESTREINT » et, par conséquent, que cette disposition devait être révisée.

Pour ce qui concerne les marchés publics qui impliquent, nécessitent et/ou contiennent des informations classifiées de niveau « RESTREINT », l'Autorité nationale de Sécurité détermine la nécessité d'une habilitation de sécurité pour l'administrateur ICT et, le cas échéant, son niveau. Ainsi, une habilitation de sécurité peut être considérée comme nécessaire pour le niveau « RESTREINT » pour un administrateur ICT. Les auteurs du projet d'arrêté royal sont d'avis que cette disposition est bel et bien conforme à l'article 8 de la loi. Les règles selon lesquelles une personne n'a pas besoin d'une habilitation de sécurité ne s'appliquent qu'à l'accès aux informations classifiées stricto sensu, c'est-à-dire au contenu d'un document. Il ne s'agit pas de l'accès privilégié au système de communication et d'information dans lequel les informations classifiées sont utilisées. Il s'agit ici de la protection de l'ICT. L'obligation éventuelle imposée à l'administrateur ICT d'être titulaire d'une habilitation de sécurité supérieure au niveau de classification dans lequel l'ICT est utilisé découle des réglementations de l'UE et de l'OTAN. Si l'OTAN ou l'UE lançaient une adjudication publique du niveau « UE/OTAN RESTREINT », l'UE et l'OTAN prévoiraient des règles stipulant que l'administrateur ICT doit être titulaire d'une habilitation de sécurité supérieure au niveau « UE/OTAN RESTREINT », c'est-à-dire EU ou OTAN « CONFIDENTIEL ».

L'équivalent au niveau « UE/OTAN CONFIDENTIEL » à l'échelle nationale est le niveau « CONFIDENTIEL ». Si cette règle n'est pas respectée, les entreprises ne peuvent pas soumissionner à de tels marchés publics.

Cette mesure trouve son origine dans la distinction entre l'accès à des informations classifiées dont dispose un utilisateur et l'accès privilégié dont dispose un administrateur ICT. L'accès des utilisateurs sera toujours limité sur la base du principe du « besoin d'en connaitre ». Par conséquent, un utilisateur n'a pas besoin d'une habilitation de sécurité pour accéder à des documents classifiés du niveau « RESTREINT ».

Toutefois, un administrateur ICT a accès à toutes les informations déployées au sein du réseau, ainsi qu'aux produits cryptographiques.

Ses tâches comprennent la gestion (technique), l'exploitation et la configuration de l'environnement ICT. En d'autres termes, il a un accès total et peut avoir un impact sur l'intégrité du système.

En outre, souvent le caractère sensible ou classifié apparait du fait que différents éléments d'informations sont réunis.

Dès lors, la possession par l'administrateur ICT d'une habilitation de sécurité du niveau fixé par l'ANS est justifiée, y compris en ce qui concerne les marchés publics contenant des informations classifiées de niveau « RESTREINT ».

Le niveau de classification le plus élevé est « TRES SECRET ». Par conséquent, le gestionnaire du système ICT devra avoir une habilitation de sécurité « TRES SECRET » lorsque la personne morale détient une habilitation de sécurité de niveau « TRES SECRET ». Dans ce cas seulement, la personne concernée ne peut pas avoir une habilitation de sécurité plus élevée.

Sous-section 2. - Procédure de demande

Article 85 L'article 85 du projet d'arrêté définit la procédure de demande d'habilitation de sécurité pour les personnes morales.

L'objectif était de créer une procédure qui soit, dans la mesure du possible, similaire à la procédure de demande d'habilitation de sécurité pour les personnes physiques.

L'article 85, § 1er, du projet d'arrêté énumère les éléments à remettre à l'autorité de sécurité compétente. Le dossier d'habilitation comprend notamment le questionnaire de base complété par l'ensemble des personnes physiques appartenant aux organes de la personne morale.

Toutes les personnes physiques appartenant aux organes de la personne morale doivent soumettre une demande d'habilitation, ce qui ne signifie pas que ces personnes doivent toutes faire l'objet d'une enquête de sécurité. Sur la base du questionnaire de base, l'Autorité nationale de Sécurité détermine le nombre de personnes physiques appartenant aux organes de la personne morale devant être titulaires d'une habilitation de sécurité, étant entendu qu'au moins la moitié d'entre elles doivent en disposer.

Suite à l'avis du Comité permanent R (p.6), la disposition selon laquelle l'Autorité nationale de Sécurité détermine quelles personnes physiques appartenant aux organes de la personne morale doivent être titulaires d'une habilitation de sécurité a été supprimée.

Pour les informations classifiées de l'UE ou de l'OTAN, l'exigence de nationalité belge pour l'un des membres de l'organe d'administration n'est pas imposée. Pour ce faire, il suffit d'être ressortissant d'un Etat membre de l'une de ces organisations vu qu'en l'occurrence, il s'agit - logiquement - de la protection de la « sécurité nationale » de l'UE ou de l'OTAN. Il serait disproportionné d'exiger qu'au moins un des membres de l'organe d'administration possède également la nationalité belge.

Cette disposition garantit que la procédure de demande d'habilitation de sécurité pour les personnes morales ne soit pas bloquée inutilement par l'exigence de nationalité belge pour l'un des membres de l'organe d'administration et que les informations classifiées bénéficient toujours de la protection nécessaire.

L'article 85, § 3, de l'arrêté prévoit que la personne chargée de la gestion journalière de la personne morale doit résider et être domiciliée en Belgique. En outre, cette personne doit pouvoir se soumettre à une enquête de sécurité menée par l'un des services de renseignement et de sécurité, conformément à la loi, au présent arrêté et à la directive du Conseil national de Sécurité, comme prévu à l'article 18, alinéa 5, de la loi.

Dans son rapport, le Comité R estime que cette disposition ajoute une condition à la loi et qu'elle devrait donc être supprimée (p. 7). Les auteurs du projet d'arrêté estiment en revanche qu'il ne s'agit pas d'une condition supplémentaire.

La loi dispose qu'une habilitation de sécurité ne peut être délivrée qu'après réalisation d'une enquête de sécurité (articles 16 et suivants de la loi). L'enquête doit être menée conformément aux règles énoncées dans la loi relative à la classification. Si l'enquête ne peut être menée conformément à ces règles, l'habilitation de sécurité ne peut être délivrée. Toute autre conclusion serait contra legem et saperait le système de sécurité. De plus, la Belgique est tenue, en vertu d'accords de sécurité, de s'assurer que les personnes titulaires d'une habilitation de sécurité sont correctement habilitées. Si tel n'était pas le cas, la coopération internationale serait mise en péril.

Si une personne ne réside pas en Belgique pendant une certaine période, l'enquête de sécurité ne peut être menée conformément aux règles susmentionnées, faute d'informations suffisantes.

Sous-section 3. - Appréciation de la recevabilité de la demande

Article 86 L'article 86 dispose que l'Autorité nationale de Sécurité vérifie que toutes les données mentionnées à l'article 85, § 1er, ont été envoyées. Le Comité précise que le SGRS et la VSSE doivent également être ajoutés à cette disposition (p. 7). Les auteurs du projet d'arrêté royal estiment que cela n'est pas absolument nécessaire dans cette disposition vu que l'Autorité nationale de Sécurité est le point de contact pour les personnes morales. Le SGRS et la VSSE sont uniquement compétents pour mener l'enquête de sécurité. Dans un souci d'exhaustivité, les autorités visées à l'article 1quinquies ont été ajoutées.

Article 87 Cet article n'appelle pas de commentaire supplémentaire.

Sous-section 4. - Enquête de sécurité

Article 88 L'article 88 du projet d'arrêté royal stipulait que les articles 76 à 78 s'appliquaient aux demandes d'habilitation de sécurité des personnes morales.

L'article 77 du projet d'arrêté fait référence à des annexes qui s'appliquent uniquement à la procédure de demande d'habilitation de sécurité pour les personnes physiques. Pour cette raison, la référence à l'article 77 a été supprimée de cet article.

Sous-section 5. - Décision concernant l'habilitation de sécurité

Article 89 Cet article n'appelle pas de commentaire supplémentaire.

Article 90 L'article 90 de l'arrêté prévoit que l'officier de sécurité dispose d'un délai de quinze jours pour notifier aux organes de la personne morale les décisions relatives aux habilitations de sécurité.

Il s'agit, en l'espèce, de la notification de la décision d'habilitation de sécurité de la personne morale et non de l'habilitation de sécurité des administrateurs.

La notification doit être motivée. Elle indiquera si la personne morale satisfait aux conditions de discrétion, de loyauté et d'intégrité. Les données à caractère personnel d'un administrateur ne seront jamais partagées avec d'autres personnes.

Lorsque l'Autorité nationale de Sécurité traite des données à caractère personnel en exécution de la loi relative à la classification, elle est liée par les règles visées au titre 3, sous-titre 3, de la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel fermer relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel. Les données des sociétés ne constituent pas des données à caractère personnel. Aucune donnée relative à la vie privée des personnes physiques appartenant aux organes de la personne morale n'est communiquée dans la décision concernant l'habilitation de sécurité de la personne morale. Il s'agit d'une décision distincte.

Sous-section 6. - Durée de validité de l'habilitation de sécurité

Article 91 Cet article n'appelle pas de commentaire supplémentaire.

Sous-section 7. - Autres tâches de l'officier de sécurité dans le cadre de la présente section

Article 92 L'article 92 impose à l'officier de sécurité l'obligation de communiquer par écrit à l'Autorité nationale de Sécurité certaines informations concernant la personne morale.

Le Comité R a indiqué dans son avis que cette obligation incombait non pas à l'officier de sécurité mais bien à la personne morale. Le texte du projet d'arrêté a été modifié en ce sens.

En outre, le Conseil d'Etat a déclaré dans son avis (p. 27) qu'il serait souhaitable que le texte soit aligné sur le régime des habilitations de sécurité pour les personnes physiques en ce qui concerne les enquêtes de sécurité complémentaires. Les alinéas 4 et 5 ont été insérés pour répondre à cette remarque. Section 3. - Habilitations de sécurité en vue d'un accès à l'étranger

Articles 93 et 94 Les articles 93 et 94 actualisent les articles 27 et 28 de l'arrêté royal du 24 mars 2000. Ces articles n'appellent pas de commentaire supplémentaire. CHAPITRE 6. - Mesures de protection liées aux marchés publics qui impliquent, nécessitent et/ou contiennent des informations classifiées

Article 95 Etant donné que l'Autorité nationale de Sécurité vérifie que toutes les mesures de protection nécessaires liées aux marchés publics ont été prises pour protéger les informations classifiées pendant la phase de prospection, la procédure d'attribution ainsi que lors de l'exécution d'un marché classifié, elle est également la mieux placée pour élaborer des règles supplémentaires de nature technique et administrative en connaissance de cause.

Articles 96 et 97 Le chapitre 6 définit les mesures de protection liées aux marchés publics qui impliquent ou nécessitent des informations classifiées.

Les dispositions de ce chapitre complètent les règles énoncées dans la loi du 13 août 2011Documents pertinents retrouvés type loi prom. 13/08/2011 pub. 01/02/2012 numac 2011021082 source service public federal chancellerie du premier ministre Loi relative aux marchés publics et à certains marchés de travaux, de fournitures et de services dans les domaines de la défense et de la sécurité fermer relative aux marchés publics et à certains marchés de travaux, de fournitures et de services dans les domaines de la défense et de la sécurité ; elles ne portent pas préjudice à ces dispositions.

Les marchés impliquant ou nécessitant des informations classifiées relèvent toujours du champ d'application de la loi du 13 août 2011Documents pertinents retrouvés type loi prom. 13/08/2011 pub. 01/02/2012 numac 2011021082 source service public federal chancellerie du premier ministre Loi relative aux marchés publics et à certains marchés de travaux, de fournitures et de services dans les domaines de la défense et de la sécurité fermer.

Article 98 Cet article n'appelle aucun commentaire.

Article 99 Cet article n'appelle aucun commentaire.

Article 100 L'article 100, 1°, du présent projet dispose que l'Autorité nationale de Sécurité vérifie que « les adjudicataires enregistrés sur le territoire qui participent à des marchés publics impliquant, nécessitant et/ou contenant des informations classifiées de niveau « CONFIDENTIEL » ou supérieur ou aux contrats de sous-traitance y afférents pendant l'exécution des marchés ou au stade précontractuel, disposent d'une habilitation de sécurité pour les personnes morales octroyée au niveau de classification correspondant ».

Le Conseil d'Etat en déduit qu'il ne peut s'agir que d'un « adjudicataire établi sur le territoire, ce qui exclut tous les adjudicataires potentiels non enregistrés » (rapport p. 9).

Les auteurs renvoient au commentaire de l'article 84 du présent arrêté. Seules les personnes morales dont le siège social se situe en Belgique peuvent être habilitées par l'Autorité nationale de Sécurité dans le cadre d'un marché public belge classifié. L'Autorité nationale de Sécurité n'a pas de compétences (de supervision, notamment) concernant les entreprises à l'étranger. Les informations à examiner en ce qui concerne une personne morale enregistrée à l'étranger ne sont pas non plus accessibles aux services d'enquête belges.

Toutefois, les entreprises enregistrées sur le territoire (= inscrites au registre belge des entreprises, la Banque-Carrefour des Entreprises (BCE)) ne sont pas exclues en soi de la participation aux appels d'offres publics classifiés.

Pour répondre à la remarque du Conseil d'Etat selon laquelle l'exclusion des personnes morales n'ayant pas de siège social en Belgique, alors que celles-ci peuvent satisfaire à toutes les exigences de sécurité sur la base d'une attestation délivrée par une autorité étrangère et reconnue par l'Autorité nationale de Sécurité en vertu d'un accord international, est disproportionnée, une disposition a été ajoutée au point 5° de l'article 100. Il en ressort que l'Autorité nationale de Sécurité vérifie que les personnes morales qui ne sont pas immatriculées sur le territoire disposent d'une habilitation de sécurité pour personnes morales valide, délivrée par les autorités compétentes du pays tiers et reconnue par l'Autorité nationale de Sécurité sur la base des accords et traités internationaux liant la Belgique en la matière, par analogie aux dispositions de l'article 84, alinéa 2, du présent arrêté.

Article 101 Cet article n'appelle aucun commentaire.

Article 102 Le projet d'arrêté prévoyait que les candidats ou soumissionnaires non retenus devaient restituer au pouvoir adjudicateur les informations classifiées en leur possession dans un délai de 15 jours ouvrables à compter de la notification de leur non-sélection. Ils ne sont pas non plus autorisés à conserver des copies de ces informations. Cette disposition résulte du fait que des personnes morales ne peuvent jamais être l'autorité d'origine.

Dans son avis (p. 28), le Conseil d'Etat pose la question de savoir si le fait que les candidats non sélectionnés n'ont pas le droit de conserver les pièces classifiées dans le cadre de la procédure de recours qu'ils engagent est compatible avec le droit effectif au recours garanti par l'article 13 de la CEDH. Si des candidats se voient accorder l'accès à des informations classifiées, cet accès n'est exigé qu'en vue de l'exécution du marché public.

Conformément à l'article 8 de la loi, nul ne peut avoir accès à des informations classifiées s'il n'est pas titulaire d'une habilitation de sécurité correspondante, s'il n'a pas reçu un briefing de sécurité sur ses obligations et dans la mesure où la prise de connaissance et l'accès sont nécessaires à l'exercice de ses fonctions ou de son marché.

Cependant, une personne ne doit pas être titulaire d'une habilitation de sécurité pour accéder à des informations classifiées de niveau « RESTREINT ».

Les autorités judiciaires telles que les juges et les magistrats, y compris les membres de l'Organe de recours visé dans la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer portant création d'un organe de recours en matière d'habilitations de sécurité, d'attestations de sécurité et d'avis de sécurité, peuvent toutefois prendre connaissance d'informations classifiées sans disposer de l'habilitation de sécurité requise dans le cadre de l'exercice de leurs fonctions judiciaires.

Si la personne morale n'a pas été sélectionnée pour le marché public, elle n'a pas de besoin d'en connaître pour prendre connaissance des informations classifiées et ne remplit plus les conditions de l'article 8 de la loi.

Cette disposition n'empêche cependant pas la personne morale d'introduire un recours contre la décision de non-sélection.

La personne morale dispose d'un délai de 60 jours pour introduire un recours contre la décision de non-sélection devant le Conseil d'Etat.

Afin de permettre à la personne morale concernée de prouver le bien-fondé de son recours, la date limite à laquelle les documents classifiés doivent être renvoyés à l'autorité d'origine est modifiée comme suit : « après la fin de la période du recours ».

Le délai d'introduction du recours est le délai maximum. Si la personne morale n'a pas l'intention de contester la décision, les informations classifiées doivent être renvoyées à l'autorité d'origine dans un délai de 15 jours. En outre, les informations classifiées ne doivent être utilisées que si le bien-fondé du recours ne peut être démontré sur la base d'autres informations non classifiées.

Lorsque la fin de la période de recours est atteinte, les informations classifiées doivent être renvoyées à l'autorité d'origine. C'est d'ailleurs l'autorité d'origine qui prendra les mesures nécessaires pour que les juges aient accès aux informations classifiées pour leur appréciation.

Les droits dont bénéficie la personne morale non sélectionnée pour introduire un recours sont ainsi suffisamment garantis. CHAPITRE 7. - Contrôle Le chapitre 7 traite du contrôle.

Articles 103 à 111 Les articles 103 à 111 n'appellent aucun commentaire, si ce n'est pour préciser que le délai de 15 jours ouvrables mentionné à l'article 109 est un délai d'ordre.

TITRE V. - Dispositions transitoires et finales

Article 112 L'article 112, alinéa 1er, est une disposition déjà mentionnée dans l'arrêté royal du 24 mars 2000. Cette disposition est nécessaire pour conférer la protection nécessaire aux documents d'archives, qui n'étaient pas classifiés conformément aux dispositions de la loi relative à la classification lors de son entrée en vigueur le 1er juin 2000. Cette disposition n'exclut pas que les documents qui ne sont pas classifiés, mais qui contiennent des éléments classifiés au niveau du contenu (par exemple en ce qui concerne les sources), puissent encore être classifiés conformément aux dispositions de la loi relative à la classification et du présent arrêté d'exécution (éventuellement en application de l'article 21 du présent arrêté).En effet, avant l'entrée en vigueur de la loi relative à la classification, le 1er juin 2000, il n'existait pas de règles univoques relatives à la classification des documents, mais il pouvait s'agir de documents « sensibles », dont l'utilisation non appropriée pouvait porter atteinte à l'un des intérêts énumérés à l'article 3, § 1er de la loi.

L'article 112, alinéa 2, dispose que les pièces classifiées après l'entrée en vigueur de la loi relative à la classification le 1er juin 2000, mais avant l'entrée en vigueur du présent arrêté, revêtus de la mention « TRES SECRET », « SECRET » ou « CONFIDENTIEL » et d'une référence à la loi qui ne respecte pas pleinement les exigences de forme énoncées à l'article 16, alinéa 2 ou 3, sont réputées porter le degré de classification correspondant prévu à l'article 4 de la loi.

L'objectif est d'éviter que ces pièces ne soient considérées comme « non classifiées » conformément à l'article 16, alinéa 6, du présent arrêté.

Article 113 L'article 113 concerne une disposition transitoire pour les documents portant la mention « DIFFUSION RESTREINTE », conformément à l'article 20 de l'arrêté royal du 24 mars 2000.

Afin d'établir une distinction claire avec les informations classifiées de niveau « RESTREINT » (et de protéger ces informations), le projet prévoit expressément que les documents revêtus de la mention « DIFFUSION RESTREINTE » (AR 24.03.2000) avant l'entrée en vigueur du présent arrêté continueront à porter cette mention, mais ne pourront en aucun cas être assimilés au niveau de classification « RESTREINT ».

En revanche, les nouveaux documents créés à partir de l'entrée en vigueur du présent arrêté et dont l'autorité d'origine souhaite restreindre la diffusion aux personnes autorisées à en prendre connaissance porteront non plus la mention « DIFFUSION RESTREINTE », mais bien la mention « SENSIBLE NON CLASSIFIE » et ce, sans préjudice d'autres dispositions légales ou réglementaires spécifiques concernant les informations non classifiées. Cela signifie que la présente disposition n'affecte pas la validité d'autres dispositions légales ou réglementaires spécifiques. Les deux dispositions sont donc au même niveau et peuvent s'appliquer simultanément.

Cette disposition permet d'éviter toute confusion entre les niveaux de classification « DIFFUSION RESTREINTE » et « RESTREINT » dans l'objectif de protéger le niveau de classification « RESTREINT ». Les documents portant la mention « SENSIBLE NON CLASSIFIE » (ou l'ancienne mention « DIFFUSION RESTREINTE ») sont protégés par des règles de secret professionnel dont la violation expose à des poursuites pénales et, éventuellement, à des sanctions disciplinaires.

Articles 114 à 116 Les articles 114 à 116 n'appellent aucun commentaire.

Le projet a été examiné par la deuxième chambre le 1er juillet 2024.

La chambre était composée de Patrick RONVAUX, président de chambre, Christine HOREVOETS et Pierre-Olivier DE BROUX, conseillers d'Etat, Christian BEHRENDT et Jacques ENGLEBERT, assesseurs, et Béatrice DRAPIER, greffier.

Le rapport a été présenté par Stéphane TELLIER, premier auditeur.

La concordance entre la version française et la version néerlandaise a été vérifiée sous le contrôle de Pierre-Olivier DE BROUX. L'avis, dont le texte suit, a été donné le 9 juillet 2024.

Comme la demande d'avis est introduite sur la base de l'article 84, § 1er, alinéa 1er, 2°, des lois `sur le Conseil d'Etat', coordonnées le 12 janvier 1973, la section de législation limite son examen au fondement juridique du projet, à la compétence de l'auteur de l'acte ainsi qu'à l'accomplissement des formalités préalables, conformément à l'article 84, § 3, des lois coordonnées précitées.

Sur ces trois points, le projet appelle les observations suivantes.

OBSERVATIONS PREALABLES 1. Compte tenu du moment où le présent avis est donné, la section de législation attire l'attention du demandeur d'avis sur le fait que la dissolution des Chambres législatives emporte que, depuis cette date et jusqu'à ce que, à la suite de l'élection des membres de la Chambre des représentants, le Roi nomme un nouveau Gouvernement, le Gouvernement ne dispose plus de la plénitude de ses compétences.Le présent avis est toutefois donné sans qu'il soit examiné si le projet relève bien des compétences ainsi limitées, la section de législation n'ayant pas connaissance de l'ensemble des éléments de fait que le Gouvernement peut prendre en considération lorsqu'il doit apprécier la nécessité d'arrêter ou de modifier des dispositions réglementaires. 2. Dans un souci de sécurité juridique et compte tenu de la matière sensible réglée par le projet, la publication au Moniteur belge de l'arrêté qui en résultera gagnerait à être accompagnée d'un rapport au Roi permettant d'en expliciter les dispositions. FORMALITES PREALABLES La déléguée du Ministre a indiqué ce qui suit, s'agissant de l'accomplissement des formalités préalables : « De afschriften van de adviesvragen aan het Comité I 1, het COC en het College van Procureurs-Generaal worden u nagestuurd ».

Si l'accomplissement de ces formalités devait encore donner lieu à des modifications du texte soumis au Conseil d'Etat sur des points autres que de pure forme et ne résultant pas également des suites réservées au présent avis, les dispositions modifiées ou ajoutées devraient être soumises à nouveau à l'avis de la section de législation, conformément à l'article 3, § 1er, alinéa 1er, des lois coordonnées `sur le Conseil d'Etat'.

OBSERVATIONS GENERALES I. La réglementation envisagée au regard du droit de l'Union européenne 1. La réglementation en projet prévoit, de manière générale et sauf exceptions, que toute personne physique ou morale qui souhaite accéder à des informations classifiées doit disposer d'une habilitation de sécurité. S'agissant des personnes morales, l'article 84, alinéa 1er, du projet prévoit que « [s]eules les personnes morales dont le siège social se situe en Belgique peuvent être habilitées dans le cadre des marchés publics qui impliquent, nécessitent et/ou contiennent des informations classifiées de niveau `CONFIDENTIEL' ou supérieur ».

Cette disposition implique que, lorsqu'un marché public nécessite l'accès à des informations classifiées de niveau « CONFIDENTIEL » ou supérieur, seules des personnes morales qui ont leur siège social en Belgique pourront y soumissionner dès lors qu'elles seules pourront disposer d'une habilitation de sécurité pour ce faire.

Cette disposition apparaît contraire aux principes de libre circulation des marchandises, des services et de liberté d'établissement au sens des articles 34, 49 et 56 du Traité sur le Fonctionnement de l'Union européenne (TFUE). En effet, la passation de marchés conclus dans les Etats membres par les entités adjudicatrices doit respecter les principes du traité, notamment la libre circulation des marchandises, la liberté d'établissement et la libre prestation de services, ainsi que les principes qui en découlent, comme l'égalité de traitement, la non-discrimination, la reconnaissance mutuelle, la proportionnalité et la transparence.

Toutefois, l'article 346, paragraphe 1, du TFUE dispose ce qui suit : « 1. Les dispositions des traités ne font pas obstacle aux règles ci-après : a) aucun Etat membre n'est tenu de fournir des renseignements dont il estimerait la divulgation contraire aux intérêts essentiels de sa sécurité, b) tout Etat membre peut prendre les mesures qu'il estime nécessaires à la protection des intérêts essentiels de sa sécurité et qui se rapportent à la production ou au commerce d'armes, de munitions et de matériel de guerre ;ces mesures ne doivent pas altérer les conditions de la concurrence dans le marché intérieur en ce qui concerne les produits non destinés à des fins spécifiquement militaires ».

Des restrictions à ces libertés peuvent dès lors être prévues par les Etats membres de l'Union européenne lorsqu'elles sont nécessaires et proportionnées à la sauvegarde des intérêts reconnus comme légitimes par les dispositions du traité.

Le législateur européen a lui-même adopté des dispositions permettant ces restrictions, dans le domaine spécifique des marchés publics en matière de défense et de sécurité, par l'adoption de la directive 2009/81/CE du Parlement européen et du Conseil du 13 juillet 2009 `relative à la coordination des procédures de passation de certains marchés de travaux, de fournitures et de services par des pouvoirs adjudicateurs ou entités adjudicatrices dans les domaines de la défense et de la sécurité, et modifiant les directives 2004/17/CE et 2004/18/CE', transposée en droit belge par la loi du 13 août 2011Documents pertinents retrouvés type loi prom. 13/08/2011 pub. 01/02/2012 numac 2011021082 source service public federal chancellerie du premier ministre Loi relative aux marchés publics et à certains marchés de travaux, de fournitures et de services dans les domaines de la défense et de la sécurité fermer `relative aux marchés publics et à certains marchés de travaux, de fournitures et de services dans les domaines de la défense et de la sécurité'.

Cette directive, par des règles d'exemption, laisse par ailleurs aux Etats membres la possibilité d'adopter des mesures plus restrictives que celles prévues dans la directive 2.

Le titre 3/1 de la loi du 13 août 2011Documents pertinents retrouvés type loi prom. 13/08/2011 pub. 01/02/2012 numac 2011021082 source service public federal chancellerie du premier ministre Loi relative aux marchés publics et à certains marchés de travaux, de fournitures et de services dans les domaines de la défense et de la sécurité fermer, inséré par la loi du 17 juin 2016Documents pertinents retrouvés type loi prom. 17/06/2016 pub. 14/07/2016 numac 2016021053 source service public federal chancellerie du premier ministre Loi relative aux marchés publics type loi prom. 17/06/2016 pub. 14/07/2016 numac 2016021052 source service public federal chancellerie du premier ministre Loi relative aux contrats de concession fermer `relative aux marchés publics', intitulé « Marchés exclus sur base d'intérêts de sécurité essentiels ou sur base de l'article 346 du Traité relatif au fonctionnement de l'Union européenne », contient un article 43/1 qui dispose comme suit : « Le Roi peut rendre applicables des règles de passation, de contrôle et d'exécution spécifiques aux marchés publics visés à l'article 15, alinéa 2 ».

L'article 15, alinéa 2, de la même loi, dispose ce qui suit : « Dans les cas visés ci-dessous, seul le titre 3/1 est d'application : 1° si et dans la mesure où la protection des intérêts essentiels de la sécurité du Royaume ne peut être garantie par des mesures moins intrusives, par exemple en imposant des conditions en vue de protéger la confidentialité des informations que le pouvoir adjudicateur met à disposition conformément aux titre 2 et 3 de la présente loi ;2° si et dans la mesure où l'application des dispositions du titre 2 et 3 de la présente loi obligerait le Royaume à fournir des informations dont il estimerait la divulgation contraire aux intérêts essentiels de sa sécurité ;3° lorsque la passation et l'exécution du marché public sont déclarés secrets ou doivent s'accompagner de mesures particulières de sécurité, conformément aux dispositions législatives, réglementaires ou administratives en vigueur dans le Royaume, pour autant qu'il est établi que la protection des intérêts essentiels concernés ne peut être garantie par des mesures moins intrusives, telles que celles visées au 1° ;4° lorsque l'article 346 du Traité relatif au fonctionnement de l'Union européenne est d'application ». Il peut également être fait référence à l'article 33 de la loi du 17 juin 2016Documents pertinents retrouvés type loi prom. 17/06/2016 pub. 14/07/2016 numac 2016021053 source service public federal chancellerie du premier ministre Loi relative aux marchés publics type loi prom. 17/06/2016 pub. 14/07/2016 numac 2016021052 source service public federal chancellerie du premier ministre Loi relative aux contrats de concession fermer, qui dispose comme suit : « § 1er. La présente loi s'applique aux marchés publics dans les domaines de la défense et de la sécurité, hormis : 1° les marchés relevant de la loi défense et sécurité ;2° les marchés visés à l'article 18 de la loi défense et sécurité. § 2. La présente loi ne s'applique pas aux marchés publics qui ne sont pas par ailleurs exclus en vertu du paragraphe 1er dans la mesure où la protection des intérêts essentiels de la sécurité du Royaume ne peut être garantie par des mesures moins intrusives, par exemple en imposant des conditions en vue de protéger la confidentialité des informations que le pouvoir adjudicateur met à disposition dans le cadre d'une procédure de passation prévue par la présente loi.

En outre, et en conformité avec l'article 346, paragraphe 1er, a), du Traité sur le fonctionnement de l'Union européenne, la présente loi ne s'applique pas aux marchés publics qui ne sont pas par ailleurs exclus en vertu du paragraphe 1er du présent article, dans la mesure où l'application de la présente loi obligerait le Royaume à fournir des informations dont il estimerait la divulgation contraire aux intérêts essentiels de sa sécurité. § 3. Lorsque la passation et l'exécution du marché public sont déclarés secrets ou doivent s'accompagner de mesures particulières de sécurité, conformément aux dispositions législatives, réglementaires ou administratives en vigueur dans le Royaume, la présente loi ne s'applique pas, pour autant qu'il est établi que la protection des intérêts essentiels concernés ne peut être garantie par des mesures moins intrusives, telles que celles visées au paragraphe 2, alinéa 1er ».

Ces dispositions légales sont de nature à appuyer l'admissibilité de la restriction prévue par le Roi à l'article 84, alinéa 1er, du projet.

Toutefois, il est rappelé que pour que puissent être admises des restrictions aux libertés et principes protégés par le droit primaire de l'Union, en ce compris au principe de transparence, celles-ci doivent : - soit trouver leur justification dans des raisons impérieuses d'intérêt général, ces restrictions devant être propres à garantir la réalisation de l'objectif qu'elles poursuivent et ne pouvant pas aller au-delà de ce qui est nécessaire pour l'atteindre 3 ; - soit se fonder sur l'un des motifs d'exception prévus par le TFUE, parmi lesquels son article 346, paragraphe 1, a).

Invitée à justifier la mesure envisagée au regard des principes ainsi rappelés, la déléguée du Ministre a indiqué ce qui suit : « De opstellers van het ontwerpbesluit menen dat de vereiste van het vestigen van de statutaire zetel in België om in aanmerking te kunnen komen voor geclassificeerde overheidsopdrachten niet strijdig is met vrij verkeer van diensten omdat het gerechtvaardigd is om redenen van algemeen belang, met name de nationale veiligheid, en omdat de maatregel proportioneel is aan het nagestreefde doel. `Geclassificeerde informatie' is informatie die, in het belang van de nationale veiligheid, wordt beschermd door veiligheidsmaatregelen tegen elke niet-geautoriseerde toegang, niet-geëigende aanwending en verspreiding 4 ervan. Er staan met andere woorden fundamentele Belgische staatsbelangen 5 op het spel, die beschermd moeten worden, ongeacht de vorm die deze aannemen en waar deze zich ook bevinden.

Bedrijven, waarvan de maatschappelijke zetel in België is gevestigd, die werken op een geclassificeerde opdracht 6, moeten in het bezit zijn van een veiligheidsmachtiging voor rechtspersonen. Hiermee wordt na een veiligheidsonderzoek vastgesteld dat de rechtspersoon voldoende garanties biedt inzake geheimhouding, loyauteit en integriteit van zijn organen en aangestelden die in aanmerking komen om toegang te hebben tot geclassificeerde informatie 7.

In het kader van risicomanagement, met name het identificeren van dreigingen tegen de fundamentele Belgische staatsbelangen en het wetenschappelijk en economisch potentieel van België, is het logisch en gerechtvaardigd om beveiligingsmaatregelen op te leggen die kunnen weerstaan aan deze dreigingen (zoals buitenlandse beïnvloeding) of deze tot een aanvaardbaar risico kunnen reduceren.

De maatregel, met name de vereiste van het vestigen van de statutaire zetel in België, is bijgevolg gerechtvaardigd omwille van de nationale veiligheid. Het betreft hier een afweging van de belangen. De NVO kan onmogelijk het vereiste veiligheidsonderzoek voeren en het toezicht uitoefenen op het respecteren van de beschermingsmaatregelen indien de vennootschap niet gevestigd is in België. De te onderzoeken inlichtingen van een in het buitenland geregistreerde rechtspersoon zijn niet toegankelijk voor Belgische onderzoeksdiensten. Het onderzoek dient bijgevolg logischerwijze uitgevoerd te worden door de onderzoeksdienst van het thuisland. De resultaten van dit onderzoek, en de eventuele veiligheidsmachtiging die hieruit volgt, zijn te gebruiken in de Belgische procedures (voor zover een bilateraal veiligheidsakkoord hierin voorziet).

De bescherming van geclassificeerde informatie primeert in dit geval op de keuze van statutaire zetel.

De proportionaliteit blijkt duidelijk uit het feit dat dat buitenlandse vennootschappen in de regel niet uitgesloten worden van een geclassificeerde openbare aanbesteding. Indien zij hun statutaire zetel in België vestigen (of een vestigingseenheid in België hebben) kunnen zij wel in aanmerking genomen worden voor een toekenning van een veiligheidsmachtiging (of indien ze beschikken over een buitenlandse veiligheidsmachtiging die wordt erkend door de Nationale Veiligheidsoverheid op basis van een veiligheidsakkoord). Verder verwijzen we naar (...) bepalingen 8 die (...) geven heel duidelijk aan dat ondernemingen die aan deze voorwaarden voldoen, kunnen deelnemen aan openbare aanbestedingen.

Verder bestaat een analoge maatregel in andere EU lidstaten zoals Frankrijk ».

D'après les explications fournies, l'exigence selon laquelle les personnes morales qui entendent soumissionner à des marchés publics impliquant, nécessitant et/ou contenant des informations classifiées de niveau « CONFIDENTIEL » ou « supérieur » doivent avoir un siège social en Belgique répond au souci d'assurer que ces entreprises présentent des garanties suffisantes en termes de confidentialité, de loyauté et d'intégrité de leurs organes, pour pouvoir avoir accès à de telles informations.

D'après la déléguée du Ministre, les personnes morales étrangères pourraient également soumissionner à de tels marchés si elles sont titulaires d'une habilitation de sécurité au motif qu'elles disposent d'un siège statutaire ou d'une unité d'établissement en Belgique. Il en irait de même pour les personnes morales qui disposent d'une habilitation de sécurité étrangère reconnue par l'Autorité nationale de Sécurité en application d'une convention internationale.

Si cette possibilité de faire valoir une habilitation de sécurité délivrée à l'étranger existe effectivement en application de textes existants tels les articles 9, 63, § 2, 4° et 5°, et 76 de l'arrêté royal du 23 janvier 2012 `relatif à la passation des marchés publics et de certains marchés de travaux, de fournitures et de services dans les domaines de la défense et de la sécurité', il n'apparaît pas qu'il en est de même s'agissant des marchés publics dans les domaines autres que ceux cités, domaines pour lesquels la loi du 17 juin 2016Documents pertinents retrouvés type loi prom. 17/06/2016 pub. 14/07/2016 numac 2016021053 source service public federal chancellerie du premier ministre Loi relative aux marchés publics type loi prom. 17/06/2016 pub. 14/07/2016 numac 2016021052 source service public federal chancellerie du premier ministre Loi relative aux contrats de concession fermer trouve en principe à s'appliquer.

Dans ce cas, l'exclusion des personnes morales qui n'ont pas de siège social situé en Belgique alors qu'elles sont en mesure de répondre à toutes les exigences de sécurité en raison d'une attestation délivrée par une autorité étrangère et reconnue par l'Autorité nationale de Sécurité en vertu d'une convention internationale n'apparaît pas proportionnée.

Il y a lieu de souligner à cet égard qu'en matière nucléaire l'article 8bis de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer `relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé' habilite le Roi à autoriser les autorités belges désignées par lui à vérifier la validité de l'habilitation de sécurité délivrée par une autorité étrangère, une telle habilitation pouvant être délivrée par les autorités compétentes d'un pays tiers et reconnue par les conventions et traités internationaux qui lient la Belgique en cette matière.

L'article 84, alinéa 1er, du projet sera revu à la lumière de cette observation. 2. La même observation vaut pour l'article 100, 1°, du projet, dont il se déduit que l'adjudicataire dont l'Autorité nationale de Sécurité vérifie s'il dispose d'une habilitation de sécurité ne peut être qu'un adjudicataire « enregistré sur le territoire », ce qui exclut tous les adjudicataires potentiels non enregistrés, compte tenu toutefois de la réponse suivante de la déléguée du Ministre, qui figurera également dans le rapport au Roi : « Dit hangt samen met artikel 84 van het ontwerpbesluit (...). Enkel rechtspersonen waarvan de statutaire zetel in België is gevestigd, kunnen door de Nationale Veiligheidsoverheid gemachtigd worden in het kader van een Belgische geclassificeerde overheidsopdracht. De Nationale Veiligheidsoverheid heeft geen bevoegdheden (oa. van toezicht) ten aanzien van buitenlandse ondernemingen. De te onderzoeken inlichtingen van een in het buitenland geregistreerde rechtspersoon zijn ook niet toegankelijk voor de Belgische onderzoeksdiensten. Maar buitenlandse ondernemingen zijn op zich niet uitgesloten om deel te nemen aan geclassificeerde openbare aanbestedingen (...) ».

L'article 100, 1°, du projet sera également revu. 3. Invitée par ailleurs à indiquer comment la règle prévue à l'article 85, § 3, du projet, se concilie avec la libre circulation des personnes et des travailleurs au sens du droit de l'Union européenne, la déléguée du Ministre a apporté les éléments de réponse suivants : « Artikel 85, § 3, van het ontwerpbesluit stelt dat de persoon belast met het dagelijks bestuur van de rechtspersoon in België moet verblijven en er gedomicilieerd zijn.Net zoals bij vraag 25 betreft het hier een afweging van de belangen: enerzijds is het belang van nationale veiligheid en anderzijds de vrijheid van werknemers. De persoon belast met het dagelijks bestuur van de rechtspersoon vormt een `sleutelfiguur' van de organisatie.

De Classificatiewet bepaalt dat een veiligheidsmachtiging enkel kan afgeleverd worden nadat een veiligheidsonderzoek is gevoerd (artikel 16 ev. Classificatiewet). Het onderzoek moet gevoerd worden volgens de regels vervat in de Classificatiewet. Indien het onderzoek niet gevoerd kan worden overeenkomstig deze regels dan kan er geen veiligheidsmachtiging afgeleverd worden. Een andere conclusie is contra legem en ondergraaft het veiligheidssysteem. Bovendien is België op grond van veiligheidsakkoorden verplicht ervoor te zorgen dat personen die een veiligheidsmachtiging hebben op een correcte manier gehabiliteerd zijn. Wanneer zou blijken dat dit niet het geval zou zijn, dan brengt dit de internationale samenwerking in het gedrang.

Indien een persoon niet in België verblijft gedurende een bepaalde periode kan er geen veiligheidsonderzoek gevoerd worden overeenkomstig de voormelde regels wegens een gebrek aan voldoende informatie ».

Ces éléments de réponse figureront de même dans le rapport au Roi.

II. La réglementation envisagée au regard du principe d'autonomie des compétences L'article 2, alinéa 1er, du projet, prévoit ce qui suit : « En application de l'article 1bis, 15°, a) de la loi, les membres du Gouvernement fédéral et des gouvernements des entités fédérées désignent un officier de sécurité au sein de leur cellule stratégique et au moins un officier de sécurité au sein de chaque administration publique relevant de leur autorité, dans laquelle des informations classifiées de niveau `CONFIDENTIEL' ou supérieur sont utilisées ».

Ce faisant, l'arrêté royal en projet crée des obligations à charge des entités fédérées.

Il va de soi que le mécanisme ainsi envisagé doit respecter l'autonomie des entités fédérées concernées. L'autorité fédérale ne pourrait en effet imposer unilatéralement - par le biais d'un arrêté royal - une collaboration forcée des entités fédérées au système mis en place par le projet en requérant des autorités régionales ou communautaires qu'elles désignent d'office des officiers de sécurité au sein de leurs organes et de leurs administrations. La section de législation a rappelé à de nombreuses reprises qu'imposer des obligations aux entités fédérées est contraire au principe d'autonomie et requiert, en principe, la conclusion d'un accord de coopération 9.

A défaut, l'intervention des entités fédérées ne peut être envisagée que sous l'angle d'une simple faculté.

Interrogée à propos de la compatibilité de la disposition envisagée, dans un projet d'arrêté royal, avec le respect du principe d'autonomie ainsi rappelé, la déléguée du Ministre a notamment précisé ce qui suit : « Het classificeren, zoals wordt omschreven in de wet van 11 december 1998 betreffende de classificatie, de veiligheidsmachtigingen, veiligheidsattesten, veiligheidsadviezen en de publiek gereguleerde dienst (Classificatiewet), heeft als doel de belangen te beschermen die zijn opgesomd in artikel 3 van voormelde wet. Deze belangen raken de (bescherming van de) nationale veiligheid, hetgeen een federale kernopdracht is. De preventieve bescherming van de `fundamentele belangen' van het land behoort tot de exclusieve restbevoegdheid van de federale Staat. De Classificatiewet is van toepassing op éénieder die geclassificeerde informatie aanwendt. Ook als deze informatie wordt aangewend door de gefedereerde entiteiten, moeten de beschermingsmaatregelen (zoals de aanstelling van een veiligheidsofficier), zoals deze door de Classificatiewet worden bepaald, in acht worden genomen. De autonomie van de verschillende beleidsniveaus wordt in acht genomen, de gefedereerde entiteiten worden niet gedwongen om geclassificeerde informatie aan te wenden.

Maar indien de gefedereerde entiteiten geclassificeerde informatie aanwenden, worden zij wel geacht om de beschermingsmaatregelen erop toe te passen. De veiligheidsofficier waakt over de naleving van de veiligheidsregels en de beschermingsmaatregelen en speelt een essentiële rol. Het is bijgevolg noodzakelijk dat de gefedereerde entiteiten een veiligheidsofficier aanwijzen opdat zij toegang zouden kunnen hebben tot geclassificeerde informatie en opdat deze geclassificeerde informatie op adequate wijze beschermd wordt. Het aanwijzen van deze veiligheidsofficier behoort tot de bevoegdheid van de gefedereerde entiteiten en niet van de federale overheid. De autonomie van de verschillende niveaus wordt aldus gerespecteerd ».

Elle indique en outre ce qui suit, s'agissant de la référence à l'article 1bis, 15°, a), de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer : « Het begrip `openbare besturen' in artikel 1bis, 15°, a), van de Classificatiewet wordt ruim opgevat, zodat ook gefedereerde entiteiten of instanties die een taak van algemeen belang uitvoeren hieronder kunnen vallen, voor zover deze geclassificeerde informatie aanwenden.

Rien n'indique dans cette disposition, ni dans les travaux préparatoires une volonté de limiter l'application au Fédéral ».

Compte tenu de la matière réglée, il ne saurait effectivement se déduire de l'article 1bis, 15°, a), de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer que cette dernière ne s'appliquerait qu'aux autorités publiques fédérales.

Toutefois, sur la base du principe d'autonomie des diverses entités dont la portée a été rappelée ci-dessus, cette disposition ne peut être lue ou interprétée comme habilitant le Roi à y puiser un fondement juridique pour imposer unilatéralement aux entités fédérées des obligations auxquelles ces dernières n'auraient pas librement consenti puisque, dans le cas d'espèce, l'instrument juridique requis pour les contraindre - l'accord de coopération - fait défaut.

Par conséquent, ce n'est donc que lorsque les entités fédérées choisissent, de leur propre initiative, de s'inscrire dans une démarche de classification de documents à des fins de sécurité dans les matières qui sont de leur ressort que l'article 2, alinéa 1er, du projet est admissible. Il y a en effet alors lieu de considérer que si une entité fédérée s'inscrit volontairement dans une telle démarche de classification pour bénéficier des effets qu'elle induit, elle doit nécessairement se soumettre aux conséquences opérationnelles impliquées par cette classification telles que l'autorité compétente en la matière, à savoir l'Etat fédéral, les établit, comme l'obligation de désigner un officier de sécurité dans les organes et services concernés, qui est prévue à l'article 2, alinéa 1er, du projet.

C'est donc uniquement dans cette lecture que, sous l'angle des règles de répartition des compétences, l'article 2, alinéa 1er, du projet peut être tenu pour conforme au principe d'autonomie réciproque des diverses entités.

Le rapport au Roi devrait contenir les clarifications requises et l'article 2, alinéa 1er, sera au besoin revu pour rendre compte des nuances qui précèdent.

III. Le pouvoir réglementaire octroyé au Conseil national de Sécurité 1. Les articles 4, 13, 22, 23, 29, 31, 39, 41, 49, 54, 58, 60, 64, 70, 84, alinéa 2, 95, 96 et 98 du projet chargent le Conseil national de Sécurité 10 de prendre des mesures qualifiées de mesures supplémentaires de nature administrative et technique ou d'adopter des directives. Dans son avis 69.160/4, la section de législation a observé ce qui suit à propos de l'octroi d'un pouvoir réglementaire au Conseil national de Sécurité par la loi : « L'alinéa 6 confie au Conseil national de sécurité un pouvoir réglementaire consistant en l'identification des `zones sensibles' au sein desquelles les fournisseurs qualifiés comme étant `à haut risque' ne pourront ni fournir des éléments de réseaux ni prester des services.

Dès lors que la Constitution a attribué exclusivement au Roi le pouvoir réglementaire revenant au pouvoir exécutif fédéral et que les pouvoirs doivent être exercés de la manière déterminée par la Constitution, le principe de l'unité du pouvoir réglementaire s'applique et il est par conséquent exclu que le pouvoir réglementaire soit exercé d'une autre manière que celle prescrite par la Constitution. Dès lors, le législateur fédéral ne peut en principe déléguer des compétences normatives qu'au Roi.

Cette règle vaut d'autant plus en l'espèce que le Conseil national de sécurité est un organe stratégique et de coordination, ne disposant pas de pouvoir de décision propre, qui a été créé par le Roi sur la base de l'article 37 de la Constitution 11 » 12.

Interrogée à propos de l'octroi d'un pouvoir réglementaire au Conseil national de Sécurité, la déléguée du Ministre a précisé ce qui suit : « De wetgever heeft de Nationale Veiligheidsraad als coördinerend beleidsorgaan specifiek belast met onder meer de bepaling van het algemeen beleid betreffende de bescherming van gevoelige informatie (artikel 3 van het koninklijk besluit van 22 december 2020 tot oprichting van de Nationale Veiligheidsraad, het Strategisch Comité Inlichtingen en Veiligheid en het Coördinatiecomité Inlichtingen en Veiligheid). De leden van de Raad zijn de Eerste Minister, die de Raad voorzit, de ministers die Justitie, Landsverdediging, Binnenlandse Zaken en Buitenlandse Zaken binnen hun bevoegdheid hebben, en de Vice-eersteministers die geen van deze bevoegdheden hebben (artikel 2 van voormeld koninklijk besluit).

De richtlijnen of aanbevelingen van de Nationale Veiligheidsraad voegen geen nieuwe rechtsregels toe en zijn in die zin niet als `reglementair' te beschouwen. Deze richtlijnen zijn wél, net zoals de nog steeds bestaande richtlijnen van het vroegere Ministerieel Comité voor Inlichting en Veiligheid van mei 2001, gezaghebbend, gelet op de opdrachten van de Nationale Veiligheidsraad om het algemeen beleid betreffende de bescherming van gevoelige informatie te bepalen. De richtlijnen van de Nationale Veiligheidsraad interpreteren en concretiseren de wet en de beschermingsmaatregelen vastgelegd door het uitvoeringsbesluit, ontwikkelen praktijken, leggen het partnerbeleid vast, ... De richtlijnen zijn in elk geval bindend voor de diensten die onder de ministers ressorteren die in de Nationale Veiligheidsraad zetelen. Omwille van de technische complexiteit en omwille van veiligheidsredenen is het wenselijk om de maatregelen, die door het uitvoeringsbesluit worden vastgelegd, nader uiteen te zetten via richtlijnen van de Nationale Veiligheidsraad. De richtlijnen zorgen ook voor éénvormigheid binnen de instanties die geclassificeerde informatie aanwenden.

Indien beslissingen van de Nationale Veiligheidsraad een reglementair karakter verkrijgen, worden deze in principe bevestigd via een koninklijk of ministerieel besluit, dat voor advies wordt voorgelegd aan de Raad van State en gepubliceerd wordt in het Belgisch Staatsblad ».

Il apparaît toutefois que les mesures que le Conseil national de Sécurité peut fixer en vertu des articles précités du projet ont un caractère réglementaire et ne peuvent être considérées ni comme de simples directives ne liant que les services relevant des ministres siégeant au sein du Conseil national de Sécurité ni comme des instruments de nature à interpréter et concrétiser les normes contenues dans la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer et ses arrêtés d'exécution.

Il y a dès lors bien délégation d'un pouvoir réglementaire.

Ce constat est confirmé par le fait que l'article 107 du projet attache au non-respect des mesures fixées par le Conseil national de Sécurité des sanctions administratives. Celui-ci dispose, en effet, qu'en cas de violation des mesures de protection, telles que prévues notamment pas les directives du Conseil national de Sécurité, l'Autorité nationale de Sécurité peut procéder à la suspension immédiate ou au retrait de l'approbation si la gravité de la situation le justifie.

Il est de légisprudence constante que des délégations telles que celles envisagées par le projet ne peuvent se justifier que pour des raisons pratiques et dans la mesure où elles ont une portée très limitée ou principalement technique et où il peut être considéré que les organismes qui doivent appliquer la réglementation concernée ou la contrôler sont également les mieux placés pour l'élaborer en connaissance de cause 13.

Compte tenu de la portée des mesures que le Conseil national de Sécurité est habilité à adopter, le dispositif examiné n'est, en l'état, pas admissible et sera revu. 2. Dans le même ordre d'idées, invitée à préciser quelle pourrait être « une autre instance » au sens de l'article 58, alinéa 1er, 2°, du projet, la déléguée du Ministre a indiqué ce qui suit : « Dit kan bijvoorbeeld de Koninklijke Militaire School zijn ». S'agissant des conditions auxquelles cette « autre instance » doit répondre, contenues dans les « directives du Conseil national de Sécurité », la déléguée du Ministre a précisé ce qui suit : « De richtlijnen van de Nationale Veiligheidsraad hebben geen reglementair karakter, maar hebben tot doel dat de beschermingsmaatregelen in de wet en het uitvoeringsbesluit op éénvormige wijze worden toegepast door (voor de diensten) bindende aanbevelingen te formuleren ».

Dès lors que le Conseil national de Sécurité est habilité à déterminer des conditions, il doit en être déduit que ces « directives » ont un caractère réglementaire, ce qui appelle la même réserve que celle formulée dans l'observation qui précède. 3. Une observation analogue vaut enfin pour l'article 10 du projet. Celui-ci habilite en effet, outre chaque ministre, chaque fonctionnaire dirigeant ainsi que le chef du Service Général du Renseignement et de la Sécurité des Forces armées en ce qui concerne la Défense, à prescrire des règles d'ordre technique en complément des règles relatives à la procédure pour la classification, la modification du niveau de classification et la déclassification et aux mesures de protection inhérentes à la classification contenues dans l'arrêté en projet. Ici encore, une telle délégation n'est pas admissible dans la mesure où elle confère aux autorités citées un pouvoir règlementaire.

OBSERVATIONS PARTICULIERES PREAMBULE 1. A l'alinéa 1er, la déléguée du Ministre a indiqué que la mention de l'article 107, alinéa 2, de la Constitution, relevait de l'erreur matérielle.Partant, elle sera omise. 2. A l'alinéa 2, il convient de mentionner les dispositions précises de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer qui constituent le fondement légal des dispositions du projet, ainsi que les modifications en vigueur qu'elles ont subies 14-15.Ainsi : - plutôt que viser un « dernier alinéa », il convient de viser les articles 1septies, alinéa 4, 4, alinéa 6, et 17, alinéa 4 ; - il convient de viser plus précisément l'article 7, § 6, alinéa 2 ; - la mention de la modification « par la loi du 7 avril 2023Documents pertinents retrouvés type loi prom. 07/04/2023 pub. 09/06/2023 numac 2023042056 source service public federal affaires etrangeres, commerce exterieur et cooperation au developpement Loi portant modificatio de la loi du 11 décembre 1998, relative à la classification et aux habilitations, attestations et avis de sécurité fermer » ne concerne pas les articles 6, alinéa 2, 12, alinéa 2, 17, alinéas 1er, 2 et 4, ainsi que l'article 22, alinéas 1er et 3.

Par sécurité juridique, cette notion de « personne morale » sera précisée dans le projet. 4. De même, la notion d'« entité », dont question au 11°, n'est pas définie.La déléguée du Ministre a indiqué ce qui suit à propos de cette notion : « `Entiteit' moet hier in de meest ruime zin worden opgevat. Dit kunnen zowel publiekrechtelijke als privaatrechtelijke rechtspersonen zijn, administratieve overheden, ... Het gaat om alle instanties die enkel geclassificeerde informatie van het classificatieniveau `BEPERKT' aanwenden en waarvoor het bijgevolg volstaat om een `contactpersoon voor de veiligheid' te voorzien, die op de loonlijst staat van de entiteit of er contractueel mee verbonden is. Een definitie van `entiteit' kan worden toegevoegd in het ontwerpbesluit door de opstellers ».

Par le même souci de sécurité juridique, cette notion d'« entité » sera définie dans le projet.

Article 6 Le 1° prévoit que la personne de contact pour la sécurité « est un membre du personnel de la personne morale ou la personne contractuellement liée à l'entité ».

Or, la définition donnée à la personne de contact pour la sécurité par l'article 1er, 11°, du projet prévoit déjà que celle-ci est fonctionnaire, membre du personnel ou la personne contractuellement liée à l'entité.

Dès lors qu'il ne correspond pas de manière exacte à la définition de la personne de contact et qu'il est pour le surplus redondant, le 1° sera omis. Il en est d'autant plus ainsi que l'objet de la disposition examinée semble davantage consacré aux missions de la personne de contact qu'à son statut.

Article 12 Parmi les personnes qui, moyennant la possession d'une habilitation de sécurité du niveau de classification correspondante, sont habilitées à classifier, modifier ou déclassifier un niveau de classification « TRES SECRET », figurent, au 11°, « le procureur fédéral et les magistrats qu'il délègue à cet effet ».

Dans son avis 61.551/2 donné le 14 juin 2017, la section de législation a observé ce qui suit : « Dans la mesure où les magistrats, en vertu de l'article 8 de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer, ne doivent pas disposer d'une habilitation de sécurité, le Conseil d'Etat s'interroge quant à la cohérence de l'exigence qu'un magistrat, pour pouvoir être désigné officier de sécurité du Ministère public, doive être titulaire d'une habilitation de sécurité » 16.

Compte tenu de cette observation, il apparaît de même incohérent de prévoir que « le procureur fédéral et les magistrats qu'il délègue à cet effet », visés au 11°, sont habilités à classifier, modifier ou déclassifier un niveau de classification « TRES SECRET » à la condition de posséder une habilitation de sécurité du niveau de classification correspondante.

Partant, l'article 12 sera revu de sorte que « le procureur fédéral et les magistrats qu'il délègue à cet effet » ne soient pas soumis à cette condition.

Cette observation vaut pour l'article 44, 2°, du projet, en ce qu'il implique que des magistrats, qui ne doivent pas posséder d'habilitation de sécurité en vertu de l'article 8, § 2, alinéa 1er, de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer, ne pourraient pas pénétrer dans une zone sécurisée, sauf à être toujours escortés par une personne habilitée, conformément à l'article 44, 3°, du projet.

Article 18 La version française du 1° sera rédigée de manière identique à la version néerlandaise.

Article 21 1. Invitée à préciser, au regard de la sécurité juridique, la ratio legis de l'alinéa 3, selon lequel « [l]es dispositions de la sous-section 1 ne s'appliquent pas aux documents classifiés en vertu des alinéas [1er et 2] », ce qui signifie que l'ensemble des règles relatives au marquage ne doit pas être appliqué à ces documents classifiés de manière collective, de sorte qu'en cas de classification collective, l'on serait confronté à des documents non marqués mais qui seront néanmoins classifiés, même si cela n'apparaît pas clairement sur le document en cause, la déléguée du Ministre a indiqué ce qui suit : « Deze regel staat al in huidige koninklijk besluit van 24 maart 2000 tot uitvoering van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen (artikel 32) en wordt soms toegepast op oude archieffondsen (van vóór de inwerkingtreding van de wet van 11 december 1998), waarvoor het niet aangewezen is omwille van hun kwetsbaarheid/fragiliteit, historische waarde, omvang of technische redenen (oude documenten op microfiches) het document zelf individueel te markeren.Daarbij wordt wel altijd via een schriftelijke beslissing van de overheid van oorsprong aangeduid dat het archieffonds in zijn geheel als ge(de-)classificeerd moet worden beschouwd ».

Ces explications figureront dans le rapport au Roi. 2. A l'alinéa 3, il y a lieu d'écrire « en vertu des alinéas 1er et 2 ». Article 22 La deuxième phrase, laquelle constitue une répétition de ce qui figure à l'article 1er, 8°, du projet, qui définit le « titulaire », sera omise.

Article 23 1. A l'alinéa 3, il y a lieu d'écrire « distinct du registre visé à l'alinéa 2 ». 2. A l'alinéa 6, il y a lieu d'écrire « Les registres visés aux alinéas 2 et 3 [...] ».

Article 32 La rédaction des alinéas 2 et 3 doit être revue de telle sorte qu'il apparaisse plus clairement que l'entité doit prendre les mesures visant à empêcher la consultation.

La même observation vaut mutatis mutandis pour l'article 41, alinéas 3 et 4.

Articles 33 à 35 Les dispositions de la sous-section 7 concernent principalement la destruction des informations classifiées par le titulaire. Il n'est cependant pas clair si cette destruction est définitive, parce qu'elle concernerait l'information originale transmise par l'autorité d'origine, ou s'il s'agit seulement de la destruction de la copie, l'autorité d'origine en détenant toujours la version originale.

L'article 34, alinéa 2, en particulier, pourrait aussi concerner la destruction définitive de l'information originale par l'autorité d'origine.

Interprétés comme ne concernant que la destruction d'une ou de plusieurs copies des informations classifiées détenues par l'autorité d'origine, les articles 33 à 35 ne posent pas de difficultés.

Article 46 A la question de savoir s'il existe un modèle de déclaration de conformité, la déléguée du Ministre a indiqué ce qui suit : « Deze documenten zullen op de website van de Nationale Veiligheidsoverheid ter beschikking worden gesteld. Dit laat toe om deze documenten snel aan te passen indien nodig ».

La section de législation se demande si ce modèle ne gagnerait pas à être annexé à l'arrêté royal examiné, à l'instar des modèles qui figurent aux annexes 2 à 5 du projet.

Cette observation vaut également pour la déclaration de conformité visée à l'article 50, alinéas 2 et 3, du projet.

Article 48 La disposition examinée s'inscrit dans la section 2 du titre III, chapitre 2, du projet, relative aux zones administratives et sécurisées.

Les articles 42 à 47 du projet sont consacrés à la procédure d'approbation de ces zones.

S'agissant de la zone de sécurité, l'article 47 prévoit que l'Autorité nationale de Sécurité notifie à l'officier de sécurité sa décision concernant l'approbation de la zone au sein de l'installation physique. D'après l'article 48 examiné, tout changement apporté à l'installation physique en question doit être immédiatement signalé à l'Autorité nationale de Sécurité.

Le dispositif reste toutefois en défaut de préciser les conséquences qui s'attachent à ce signalement en manière telle que la question se pose de savoir si l'ensemble de la procédure d'approbation doit à nouveau être appliquée ou non.

Le dispositif sera revu compte tenu de l'observation.

Article 53 1. Dans l'hypothèse où l'Autorité Nationale de Sécurité adopte une décision de refus d'approbation du système de communication et d'information, la déléguée du Ministre a répondu comme suit à propos de la possibilité d'un recours contre ce type de décision : « Deze beslissing tot weigering van de goedkeuring van een communicatie- en informaticasysteem vormt een administratieve beslissing, waartegen een beroep open staat bij de afdeling bestuursrechtspraak van de Raad van State overeenkomstig artikel 14 van de gecoördineerde wetten op de Raad van State, tenzij de wetgever in de toekomst nog zal beslissen om dit toe te vertrouwen aan een specifiek daartoe opgericht administratief rechtscollege, zoals het Beroepsorgaan inzake veiligheidsmachtigingen, - attesten of - adviezen.Dit is echter niet aan de opstellers van het ontwerpbesluit om te beslissen ».

Cette réponse vaut également pour l'article 61 du projet, en cas de décision de refus d'approbation d'un produit cryptographique, et pour les articles 107 et 111 du projet, pour les cas de suspension (immédiate) ou de retrait de l'approbation. 2. Invitée à justifier la période fort réduite, prévue au paragraphe 2, durant laquelle une demande de renouvellement doit être introduite, la déléguée du Ministre a indiqué ce qui suit : « - Mbt de geldigheidsduur van de beslissing tot goedkeuring van een communicatie- en informatiesysteem: in de vroegere wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen (artikel 13, 2° ) luidde de definitie van veiligheidsmachtiging als volgt: `[...] - een rechtspersoon voldoende garanties biedt inzake de materiële en de technische middelen en de methoden, gebruikt om deze gegevens te beschermen, en inzake [...]'. De goedkeuring van een communicatie- en informatiesysteem maakte bijgevolg deel uit van een veiligheidsmachtiging voor rechtspersonen. De wetgever heeft er in de wet van 7 april 2023 houdende wijziging van de wet van 11 december 1998, betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen voor gekozen om hier een aparte beslissing van te maken (zie artikel 1bis, 10° en artikel 1quater, 6° ). De veiligheidsmachtiging wordt volgens het koninklijk besluit van 24 maart 2000 toegestaan voor een periode van maximum vijf jaar (hetgeen dus eveneens korter kon zijn).

In het ontwerpbesluit wordt een geldigheidsduur van maximum drie jaar voorzien voor informatie- en communicatiesystemen (artikel 53, § 2 van het ontwerpbesluit), omwille van de snelle technologische evolutie.

Idem voor cryptografische producten (artikel 61 van het ontwerpbesluit). - Mbt de vraag tot hernieuwing van de beslissing tot goedkeuring: een termijn tussen de zes en de zeven maanden vóór het einde van de geldigheidsduur van de beslissing werd door de diensten realistisch geacht. Het kan immers niet de bedoeling zijn dat de aanvraag een dag vóór het einde van de geldigheidsduur van de beslissing wordt aangevraagd en de functionele autoriteit vervolgens zonder homologatie verder werkt met het communicatie- en informatiesysteem. De termijn voor de vraag tot hernieuwing is nieuw en stond nog niet in het huidige koninklijk besluit van 24 maart 2000 ».

Ces éléments de réponse figureront dans le rapport au Roi suggéré dans l'observation préalable n° 2.

Article 59 De l'accord de la déléguée du Ministre, les mots « de niveau « RESTREINT » ou supérieur » seront omis.

Article 60 S'agissant de la compétence donnée au Conseil national de Sécurité de prévoir les cas où l'Autorité nationale de Sécurité peut demander à un autre pays ou une autre instance de procéder à l'évaluation d'un produit cryptographique, la déléguée du Ministre a renvoyé à ses éléments de réponse reproduits dans l'observation générale n° III et a suggéré d'omettre, à l'article 60, les mots « Dans les cas prévus par le Conseil national de Sécurité ».

L'article 60 sera modifié en ce sens.

Article 64 Interrogée à propos du fondement légal de l'article 64, par lequel le Roi impose la possession d'une licence cryptographique, compte tenu de ce que si l'article 7, § 1er, alinéa 2, de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer prévoit certes que « [l]e Roi détermine, par arrêté délibéré en Conseil des ministres, les modalités concernant les procédures d'approbation visées à l'article 1bis, 11°, 12° et 13° », aucun de ces points n'est relatif à une licence cryptographique, la déléguée du Ministre a précisé ce qui suit : « Het beheer en de verdeling van cryptografisch materiaal is een bevoegdheid van de Nationale Veiligheidsoverheid (artikel 1quater, 8° van de Classificatiewet). Opdat de Nationale Veiligheidsoverheid cryptografisch materiaal kan verdelen aan instanties die dit materiaal wensen te gebruiken voor het versturen van geclassificeerde informatie, is een door de Nationale Veiligheidsoverheid goedgekeurde crypto-licentie nodig. Zoniet zou de werking van de Nationale Veiligheidsoverheid met betrekking tot het beheer en de verdeling van het cryptografisch materiaal ernstig verstoord worden. De wetgever heeft in artikel 1ter van voormelde wet bepaald dat de Nationale Veiligheidsoverheid een veiligheidsoverheid is waarvan de werking en de organisatie bepaald worden door de Koning, bij een besluit vastgesteld in overleg in de Ministerraad. Artikel 64 van het ontwerpbesluit heeft hierop betrekking. Artikel 1ter van voormelde wet wordt ook vermeld in de rechtsgronden die worden opgesomd in de aanhef van het ontwerpbesluit.

Verder stelt artikel 7, § 1 van voormelde wet dat de Koning, bij een besluit vastgesteld na overleg in de Ministerraad, de nadere regels bepaalt van de bescherming en de declassificatie van geclassificeerde informatie. Het bezit van een door de Nationale Veiligheidsoverheid goedgekeurde crypto-licentie is vereist alvorens cryptografisch materiaal aan de bezitter ervan kan worden verdeeld voor het gebruik van geclassificeerde informatie ».

Ces éléments de réponse figureront dans le rapport au Roi dès lors qu'ils permettent de localiser les fondements légaux de la disposition en projet dans les articles 1ter et 7 de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer.

Articles 67 et 68 S'agissant de déterminer ce qu'il y a lieu d'entendre par « circonstances exceptionnelles », ainsi que l'indique la déléguée du Ministre, les hypothèses visées à l'article 67, (a) et (b), doivent être comprises comme étant exhaustives. En outre, elle précise que les hypothèses visées au (a) et (b) doivent être cumulativement réunies.

Compte tenu de ces précisions, à l'article 67, les mots « Dans des circonstances exceptionnelles, » seront omis et les mots « les circonstances exceptionnelles suivantes sont cumulativement réunies » seront insérés après le mot « si ».

Par ailleurs, à l'article 68, il y a lieu d'écrire « Dans les circonstances exceptionnelles visées à l'article 67 ».

Article 70 Le paragraphe 3 ne déroge qu'au paragraphe 2 du même article ; la disposition sera revue en conséquence.

Article 71 Au paragraphe 1er, à défaut d'être en mesure d'en préciser la portée, le mot « précisément » sera omis.

Article 72 Dans la version française de l'alinéa 1er, il y a lieu de se référer aux documents visés « à l'article 17, alinéa 3, de la loi ».

Article 74 A la question de savoir si l'Autorité nationale de Sécurité doit également se prononcer sur la recevabilité d'une demande d'habilitation de sécurité dans un certain délai, compte tenu de ce que tant l'officier de sécurité (15 jours - article 73) que le service de renseignement et de sécurité (2 à 6 mois selon le niveau de confidentialité, le cas échéant prolongé de 3 mois - article 76) sont tenus par des délais, la déléguée du Ministre a indiqué ce qui suit : « Neen, een specifieke termijn is niet voorzien voor de controle van de aanvraag. De tekst spreekt van `onverwijld' dwz zo snel mogelijk (artikel 74 ontwerpbesluit). De beslissing gebeurt gelijktijdig met de overzending van het dossier naar de inlichtingen- en veiligheidsdiensten (de factuur voor de betaling van de retributie wordt dan ook automatisch verzonden). In de praktijk verloopt dit vrij snel, gezien dit normaliter digitaal gebeurt (via het platform HABIL+). Maar de opstellers van het ontwerpbesluit wilden de mogelijkheid behouden om, bijvoorbeeld bij een panne van HABIL+, de overzending manueel te laten verlopen. Er is geen bezwaar om de term `onverwijld' te vervangen door `een maand' zoals in artikel 25, tweede lid van het huidige koninklijk besluit van 24 maart 2000 ».

Ces explications gagneront à figurer dans le rapport au Roi dans la mesure où elles éclairent le choix de ne pas fixer un tel délai pour l'Autorité nationale de Sécurité.

Article 75 Par sécurité juridique et à l'instar de ce que prévoit l'article 80, alinéa 2, du projet, il convient de se référer à l'article 71, § 2, alinéa 7, qui concerne précisément les cas où la demande est signée « par l'autorité directement concernée ou par la personne qui requiert une habilitation de sécurité ».

Article 76 Interpellée sur le fait que les délais fixés n'apparaissent pas être cohérents avec ceux visés à l'annexe 2 - Note explicative, point 2. c. et interrogée dès lors sur la manière dont les délais de 6, 7 et 10 mois visés dans cette note explicative sont calculés, la déléguée du Ministre a apporté les éléments de réponse suivants : « Artikel 76 van het ontwerp spreekt over 2 maanden voor het onderzoek voor het niveau vertrouwelijk, 3 maanden voor het niveau geheim en 6 maanden voor het niveau zeer geheim. Deze termijn verwijst enkel naar de duurtijd van het veiligheidsonderzoek door de inlichtingen- en veiligheidsdiensten.

Het doel van de verklarende nota is aan betrokkene uitleg te geven over de aanvraagprocedure inzake de veiligheidsmachtigingen. De termijnen vermeld in de verklarende nota willen betrokkene informeren over de totale vermoedelijke wachttijd.

De aanvraagprocedure voorziet dat de veiligheidsofficier over 15 dagen beschikt om de documenten aan de NVO over te zenden. De NVO heeft ongeveer een maand (`onverwijld') om deze over te zenden naar de inlichtingen- en veiligheidsdiensten. De inlichtingen-en veiligheidsdiensten beschikken over 2, 3 of 6 maanden om hun onderzoek af te ronden. Zodra de Nationale Veiligheidsoverheid de resultaten van het veiligheidsonderzoek heeft ontvangen, heeft ze één maand de tijd om zich over de aanvraag om een veiligheidsmachtiging uit te spreken en haar beslissing aan de veiligheidsofficier over te zenden.

De betrokkene zal dus ongeveer 5 maanden moeten wachten voor een veiligheidsmachtiging van het niveau `vertrouwelijk', 6 maanden voor het niveau `geheim' en 9 maanden voor het niveau `zeer geheim'. De in de bijlage vermelde termijnen moeten bijgevolg aangepast worden door de opstellers van het ontwerp ».

Il convient toutefois de réitérer les observations suivantes, formulées dans l'avis 29.381/2 donné le 12 juillet 1999 sur un projet devenu l'arrêté royal du 24 mars 2000 `portant exécution de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer relative à la classification et aux habilitations, attestations et avis de sécurité', sur les potentielles incohérences entre le dispositif envisagé et la note explicative en annexe : « 3. Quant au point 3, d., de la note explicative qui fixe certains délais à respecter, ceux-ci doivent être insérés dans le dispositif en projet plutôt que dans une annexe. A cet égard, le Conseil d'Etat s'interroge sur les délais prévus au point (2) qui se différencient de ceux fixés par l'article 9, point 3, du projet.

Une telle façon de faire peut engendrer la plus grande insécurité juridique, ces délais étant d'autant plus importants qu'ils sont déterminants pour la procédure de recours organisée devant le Comité permanent R en vertu de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer portant création d'un organe de recours en matière d'habilitations de sécurité.

Comme expliqué ci-dessus sous le point 1 les règles essentielles doivent se trouver dans le projet d'arrêté et non dans une note explicative ».

Article 80 Les mots « à l'autorité directement concernée ou » seront insérés entre les mots « sa décision » et les mots « à la personne concernée ».

Article 82 1. A l'alinéa 3, il y a lieu d'écrire « des éléments visés aux alinéas 1er et 2 [...] ». 2. Au même alinéa, la deuxième phrase, qui se borne à rappeler qu'une disposition de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer peut, le cas échéant, s'appliquer, sera omise. Articles 83 et 84 L'article 83 prévoit que toute personne morale peut être autorisée à accéder à des informations classifiées pour autant que le besoin d'en connaître soit reconnu par l'autorité et que cette personne morale dispose d'une habilitation de sécurité pour les personnes morales.

Quant à l'article 84, alinéa 2, il prévoit que, pour ce qui concerne les marchés publics qui impliquent, nécessitent et/ou contiennent des informations classifiées de niveau « restreint », l'administrateur ICT doit être en possession d'une habilitation de sécurité du niveau fixé par une directive du Conseil national de Sécurité.

Or l'article 8, § 2, alinéa 3, de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer précise que, par dérogation à l'alinéa 1er de la même disposition, une personne ne doit pas être titulaire d'une habilitation de sécurité pour avoir accès aux informations classifiées de niveau restreint.

Dès lors, en ce qu'il vise l'ensemble des informations classifiées, sans prévoir d'exception concernant celles de niveau restreint, l'article 83 du projet n'est pas conforme à l'article 8, § 2, de la loi. Il en est de même en ce qui concerne l'article 84, alinéa 2, en ce qu'il contient l'exigence de détenir une habilitation de sécurité pour ce type d'informations.

Les deux dispositions seront revues à la lumière de cette observation.

Article 87 L'alinéa 2 gagnera à débuter par les mots « En cas de demande recevable, [...] ».

Article 88 L'article examiné dispose que les articles 76 à 78 sont applicables aux demandes d'habilitation de sécurité pour les personnes morales.

L'article 77, applicable aux demandes de personnes morales, renvoie aux annexes 2 à 5 pour ce qui concerne le modèle des documents visés à l'article 17, alinéas 1er et 2, de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer. Or, ces annexes apparaissent rédigées spécifiquement pour les demandes d'habilitation de sécurité par des personnes physiques.

Interrogée quant à l'utilité d'établir des modèles spécifiques pour les personnes morales, la déléguée du Ministre a indiqué ce qui suit : « Vennootschappen vullen geen basisvragenlijst in, zij verstrekken wel bepaalde gegevens (naam, juridisch statuut, adres, kbo-nummer, aard van de activiteiten, aantal tewerkgestelde personen, omzetcijfer van laatste 5 jaar, aandeelhouders/ vennoten die minstens 20% van de aandelen bezitten) betreffende de rechtspersoon aan de Nationale Veiligheidsoverheid. Zij geven ook geen instemming omdat zij geen persoonsgegevens hebben. Art. 77 verwijst inderdaad naar die bijlagen.

Dat moet aangepast worden ».

Le renvoi figurant à l'article 88 sera revu à la lumière de cette observation.

Article 90 L'article examiné prévoit que la décision est notifiée « aux préposés mentionnés à l'article 85, § 1er, alinéa 1er, 3°, ». La déléguée du Ministre a été invitée à préciser si cette disposition a pour effet que des éléments relatifs à la vie privée de certains préposés, collectés lors de l'enquête et figurant, le cas échéant, dans la décision de refus ou d'octroi de l'habilitation de sécurité, seront portés à la connaissance de l'ensemble des préposés de la personne morale, tels que définis à l'article 1er, 10°, du projet, et, en cas de réponse positive, à justifier en quoi cette règle se concilie avec le principe de protection de la vie privée, en ce compris les données à caractère personnel, garanti notamment par l'article 22 de la Constitution. Elle a apporté les éléments de réponse suivants : « In artikel 90 van het ontwerpbesluit gaat het over de kennisgeving van de beslissing inzake de veiligheidsmachtiging van de rechtspersoon en niet over de veiligheidsmachtiging van de bestuurders. De kennisgeving dient gemotiveerd te zijn.

De kennisgeving zal aangeven of de rechtspersoon voldoet aan de voorwaarden geheimhouding, loyauteit en integriteit. Nooit zullen persoonsgegevens van een bepaalde bestuurder gedeeld worden met andere personen. Wanneer de NVO persoonsgegevens verwerkt in de uitoefening van de Classificatiewet is zij gebonden aan de regels vervat in titel 3, ondertitel 3 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens. Het delen van persoonsgegevens zou strijdig zijn met de fundamentele beginselen van gegevensverwerking, in casu de minimale verwerking en het beginsel van de doelbinding.

De gegevens van vennootschappen maken geen persoonsgegevens uit. Er worden nooit gegevens betreffende het privé-leven van de aangestelden meegedeeld in de beslissing betreffende de veiligheidsmachtiging van de rechtspersoon. Dit vormt een aparte beslissing ».

Ces éléments de réponse figureront dans le rapport au Roi.

Article 92 Invitée à indiquer pour quelle raison une enquête de sécurité complémentaire n'est pas prévue pour les personnes morales, à l'instar de ce qui est prévu pour les personnes physiques à l'article 82 du projet, d'autant plus que cette enquête complémentaire pourrait être justifiée par les éléments communiqués par l'officier de sécurité à l'Autorité nationale de Sécurité sur la base de l'article 92, la déléguée du Ministre a admis que « [d]ezelfde regeling kan inderdaad ook voorzien worden voor rechtspersonen ».

Le projet sera dès lors complété en ce sens.

Article 93 La correspondance entre la version française et la version néerlandaise de l'alinéa 2 du projet sera assurée 18.

Article 100 Aux 1°, 3° et 4°, une virgule sera chaque fois insérée après le mot « précontractuel ».

Article 102 Interrogée à propos de l'application de la règle prévue, soit la restitution des informations classifiées dans les 15 jours de la décision de non-sélection, en cas de recours contre cette décision de non-sélection, compte tenu de ce que pourrait s'avérer contraire au droit effectif au recours garanti par l'article 13 de la Convention européenne des droits de l'homme, le fait que le candidat non retenu n'a pas le droit de conserver ces informations classifiées dans le cadre de la procédure de recours qu'il introduit (pièces à l'appui de son recours, éléments d'appréciation du bien-fondé de celui-ci), la déléguée du Ministre a précisé ce qui suit : « De ter beschikking gestelde geclassificeerde informatie is enkel nodig om de overheidsopdracht te kunnen uitvoeren. Toegang tot geclassificeerde informatie is afhankelijk van twee voorwaarden die cumulatief vervuld dienen te zijn. Deze zijn het hebben van een overeenstemmende veiligheidsmachtiging en de vereiste `need to know' hebben. Indien de vennootschap niet geselecteerd werd, dan beschikt zij niet over de vereiste `need to know' om kennis te kunnen nemen van de geclassificeerde informatie.

Er zal echter door de opstellers van het ontwerpbesluit een bepaling toegevoegd worden die de niet weerhouden kandidaat in staat stelt om zijn rechten uit te oefenen in het kader van een beroepsprocedure ».

Le projet sera utilement complété de la manière suggérée par la déléguée.

Article 104 A l'alinéa 2, dans la version française, le mot « recommandation » sera remplacé par le mot « proposition » afin de mieux correspondre à la version néerlandaise.

Articles 112 à 114 (titre IV) Interrogée à propos du fondement légal qui habilite le Roi à prévoir des dispositions relatives à des informations non classifiées et, le cas échéant, à y apposer la mention « SENSIBLE NON CLASSIFIE », la déléguée du Ministre a indiqué ce qui suit : « Titel IV spreekt inderdaad over niet geclassificeerde gegevens. Deze bepalingen zijn echter een actualisatie van het artikel 20 van het huidige KB dat handelt over `beperkte verspreiding'. De opstellers wensen de markering `beperkte verspreiding' wel degelijk te behouden maar niet de benaming daar dit verwarrend wordt geacht met het classificatieniveau `BEPERKT'. De nieuwe benaming `gevoelig niet geclassificeerd' is overgenomen uit NAVO documenten. Voor de duidelijkheid en de continuïteit werd geopteerd om de behandeling van "gevoelig niet geclassificeerd" in dit ontwerpbesluit behouden. `Gevoelig niet geclassificeerd' is geen classificatieniveau. De beginselen van openbaarheid van bestuur zijn van toepassing op de documenten die deze markering dragen ».

Si le titre IV contient en effet des dispositions actualisant l'article 20 de l'arrêté royal du 24 mars 2000 qui prévoit une possibilité de « diffusion restreinte » de documents non classifiés, la section de législation ne distingue pas, dans la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer, le fondement juridique de celles-ci.

L'auteur du projet précisera quel est ce fondement juridique au préambule de l'arrêté en projet. A défaut, ce titre IV sera omis.

Article 113 Si cet article est maintenu 19, dès lors que l'alinéa 3 prévoit l'hypothèse de documents rédigés en anglais, à l'alinéa 4, il convient de prévoir les hypothèses où les documents sont rédigés dans une autre langue que le français, le néerlandais, l'allemand ou l'anglais.

Article 114 Dans la mesure où l'article examiné se borne à rappeler que des documents peuvent être soumis à des règles relatives au secret professionnel ou à une obligation de secret en vertu de la législation applicable, ou à des règles fixées par des dispositions contractuelles, il apparaît sans portée et sera omis.

Articles 115 à 119 (titre V) Dès lors que le titre V contient des dispositions modificatives ou abrogatoires de l'arrêté royal du 24 mars 2000, ce titre sera intitulé « Modifications de l'arrêté royal du 24 mars 2000 portant exécution de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer relative à la classification et aux habilitations, attestations et avis de sécurité ».

Par ailleurs, l'article 123 du projet, qui abroge la plupart des dispositions de cet arrêté royal et détermine lesquelles sont encore applicables, sera inséré dans ce titre V. Ce faisant, dans un but de sécurité juridique, l'auteur du projet s'assurera de la bonne articulation entre l'article 117 du projet, qui abroge l'article 30quater de l'arrêté royal du 24 mars 2000, et l'article 123, lequel prévoit de manière contradictoire que l'arrêté royal du 24 mars 2000 est abrogé « à l'exception [...] du chapitre IIIbis qui comprend les articles 30bis à 30sexies [...] », ce qui laisse entendre que l'article 30quater n'est pas abrogé.

Article 120 1. Dans le texte français, à l'alinéa 2, il y a lieu d'écrire « mais avant l'entrée en vigueur du présent arrêté [...] ». 2. Au même alinéa, il conviendra de corriger la référence à « l'article 18, alinéa 2 ou 3 » dès lors que s'il s'agit bien d'une référence à l'article 18 de l'arrêté royal examiné, celui-ci ne comporte qu'un seul alinéa. Article 121 La déléguée du Ministre a justifié comme suit l'entrée en vigueur du projet prévue « le lendemain de sa publication au Moniteur belge » : « Het ontwerpbesluit dient zo snel mogelijk in werking te treden.

Bepaalde bepalingen van de Classificatiewet -zoals de bepalingen inzake BEPERKT- kunnen heden nog niet toegepast worden omdat het ontwerpbesluit nog niet in werking is getreden. Dit zorgt voor praktische moeilijkheden bij de toepassing van de Classificatiewet.

Tien bijkomende dagen wachten heeft geen zin ».

Article 122 Il n'y a pas lieu de mentionner les mots « et secrétaires d'Etat » 20.

Le greffier, Béatrice DRAPIER Le président, Patrick RONVAUX _______ Notes * Par un courriel du 17 mai 2024. 1 Le Comité permanent R agit, pour la matière concernée par le projet, en tant qu'Autorité de protection des données. 2 Voir, à ce propos, les extraits suivants du préambule de la directive 2009/81/CE : « (16) Le traité, à ses articles 30, 45, 46, 55 et 296, prévoit des exceptions spécifiques à l'application des principes qu'il édicte et, par conséquent, à l'application du droit qui en est dérivé. Il s'ensuit qu'aucune disposition de la présente directive ne devrait interdire d'imposer ou d'appliquer les mesures qui se révéleraient nécessaires à la sauvegarde des intérêts reconnus comme légitimes par ces dispositions du traité.

Cela signifie notamment que la passation de marchés qui relèvent du champ d'application de la présente directive peut en être exemptée si cela est justifié pour des raisons de sécurité publique ou nécessaire pour la protection des intérêts essentiels de la sécurité d'un Etat membre. Cela peut être le cas pour des marchés relevant à la fois de la défense et de la sécurité qui requièrent un tel niveau d'exigence en matière de sécurité d'approvisionnement ou dont la confidentialité et/ou l'importance pour la souveraineté nationale sont telles que même les dispositions spécifiques de la présente directive ne seraient pas suffisantes pour sauvegarder des intérêts essentiels de sécurité des Etats membres, dont la définition relève de la seule compétence des Etats membres. (17) Toutefois, conformément à la jurisprudence de la Cour de justice des Communautés européennes, il convient d'interpréter la possibilité de recourir à de telles dérogations de manière à ne pas étendre leurs effets au-delà de ce qui est strictement nécessaire pour la protection des intérêts légitimes que ces articles permettent de sauvegarder.La non-application de la présente directive doit donc à la fois être proportionnée aux buts poursuivis et perturber le moins possible la libre circulation des marchandises et la libre prestation de services. (18) [...] [D]ans le contexte spécifique des marchés de la défense et de la sécurité, les Etats membres conservent le pouvoir de décider si oui ou non leurs pouvoirs adjudicateurs ou entités adjudicatrices peuvent autoriser des agents économiques de pays tiers à participer aux procédures de passation des marchés [...]. (19) [...] (20) Les marchés de défense et de sécurité contiennent souvent des informations classifiées que les dispositions législatives, réglementaires ou administratives en vigueur dans l'Etat membre concerné imposent, pour des raisons de sécurité, de protéger contre un accès non autorisé.Dans le domaine militaire, il existe dans les Etats membres des systèmes de classification de ces informations à des fins militaires. Cependant, dans le domaine de la sécurité non militaire, la pratique des Etats membres est plus variée lorsque d'autres informations doivent également être protégées. Il convient donc de recourir à un concept qui prenne en compte la diversité des pratiques des Etats membres et qui permette d'englober les domaines militaire et non militaire [...].

En outre, l'article 296, paragraphe 1, point a), du traité donne aux Etats membres la possibilité d'exempter des dispositions de la présente directive des marchés dans les domaines de la défense et de la sécurité si l'application de ces dispositions les obligeait à fournir des renseignements dont ils estimeraient la divulgation contraire aux intérêts essentiels de leur sécurité. Cela peut être notamment le cas lorsque les marchés sont à ce point sensibles que leur existence même doit être tenue secrète ». 3 C.J.U.E., 30 novembre 1995, C-55/94, Gebhard, point 37. 4 Note de bas de page n° 1 du courrier cité : Artikel 1bis, 3°, wet van 11 december 1998 betreffende de classificatie, de veiligheidsmachtigingen, veiligheidsattesten, veiligheidsadviezen en de publiek gereguleerde dienst (Classificatiewet). 5 Note de bas de page n° 2 du courrier cité : Deze worden opgesomd in Artikel 3, § 1, Classificatiewet. 6 Note de bas de page n° 3 du courrier cité : Geclassificeerde opdracht: een opdracht waarbij geclassificeerde informatie door een administratieve overheid aan de onderneming wordt verstrekt of onder wiens gezag of instructie geclassificeerde informatie wordt gegenereerd. 7 Note de bas de page n° 4 du courrier cité : Artikel 1bis, 10°, b), Classificatiewet. 8 Soit les articles 9, 63, § 2, 4° et 5°, et 76 de l'arrêté royal du 23 janvier 2012 `relatif à la passation des marchés publics et de certains marchés de travaux, de fournitures et de services dans les domaines de la défense et de la sécurité'. 9 Voir l'avis 76.172/2 donné le 30 mai 2024 sur un projet d'arrêté royal `relatif à la banque de données commune « Terrorisme, Extrémisme, processus de Radicalisation » (« T.E.R. »)' (obligation de communiquer des données à caractère personnel à l'autorité fédérale) et les nombreux avis dans le même sens cités à la note de bas de page n° 2 de cet avis ;voir aussi l'avis 75.110/2 donné le 27 février 2024 sur un avant-projet de loi `modifiant la loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé' (Doc. parl., Chambre, 2023-2024, n° 55-3938/001, pp. 65-90). 10 Lequel est composé conformément à l'article 2 de l'arrêté royal du 22 décembre 2020 `portant création du Conseil national de sécurité, du Comité stratégique du renseignement et de la sécurité et du Comité de coordination du renseignement et de la sécurité', qui dispose comme il suit : « Les membres du Conseil sont le Premier Ministre, qui préside le Conseil, les ministres ayant dans leurs attributions la Justice, la Défense nationale, l'Intérieur et les Affaires étrangères, et les vice Premiers Ministres qui n'ont pas ces matières dans leurs compétences.

Les Membres du Gouvernement qui ne sont pas membres du Conseil peuvent être invités par le Premier Ministre à y participer pour l'examen de dossiers qui les concernent particulièrement.

Le président du Comité de coordination du Renseignement et de la Sécurité (ci-après dénommé Comité de coordination) participe aux réunions du Conseil national de sécurité, avec voix consultative, sauf si le président du Conseil National de sécurité en décide autrement.

A la demande du président du Conseil national de sécurité ou sur initiative propre, le président du Comité de coordination peut être assisté par des membres du Comité de coordination, chaque fois que leur expertise est nécessaire pour l'examen de certains points de l'ordre du jour.

Les membres non permanents du Comité de coordination peuvent être invités par le Premier Ministre à participer au Conseil pour l'examen de dossiers qui les concernent particulièrement.

Des personnes qui, par leur fonction, peuvent fournir une contribution aux missions du Conseil, peuvent être invités par le Premier Ministre à participer à des réunions du Conseil, avec voix consultative ». 11 Note de bas de page n° 5 de l'avis cité : Voir l'arrêté royal du 22 décembre 2020 `portant création du Conseil national de sécurité, du Comité stratégique du renseignement et de la sécurité et du Comité de coordination du renseignement et de la sécurité'. 12 Avis 69.160/4 donné le 6 mai 2021 sur un avant-projet devenu la loi du 17 février 2022Documents pertinents retrouvés type loi prom. 17/02/2022 pub. 11/03/2022 numac 2022031089 source service public federal economie, p.m.e., classes moyennes et energie Loi modifiant diverses dispositions en matière de communications électroniques en vue d'introduire des mesures de sécurité supplémentaires pour la fourniture de services mobiles 5G fermer `modifiant diverses dispositions en matière de communications électroniques en vue d'introduire des mesures de sécurité supplémentaires pour la fourniture de services mobiles 5G' (Doc. parl., Chambre, 2021-2022, n° 55-2317/001, pp. 46-59).

Voir également l'avis 25.704/2 donné le 21 mai 1997 sur un avant-projet devenu la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer dans lequel la section de législation a observé ce qui suit : « Qui plus est, en confiant à un Comité ministériel,- qui, en règle générale, ne peut être qu'un organe d'avis et de préparation de la politique gouvernementale, et non d'exécution des lois - le soin de déterminer la nature des données et les modalités de leur recueillement, le texte en projet heurte l'article 22 de la Constitution, lequel exige que les principes essentiels relatifs à ces questions soient inscrits dans un texte de loi » (Doc. parl., Chambre, 1996-1997, nos 49-1193/1 et 49-1194/1, p. 38, observation formulée sous l'observation générale n° 1). 13 Voir en ce sens l'avis 63.663/VR/V donné le 17 juillet 2018 sur un projet devenu l'arrêté royal du 25 octobre 2018 `limitant les jeux de hasard dans les établissements de jeux de hasard de classe III' et l'avis 76.366/2 donné le 12 juin 2024 sur un projet d'arrêté royal `relatif au Conseil des bourgmestres'. 14 Ou, à tout le moins, la dernière modification en vigueur. 15 Principes de technique législative - Guide de rédaction des textes législatifs et réglementaires, www.raadvst-consetat.be, onglet « Technique législative », recommandation n° 27. 16 Avis 61.551/2 donné le 14 juin 2017 sur un avant-projet devenu la loi du 23 février 2018Documents pertinents retrouvés type loi prom. 23/02/2018 pub. 01/06/2018 numac 2018031156 source service public federal affaires etrangeres, commerce exterieur et cooperation au developpement Loi portant modification de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité fermer `portant modification de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer relative à la classification et aux habilitations, attestations et avis de sécurité' (Doc. parl., Chambre, 2017-2018, n° 54-2767/001, p. 34, observation formulée sous l'article 2). 17 Comme la section de législation l'a observé dans son avis 75.117/2 du 15 février 2024, « [i]l en va d'autant plus ainsi que le [RGPD] protège spécifiquement le traitement des données à caractère personnel `à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques' [...], et que cette protection relève en outre, en l'espèce, du droit fondamental d'accès à l'information détenue par les autorités publiques, tel qu'il est consacré par l'article 32 de la Constitution et par la Convention du Conseil de l'Europe `sur l'accès aux documents publics', signée à Tromso le 18 juin 2009 [...].

Ce droit fondamental se déduit également de l'article 10 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales [...] et est donc aussi visé par l'article 85 du RGPD. Dans cette mesure, des données à caractère personnel triées et archivées peuvent être conservées sans limitation de durée [...] » (avis 75.117/2 donné le 15 février 2024 sur un avant-projet de décret `modifiant le décret du 4 décembre 2003 relatif à la création de l'Institut wallon de l'évaluation, de la prospective et de la statistique', Doc. parl., Parl. w., 2023-2024, n° 1656/1, pp. 27-30). 18 A l'instar de ce que prévoit l'article 27 de l'arrêté royal du 24 mars 2000. 19 Compte tenu de l'observation formulée sous le titre IV (articles 112 à 114). 20 Principes de technique législative - Guide de rédaction des textes législatifs et réglementaires, www.raadvst-consetat.be, onglet « Technique législative », recommandation n° 167 et formule F-4-7-2.

Vu la Constitution, article 37 ;

Vu la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer relative à la classification, aux habilitations de sécurité, aux avis de sécurité et au service public réglementé, l' article 1ter, modifié par la loi du 19 décembre 2023 ; l'article 1septies, alinéa 4, inséré par la loi du 7 avril 2023Documents pertinents retrouvés type loi prom. 07/04/2023 pub. 09/06/2023 numac 2023042056 source service public federal affaires etrangeres, commerce exterieur et cooperation au developpement Loi portant modificatio de la loi du 11 décembre 1998, relative à la classification et aux habilitations, attestations et avis de sécurité fermer ; l'article 1octies, § 2, inséré par la loi du 7 avril 2023Documents pertinents retrouvés type loi prom. 07/04/2023 pub. 09/06/2023 numac 2023042056 source service public federal affaires etrangeres, commerce exterieur et cooperation au developpement Loi portant modificatio de la loi du 11 décembre 1998, relative à la classification et aux habilitations, attestations et avis de sécurité fermer ; l'article 4, alinéa 6, modifié par la loi du 7 avril 2023Documents pertinents retrouvés type loi prom. 07/04/2023 pub. 09/06/2023 numac 2023042056 source service public federal affaires etrangeres, commerce exterieur et cooperation au developpement Loi portant modificatio de la loi du 11 décembre 1998, relative à la classification et aux habilitations, attestations et avis de sécurité fermer ; l'article 6, alinéa 2 ; l'article 7, § 1er, alinéas 1er et 2 et § 6, deuxième alinéa, modifié par la loi du 7 avril 2023Documents pertinents retrouvés type loi prom. 07/04/2023 pub. 09/06/2023 numac 2023042056 source service public federal affaires etrangeres, commerce exterieur et cooperation au developpement Loi portant modificatio de la loi du 11 décembre 1998, relative à la classification et aux habilitations, attestations et avis de sécurité fermer ; l'article 8, § 2, alinéa 2, modifié par la loi du 7 avril 2023Documents pertinents retrouvés type loi prom. 07/04/2023 pub. 09/06/2023 numac 2023042056 source service public federal affaires etrangeres, commerce exterieur et cooperation au developpement Loi portant modificatio de la loi du 11 décembre 1998, relative à la classification et aux habilitations, attestations et avis de sécurité fermer ; l'article 12, alinéa 2 ; l'article 17, alinéas 1er, 2 et 4, modifié par la loi du 23 février 2018Documents pertinents retrouvés type loi prom. 23/02/2018 pub. 01/06/2018 numac 2018031156 source service public federal affaires etrangeres, commerce exterieur et cooperation au developpement Loi portant modification de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité fermer et l'article 22, alinéas 1er et 3 ;

Vu l'arrêté royal du 24 mars 2000 portant exécution de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer relative à la classification, aux habilitations de sécurité, attestations de sécurité et avis de sécurité ;

Vu l'avis de l'Inspection des Finances émis le 17 mars 2024 ;

Vu l'accord du Secrétaire d'Etat au Budget du 27 mars 2024 ;

Vu l'avis n° 008/CPR-ACC/2024 du Comité permanent de contrôle des services de renseignement et de sécurité émis le 22 juillet 2024 ;

Vu l'avis positif du Conseil national de Sécurité du 24 avril 2024 ;

Vu la communication de l'Organe de contrôle de l'information policière du 4 juin 2024, à la demande d'avis du 16 mai 2024, selon laquelle il ne donne pas d'avis sur le projet d'arrêté royal pour défaut de compétence ;

Vu l'avis du Collège des procureurs généraux près les cours d'appel, émis le 31 juillet 2024 ;

Vu la dispense d'analyse d'impact sur la base de l'article 8, § 2, 1° de la loi du 15 décembre 2013Documents pertinents retrouvés type loi prom. 15/12/2013 pub. 31/12/2013 numac 2013021138 source service public federal chancellerie du premier ministre Loi portant des dispositions diverses concernant la simplification administrative fermer portant des dispositions diverses concernant la simplification administrative ;

Vu l'avis n° 76.465/2 du Conseil d'Etat émis le 9 juillet 2024, en application de l'article 84, § 1er, alinéa 1er, 2°, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973 ;

Considérant que cet arrêté royal relève des affaires courantes car il s'agit d'une affaire qui n'exige aucune initiative nouvelle de la part du Gouvernement et pour laquelle la continuité du pouvoir impose l'intervention du Pouvoir exécutif sous peine de créer une carence préjudiciable aux citoyens, telles que définies par la circulaire relative aux Affaires courantes du 27 mai 2024, adressée par le Premier Ministre aux Membres du Gouvernement ;

Sur la proposition de Notre Premier Ministre, du Ministre de la Justice, du Ministre de l'Intérieur, du Ministre de la Défense et de l'avis des ministres qui en ont délibéré en Conseil,

Nous avons arrêté et arrêtons : TITRE I. - Définitions

Article 1er.Pour l'application du présent arrêté, l'on entend par : 1° « la loi » : la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer relative à la classification, aux habilitations de sécurité, aux avis de sécurité et au service public réglementé ;2° « fonctionnaire dirigeant » : la personne à laquelle est confiée, par nomination définitive ou par mandat, la direction d'une administration publique, d'un organisme d'intérêt public ou d'une entreprise publique autonome ou son remplaçant ;3° « compromission » : la situation dans laquelle des informations classifiées, à la suite d'une négligence, d'une brèche de sécurité ou d'une activité nuisible, ont perdu leur confidentialité, intégrité ou disponibilité, ou dans laquelle des services et moyens d'appui ont perdu leur intégrité ou disponibilité, en ce compris la perte, la divulgation à des personnes non autorisées, la modification non autorisée, la destruction d'une manière non autorisée ou le déni de service ;4° « incident de sécurité » : un acte ou une omission, intentionnel ou non, contraire aux dispositions d'un accord international, de la réglementation de l'Union européenne, de la loi, du présent arrêté et des directives de l'Autorité nationale de Sécurité dans ce domaine, par laquelle des informations classifiées ou des services et moyens d'appui sont effectivement ou potentiellement mis en péril ;5° « Autorité nationale de Sécurité » : l'autorité visée à l'article 1ter de la loi ;6° « Conseil national de Sécurité » : l'organe politique stratégique et de coordination créée par l'arrêté royal du 28 janvier 2015 portant création du Conseil national de sécurité, du Comité stratégique du renseignement et de la sécurité et du Comité de coordination du renseignement et de la sécurité ;7° « sécurité industrielle » : l'application de mesures de protection en vue de prévenir, de détecter et de réparer la compromission d'informations classifiées lors des négociations précontractuelles et durant l'exécution d'un marché public ;8° « titulaire » : une personne physique ou morale habilitée conformément au titre III, chapitre 5 du présent arrêté qui, sur base d'un besoin d'en connaître avéré, est en possession d'informations classifiées et à laquelle il incombe par conséquent d'en assurer la protection, conformément à la loi, au présent arrêté et aux directives de l'Autorité nationale de Sécurité ;9° « porteur » : toute personne chargée de transporter des informations classifiées et en possession d'une habilitation de sécurité valable d'un niveau au moins équivalent à celui des informations transportées, mais qui n'a pas qualité pour prendre connaissance de leur contenu ;10° « organes » : tous les membres de l'organe d'administration, de la gestion journalière et toutes les autres personnes qui détiennent le pouvoir de gérer effectivement la personne morale, à savoir administrateurs, membres du conseil de surveillance, membres du conseil de direction, représentants permanents, personnes chargées de la gestion journalière et dirigeants de fait ;11° « préposés » : toutes les personnes qui, dans le cadre d'une convention, à titre onéreux ou non, exécutent un rôle ou une tâche sous la direction et le contrôle d'une autre personne ;12° « personne morale » : toute personne morale qui n'est pas une entité de droit public belge ;13° « personne de contact pour la sécurité » : le fonctionnaire, le membre du personnel ou la personne contractuellement liée à l'entité, disposant de la nationalité belge et d'un avis de sécurité positif tel que défini à l'article 24 de la loi qui, dans une administration publique, un organisme d'intérêt public, une entreprise publique autonome ou une personne morale sans habilitation de sécurité, est désigné par le ministre ou son délégué, ou, à défaut de tutelle d'un ministre, le chef de cette administration publique, de cet organisme d'intérêt public ou de cette entreprise publique autonome, ou par l'organe d'administration de cette personne morale pour veiller à l'observation des règles de sécurité relatives à l'utilisation d'informations classifiées de niveau « RESTREINT » ;14° « entité » : une organisation, avec ou sans responsabilité juridique, qui exerce une ou plusieurs activités spécifiques nécessitant l'utilisation d'informations classifiées ;15° « autorité fonctionnelle d'un système de communication et d'information » : la personne ou l'entité responsable de l'élaboration, du développement, de l'entretien et/ou du fonctionnement d'un système de communication et d'information qui apporte un appui à un ou plusieurs processus. TITRE II. - ROLES ET RESPONSABILITES CHAPITRE 1. - L'OFFICIER DE SéCURITé

Art. 2.En application de l'article 1bis, 15°, a) de la loi, les membres du Gouvernement fédéral et des gouvernements des entités fédérées désignent, dans la mesure où ils souhaitent utiliser des informations classifiées, un officier de sécurité au sein de leur cellule stratégique et au moins un officier de sécurité au sein de chaque administration publique relevant de leur autorité, dans laquelle des informations classifiées de niveau « CONFIDENTIEL » ou supérieur sont utilisées.

L'officier de sécurité est, si possible, remplacé par la personne dont le nom a été communiqué à l'autorité qui a désigné l'officier de sécurité, tel que visé à l'alinéa 1er. Les conditions d'accès à ce remplacement sont les mêmes que celles exigées pour la fonction d'officier de sécurité déterminées par la loi et le présent arrêté.

Art. 3.Seules les personnes qui possèdent la nationalité belge peuvent exercer la fonction d'officier de sécurité.

Art. 4.L'Autorité nationale de Sécurité fixe les modalités du contrôle de l'exécution des missions de l'officier de sécurité. CHAPITRE 2. - LA PERSONNE DE CONTACT POUR LA SéCURITé

Art. 5.En ce qui concerne l'utilisation d'informations classifiées de niveau « RESTREINT », la personne de contact pour la sécurité : 1° est le point de contact permanent pour l'Autorité nationale de Sécurité et les autorités de sécurité visées à l'article 1quinquies de la loi, représente auprès de celles-ci la personne morale pour ce qui concerne tous les aspects de sécurité et est compétente pour prendre les mesures et décisions requises ;2° est chargée de contrôler la conformité de la sécurité des informations classifiées susmentionnées, conformément aux mesures de protection décrites dans la loi, le présent arrêté et les directives de l'Autorité nationale de Sécurité ;3° est chargée de prêter son concours lors des contrôles, des audits et des enquêtes effectués par l'Autorité nationale de Sécurité et les autorités de sécurité visées à l'article 1quinquies de la loi;4° est responsable des signalements et des enquêtes administratives internes relatifs aux incidents de sécurité et compromissions, ainsi que de prendre des mesures à cet égard, conformément aux instructions de l'autorité de sécurité compétente ;5° est chargée de rappeler régulièrement au personnel devant avoir accès aux informations classifiées de niveau « RESTREINT », les restrictions en matière d'utilisation des informations classifiées de niveau « RESTREINT » et les mesures de protection en vigueur.

Art. 6.La personne de contact pour la sécurité : 1° a pris connaissance des mesures de protection relatives aux informations classifiées de niveau « RESTREINT » ;2° confirme par écrit à l'Autorité nationale de Sécurité selon le modèle établi par l'Autorité nationale de Sécurité, avoir entièrement compris les responsabilités et les mesures de protection imposées.

Art. 7.Si un officier de sécurité a déjà été désigné au sein de l'entité visée à l'article 1er, 14°, aucune personne de contact pour la sécurité n'est désignée.

L'officier de sécurité exerce dans ce cas les missions de la personne de contact pour la sécurité, sans devoir être en possession d'un avis de sécurité positif, tel que visé à l'article 24 de la loi.

Art. 8.L'Autorité nationale de Sécurité fixe les modalités du contrôle de l'exécution des missions de la personne de contact pour la sécurité et peut déterminer des modalités complémentaires de désignation. CHAPITRE 3. - L'AUTORITé FONCTIONNELLE D'UN SYSTEME DE COMMUNICATION ET D'INFORMATION

Art. 9.L'autorité fonctionnelle d'un système de communication et d'information, telle que visée au titre III, chapitre 3 du présent arrêté : 1° prend contact, dans le cadre d'un projet d'approbation d'un système de communication et d'information, avec l'Autorité nationale de Sécurité afin de fixer les normes et exigences de sécurité pertinentes et de démarrer le processus d'approbation, en coopération avec l'officier de sécurité ou la personne de contact pour la sécurité ;2° veille à ce que les mesures de sécurité répondent aux exigences de la loi, du présent arrêté et des directives de l'Autorité nationale de Sécurité et à ce que le système de communication et d'information ne traite aucune information classifiée avant approbation ;3° évalue au moins une fois par an les mesures de protection mises en place dans un système de communication et d'information, en ce compris le plan de sécurité, et transmet cette évaluation à l'Autorité nationale de Sécurité, après avoir informé l'officier de sécurité ou la personne de contact pour la sécurité ;4° consulte et tient informé l'officier de sécurité ou la personne de contact pour la sécurité sur des questions en lien avec la sécurité du système de communication et d'information ;5° signale toute modification prévue du système de communication et d'information à l'Autorité nationale de Sécurité au moyen d'une déclaration de conformité, après avoir informé l'officier de sécurité ou la personne de contact pour la sécurité ;6° avertit l'officier de sécurité ou la personne de contact pour la sécurité en cas d'incident de sécurité dans le système de communication et d'information indiquant que celui-ci ne peut plus protéger les informations classifiées de manière adéquate ;7° prend, après consultation de l'officier de sécurité ou la personne de contact pour la sécurité, contact avec l'Autorité nationale de Sécurité, pour avis concernant l'approche à suivre, dans les 24h qui suivent un incident de sécurité ou la prise de connaissance d'informations dont il ressort que le système de communication et d'information n'est (en partie) plus apte à protéger adéquatement les informations classifiées ;8° prête à tout moment son concours à l'Autorité nationale de Sécurité pour effectuer les tâches relatives à l'approbation et au contrôle du système de communication et d'information qui incombent à cette instance ;9° prévoit les sensibilisations et formations nécessaires pour ses préposés. TITRE III. - Informations classifiées CHAPITRE 1. - Mesures de protection applicables lors de la classification et de la gestion d'informations classifiées Section 1re. - Disposition générale

Art. 10.Les règles relatives à la procédure pour la classification, la modification du niveau de classification et la déclassification et aux mesures de protection inhérentes à la classification, contenues dans le présent arrêté, ne portent pas préjudice à la faculté de chaque ministre et du chef du Service Général du Renseignement et de la Sécurité des Forces armées en ce qui concerne la Défense, de prescrire des règles complémentaires d'ordre technique. Section 2. - Personnes et autorités compétentes pour la

classification, la modification du niveau de classification et la déclassification

Art. 11.Les personnes ou autorités, générant des informations classifiées sous l'autorité ou à l'instruction d'une autorité administrative, ainsi que le procureur fédéral et les magistrats qu'il délègue à cette fin et le procureur général qui représente le Collège des procureurs généraux dans le Comité de coordination du renseignement et de la sécurité, doivent être titulaires d'une habilitation de sécurité de niveau « SECRET » au minimum afin de procéder, conformément aux dispositions du présent arrêté et aux directives de l'Autorité nationale de Sécurité, à : 1° la classification;2° la modification du niveau de classification;3° la déclassification. Les personnes ou personnes morales visées au premier alinéa attribuent un niveau de classification tel que défini à l'article 4 de la loi, sans toutefois attribuer un niveau de classification supérieur au niveau de l'habilitation de sécurité dont elles sont titulaires.

Art. 12.Seules les personnes suivantes, dans la mesure où celles-ci possèdent une habilitation de sécurité du niveau de classification correspondante, sont habilitées à classifier, modifier ou déclassifier un niveau de classification « TRES SECRET » : 1° les membres permanents du Comité de coordination du renseignement et de la sécurité ;2° le chef de la Défense et les officiers et fonctionnaires civils qu'il délègue à cette fin, qui sont au moins de niveau A, ainsi que les attachés de la Défense ;3° le chef du Service général du Renseignement et de la Sécurité des Forces armées et les agents qu'il délègue à cette fin ;4° l'administrateur général de la Sûreté de l'Etat et les agents qu'il délègue à cet effet ;5° le commissaire général de la Police fédérale et les membres qu'il délègue à cet effet ;6° le directeur général de l'Agence fédérale de Contrôle nucléaire ;7° le secrétaire du Conseil des Ministres ;8° la personne qui assure le secrétariat du Conseil national de Sécurité ;9° le Président du Comité de Direction du Service public fédéral Affaires étrangères, Commerce extérieur et Coopération au Développement, les membres qu'il délègue à cet effet et les chefs des missions diplomatiques ou des postes consulaires ;10° les fonctionnaires dirigeants désignés par le Conseil national de Sécurité ;11° le procureur fédéral et les magistrats qu'il délègue à cet effet ;12° le directeur et les membres de l'Organe de Coordination pour l'Analyse de la Menace compétents, désignés par celui-ci ;13° le Comité permanent R, le chef de son Service d'Enquêtes, son greffier et le personnel ou les membres du personnel ou membres du Service d'Enquêtes de niveau A désignés à cet effet par le Comité. Section 3. - Gestion des informations classifiées

Sous-section 1. - Disposition générale

Art. 13.L'Autorité nationale de Sécurité peut déterminer des mesures supplémentaires de nature administrative et technique pour la gestion des informations classifiées.

Sous-section 2. - Marquages

Art. 14.Les autorités et personnes compétentes pour classifier, modifier le niveau de classification ou déclassifier veillent à ce que les informations classifiées soient marquées conformément aux dispositions du présent arrêté et à ce que ces marquages soient clairement visibles.

Une modification d'un niveau de classification ou une déclassification est également clairement marquée sur les informations classifiées.

Art. 15.Le niveau de classification d'informations classifiées ne peut être ni modifié ni déclassifié sans l'autorisation écrite de l'autorité d'origine, de même que les marquages visés aux articles 16, 17, 18 et 20 ne peuvent pas être modifiés ou supprimés.

Art. 16.L'autorité ou la personne compétente indique clairement et correctement le niveau de classification sur les informations classifiées, conformément aux alinéas 2 et 3, et les éventuelles restrictions de diffusion conformément à l'article 18.

Chaque page d'un document classifié est numérotée et marquée du niveau de classification attribué au document et porte la mention « TRES SECRET », « SECRET », « CONFIDENTIEL » ou « RESTREINT », ou la mention « ZEER GEHEIM », « GEHEIM », « VERTROUWELIJK » ou « BEPERKT », selon que le document est rédigé en français ou en néerlandais.

La mention visée à l'alinéa 2 doit être suivie de la mention « (Wet 11.12.1998) » ou de la mention « (Loi 11.12.1998) », selon que le document est rédigé en néerlandais ou en français.

Si le document est rédigé dans une langue autre que le néerlandais ou le français, le marquage en néerlandais ou en français doit être complété par son équivalent international en langue anglaise repris dans le tableau comparatif de l'annexe 1.

A défaut d'un marquage adéquat et complet, conformément aux alinéas 1er à 4 ainsi qu'à l'article 20, le titulaire du document prend contact par écrit avec l'autorité ou la personne compétente pour demander une correction.

A défaut d'une correction, le document en question sera considéré comme non-classifié.

Art. 17.Des parties distinctes d'un même document peuvent requérir des niveaux de classification différents et être marquées en conséquence, y compris si elles sont traitées sous forme électronique.

Art. 18.Il est possible d'apposer des marquages supplémentaires, tels que : 1° des restrictions d'utilisation ou d'accès;2° la date ou l'évènement spécifique au-delà duquel le niveau de classification sera revu ou abrogé.

Art. 19.§ 1er. Les informations classifiées échangées dans le cadre de conventions ou de traités internationaux qui lient la Belgique, sont protégées par le niveau de classification belge correspondant, mentionné dans le tableau comparatif de l'annexe 1. § 2. Sous réserve des conventions et traités internationaux visés au paragraphe 1er, les informations classifiées échangées dans un cadre international par le Service général du Renseignement et de la Sécurité des Forces armées, le Ministère de la Défense ou par d'autres services publics fédéraux sont, pour ce qui concerne ces services, protégées par le niveau de classification belge correspondant comme déterminé dans les accords conclus à cet effet. § 3. Le cas échéant, le niveau de classification belge correspondant ainsi que des marquages supplémentaires seront apposés sur ces informations classifiées.

Sous-section 3. - Déclassification du niveau de classification « RESTREINT »

Art. 20.Les informations classifiées au niveau de classification « RESTREINT » indiqueront une date de finalisation et resteront classifiées pendant maximum dix ans après cette date, à moins qu'une date ne soit expressément indiquée sous la mention « RESTREINT » à partir de laquelle ces informations sont automatiquement déclassifiées. Cette dernière date ne peut pas dépasser dix ans après la date de finalisation de l'information classifiée au niveau « RESTREINT ».

L'article 7, § 5, de la loi s'applique aux informations classifiées de niveau « RESTREINT » émanant d'une autorité d'origine étrangère ou supranationale ainsi qu'aux informations classifiées mixtes.

Sous-section 4. - Classification ou déclassification collectives

Art. 21.Des pièces existantes peuvent faire l'objet d'une classification ou déclassification collectives suite à la décision expresse de l'autorité d'origine.

La classification ou la déclassification collectives consistent à attribuer ou à abroger un degré de classification général à un ensemble de documents, à un fichier ou à un ensemble de dossiers identifiables par sujet, sur quelque support que ce soit, sans procéder à la classification ou à la déclassification détaillées pour chaque document, fiche ou dossier.

Les dispositions de la sous-section 2 ne s'appliquent pas aux documents classifiés en vertu des alinéas 1er et 2.

Sous-section 5. - Enregistrement

Art. 22.L'enregistrement indique sans équivoque le titulaire clairement identifié auquel les informations classifiées sont attribuées.

Art. 23.Par dérogation à l'article 22, les informations classifiées de niveau « RESTREINT » ne sont pas enregistrées. Par la seule prise de connaissance de ces informations, le titulaire assume la responsabilité de la protection de ces informations classifiées, conformément à la loi, au présent arrêté et aux directives de l'Autorité nationale de Sécurité, après avoir été informé par l'autorité d'origine des restrictions d'utilisation des informations classifiées de niveau « RESTREINT » et des mesures de protection applicables.

Lorsqu'elles entrent dans l'entité ou sortent de cette entité, les informations classifiées de niveau « CONFIDENTIEL » ou « SECRET » sont toujours enregistrées dans un registre spécialement prévu à cet effet.

Les informations classifiées de niveau « TRES SECRET » sont toujours enregistrées dans un registre spécialement prévu à cet effet, distinct du registre visé à l'alinéa 2.

Les informations classifiées de niveau « CONFIDENTIEL » qui sont imprimées par un membre du personnel de l'entité et qui ne sortent pas de l'entité, ne sont pas enregistrées.

Les projets de textes, les documents de travail et les impressions personnelles d'informations classifiées de niveau « SECRET », s'ils ne sortent pas de l'entité, ne doivent pas être enregistrés pendant 5 jours ouvrables. Une fois que ce délai de 5 jours ouvrables à compter de l'impression du document est écoulé, il convient de les détruire ou de les enregistrer.

Les registres non-électroniques visés aux alinéas 2 et 3 peuvent aussi être tenus sous une forme électronique qui remplit les conditions relatives au niveau de classification « CONFIDENTIEL » au moins, conformément à la loi, au présent arrêté et aux directives de l'Autorité nationale de Sécurité.

Art. 24.L'utilisation d'informations classifiées dans un système de communication et d'information approuvé doit être enregistrée au moyen de processus internes à ce système de communication et d'information.

Art. 25.Les titulaires des informations classifiées de niveau « SECRET » ou « TRES SECRET » en connaissent la localisation.

Sous-section 6. - Reproduction et traduction

Art. 26.La reproduction ou la traduction, partielle ou complète, d'une pièce classifiée « TRES SECRET » ne peut avoir lieu sans l'accord écrit préalable exprès de l'autorité d'origine.

Art. 27.Lorsque l'autorité d'origine de documents classifiés du niveau « SECRET » ou inférieur n'a pas imposé de restrictions à leur reproduction ou à leur traduction, lesdits documents peuvent être reproduits ou traduits sur instruction du titulaire.

Art. 28.Les mesures de protection applicables au document original le sont aussi à ses reproductions et à ses traductions.

Sous-section 7. - Transmission et transport

Art. 29.L'information classifiée doit être transmise selon les modalités suivantes : 1° par porteur, sous double enveloppe fermée, le niveau de classification ne figurant que sur l'enveloppe intérieure ;ou 2° par voie électronique, sous la protection de systèmes approuvés par l'Autorité nationale de Sécurité et conformément aux mesures de protection applicables au niveau de classification correspondant aux informations classifiées. L'Autorité nationale de Sécurité fixe les conditions supplémentaires de nature administrative et technique que cette double enveloppe fermée et ce porteur doivent remplir.

Art. 30.Les informations classifiées de niveau « RESTREINT » peuvent également être envoyées par pli recommandé à la poste, avec accusé de réception, sous double enveloppe fermée. Le niveau de classification ne peut figurer que sur l'enveloppe intérieure.

Art. 31.Les informations classifiées peuvent être transmises sur des supports électroniques conformément à la politique de sécurité de l'Autorité nationale de Sécurité.

Art. 32.Pour la circulation interne d'informations classifiées de niveau « CONFIDENTIEL » ou supérieur au sein d'une entité, celles-ci sont portées sous pli fermé par porteur ou par son titulaire.

L'entité au sein de laquelle circule des informations classifiées de niveau « RESTREINT » est responsable de la mise en place de toutes les mesures de sécurité possibles afin d'en empêcher la consultation inappropriée.

Les informations classifiées peuvent être transportées au sein de l'entité par le titulaire, à la condition que toutes les mesures de sécurité possibles afin d'en empêcher la consultation inappropriée soient effectivement mises en place.

Sous-section 8. - Destruction

Art. 33.Les dispositions de la présente sous-section sont applicables sans préjudice : 1° de l'article 25 de la loi ;2° des articles 21 et 21/1 de la loi du 30 novembre 1998Documents pertinents retrouvés type loi prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 source ministere de la defense nationale Loi organique des services de renseignement et de sécurité type loi prom. 30/11/1998 pub. 02/02/1999 numac 1998003675 source ministere des finances Loi contenant le onzième ajustement du budget générale des dépenses de l'année budgétaire 1998, Section 12, Ministère de la Justice fermer organique des services de renseignement et de sécurité ;3° de l'article 5 de la loi du 24 juin 1955Documents pertinents retrouvés type loi prom. 24/06/1955 pub. 31/12/2010 numac 2010000717 source service public federal interieur Loi relative aux archives fermer relative aux archives ; et, 4° des articles 132 à 137 de la loi du 30 juillet 2018Documents pertinents retrouvés type loi prom. 30/07/2018 pub. 05/09/2018 numac 2018040581 source service public federal justice, service public federal interieur et ministere de la defense Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel fermer relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel. Le titulaire et l'autorité d'origine d'informations classifiées vérifient régulièrement si la détention des informations classifiées ou de leurs copies présente toujours une utilité et s'il n'y a pas lieu de procéder à leur destruction.

Art. 34.Le titulaire d'informations classifiées de niveau « TRES SECRET » ne procède jamais à leur destruction, mais les retourne toujours à leur autorité d'origine.

L'autorité d'origine dresse un procès-verbal de la destruction et de son objet. Ce procès-verbal est signé par ceux qui ont détruit les informations et l'officier de sécurité.

Art. 35.Les informations classifiées de niveau « SECRET » ou inférieur, ainsi que leurs copies, peuvent être détruites par l'autorité d'origine, le titulaire ou l'officier de sécurité du titulaire ou, le cas échéant, par la personne de contact pour la sécurité en cas d'informations classifiées, ou de copies, de niveau « RESTREINT ».

Cette autorité d'origine, ce titulaire ou officier de sécurité enregistre la destruction d'informations classifiées de niveau « CONFIDENTIEL » ou « SECRET » dans le registre visé à l'article 23.

Sous-section 9. - Incidents de sécurité et compromission

Art. 36.En cas d'incident de sécurité concernant des informations classifiées, l'officier de sécurité ou, le cas échéant, la personne de contact pour la sécurité des informations classifiées concernées en sont immédiatement avertis.

L'officier de sécurité ou, le cas échéant, la personne de contact pour la sécurité procède à une enquête administrative interne et avertit simultanément la personne qui dirige l'administration, la cellule stratégique, le service, l'organisme ou l'entreprise où il est désigné, ainsi que l'Autorité nationale de Sécurité.

Si nécessaire, l'Autorité nationale de Sécurité informe l'autorité d'origine des informations classifiées.

Art. 37.L'officier de sécurité signale une compromission d'informations classifiées de niveau « CONFIDENTIEL » ou supérieur à l'Autorité nationale de Sécurité immédiatement, qui en informe l'autorité d'origine.

En cas d'incident de sécurité ou de compromission dont la survenance est due à l'officier de sécurité ou à la personne de contact pour la sécurité, la direction de l'entité à laquelle appartient l'officier de sécurité ou la personne de contact pour la sécurité est tenue d'en informer l'Autorité nationale de Sécurité immédiatement après en avoir pris connaissance.

Art. 38.L'officier de sécurité ou, le cas échéant, la personne de contact pour la sécurité transmet chaque année, avant le 15 mars, un aperçu des incidents de sécurité et des compromissions au cours de l'année précédente à l'Autorité nationale de Sécurité. CHAPITRE 2. - Mesures de protection physique Section 1. - Dispositions générales

Art. 39.L'Autorité nationale de Sécurité détermine les mesures de protection physique minimales supplémentaires de nature administrative et technique pour l'utilisation d'informations classifiées au sein et en dehors des zones visées à l'article 42.

Art. 40.Les mesures de protection physique visent à prévenir l'utilisation inappropriée d'informations classifiées en : 1° garantissant que les informations classifiées sont traitées et stockées conformément à la loi, au présent arrêté et aux directives de l'Autorité nationale de Sécurité ;2° permettant d'établir une distinction entre les membres du personnel au regard de l'accès aux informations classifiées sur la base de leur besoin d'en connaître et, le cas échéant, de leur niveau d'habilitation de sécurité ;3° dissuadant, en empêchant et en détectant les actes non autorisés ;4° empêchant ou en retardant toute intrusion par la ruse ou par la force.

Art. 41.Les informations classifiées de niveau « TRES SECRET » ne peuvent être consultées que dans la zone sécurisée, telle que visée à l'article 42, 2°.

Les informations classifiées de niveau « CONFIDENTIEL » ou « SECRET » ne peuvent être consultées en dehors des zones visées à l'article 42.

En cas de consultation d'informations classifiées dans la zone administrative, telle que visée à l'article 42, 1°, il est strictement nécessaire que toutes les précautions possibles soient prises afin d'écarter tout risque de consultation ou d'écoute inappropriée.

Les informations classifiées de niveau « RESTREINT » peuvent être consultées en dehors des zones visées à l'article 42, si et seulement si toutes les précautions nécessaires ont été prises afin d'écarter tout risque de consultation ou d'écoute inappropriée. Section 2. - Zones administratives et sécurisées

Art. 42.Sans préjudice de l'article 39, deux types de zones physiquement protégées sont créés, afin de protéger physiquement les informations classifiées, au sein d'une installation physique: 1° la zone administrative ;et 2° la zone sécurisée.

Art. 43.Les zones administratives doivent au moins répondre aux conditions suivantes : 1° un périmètre défini est établi de façon visible afin de permettre le contrôle des personnes et, dans la mesure du possible, des véhicules ;2° seules les personnes qui y ont été spécifiquement autorisées par le chef de l'entité ou son remplaçant en vue d'accomplir un rôle ou une tâche spécifique peuvent pénétrer dans cette zone sans être escortées par une personne habilitée;3° si le chef de l'entité ou son remplaçant autorise d'autres personnes à pénétrer dans cette zone, celles-ci sont toujours escortées par une personne habilitée.

Art. 44.§ 1er. Les zones sécurisées doivent au moins répondre aux conditions suivantes : 1° un périmètre défini et protégé est établi de façon visible avec un système de contrôle d'accès ;2° sans préjudice des compétences propres des autorités judiciaires, seules les personnes titulaires d'une habilitation de sécurité conforme et qui ont été spécifiquement autorisées par le chef de l'entité ou son remplaçant à pénétrer dans la zone sur la base de leur besoin d'en connaître ou afin d'y accomplir un rôle ou une tâche spécifique, peuvent accéder à cette zone sans être escortées par une personne habilitée ;3° les personnes qui ne sont pas titulaires d'une habilitation de sécurité conforme, et qui n'ont pas été spécifiquement autorisées par le chef de l'entité ou son remplaçant à pénétrer dans la zone sur la base de leur besoin d'en connaître ou en vue d'y accomplir un rôle ou une tâche spécifique, sont toujours escortées par une personne habilitée ;4° les visiteurs sont enregistrés dans un registre des visites. § 2. Les autorités d'origine visées à l'article 12 sont habilitées, en collaboration avec leur officier de sécurité, à établir des zones sécurisées.

Art. 45.Si l'officier de sécurité estime que l'installation physique répond aux exigences pour être approuvée à partir du niveau de classification « CONFIDENTIEL », il envoie une déclaration de conformité à l'Autorité nationale de Sécurité.

Art. 46.L'Autorité nationale de Sécurité vérifie la déclaration de conformité et peut effectuer une enquête de terrain à cet effet.

Art. 47.§ 1er. L'Autorité nationale de Sécurité notifie sa décision concernant l'approbation de l'installation physique à partir du niveau de classification « CONFIDENTIEL » à l'officier de sécurité. § 2. La décision d'approbation de l'installation physique a une durée de validité de cinq ans au maximum.

Une demande de renouvellement de cette décision peut être introduite entre le troisième et le sixième mois avant la date d'expiration de sa validité par l'officier de sécurité auprès de l'Autorité nationale de Sécurité, conformément à l'article 45. § 3. En l'absence de décision définitive de l'Autorité nationale de Sécurité dans le cas du paragraphe 2, alinéa 2, l'Autorité nationale de Sécurité accorde une approbation à titre provisoire de sorte que l'installation physique concernée puisse continuer à être utilisée dans l'attente d'une décision définitive de l'Autorité nationale de Sécurité.

Art. 48.Tout changement apporté à l'installation physique doit être immédiatement signalé à l'Autorité nationale de Sécurité.

L'Autorité nationale de Sécurité vérifie le changement et, si elle l'estime nécessaire, peut procéder à une nouvelle enquête de terrain.

L'Autorité nationale de Sécurité notifie à l'officier de sécurité sa décision d'approbation de l'installation physique. CHAPITRE 3. - Mesures de protection des systèmes de communication et d'information pour les informations classifiées

Art. 49.L'Autorité nationale de Sécurité détermine les mesures de protection minimales supplémentaires de nature administrative et technique des systèmes de communication et d'information pour les informations classifiées.

Art. 50.Sans préjudice du chapitre 4 du titre III, l'officier de sécurité ou la personne de contact pour la sécurité évalue si un système de communication et d'information offre les garanties suffisantes, définies à l'article 8, § 4, alinéa 2, de la loi, pour utiliser des informations classifiées.

Si l'officier de sécurité ou la personne de contact pour la sécurité estime que le système de communication et d'information répond aux exigences pour utiliser des informations classifiées, il envoie une déclaration de conformité, attestant que les garanties sont remplies, ainsi que la documentation nécessaire à l'Autorité nationale de Sécurité.

Cette déclaration de conformité est signée tant par l'autorité fonctionnelle du système de communication et d'information que par l'officier de sécurité ou la personne de contact pour la sécurité.

Art. 51.L'Autorité nationale de Sécurité vérifie la déclaration de conformité. A cet effet, l'Autorité nationale de Sécurité peut utiliser la documentation technique ou, le cas échéant, demander une documentation technique supplémentaire.

Art. 52.Pour les systèmes de communication et d'information utilisant des informations classifiées de niveau « RESTREINT », l'Autorité nationale de Sécurité peut demander à l'entité de soumettre le système de sécurité concerné à des tests de sécurité afin de vérifier que les garanties suffisantes sont atteintes en termes de confidentialité, d'intégrité, de disponibilité, d'authenticité et de non-répudiation de ces systèmes et des informations qu'ils contiennent. De surcroît, l'Autorité nationale de Sécurité peut vérifier que les mesures techniques et non techniques sont correctement implémentées, intégrées et configurées.

Pour les systèmes de communication et d'information utilisant des informations classifiées de niveau « CONFIDENTIEL » ou supérieur, l'Autorité nationale de Sécurité demande à l'entité de soumettre le système concerné à des tests de sécurité afin de vérifier que les garanties suffisantes sont atteintes en termes de confidentialité, d'intégrité, de disponibilité, d'authenticité et de non-répudiation de ces systèmes et des informations qu'ils contiennent. De surcroît, l'Autorité nationale de Sécurité vérifie que les mesures techniques et non techniques sont correctement implémentées, intégrées et configurées.

Art. 53.§ 1er. L'Autorité nationale de Sécurité notifie sa décision concernant l'approbation du système de communication et d'information à l'autorité fonctionnelle du système de communication et d'information et à l'officier de sécurité ou la personne de contact pour la sécurité. § 2. La décision d'approbation du système de communication et d'information dispose d'une durée de validité de trois ans au maximum.

Une demande de renouvellement de cette décision peut être introduite entre le sixième et le septième mois avant la date d'expiration de sa validité par l'officier de sécurité ou la personne de contact pour la sécurité auprès de l'Autorité nationale de Sécurité, conformément à l'article 50. § 3. En l'absence de décision définitive de l'Autorité nationale de Sécurité dans le cas du paragraphe 2, alinéa 2, l'Autorité nationale de Sécurité accorde une prolongation à titre provisoire de sorte que le système de communication et d'information concerné puisse continuer à être utilisé dans l'attente d'une décision définitive de l'Autorité nationale de Sécurité. CHAPITRE 4. - Mesures de protection relatives au matériel cryptographique destiné au traitement d'informations classifiées Section 1re. - Généralités

Art. 54.L'Autorité nationale de Sécurité fixe les exigences minimales administratives et techniques en termes d'évaluation, d'approbation, d'utilisation, y compris le compte cryptographique, de transport, de partage, de conservation, de gestion, y compris la production des clés cryptographiques, et de destruction du matériel cryptographique destiné au traitement des informations classifiées.

Art. 55.Seuls les produits cryptographiques approuvés par l'Autorité nationale de Sécurité peuvent être utilisés pour stocker, traiter et transmettre des informations classifiées.

Art. 56.L'Autorité nationale de Sécurité est l'unique point de contact entre les autorités fonctionnelles d'un système de communication et d'information et les titulaires de comptes cryptographiques de produits cryptographiques destinés au traitement d'informations classifiées, d'une part, et les autorités internationales, d'autre part. Section 2. - Procédure d'approbation de produits cryptographiques

Art. 57.Si l'autorité fonctionnelle d'un système de communication et d'information estime que le produit cryptographique offre les garanties suffisantes pour fournir des services de sécurité, tel que défini à l'article 8, § 4, alinéa 3 de la loi, il introduit une demande d'approbation auprès de l'Autorité nationale de Sécurité.

Art. 58.Le produit cryptographique est évalué par l'Autorité nationale de Sécurité ou à la demande de l'Autorité nationale de Sécurité par : 1° le Service général du Renseignement et de la Sécurité des Forces armées ;ou 2° un autre organisme conformément à la politique de sécurité de l'Autorité nationale de Sécurité. Les instances visées au premier alinéa dressent un rapport d'évaluation.

L'Autorité nationale de Sécurité apprécie le rapport d'évaluation.

Art. 59.Pour les produits cryptographiques utilisant des informations classifiées, l'Autorité nationale de Sécurité demande à l'autorité fonctionnelle d'un système de communication et d'information de soumettre le produit concerné à des tests de sécurité afin de vérifier qu'il offre les garanties suffisantes quant à la fourniture de services de sécurité, en particulier sur le plan de la confidentialité, de l'intégrité, de la disponibilité, de l'authenticité et de la non-répudiation.

Art. 60.L'Autorité nationale de Sécurité peut demander à un autre pays ou à une autre instance de procéder à une seconde évaluation.

Art. 61.Un produit cryptographique obtient l'approbation de l'Autorité nationale de Sécurité sur la base d'une évaluation satisfaisante des garanties quant à la fourniture de services de sécurité, en particulier sur le plan de la confidentialité, de l'intégrité, de la disponibilité, de l'authenticité et de la non-répudiation.

L'Autorité nationale de Sécurité notifie sa décision concernant l'approbation du produit cryptographique à l'autorité fonctionnelle d'un système de communication et d'information.

La décision d'approbation du produit cryptographique a une validité de trois ans au maximum. Une demande de prorogation de cette décision peut être introduite jusqu'à six mois avant la date d'expiration de sa validité.

Art. 62.L'Autorité nationale de Sécurité tient un registre des produits cryptographiques qu'elle a approuvés.

Art. 63.L'autorité fonctionnelle d'un système de communication et d'information procède au moins une fois par an à une analyse des menaces relatives aux éventuelles compromissions du produit cryptographique approuvé et la transmet à l'Autorité nationale de Sécurité. Section 3. - Gestion et distribution du matériel cryptographique

Art. 64.Une entité souhaitant utiliser du matériel cryptographique pour les informations classifiées doit être en possession d'un compte cryptographique délivrée par l'Autorité nationale de Sécurité et doit en outre appliquer les mesures de protection énoncées à l'article 7, § 1er de la loi.

Une demande de compte cryptographique doit être introduite auprès de l'Autorité nationale de Sécurité.

L'Autorité nationale de Sécurité fixe les conditions auxquelles un compte cryptographique doit répondre.

Art. 65.Le possesseur d'un compte cryptographique tient un registre du matériel cryptographique qu'il gère.

Art. 66.L'Autorité nationale de Sécurité tient un registre du matériel cryptographique qu'elle a distribué. Section 4. - Situations d'urgence

Art. 67.Les informations classifiées de niveau de classification « RESTREINT » ou « CONFIDENTIEL » peuvent être transmises au moyen d'un produit cryptographique approuvé pour un niveau de classification inférieur ou sans cryptage, lorsque les circonstances exceptionnelles suivantes se produisent simultanément : (a) une crise, un conflit ou une situation de guerre menace d'éclater ou a éclaté ;et (b) il est d'une importance capitale de recevoir les informations rapidement, le cryptage n'est pas disponible et l'on estime que les informations classifiées concernées arriveront trop tardivement pour neutraliser la menace.

Art. 68.Dans des circonstances exceptionnelles, lorsqu'il est capital d'agir rapidement, que le cryptage est indisponible et que l'on estime que les informations classifiées concernées arriveront trop tardivement pour neutraliser la menace, les informations de niveau « RESTREINT » peuvent être transmises sans avoir été cryptées.

Art. 69.Lorsque les articles 67 et 68 sont invoqués, l'officier de sécurité de l'entité qui a transmis les informations classifiées établit ensuite un rapport. Ce rapport est transmis à l'autorité d'origine. CHAPITRE 5. - Mesures de protection relatives aux personnes physiques ou morales Section 1re. - Habilitation de sécurité pour les personnes physiques

Sous-section 1. - Généralités

Art. 70.§ 1er. Les personnes de nationalité belge qui, dans les limites strictes d'un besoin d'en connaître, ont besoin d'accéder à des informations classifiées à partir du niveau « CONFIDENTIEL » peuvent se voir octroyer une habilitation de sécurité aux conditions prévues par la loi, le présent arrêté et la directive du Conseil national de sécurité, telles que mentionnées à l'article 18, alinéa 5 de la loi. § 2. Il en va de même pour les personnes de nationalité étrangère, à condition qu'il s'agisse de ressortissants d'un pays avec lequel la Belgique a conclu un accord en matière d'échange et de protection mutuelle d'informations classifiées, d'où il ressort que : 1° le service de renseignement et de sécurité belge compétent peut effectuer une enquête, conformément aux conditions prévues par la loi, le présent arrêté et la directive du Conseil national de Sécurité visée à l'article 18, alinéa 5 de la loi, ou que les autorités de sécurité visées à l'article 1quinquies de la loi peuvent, le cas échéant, octroyer une habilitation de sécurité ;ou 2° l'habilitation de sécurité étrangère peut être reconnue par l'Autorité nationale de Sécurité ou par les autorités de sécurités visées à l'article 1quinquies de la loi. § 3. Par dérogation au paragraphe 2, les ressortissants d'un Etat membre de l'Espace économique européen ou de la Confédération suisse qui, dans les limites strictes du besoin d'en connaître, doivent nécessairement avoir accès à des informations classifiées à partir du niveau de classification « CONFIDENTIEL », peuvent se voir délivrer une habilitation de sécurité par l'Autorité nationale de Sécurité ou l'une des autorités visées à l'article 1quinquies de la loi, si le service de renseignement et de sécurité belge compétent peut effectuer l'enquête de sécurité, conformément aux conditions prévues par la loi, le présent arrêté et la directive du Conseil national de Sécurité, telles que visées à l'article 18, alinéa 5 de la loi.

Sous-section 2. - Procédure de demande

Art. 71.§ 1er. Sans préjudice de l'article 93, la demande d'habilitation de sécurité, dûment motivée et signée par l'autorité ou la personne visée au § 2, est adressée, par l'intermédiaire de l'officier de sécurité, à l'Autorité nationale de Sécurité ou, le cas échéant, à l'une des autorités visées à l'article 1quinquies de la loi. § 2. Pour les membres de la cellule stratégique d'un ministre ou d'un secrétaire d'Etat, la demande est signée par le directeur de la cellule stratégique dont relève le membre de la cellule stratégique concerné.

Pour les membres du personnel des administrations publiques, des organismes d'intérêt public ou des entreprises publiques autonomes, la demande est signée par le fonctionnaire dirigeant dont dépend le membre du personnel concerné.

Au sein du Ministère de la Défense, la demande est signée par l'autorité investie des pouvoirs de chef de corps.

Pour les membres du personnel de la police fédérale, la demande est signée par le commissaire général, le directeur général ou par le directeur dont le membre du personnel relève, ou par la personne qu'ils délèguent à cette fin.

Pour les membres du personnel de la police locale, la demande est signée par le chef de corps ou par la personne qu'il délègue à cet effet.

Pour les organes et préposés des personnes morales autres que celles citées à l'alinéa 2, la demande est signée par la ou les personnes qui assurent la direction de la personne morale dûment habilitée.

Pour le travailleur indépendant sans personnalité juridique, qui travaille exclusivement pour un seul et même donneur d'ordre sur le lieu d'exploitation dans le cadre d'un marché classifié, la demande peut être signée par les personnes mentionnées aux alinéas 2 ou 6, même si ce travailleur indépendant ne relève pas de l'autorité du donneur d'ordre.

Pour un travailleur indépendant doté de la personnalité juridique, dont le siège social est situé en Belgique, qui travaille exclusivement pour un seul et même donneur d'ordre sur le lieu d'exploitation dans le cadre d'un marché public classifié, la demande peut être signée par les personnes mentionnées aux alinéas 2 ou 6, même si ce travailleur indépendant ne relève pas de l'autorité du donneur d'ordre.

Dans les autres cas, la demande est signée par l'autorité directement concernée ou par la personne qui requiert une habilitation de sécurité. § 3. Dès que la demande d'habilitation de sécurité est acceptée par l'Autorité nationale de Sécurité ou les autorités de sécurité visées à l'article 1quinquies de la loi, elle en informe l'officier de sécurité, par écrit, dans les plus brefs délais.

L'officier de sécurité transmet aux personnes qui requièrent une habilitation de sécurité les documents requis par l'article 17 de la loi.

Sous-section 3. - Appréciation de la recevabilité de la demande

Art. 72.L'officier de sécurité vérifie que l'ensemble des documents visés à l'article 17, alinéa 3, de la loi sont dûment complétés par les personnes qui requièrent une habilitation de sécurité.

Si des documents font défaut ou s'ils ne sont pas dûment complétés, l'officier de sécurité en informe les personnes qui requièrent une habilitation de sécurité et leur demande de transmettre les documents manquants ou de compléter les documents dans les plus brefs délais. Le délai de quinze jours visé à l'article 73 ne prend pas cours tant que les documents manquants ou complétés n'ont pas été envoyés à l'officier de sécurité.

Art. 73.Dès la réception des documents visés à l'article 17, alinéa 3, de la loi dûment complétés, l'officier de sécurité dispose d'un délai de quinze jours pour les transmettre à l'Autorité nationale de Sécurité ou aux autorités de sécurité visées à l'article 1quinquies de la loi.

Art. 74.L'Autorité nationale de Sécurité ou les autorités de sécurité visées à l'article 1quinquies de la loi vérifient que l'ensemble des documents visés à l'article 17, alinéa 3 de la loi ont été transmis et dûment complétés par les personnes qui requièrent une habilitation de sécurité.

Si des documents font défaut ou n'ont pas été dûment complétés ou si les motifs de la demande ne sont pas suffisamment précis, corrects ou convaincants, la demande est déclarée irrecevable. L'Autorité nationale de Sécurité ou les autorités de sécurité visées à l'article 1quinquies de la loi en informent l'officier de sécurité, qui à son tour avertit les personnes qui requièrent l'habilitation de sécurité.

Lorsque la demande est déclarée recevable par l'Autorité nationale de Sécurité ou les autorités de sécurité visées à l'article 1quinquies de la loi, l'officier de sécurité en est informé et l'Autorité nationale de Sécurité ou les autorités de sécurité visées à l'article 1quinquies de la loi transmettent immédiatement les documents visés à l'article 17, alinéa 3 de la loi ainsi que la demande d'enquête de sécurité à effectuer au service de renseignement et de sécurité compétent.

Art. 75.Si la demande est signée par l'autorité directement concernée ou par la personne qui requiert une habilitation de sécurité, telle que visée à l'article 71, § 2, alinéa 9, la procédure décrite aux articles 72, 73 et 74 est effectuée directement auprès de l'Autorité nationale de Sécurité ou des autorités de sécurité visées à l'article 1quinquies de la loi, et non par l'intermédiaire de l'officier de sécurité.

Sous-section 4. - Enquête de sécurité

Art. 76.A dater de la transmission visée aux articles 74, alinéa 3, et 75, le service de renseignement et de sécurité transmet les résultats de son enquête de sécurité à l'Autorité nationale de Sécurité ou aux autorités de sécurité visées à l'article 1quinquies de la loi, dans un délai de : 1° deux mois, s'il s'agit d'une enquête de sécurité dans le cadre d'une habilitation de sécurité de niveau « CONFIDENTIEL » ;2° trois mois, s'il s'agit d'une enquête de sécurité dans le cadre d'une habilitation de sécurité de niveau « SECRET » ;3° six mois, s'il s'agit d'une enquête de sécurité dans le cadre d'une habilitation de sécurité de niveau « TRES SECRET ». Ces délais peuvent être prorogés pour une durée maximale de trois mois lorsque le service de renseignement et de sécurité doit recueillir des informations à l'étranger.

Art. 77.Le modèle des documents visés à l'article 17, alinéas 1er et 2, de la loi, est repris dans les annexes 2 à 5.

Art. 78.L'accord ou le retrait prévus à l'article 16 de la loi s'effectue par l'envoi électronique d'un formulaire d'accord à l'officier de sécurité.

S'il n'est pas possible de procéder via un envoi électronique, cet envoi se fait selon les modalités prévues à l'article 17, alinéa 2 de la loi.

Sous-section 5. - Décision concernant l'habilitation de sécurité

Art. 79.Dès la réception des résultats de l'enquête de sécurité, l'Autorité nationale de Sécurité ou les autorités de sécurité visées à l'article 1quinquies de la loi disposent d'un délai d'un mois pour statuer sur la demande d'habilitation de sécurité et transmettre la décision à l'officier de sécurité.

Art. 80.Dès la réception de la décision de l'Autorité nationale de Sécurité ou des autorités de sécurité visées à l'article 1quinquies de la loi, l'officier de sécurité dispose d'un délai de quinze jours pour notifier cette décision à la personne pour laquelle l'habilitation de sécurité est demandée.

Dans le cas visé à l'article 71, § 2, alinéa 9, l'Autorité nationale de Sécurité ou les autorités de sécurité visées à l'article 1quinquies de la loi notifient la décision à l'autorité directement concernée ou à la personne qui requiert une habilitation de sécurité dans un délai d'un mois et quinze jours.

Sous-section 6. - Durée de validité de l'habilitation de sécurité

Art. 81.L'habilitation de sécurité pour les personnes physiques est délivrée pour une période de cinq ans maximum.

Cette période peut être raccourcie en raison d'éléments recueillis lors de l'enquête de sécurité ou en raison d'une demande d'habilitation de sécurité de plus courte durée. Toute durée de validité inférieure à cinq ans est mentionnée dans la notification de la décision d'octroi de l'habilitation de sécurité par l'Autorité nationale de Sécurité ou des autorités de sécurité visées à l'article 1quinquies de la loi.

Le délai de cinq ans ou le délai réduit visé à l'alinéa 2 prennent cours à la date de la décision d'octroi de l'habilitation de sécurité par l'Autorité nationale de Sécurité ou des autorités de sécurité visées à l'article 1quinquies de la loi.

Sous-section 7. - Enquête de sécurité complémentaire

Art. 82.La personne titulaire d'une habilitation de sécurité est tenue de signaler à l'officier de sécurité, de sa propre initiative, les événements survenus dans sa sphère privée, qui entrainent une modification des données indiquées dans le questionnaire de base visé à l'article 17, alinéa 1er, de la loi.

L'employeur de la personne titulaire de l'habilitation de sécurité est également tenu de signaler à l'officier de sécurité tout élément troublant dans le comportement de la personne concernée qui est inconciliable avec les garanties de discrétion, de loyauté et d'intégrité.

Si la personne titulaire d'une habilitation de sécurité n'a pas retiré son consentement et que, pendant la durée de l'habilitation de sécurité, des éléments visés aux alinéas 1 et 2 sont signalés par l'officier de sécurité, le titulaire de l'habilitation de sécurité ou son employeur, l'Autorité nationale de Sécurité ou les autorités de sécurité visées à l'article 1quinquies de la loi peuvent charger le service de renseignement et de sécurité compétent de procéder à une enquête de sécurité complémentaire.

L'officier de sécurité est chargé du suivi des signalements d'éléments relatifs aux personnes titulaires d'une habilitation de sécurité susceptibles de conduire à un réexamen de l'habilitation de sécurité tel que visé à l'article 16, § 3, de la loi. Section 2. - Habilitation de sécurité pour les personnes morales

Sous-section 1. - Généralités

Art. 83.Toute personne morale peut être autorisée à accéder à des informations classifiées pour autant que le besoin d'en connaître soit reconnu par l'Autorité nationale de Sécurité ou les autorités de sécurité visées à l'article 1quinquies de la loi et que cette personne morale dispose d'une habilitation de sécurité pour les personnes morales, à l'exception des informations classifiées de niveau « RESTREINT » pour lesquelles aucune habilitation de sécurité n'est requise.

Art. 84.Seules les personnes morales dont le siège social se situe en Belgique peuvent être habilitées dans le cadre des marchés publics qui impliquent, nécessitent et/ou contiennent des informations classifiées de niveau « CONFIDENTIEL » ou supérieur.

Les personnes morales dont le siège social n'est pas situé en Belgique peuvent également être habilitées dans le cadre de marchés publics classifiés du niveau « CONFIDENTIEL » au moins, dans la mesure où ces personnes morales disposent d'une habilitation de sécurité pour personnes morales qui peut être reconnue par l'Autorité nationale de Sécurité ou les autorités de sécurité visées à l'article 1quinquies de la loi sur la base des accords relatifs à l'échange et à la protection mutuelle des informations classifiées liant la Belgique.

Pour ce qui concerne les marchés publics qui impliquent, nécessitent et/ou contiennent des informations classifiées du niveau « CONFIDENTIEL » au moins, l'administrateur ICT doit être en possession d'une habilitation de sécurité du niveau fixé conformément à la politique de sécurité de l'Autorité nationale de Sécurité.

Sous-section 2. - Procédure de demande

Art. 85.§ 1. Sans préjudice de l'article 93, l'administrateur d'une personne morale remet à l'Autorité nationale de Sécurité ou, le cas échéant, à l'une des autorités visées à l'article 1quinquies de la loi, le dossier d'habilitation comprenant au moins : 1° le questionnaire de base, mentionné à l'article 17 de la loi, rempli par le candidat officier de sécurité et son remplaçant éventuel ;2° les documents justificatifs qui lui ont été remis par l'officier de sécurité du pouvoir adjudicateur ;3° le questionnaire de base, mentionné à l'article 17 de la loi, rempli par toutes les personnes physiques appartenant aux organes de la personne morale, ainsi qu'une vue d'ensemble de tous les actionnaires ou associés qui exercent le contrôle de droit ou de fait sur la personne morale. Toutes les personnes physiques appartenant aux organes sont tenus d'introduire une demande d'habilitation.

Au moins un des membres de l'organe d'administration doit: 1° avoir la nationalité belge ;2° faire l'objet d'une enquête de sécurité effectuée par un des services de renseignement et de sécurité conformément à la loi, au présent arrêté et aux directives du Conseil national de Sécurité, telle que visée à l'article 18, alinéa 5 de la loi ;et 3° se voir octroyer une habilitation de sécurité à l'issue de l'enquête de sécurité effectuée. § 2. L'Autorité nationale de Sécurité ou les autorités de sécurité visées à l'article 1quinquies de la loi déterminent pour la personne morale visée à la présente section le nombre de personnes physiques appartenant aux organes qui doivent être titulaires d'une habilitation de sécurité, dont au moins la moitié doit être titulaire d'une habilitation de sécurité. § 3. La personne chargée de la gestion journalière de la personne morale doit résider et être domiciliée en Belgique.

Sous-section 3. - Appréciation de la recevabilité de la demande

Art. 86.L'Autorité nationale de Sécurité ou les autorités de sécurité visées à l'article 1quinquies de la loi vérifient que toutes les données mentionnées à l'article 85, paragraphe 1er, ont été envoyées.

Si des données sont manquantes ou incorrectement remplies, le candidat officier de sécurité de la personne morale sera invité à les compléter.

Art. 87.L'Autorité nationale de Sécurité ou les autorités de sécurité visées à l'article 1quinquies de la loi déclarent la demande recevable ou irrecevable et en informent le candidat officier de sécurité.

Si la demande est recevable, l'Autorité nationale de Sécurité ou les autorités de sécurité visées à l'article 1quinquies de la loi transmettent sans délai la demande d'ouverture d'une enquête de sécurité au service de renseignement et de sécurité compétent, ainsi que les informations mentionnées à l'article 85, paragraphe 1er.

Sous-section 4. - Enquête de sécurité

Art. 88.L'article 76 est applicable à ces demandes.

Sous-section 5. - Décision concernant l'habilitation de sécurité

Art. 89.Dès la réception des résultats de l'enquête de sécurité, l'Autorité nationale de Sécurité ou les autorités de sécurité visées à l'article 1quinquies de la loi disposent d'un délai d'un mois pour statuer sur la demande d'habilitation de sécurité et transmettre leur décision à l'officier de sécurité.

Art. 90.Dès la réception de la décision de l'Autorité nationale de Sécurité ou d'une autorité de sécurité visée à l'article 1quinquies de la loi par l'officier de sécurité, celui-ci dispose d'un délai de quinze jours pour notifier cette décision aux organes mentionnés à l'article 85, § 1er, alinéa 1, 3°.

Sous-section 6. - Durée de validité de l'habilitation de sécurité

Art. 91.L'article 81 s'applique aux décisions d'octroi d'une habilitation de sécurité pour les personnes morales.

Sous-section 7. - Autres tâches de l'officier de sécurité dans le cadre de la présente section

Art. 92.La personne morale est tenue, par l'intermédiaire de l'officier de sécurité, de communiquer immédiatement et par écrit à l'Autorité nationale de Sécurité, les éléments suivants : 1° les modifications ayant un impact sur la politique de sécurité de la personne morale ;2° les modifications prévues dans la propriété/l'actionnariat et la direction de la personne morale ;3° les nominations prévues d'administrateurs n'ayant pas la nationalité belge ou la coopération envisagée avec des sociétés ou des autorités étrangères.4° tout élément d'intérêt inconciliable avec les garanties de discrétion, de loyauté et d'intégrité. L'officier de sécurité est chargé du suivi de la notification de tous les éléments susceptibles d'aboutir à un réexamen de l'habilitation de sécurité visée à l'article 16, § 3 de la loi. Section 3. - Habilitations de sécurité en vue d'un accès à l'étranger

Art. 93.La personne morale ou physique qui souhaite, dans un but scientifique, industriel ou économique, avoir accès à des informations classifiées ou à une zone sécurisée à l'étranger, doit introduire auprès de l'Autorité nationale de Sécurité une demande motivée d'obtention d'une habilitation de sécurité et doit y joindre l'invitation écrite des autorités étrangères compétentes.

Dès que la demande d'habilitation de sécurité a été acceptée, l'Autorité nationale de Sécurité en informe l'officier de sécurité dans les plus brefs délais. Celui-ci remet alors à la personne concernée tous les documents requis.

S'il n'y a pas d'officier de sécurité compétent à l'égard de la personne concernée, l'Autorité nationale de Sécurité informe directement celle-ci de sa décision et lui transmet, contre accusé de réception, les documents requis.

Art. 94.L'habilitation de sécurité délivrée conformément à l'article 93 concerne exclusivement l'accès aux lieux où sont situés des organismes publics étrangers, en ce compris des installations militaires, des entreprises étrangères ou des institutions étrangères d'enseignement supérieur. CHAPITRE 6. - Mesures de protection liées aux marchés publics qui impliquent, nécessitent et/ou contiennent des informations classifiées

Art. 95.Les mesures de protection minimales supplémentaires de nature administrative et technique associées aux marchés publics qui impliquent, nécessitent et/ou contiennent des informations classifiées sont déterminées par l'Autorité nationale de Sécurité sous réserve de l'application de la loi du 13 août 2011Documents pertinents retrouvés type loi prom. 13/08/2011 pub. 01/02/2012 numac 2011021082 source service public federal chancellerie du premier ministre Loi relative aux marchés publics et à certains marchés de travaux, de fournitures et de services dans les domaines de la défense et de la sécurité fermer relative aux marchés publics et à certains marchés de travaux, de fournitures et de services dans le domaine de la défense et de la sécurité.

Art. 96.Dans le cadre des autres marchés publics (qu'ils soient attribués en vertu d'un accord-cadre ou non), aucun accès ne peut être accordé à des informations classifiées, sauf en cas de nécessité et à moins que les mesures de protection nécessaires ne soient prises à l'égard de l'adjudicataire et de tous les collaborateurs concernés de ce dernier, conformément à la loi, au présent arrêté et aux directives de l'Autorité nationale de Sécurité.

Art. 97.Un pouvoir adjudicateur peut passer des marchés pour des tâches qui impliquent ou nécessitent l'utilisation d'informations classifiées par des entités industrielles ou autres.

A cette fin, le pouvoir adjudicateur doit faire usage de la loi du 13 août 2011Documents pertinents retrouvés type loi prom. 13/08/2011 pub. 01/02/2012 numac 2011021082 source service public federal chancellerie du premier ministre Loi relative aux marchés publics et à certains marchés de travaux, de fournitures et de services dans les domaines de la défense et de la sécurité fermer relative aux marchés publics et à certains marchés de travaux, de fournitures et de services dans le domaine de la défense et de la sécurité.

Art. 98.Lors de l'attribution de marchés classifiés à des entités industrielles ou autres, le pouvoir adjudicateur veille au respect des normes minimales de sécurité industrielle, telles que définies dans la loi et le présent arrêté ainsi que dans les directives de l'Autorité nationale de Sécurité et dans le marché public classifié.

Art. 99.L'Autorité nationale de Sécurité vérifie que toutes les mesures de protection nécessaires liées aux marchés publics ont été prises pour protéger les informations classifiées lors de la phase de prospection, la procédure d'attribution ainsi que pendant l'exécution d'un marché public classifié.

Art. 100.L'Autorité nationale de Sécurité vérifie que : 1° les adjudicataires enregistrés sur le territoire qui participent à des marchés publics impliquant, nécessitant et/ou contenant des informations classifiées de niveau « CONFIDENTIEL » ou supérieur ou aux contrats de sous-traitance y afférents pendant l'exécution des marchés ou au stade précontractuel, disposent d'une habilitation de sécurité pour les personnes morales octroyée au niveau de classification correspondant ;2° le personnel des adjudicataires ou des sous-traitants qui doit avoir accès à des informations classifiées de niveau « CONFIDENTIEL » ou supérieur pour l'exécution d'un marché public classifié dispose d'une habilitation de sécurité pour les personnes physiques du niveau de classification correspondant ;3° les adjudicataires enregistrés sur le territoire qui participent à des marchés publics qui se rapportent à des informations classifiées ou impliquant, nécessitant et/ou contenant des informations classifiées de niveau « CONFIDENTIEL » ou supérieur, ou aux contrats de sous-traitance y afférents pendant l'exécution des marchés ou au stade précontractuel, disposent d'une installation physique approuvée ;4° les adjudicataires enregistrés sur le territoire qui participent à des marchés publics ou qui se rapportent à des informations classifiées ou impliquant, nécessitant et/ou contenant des informations classifiées, ou aux contrats de sous-traitance y afférents pendant l'exécution des marchés ou au stade précontractuel, disposent d'un système de communication et d'information approuvé ;5° les personnes morales qui ne sont pas enregistrées sur le territoire disposent d'une habilitation de sécurité valide pour les personnes morales, délivrée par les autorités compétentes du pays tiers et reconnue par l'Autorité nationale de Sécurité sur la base des accords et traités internationaux liant la Belgique en la matière.

Art. 101.En ce qui concerne les informations classifiées générées ou traitées par l'adjudicataire, le pouvoir adjudicateur exerce les droits de l'autorité d'origine, à moins que le pouvoir adjudicateur en ait disposé autrement dans le contrat.

Après l'exécution du marché, toutes les informations classifiées doivent être restituées au pouvoir adjudicateur dans les 15 jours ouvrables suivant le terme du contrat et aucune copie de ces informations ne peut être conservée.

Art. 102.Les candidats ou soumissionnaires qui n'ont pas été retenus et auxquels des informations classifiées ont été communiquées ou produites au cours de la procédure doivent les restituer au pouvoir adjudicateur dans un délai de 15 jours ouvrables à compter de la notification de leur non-sélection et ne peuvent conserver aucune copie de ces informations, sauf s'ils en ont encore besoin dans le cadre d'une procédure de litige. Dans ce cas, ils retourneront les informations classifiées à la fin de la période de recours et aucune copie de ces informations ne pourra être conservée. CHAPITRE 7. - Contrôle

Art. 103.L'Autorité nationale de Sécurité exerce le contrôle : 1° afin de veiller à l'application (permanente) des mesures de protection minimales requises ;2° afin de sensibiliser les fonctionnaires dirigeants, les dirigeants des personnes morales, les officiers de sécurité et les personnes de contact pour la sécurité à l'évolution de l'environnement en termes de risques et, au sens large, d'attirer l'attention de l'organisation sur l'importance des mesures de protection ;3° afin de recommander des contre-mesures au cas où la confidentialité, l'intégrité, la disponibilité, l'authenticité et la non-répudiation des systèmes risquent de ne plus être garanties ;4° afin de sensibiliser en permanence à la vigilance en matière de sécurité ;5° dans le cadre de la procédure de demande d'habilitation de sécurité.

Art. 104.L'Autorité nationale de Sécurité exerce son contrôle au moyen : 1° d'informations demandées à l'entité contrôlée, qui est tenue de mettre sans délai à la disposition de l'Autorité nationale de Sécurité, à la demande de celle-ci, toutes les informations pertinentes sur les mesures de protection mises en oeuvre et de coopérer pleinement ;2° d'informations recueillies dans le cadre des enquêtes de terrain, en particulier lors d'un contrôle ou une inspection sur place. Les membres de l'Autorité nationale de Sécurité chargés d'effectuer des enquêtes de terrain sont nommés par le ministre de la Justice sur proposition de l'administrateur général de la Sûreté de l'Etat. Lors de leur nomination, ils reçoivent une carte de légitimation dont le modèle est déterminé par le ministre de la Justice. Cette carte ne peut être utilisée que dans le cadre des enquêtes de terrain et doit immédiatement être restituée à l'autorité qui l'a délivrée, une fois le mandat terminé.

Les membres du Service général du Renseignement et de la Sécurité des Forces armées chargés d'effectuer des enquêtes de terrain en ce qui concerne la Défense, tel que définie à l'article 1quinquies, alinéas 2 et 3 de la loi, se voient délivrer, lors de leur nomination, une carte de légitimation dont le modèle est déterminé par le ministre de la Défense. Cette carte ne peut être utilisée que dans le cadre d'enquêtes de terrain et doit être restituée immédiatement à l'autorité qui l'a délivrée, une fois le mandat terminé.

Art. 105.L'Autorité nationale de Sécurité visite l'entité contrôlée, de façon annoncée ou non, en vue d'évaluer la mise en oeuvre des mesures de protection prévues par la loi, le présent arrêté et les directives de l'Autorité nationale de Sécurité.

L'Autorité nationale de Sécurité communique un contrôle annoncé au moins un mois à l'avance à l'officier de sécurité de l'entité contrôlée, afin de permettre à ce dernier de prendre les mesures administratives nécessaires pour faciliter le contrôle. En l'absence d'officier de sécurité ou son remplaçant, l'Autorité nationale de Sécurité annonce ce contrôle au fonctionnaire dirigeant, aux personnes assurant la direction de l'entité contrôlée ou à la personne de contact pour la sécurité.

Art. 106.Lors de l'exécution d'une enquête de terrain, qu'elle soit annoncée ou non, les membres de l'Autorité nationale de Sécurité et du Service général du Renseignement et de la Sécurité des Forces armées peuvent se prévaloir des compétences suivantes, notamment : 1° s'entretenir avec toute personne potentiellement concernée par la protection des informations classifiées de l'entité contrôlée, en tenant compte des tâches de sécurité spécifiques dont elle est responsable ;2° consulter toutes les pièces, tous les registres, documents et objets utiles au contrôle et liés à la protection des informations classifiées concernées ;3° effectuer des contrôles ponctuels sur la manière de protéger les informations classifiées au sein de l'entité ;4° visiter les différentes zones et implantations où des informations classifiées sont utilisées ;5° consulter les informations pertinentes dans les systèmes de communication et d'information (en ce compris la sécurité du système, les données de configuration et les fichiers logs).

Art. 107.En cas de violation des mesures de protection, telles que prévues par la loi, le présent arrêté et les directives de l'Autorité nationale de Sécurité, l'Autorité nationale de Sécurité peut procéder à la suspension immédiate ou au retrait de l'approbation si la gravité de la situation le justifie.

Art. 108.Au plus tard deux mois à compter du premier jour ouvrable suivant le contrôle, l'Autorité nationale de Sécurité met le rapport avec ses constatations à la disposition de l'officier de sécurité de l'entité contrôlée.

Le rapport comprend : 1° les constatations relatives à l'application des mesures de protection minimales par l'entité concernée ;2° le cas échéant, les exigences obligatoires à mettre en oeuvre si les mesures de protection minimales ne sont pas respectées;3° le cas échéant, des recommandations si les mesures de protection minimales ont été respectées mais que la sécurité peut être améliorée. En l'absence d'un officier de sécurité ou de son remplaçant, l'officier de l'Autorité nationale de Sécurité met ce rapport à la disposition du fonctionnaire dirigeant, des personnes assurant la direction de l'entité contrôlée ou de la personne de contact pour la sécurité.

Art. 109.Au plus tard quinze jours ouvrables à dater de la prise de connaissance du rapport, l'entité contrôlée transmet, le cas échéant, une proposition de mesures correctives à l'Autorité nationale de Sécurité, en indiquant le délai de mise en oeuvre.

Art. 110.Le cas échéant, l'Autorité nationale de Sécurité indique sans délai à l'entité contrôlée si ces mesures correctives sont suffisantes ou si des mesures correctives supplémentaires s'imposent.

Art. 111.L'entité contrôlée prend les mesures correctives nécessaires, sous peine de suspension ou de retrait de l'habilitation de sécurité pour les personnes morales.

TITRE IV. - Dispositions transitoires et finales

Art. 112.Les pièces classifiées avant l'entrée en vigueur, le 1er juin 2000, de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer relative à la classification et aux habilitations, attestations et avis de sécurité et revêtues de la mention « TRES SECRET », « SECRET » ou « CONFIDENTIEL » sont réputées porter le degré de classification correspondant prévu à l'article 4 de la loi.

Les pièces classifiées après l'entrée en vigueur, le 1er juin 2000, de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer relative à la classification et aux habilitations, attestations et avis de sécurité, mais avant l'entrée en vigueur du présent arrêté, marquées de la mention « TRES SECRET », « SECRET » ou « CONFIDENTIEL » et d'une référence à la loi qui ne respecte pas pleinement les exigences de forme énoncées à l'article 16, alinéa 2 ou 3, sont réputées porter le degré de classification correspondant prévu à l'article 4 de la loi.

Art. 113.Les documents revêtus de la mention "DIFFUSION RESTREINTE (AR 24.03.2000)" avant l'entrée en vigueur du présent arrêté conservent cette mention. Cette mention ne peut en aucun cas être assimilée au degré de classification « RESTREINT », tel que prévu par l'article 4, alinéa 5 de la loi, étant donné que les mesures de protection telles que définies dans la loi et le présent arrêté ne s'appliquent pas aux documents portant la mention « DIFFUSION RESTREINTE (AR 24.03.2000) ».

Sans préjudice d'autres dispositions légales ou réglementaires spécifiques aux informations non classifiées, les informations non-classifiées, rédigées en français, dont une autorité ou une personne souhaite restreindre la diffusion aux personnes qualifiées pour en prendre connaissance sans attacher à cette limitation les effets juridiques prévus par la loi, peuvent être revêtues, à compter de l'entrée en vigueur du présent arrêté, de la mention « SENSIBLE NON CLASSIFIE (AR 20.12.2024) » et non plus de la mention « DIFFUSION RESTREINTE (AR 24.03.2000) ».

Lorsque les documents sont rédigés dans une autre langue que le néerlandais ou le français, les documents dont une autorité ou une personne souhaite restreindre la diffusion aux personnes qualifiées pour en prendre connaissance sans attacher à cette limitation les effets juridiques prévus par la loi, peuvent être revêtus, à compter de l'entrée en vigueur du présent arrêté, de la mention « SENSITIVE NON-CLASSIFIED (RD 20.12.2024) ».

Art. 114.Le présent arrêté entre en vigueur le 1er février 2025.

Art. 115.L'arrêté royal du 24 mars 2000 portant exécution de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données fermer relative à la classification et aux habilitations, attestations et avis de sécurité est abrogé.

Art. 116.Nos Ministres sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté.

Donné à Bruxelles, le 20 décembre 2024.

PHILIPPE Par le Roi : Le Ministre de la Justice, P. VAN TIGCHELT La Ministre de la Défense, L. DEDONDER La Ministre de l'Intérieur, A. VERLINDEN

Pour la consultation du tableau, voir image

Titre du document concerné:	Arrêté royal portant exécution de la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, aux avis de sécurité et au service public réglementé
Url de la page concernée:	https://etaamb.openjustice.be/fr/arrete-royal-du-20-decembre-2024_n2024011702.html
Termes à retirer:
Votre adresse e-mail:*
Commentaires:*
* Champs optionnels

Arrêté royal portant exécution de la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, aux avis de sécurité et au service public réglementé

Vos données apparaissent sur cette page?