|
Législation communautaire en vigueur
Document 499Y0130(03)
Chapitres du répertoire où le document peut être trouvé:
[ 19.30.10 - Coopération policière ]
499Y0130(03)
Acte du Conseil du 3 novembre 1998 adoptant la réglementation sur la protection du secret des informations d'Europol
Journal officiel n° C 026 du 30/01/1999 p. 0010 - 0016
Texte:
ACTE DU CONSEIL du 3 novembre 1998 adoptant la réglementation sur la protection du secret des informations d'Europol (1999/C 26/02)
LE CONSEIL DE L'UNION EUROPÉENNE, vu la convention établie sur la base de l'article K.3 du traité sur l'Union européenne portant création d'un Office européen de police (convention Europol) (1), et notamment son article 31, paragraphe 1, vu le projet préparé par le conseil d'administration, considérant qu'il appartient au Conseil, statuant à l'unanimité, d'arrêter la réglementation sur la protection du secret des informations obtenues par Europol ou échangées avec l'Office sur la base de la convention Europol, A ADOPTÉ LES RÈGLES SUIVANTES:
CHAPITRE I
DÉFINITIONS ET CHAMP D'APPLICATION
Article premier Définitions Aux fins de la présente réglementation, on entend par: a) «traitement des informations» (traitement), toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel ou non, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction; b) «tierce partie», un État tiers ou un organisme tiers visé à l'article 10, paragraphe 4, de la convention Europol; c) «comité de sécurité d'Europol», le comité composé de représentants des États membres et d'Europol prévu à l'article 3; d) «coordinateur de la sécurité d'Europol», le directeur adjoint à qui le directeur d'Europol - conformément à l'article 29, paragraphe 2, de la convention Europol - confie, à côté de ses autres tâches, les fonctions de coordination et de contrôle en matière de sécurité; e) «responsable de la sécurité d'Europol», l'agent d'Europol désigné par le directeur d'Europol et chargé des questions de sécurité conformément à l'article 5; f) «manuel de sécurité», le manuel relatif à l'application de la présente réglementation, qui sera établi conformément à l'article 6; g) «niveau de sécurité», un marquage de sécurité Europol 1, 2, 3 attribué à un document traité par Europol ou par son intermédiaire et visé à l'article 8; h) «ensemble de mesures de sécurité», un ensemble déterminé de mesures de sécurité à appliquer aux informations auxquelles est attribué un niveau de sécurité Europol visé à l'article 8; i) «niveau de protection minimal», le niveau de protection qui sera appliqué à toutes les informations traitées par Europol ou par son intermédiaire, à l'exception des informations spécifiquement marquées ou facilement identifiables comme étant accessibles au public, conformément à l'article 8, paragraphe 1.
Article 2 Champ d'application 1. La présente réglementation établit les mesures de sécurité à appliquer à toutes les informations qui sont traitées par Europol ou par son intermédiaire au sein de ses différents organes. 2. Les États membres s'engagent à veiller à ce qu'un niveau de protection équivalant au niveau assuré par ces mesures de sécurité soit attribué, sur leur territoire, à ces informations. 3. Les liaisons électroniques entre Europol et les unités nationales des États membres assurent un niveau de protection équivalant à celui qui est offert par ces mesures. Le comité de sécurité adopte à l'unanimité, après consultation des autorités compétentes des États membres, une norme commune pour ces liaisons électroniques. 4. L'annexe donne un aperçu des niveaux de sécurité Europol visés à l'article 8 et des marquages correspondants actuellement appliqués par les États membres aux informations auxquelles ces niveaux de sécurité sont attribués. Lorsqu'un État membre informe les autres États membres et Europol de changements éventuellement intervenus dans les dispositions nationales relatives aux niveaux de sécurité ou aux marquages correspondants, Europol établit une version révisée de l'aperçu visé ci-dessus. Au moins une fois par an, le comité de sécurité d'Europol vérifie si cet aperçu est à jour.
CHAPITRE II
RESPONSABILITÉS EN MATIÈRE DE SÉCURITÉ
Article 3 Comité de sécurité d'Europol 1. Il est institué un comité de sécurité d'Europol, composé de représentants des États membres et d'Europol, qui se réunit au moins une fois par an. 2. Le comité de sécurité d'Europol est chargé de conseiller le conseil d'administration et le directeur d'Europol pour les questions de sécurité et pour l'application du manuel de sécurité. 3. Le comité de sécurité d'Europol établit son règlement intérieur. Ses réunions sont présidées par le coordinateur de la sécurité.
Article 4 Coordinateur de la sécurité 1. Le coordinateur de la sécurité est responsable, d'une manière générale, de toutes les questions touchant à la sécurité, et notamment des mesures de sécurité établies dans la présente réglementation et dans le manuel de sécurité. Il veille au respect des règles de sécurité et informe le directeur de tout manquement à ces règles, et celui-ci, en cas de manquement grave, en informe le conseil d'administration. Si un tel manquement risque de compromettre les intérêts d'un État membre, celui-ci en est également informé. 2. Le coordinateur de la sécurité répond directement devant le directeur d'Europol des actes qu'il accomplit à ce titre.
Article 5 Responsable de la sécurité 1. La responsabilité de l'application pratique des mesures de sécurité établies dans la présente réglementation et dans le manuel de sécurité est confiée au responsable de la sécurité d'Europol, qui en répond directement devant le coordinateur de la sécurité. Les tâches spécifiques du responsable de la sécurité sont les suivantes: a) gérer l'unité de sécurité d'Europol; b) instruire le personnel d'Europol et les officiers de liaison de leurs obligations au titre de la présente réglementation et du manuel de sécurité, ainsi que les aider et les conseiller à ce sujet; c) veiller à l'application des règles de sécurité, enquêter sur les manquements à ces règles et en informer dans les plus brefs délais le coordinateur de la sécurité; d) réexaminer en permanence l'adéquation des mesures de sécurité sur la base de l'évaluation des risques. Il présente à cette fin un rapport au coordinateur de la sécurité, en règle générale au moins une fois par mois et - exceptionnellement - chaque fois que cela est jugé nécessaire, et formule des observations et des suggestions; e) s'acquitter des tâches qui lui incombent en vertu de la présente réglementation ou du manuel de sécurité; f) s'acquitter des autres tâches qui lui sont assignées par le coordinateur de la sécurité. 2. Le responsable de la sécurité doit avoir le plus haut niveau d'habilitation de sécurité selon les réglementations applicables dans l'État membre dont il est ressortissant.
Article 6 Manuel de sécurité: procédure et contenu 1. Le manuel de sécurité est adopté par le conseil d'administration, après consultation du comité de sécurité. 2. Le manuel de sécurité contient: a) des règles précises concernant les mesures de sécurité à appliquer au sein des différents organes d'Europol en vue d'assurer le niveau de protection minimal visé à l'article 8, paragraphe 1, de la présente réglementation, fondées sur l'article 25 et l'article 32, paragraphe 2, de la convention Europol et tenant compte de son article 31, paragraphe 3; b) des règles précises concernant les mesures de sécurité liées aux différents niveaux de sécurité Europol et les ensembles de mesures de sécurité correspondants visés à l'article 8, paragraphes 2 et 3. 3. Les modifications du manuel de sécurité sont adoptées conformément à la procédure indiquée au paragraphe 1. 4. Pour le système informatique d'Europol et tous les autres systèmes informatiques utilisés à Europol et dans lesquels sont traitées des informations assorties d'un niveau de protection, une exigence de sécurité spécifique au système est adoptée et modifiée selon la procédure évoquée au paragraphe 1. Cette exigence de sécurité spécifique au système doit être conforme aux dispositions pertinentes du manuel de sécurité.
Article 7 Respect des mesures de sécurité Les mesures de sécurité établies par la présente réglementation et dans le manuel de sécurité sont respectées par tout le personnel d'Europol et tous les officiers de liaison, ainsi que par toute autre personne soumise à une obligation particulière de réserve ou de confidentialité.
CHAPITRE III
PRINCIPES GÉNÉRAUX
Article 8 Niveau de protection de base, niveaux de sécurité et ensembles de mesures de sécurité 1. Il est attribué à toutes les informations traitées par Europol ou par son intermédiaire, à l'exception des informations spécifiquement marquées ou facilement identifiables comme étant accessibles au public, un niveau de protection minimal au sein des différents organes d'Europol ainsi que dans les États membres. Pour les informations auxquelles n'est attribué que le niveau de protection minimal, il n'est pas nécessaire d'indiquer un niveau de sécurité Europol, mais elles doivent être désignées comme informations Europol. 2. Conformément à l'article 2, paragraphe 2, les États membres veillent à l'application du niveau de protection minimal visé au paragraphe 1 par toute une série de mesures conformes à la législation et aux règlements nationaux, parmi lesquelles l'obligation de réserve et de confidentialité, la restriction de l'accès à l'information aux personnes autorisées, des exigences en matière de protection des données pour les données à caractère personnel et des mesures générales techniques et de procédure pour préserver la sécurité des informations, en tenant compte de l'article 25, paragraphe 2, de la convention Europol. 3. Il est attribué aux informations qui requièrent des mesures de sécurité supplémentaires un niveau de sécurité Europol, qui est indiqué par un marquage spécial. Les informations ne sont assorties d'un tel niveau de sécurité qu'en cas de stricte nécessité et pour la durée nécessaire. 4. Les niveaux de sécurité Europol seront désignés comme «niveau Europol» et numérotés de 1 à 3, >EMPLACEMENT TABLE> Chaque niveau de sécurité Europol correspond à un ensemble de mesures de sécurité spécifique à appliquer au sein des différents organes d'Europol. Les ensembles de mesures de sécurité offrent des niveaux de protection qui diffèrent selon le contenu de l'information et tiennent compte des conséquences négatives que pourraient avoir pour les intérêts des États membres ou d'Europol l'accès non autorisé à l'information ou encore sa diffusion ou son utilisation non autorisée. Les niveaux Europol 1 à 3 correspondront dans la mesure du possible - pour ce qui est des mesures de sécurité à appliquer - aux normes internationales en vigueur. Lorsque des informations marquées de niveaux de sécurité différents sont groupées, le niveau de sécurité à leur attribuer est au moins celui des informations assorties du niveau de protection le plus élevé. De toute manière, il peut être attribué à un groupe d'informations un niveau de sécurité plus élevé que celui de chacune de ses parties. La traduction des documents marqués d'un niveau de sécurité bénéficie de la même protection que les documents eux-mêmes. 5. Les ensembles de mesures de sécurité consistent en diverses mesures de caractère technique, organisationnel ou administratif, prévues dans le manuel de sécurité. Ils comprennent l'utilisation autorisée des données relevant de l'article 17 de la convention Europol, depuis l'utilisation sans restriction jusqu'à l'interdiction d'utilisation sans le consentement de la personne dont émanent les informations.
Article 9 Choix du niveau de sécurité 1. L'État membre qui fournit des informations à Europol est responsable du choix du niveau de sécurité approprié à attribuer à ces informations conformément à l'article 8. Le cas échéant, l'État membre en question marque ces informations, lorsqu'il les communique à Europol, d'un niveau de sécurité Europol prévu à l'article 8, paragraphe 4. 2. Dans le choix du niveau de sécurité, les États membres tiennent compte de la classification attribuée aux informations dans leur réglementation nationale, ainsi que de la souplesse d'exploitation nécessaire au bon fonctionnement d'Europol. 3. Si Europol, sur la base des informations déjà en sa possession, parvient à la conclusion qu'il convient de modifier un niveau de sécurité choisi, y compris, le cas échéant, de supprimer ou d'ajouter un niveau, ou d'ajouter un niveau de sécurité à un document auquel avait été précédemment attribué le niveau de protection minimal, il en informe l'État membre concerné et s'efforce de déterminer, en accord avec lui, un niveau de sécurité approprié. En aucun cas, Europol ne spécifie, n'ajoute ou ne supprime un niveau de sécurité sans cet accord. 4. Dans le cas d'informations produites par Europol sur la base d'informations fournies par un État membre, ou contenant de telles informations, Europol détermine, en accord avec l'État membre concerné, si le niveau de protection minimal est suffisant ou s'il est nécessaire d'appliquer un niveau de sécurité Europol. 5. Dans le cas d'informations produites par Europol lui-même, qui ne sont pas établies sur la base d'informations fournies par un État membre et ne contiennent pas de telles informations, Europol détermine le niveau de sécurité approprié pour ces informations en utilisant les critères arrêtés par le comité de sécurité. Europol assortit, au besoin, ces informations du marquage correspondant. 6. Au cas où des informations concernent également les intérêts essentiels d'un autre État membre, les États membres et Europol consultent cet autre État membre sur le point de savoir si un niveau de sécurité doit être appliqué à ces informations et, dans l'affirmative, lequel.
Article 10 Modification des niveaux de sécurité 1. Un État membre qui a communiqué des informations à Europol peut à tout moment exiger que le niveau de sécurité choisi soit modifié, éventuellement qu'il soit supprimé ou qu'un niveau de sécurité soit ajouté. Europol a l'obligation de supprimer, de modifier ou d'ajouter un niveau de sécurité conformément aux souhaits de l'État membre concerné. 2. Dès que les circonstances le permettent, l'État membre concerné demande l'abaissement ou la suppression du niveau de sécurité. 3. Un État membre qui fournit des informations à Europol peut spécifier la durée pendant laquelle le niveau de sécurité choisi doit être appliqué, et les modifications éventuelles qu'il convient d'y apporter après cette période. 4. Lorsque Europol a attribué le niveau de protection minimal ou déterminé le niveau de sécurité conformément à l'article 9, paragraphe 4, ce niveau de protection minimal ou ce niveau de sécurité ne peut être modifié que par Europol, en accord avec l'État membre concerné. 5. Lorsque le niveau de sécurité a été déterminé par Europol conformément à l'article 9, paragraphe 5, Europol peut modifier ou supprimer ce niveau de sécurité à tout moment si cela est jugé nécessaire. 6. Lorsque les informations dont le niveau de sécurité est modifié conformément au présent article ont déjà été communiquées à d'autres États membres, Europol a l'obligation d'informer les destinataires de la modification intervenue.
Article 11 Traitement, accès et habilitation de sécurité 1. L'accès aux informations et leur détention sont limités au sein des différents organes d'Europol aux personnes qui, en raison de leurs tâches ou de leurs obligations, sont nécessairement amenées à les connaître ou à les manipuler. Les personnes chargées du traitement d'informations doivent au préalable obtenir l'habilitation de sécurité éventuellement requise et en outre recevoir une formation spéciale. 2. Toutes les personnes qui sont susceptibles d'accéder à des informations traitées par Europol auxquelles est attribué un niveau de sécurité font l'objet d'une enquête de sécurité conformément à l'article 31, paragraphe 2, de la convention Europol et au manuel de sécurité. Sur proposition du responsable de la sécurité et sous réserve des dispositions du manuel de sécurité, le coordinateur de la sécurité accorde une autorisation aux personnes possédant dans leur État membre d'origine l'habilitation de sécurité du niveau approprié qui, en raison de leurs tâches ou de leurs obligations, sont nécessairement amenées à connaître les informations auxquelles est attribué un niveau de sécurité Europol. Il lui incombe également de veiller à l'application du paragraphe 3. 3. Nul n'a accès à des informations auxquelles a été attribué un niveau de sécurité s'il ne possède pas l'habilitation de sécurité du niveau approprié. Cependant, le coordinateur de la sécurité peut, à titre exceptionnel et après consultation du responsable de la sécurité, accorder une autorisation spéciale et limitée aux personnes possédant l'habilitation des niveaux 1 et 2 pour accéder à des informations déterminées d'un niveau plus élevé si, en raison de leurs tâches ou de leurs obligations, elles ont besoin, dans un cas bien précis, de connaître les informations auxquelles est attribué un niveau de sécurité Europol supérieur. 4. Cette autorisation n'est pas accordée lorsqu'un État membre précise, au moment où il fournit l'information concernée, que le coordinateur de la sécurité ne peut pas exercer dans le cas de cette information le pouvoir de décision que lui attribue le paragraphe 3.
Article 12 Tierces parties Dans les accords de protection du secret qu'il conclut avec des tierces parties conformément à l'article 18, paragraphe 6, de la convention Europol ou dans les accords conclus conformément à son article 42, Europol tient compte des principes établis dans la présente réglementation et dans le manuel de sécurité, qu'il convient d'appliquer de la même manière aux informations échangées avec ces tierces parties.
CHAPITRE IV
DISPOSITIONS FINALES
Article 13 Entrée en vigueur La présente réglementation entre en vigueur le 1er janvier 1999.
Article 14 Révision de la réglementation Toute proposition de modification de la présente réglementation est examinée par le conseil d'administration en vue de son adoption par le Conseil conformément à la procédure prévue à l'article 31, paragraphe 1, de la convention Europol.
Fait à Bruxelles, le 3 novembre 1998. Par le Conseil Le président B. PRAMMER
(1) JO C 316 du 27.11.1995, p. 1.
ANNEXE
Tableau d'équivalence entre les classifications nationales et les classifications Europol correspondantes Le tableau ci-après a une valeur indicative: les États membres ont l'obligation d'assurer un niveau de protection équivalant à celui assuré par Europol et non celle d'attribuer une étiquette particulière. >EMPLACEMENT TABLE>
NOTE Comme indiqué à l'article 2, paragraphe 4, Europol établira une version révisée de cet aperçu si des changements intervenus dans les dispositions nationales lui sont signalés. Au moins une fois par an, le comité de sécurité d'Europol vérifie si cet aperçu est à jour. Les problèmes que pourrait poser l'application du concept d'équivalence des niveaux de protection seront examinés entre les États membres et Europol, ou collectivement par le comité de sécurité. De même, ce dernier examinera les conséquences pour le tableau de toute adaptation des ensembles de mesures de sécurité d'Europol tels qu'ils figurent dans le manuel de sécurité.
Fin du document
Document livré le: 24/04/1999
|