Wetsontwerp portant modification de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité SOMMAIRE Pages Résumé 3 Exposé des motifs 4 Avant-projet 42 Avis du Conseil d'État 57 Projet de loi 75 Coordination des articles 98

24 janvier 2022 de Belgique SOMMAIRE Pages Conformément à l’article 8, § 2, 1°, de la loi du 15 décembre 2013, l’analyse d’impact n’a pas été demandée. portant modification de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité PROJET DE LOI

N-VA : Nieuw-Vlaamse Alliantie Ecolo-Groen Ecologistes Confédérés pour l’organisation de luttes origi PS Parti Socialiste VB Vlaams Belang MR Mouvement Réformateur CD&V Christen-Democratisch en Vlaams PVDA-PTB Partij van de Arbeid van België – Parti du Travail de Belgi Open Vld Open Vlaamse liberalen en democraten Vooruit Vooruit cdH centre démocrate Humaniste DéFI Démocrate Fédéraliste Indépendant INDEP-ONAFH : Indépendant - Onafhankelijk

RÉSUMÉ

La loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité porte, d’une part, sur les mesures de protection des informations classifiées, y compris les habilitations de sécurité, et, d’autre part, sur les vérifications de sécurité qui conduisent à la délivrance d’attestations ou d’avis de sécurité. Le présent projet de loi modifie la partie relative à la protection des informations classifiées, en vue de rendre notre cadre légal conforme aux obligations internationales de la Belgique.

Elle prévoit également un cadre légal pour le Service Public Réglementé (ou “Public Regulated service”, PRS) issu du système mondial de radionavigation par satellite Galileo, conformément à la Décision 1104/2011/UE du Parlement européen et du Conseil du 25 octobre 2011. Le projet de loi soumis prévoit principalement ce qui suit: 1. cinq catégories de mesures applicables à la protection des informations classifiées, notamment les mesures de protection applicables à la gestion des informations classifiées, les mesures de protection physiques, les mesures de protection des systèmes d’information et de communication, les mesures de protection relatives aux personnes et les mesures de protection liées à des marchés publics; 2. l’introduction d’un 4e niveau de classification, le niveau RESTREINT; 3. l’institution de l’Autorité Nationale de Sécurité en conférant ses compétences; 4. l’élargissement du champ d’application d’éventuelles sanctions; 5. la possibilité d’introduire des rétributions pour l’exercice des nouvelles compétences; 6. les dispositions relatives au Service Public Réglementé (PRS); 7. des dispositions transitoires afin d’éviter que les habilitations de sécurité, les attestations de sécurité, les avis de sécurité et les autorisations octroyées dans le cadre du service public réglementé ne soient plus valables après l’entrée en vigueur de cette loi

EXPOSÉ DES MOTIFS

Mesdames, Messieurs, EXPOSÉ GÉNÉRAL Introduction La loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité (ciaprès “la loi de 1998”) porte, d’une part, sur les mesures de protection des informations classifiées, y compris les habilitations de sécurité, et, d’autre part, sur les vérifications de sécurité qui conduisent à la délivrance d’attestations ou d’avis de sécurité.

Le projet de loi qui vous est soumis modifie la partie relative à la protection des informations classifiées. Les habilitations de sécurité s’inscrivent dans ce cadre. La partie relative aux vérifications de sécurité, modifiée en date du 1er juin 2018, restera largement inchangée. Le cadre réglementaire relatif à la protection des informations classifiées n’avait plus été modifié depuis 1998. Même les directives les plus récentes du Comité ministériel du renseignement et de la sécurité, l’actuel Conseil National de sécurité, datent du 21 mai 2001.

Or, entretemps, la sécurité de l’information a fait un énorme bond en avant avec les évolutions de la numérisation et de l’informatisation. Le projet de loi soumis prévoit un cadre réglementaire permettant de respecter les obligations internationales, est conforme aux principes actuels régissant le domaine de la sécurité de l’information et attribue des compétences à une autorité de sécurité, à savoir l’Autorité nationale de sécurité (ci-après “ANS”).

Dans ce projet de loi, l’ANS devient également l’autorité compétente pour le service public réglementé, visée à l’article 5 de la Décision 1104/2011/UE. Vu les responsabilités spécifiques liées à cette compétence, l’intitulé de la loi de 1998 est adapté. Engagements internationaux Les accords multilatéraux et bilatéraux concernant l’échange international d’informations classifiées visent à assurer un niveau de protection équivalent des informations classifiées de chaque partie et, ce faisant, à permettre l’accès à ces informations.

Ce niveau de protection équivalent implique la mise en place d’un

cadre légal national qui confère des pouvoirs à des autorités responsables. Ce cadre national garantit que les informations classifiées puissent être transmises aux personnes concernées, comme l’industrie belge, sous la forme de contrats classifiés. Les États membres de l’UE se sont engagés, par la signature et la ratification de l’Accord entre les États membres de l’Union européenne, réunis au sein du Conseil, relatif à la protection des informations classifiées échangées dans l’intérêt de l’Union européenne (2011/C 202/05) (ci-après “Accord 2011/C 202/05”), à assurer un niveau de protection équivalent des informations classifiées de l’UE (ci-après “ICUE”).

Dans cet Accord, les signataires expriment leur désir “de contribuer à mettre en place un cadre général cohérent et global pour la protection des informations classifiées émanant des parties dans l’intérêt de l’Union européenne (…)” (cf. le point 2 des considérants) et reconnaissent que “l’accès aux informations classifiées et leur échange requièrent des mesures de sécurité appropriées pour assurer la protection de ces informations” (voir le point 3 des considérants).

En Belgique, cet Accord a été ratifié et publié le 30 novembre 2015. Au sein de l’Union européenne, la Commission, le Conseil et le Service européen pour l’action extérieure se sont engagés à appliquer des règles équivalentes pour la protection des informations classifiées. Le Conseil de l’Union européenne a adopté la Décision du Conseil du 23 septembre 2013 concernant les règles de sécurité aux fins de la protection des informations classifiées de l’Union européenne (2013/488/UE) (ciaprès “Décision 2013/488/UE”).

La Décision 2013/488/ UE prévoit dans son article 1er que: “Ces principes de base et normes minimales s’appliquent au Conseil et au Secrétariat général du Conseil et sont respectés par les États membres, conformément à leurs dispositions législatives et réglementaires nationales, afin que chacun puisse avoir la certitude qu’un niveau équivalent de protection est assuré pour les ICUE.”. Les règles de sécurité de la Commission européenne sont contenues dans la Décision (UE, Euratom) 2015/444 de la Commission du 13 mars 2015 concernant les règles de sécurité aux fins de la protection des informations classifiées de l’Union européenne (ci-après “Décision 2015/444 de la Commission”).

Les règles de sécurité du Service européen pour l’action extérieure sont contenues dans la Décision de la haute représentante de l’Union pour les affaires étrangères

et la politique de sécurité du 19 avril 2013 relative aux règles de sécurité applicables au Service européen pour l’action extérieure (ci-après “Décision 2013/C 190/01”). Les programmes de mise-en-œuvre des politiques de l’UE impliquant des ICUE font référence aux cadres réglementaires respectifs, en fonction du champ d’application et du groupe cible. Dans le cadre de Galileo, le système mondial de navigation par satellite développé par l’Union européenne, les informations sensibles relatives au service gouvernemental (“Public Regulated Service”, ci-après “PRS”), à savoir les informations PRS, sont protégées et gérées conformément à la Décision n° 1104/2011/ UE du Parlement européen et du Conseil du 25 octobre 2011 relative aux modalités d’accès au service public réglementé offert par le système mondial de radionavigation par satellite issu du programme Galileo (ci-après “Décision 1104/2011/UE”).

Les États membres de l’OTAN ont ratifié le Mémorandum du Conseil C-M(2002)49 au moyen de l’Accord sur la sécurité des informations entre les Parties au traité de l’Atlantique Nord du 4 avril 1949 (ou: Annexe A du C-M(2002)49 ) dans lequel les parties s’engagent à protéger les informations classifiées provenant de l’OTAN selon les principes de base décrits dans ledit document. Cet Accord a été confirmé plus récemment par l’Accord sur la sécurité des informations entre les Parties au traité de l’Atlantique Nord et ses annexes

I, II et III, fait à Bruxelles le 6 mars 1997. En Belgique, cet Accord a été ratifié et publié le 17 février 2002. La Belgique a ratifié l’Accord entre les États parties à la Convention portant création d’une Agence spatiale européenne et l’Agence spatiale européenne concernant la protection et l’échange d’informations classifiées, fait à Paris le 19 août 2002 au moyen de la loi du 2 février 2004. L’article 2 de ladite loi stipule que l’Accord sortira son plein et entier effet.

L’article 3 de l’Accord fait à Paris le 19 août 2002 stipule que les Parties mettent en œuvre les normes de sécurité ASE de manière à assurer un même niveau de protection des informations classifiées. Les normes de sécurité ASE figurent dans le Règlement de sécurité de l’Agence spatiale européenne (ESA Security Regulations, ESA/ REG/004, rév. 1), entré en vigueur le 22 octobre 2015. Les principes de sécurité et les normes minimales décrites dans les cadres réglementaires de l’UE,de l’OTAN et de l’ASE susmentionnés doivent être appliqués en

Belgique, comme indiqué dans les deux accords susmentionnés, de la même manière pour ce qui concerne les informations classifiées échangées dans le contexte de l’UE et de l’OTAN et de l’ASE. Des aspects cruciaux manquent dans la loi de 1998 concernant la protection des informations classifiées. En particulier, il est difficile de mettre en œuvre de manière efficace les mesures de protection relatives aux acteurs privés en raison de l’absence d’un cadre national exhaustif.

Cette lacune peut entraîner, entre autres, des difficultés pour l’industrie belge à se conformer aux exigences internationales en matière de protection des informations classifiées et, par conséquent, priver le secteur de certains contrats classifiés. Des accords bilatéraux de sécurité règlementent l’échange bilatéral d’informations classifiées entre États, et donc en-dehors du contexte des cadres susmentionnés.

Ces accords contiennent les principes de base pour la protection des informations classifiées et constituent, pour la plupart des pays, une condition essentielle à l’échange de ces informations. Ces accords sont indispensables à une coopération approfondie entre les services de renseignement ou en matière de défense ou de sécurité intérieure. L’industrie obtient également accès aux marchés classifiés des deux parties.

Les accords bilatéraux établissent les principes de base ainsi que les normes minimales et déterminent les autorités compétentes, mais la réglementation nationale reste toujours l’élément central régissant cette coopération. Afin d’assurer un traitement uniforme des informations classifiées échangées, une réglementation globale au niveau national est donc essentielle. La participation d’acteurs publics et privés en Belgique à ces programmes multilatéraux et bilatéraux impliquant un accès aux informations les plus sensibles nécessite, comme déjà évoqué ci-dessus, un cadre réglementaire national équivalent qui confère des pouvoirs à une autorité de sécurité compétente.

Le projet de loi soumis garantit que la Belgique sera en mesure de respecter ses engagements pris dans le cadre d’accords internationaux. Mesures de sécurité et de protection de l’information La sécurité de l’information, en ce compris la protection des informations classifiées, se fonde sur un processus d’évaluation des risques visant à ramener le

risque résiduel pour la sécurité à un niveau acceptable sur la base d’un ensemble de mesures de protection. Ce processus offre une approche proportionnée et efficace; il se retrouve également dans des normes internationales, entre autres les normes relatives à la gestion de la sécurité de l’information publiées par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI), en abrégé la série ISO/CEI 27000 et dans les cadres réglementaires susmentionnés (cf. article 5 de la Décision 2013/488/UE et point 5.1 de l’Annexe B du document C-M(2002)49).

Lors de la détermination de niveaux de classification, l’impact éventuel en cas d’une utilisation non autorisée, de perte ou de compromission est pris en compte. La loi de 1998 stipule que les classifications TRÈS SECRET, SECRET et CONFIDENTIEL sont attribuées respectivement lorsque l’utilisation inappropriée peut “porter très gravement atteinte”, “porter gravement atteinte” ou “porter atteinte” aux intérêts de la Belgique (cf. art. 4, Loi de 1998).

Les cadres règlementaires de l’UE, de l’OTAN et de l’ASE font référence à quatre niveaux de classification respectivement formulés comme suit: “pourrait causer un préjudice exceptionnellement grave”, “pourrait nuire gravement”, “pourrait nuire” et “pourrait être défavorable”. Un échange efficace d’informations classifiées dans le contexte de l’UE, de l’OTAN et de l’ASE avec la Belgique serait facilité par l’instauration de quatre niveaux belges de classification.

Un nombre différent de niveaux de classification (3 par rapport à 4 niveaux) entrave la communication dans un contexte international: en l’absence d’un niveau équivalent, il faut utiliser un niveau de classification plus élevé, ce qui entraîne des mesures de protection plus strictes et donc un accès plus difficile pour les personnes concernées. Le projet de loi soumis propose donc quatre niveaux de classification, équivalents aux niveaux existant dans le contexte multilatéral.

La protection qu’offre chacun de ces niveaux de classification consiste en un ensemble de mesures de protection minimales. Ces mesures sont réparties en cinq catégories: mesures applicables à la gestion des informations classifiées, la sécurité relative au personnel, les mesures de protection liées à des marchés publics, la sécurité physique et la sécurité des systèmes de communication et d’information (ci-après “CIS”).

Ces cinq catégories existent également dans les cadres réglementaires de l’UE,de l’OTAN et de l’ASE. La Décision 2013/488/UE traite de cette question sous ses articles 7 à 11 et développe ces dispositions dans les Annexes I à

V. Au sein de l’OTAN, le C-M(2002)49 prévoit les mêmes catégories aux points 5.3 à 5.7, et les développe plus avant dans les annexes C, D, E, F et G. Au niveau de l’ASE, ces catégories sont développées dans les sections III à VII du document ESA/REG/004.

Toutefois, ces cinq catégories ne figurent pas dans la loi de 1998. En ce qui concerne la protection des informations classifiées, la loi de 1998 traite principalement des habilitations de sécurité qui peuvent être accordées à des personnes physiques ou à des personnes morales. L’habilitation de sécurité pour une personne physique est une mesure de protection qui fait partie de la catégorie sécurité relative au personnel.

L’habilitation de sécurité pour des personnes morales appartient à la catégorie mesures de protection liées aux marchés publics. L’objectif du projet de loi soumis est de créer un cadre légal pour chacune de ces cinq catégories afin de veiller à ce que la protection des informations classifiées en Belgique sous tous ses aspects soit conforme aux engagements pris dans le cadre des accords internationaux.

Compétences de l’ANS La mise en place d’une autorité de sécurité est prévue dans des cadres multilatéraux (cf. les articles 11, 15.3 et 16.3 de la Décision 2013/488/UE et l’article 2 de l’Annexe A au document C-M(2002)49 et la Section II.2 du document ESA/REG/004). Selon la réglementation internationale, une autorité de sécurité compétente ou une “Autorité nationale de sécurité” doit veiller à la protection des informations classifiées.

Cet élément n’apparaît pas dans la loi de 1998, mais dans la pratique, le gouvernement a confié à l’ANS toutes les mesures de protection des informations classifiées. L’ANS a par exemple été reprise dans la liste des autorités de sécurité compétentes sous l’appendice C de la Décision 2013/488/UE. Toutefois, la loi de 1998 ne désigne que l’autorité de sécurité compétente pour délivrer ou retirer les habilitations de sécurité (cf. art. 15 de la loi de 1998).

La protection des informations classifiées nécessite le contrôle d’une autorité de sécurité sur les mesures de protection à mettre en place. Ce contrôle couvre à nouveau les cinq catégories de mesures de protection susmentionnées. En l’absence d’attribution de ces compétences à l’ANS, en particulier concernant les mesures de protection relatives à la protection physique et la protection des CIS, il est difficile de garantir une protection homogène des informations classifiées en Belgique.

La Commission européenne et le Conseil de l’UE ainsi que l’OTAN et l’ESA organisent régulièrement des visites d’inspection dans les États membres pour vérifier la mise en œuvre de leurs cadres réglementaires. La recommandation récurrente concerne systématiquement l’attribution pleine et entière des compétences à une autorité, afin de pouvoir

également mettre en œuvre de manière contraignante les recommandations qu’ils ont formulées. Il s’agit par exemple des compétences relatives à l’approbation des installations physiques et des SIC, y compris l’organisation des enquêtes sur le terrain, la gestion des incidents et l’enregistrement des informations classifiées. Actuellement, les informations classifiées sont principalement traitées en format numérique.

Les informations classifiées traitées numériquement impliquent l’utilisation de produits cryptographiques agréés. Le développement de ces produits de chiffrement a été décidé par le gouvernement belge. Le Conseil des ministres a alloué des budgets sur les crédits provisoires relatifs à la lutte contre le terrorisme et le radicalisme pour l’exercice 2016 et attribué le marché en décembre 2017. Ces produits cryptographiques doivent être gérés et distribués par une autorité de sécurité compétente conformément aux cadres réglementaires internationaux susmentionnés.

En Belgique, une telle autorité de sécurité n’existe qu’au sein de la Défense, sans attribution formelle de compétences au niveau national. Le développement, l’utilisation et la protection des produits nationaux de cryptage, approuvés par le gouvernement dans le cadre des mesures antiterroristes, nécessitent un cadre national conforme aux normes internationales telles que formulées au point 2. Le projet de loi soumis désigne une autorité de sécurité compétente, à savoir l’ANS, pour la protection des informations classifiées.

Par analogie avec les pratiques des pays voisins, le projet de loi prévoit certaines compétences propres en ce qui concerne la mise en œuvre des mesures de protection des informations classifiées aux autorités de sécurité de départements fédéraux pour leur propre domaine de compétence. Le projet de loi soumis prévoit une telle compétence pour la Sûreté de l’État, le Service Général du Renseignement et de la Sécurité des Forces armées (ci-après: “SGRS”) pour ce qui relève de la Défense, la Police fédérale pour ce qui relève de la Police fédérale et la Police locale pour ce qui relève de la Police locale.

Le projet de loi soumis prévoit la possibilité de percevoir une rétribution, pour les secteurs tant privé que public, pour l’ensemble des approbations et le matériel cryptographique délivrés par l’ANS. Certaines autorités en sont exemptées afin d’éviter la redistribution de moyens du budget fédéral. Le montant de la rétribution sera, le cas échéant, déterminé sur base d’une estimation des frais liés aux activités à développer.

Dispositions relatives au PRS Enfin, le 19 décembre 2013, le Conseil des ministres a désigné l’ANS comme autorité PRS responsable pour la Belgique, sur base de l’article 5 de la Décision 1104/2011/UE et précisé par la Décision déléguée de la Commission du 15 septembre 2015 “complétant la décision n° 1104/2011/UE du Parlement européen et du Conseil en ce qui concerne les normes minimales communes auxquelles doivent se conformer les autorités PRS responsables”.

Le projet de loi soumis confie les compétences nécessaires à l’ANS. L’autorité PRS responsable assure la gestion de toutes les informations PRS, l’organisation et la gestion des utilisateurs et développeurs PRS belges. Cette autorité est également compétente pour les décisions de sécurité au niveau opérationnel en cas de concrétisation de scénarios de risques préalablement définis. Le projet de loi précise les obligations liées à certaines activités PRS, à savoir l’accès pour l’utilisation du PRS, le développement et la production d’équipements PRS ainsi que l’exportation d’équipements et de technologies PRS

COMMENTAIRE DES ARTICLES

Article 1er Cet article précise le fondement constitutionnel en matière de compétence. Art. 2 L’article 2 modifie l’intitulé de la loi de 1998 afin d’indiquer que cette loi règle également des compétences de l’autorité PRS compétente. Art. 3 Il est inséré un chapitre I. Disposition générale et définitions.Afin d’avoir un meilleur aperçu des définitions utilisées dans la loi, celles-ci ont été clairement organisées dans un nouveau chapitre au début de la loi.

Art. 4 Il est inséré un article 1bis, qui contient les définitions de la loi. Les définitions figurant à l’article 13 sont déplacées, et les définitions figurant aux 1°, 2°, 3°, 4°, 5°, 8°, 9°, 10et13° à 18° du présent article sont ajoutées. La définition figurant au 11° est modifiée. Le 1° définit “les informations classifiées”. Le 2° définit “l’utilisation des informations classifiées”. Cette notion désigne l’ensemble des opérations pouvant être effectuées pendant le cycle de vie des informations classifiées, en ce compris la production, la modification du niveau de classification, la déclassification et la destruction.

Antérieurement, ces derniers aspects ne figuraient pas dans la loi sous ce concept. “Déclassement” désigne une modification, par abaissement du niveau de classification, d’une information classifiée. “Déclassification” désigne une suppression de la classification. Le 3° définit “l’installation physique”. Le 4° définit “le système d’information et de communication”. Le 5° définit “le matériel cryptographique”.

Le 6° définit “l’enquête de sécurité. Le 7° recouvre la définition de l’habilitation de sécurité. Les “garanties quant aux moyens matériels et techniques et aux méthodes utilisées pour protéger l”information classifiée’ ne font plus partie des critères d’habilitation de sécurité pour une personne morale. Ces critères ne sont pas toujours requis. La grande majorité des personnes morales autorisées ne doivent pas disposer de ces critères, étant donné qu’ils n’utiliseront jamais d’informations classifiées dans leurs installations physiques ni dans leurs systèmes informatiques.

Il est également possible que l’accès à des informations classifiées ait toujours lieu au sein d’autorités, d’institutions internationales ou d’autres personnes morales de droit privé. Dans le présent projet de loi, ces garanties correspondent aux approbations des installations physiques et des systèmes de communication et d’information tels que définis aux 8° et 9°. L’habilitation de sécurité d’une personne morale n’offre donc pas une “exemption” à l’obtention des autorisations susmentionnées.

Le 8° définit l’“approbation des systèmes d’information et de communication”. Suite à l’avis du Conseil d’État, les garanties que les SIC doivent posséder pour obtenir

l’approbation, ont été déplacées vers l’article 8 de la loi, inséré par l’article 18 du projet de loi. Le 9° définit “l’approbation des installations physiques”. Suite à l’avis du Conseil d’État, les garanties que les installations physiques doivent offrir afin d’être approuvées, ont été déplacées vers l’article 8 de la loi, Le 10° définit “l’approbation des produits cryptographiques”. Suite à l’avis du Conseil d’État, les garanties que des produits cryptographiques doivent posséder afin d’être Le 11° définit “autorité de sécurité”.

Il s’agit d’une répétition de ce qui était défini dans l’ancien article 15 de la loi, supprimé par l’article 30 de ce projet de loi. Le 12° stipule que la désignation d’un officier de sécurité au sein, entre autres, des organismes d’intérêt public ou des entreprises publiques autonomes, relève du ministre compétent. Toutefois, il n’est pas toujours possible de déterminer qui est l’unique ministre compétent.

La formulation initiale de la loi traduit le point de vue selon lequel seule l’autorité fédérale a besoin d’avoir accès à des informations classifiées. Cette réalité est néanmoins dépassée: les administrations publiques au niveau local, par exemple, ont également besoin d’avoir accès à des informations classifiées, notamment dans le cadre de l’approche intégrée de la lutte contre le terrorisme; elles doivent par conséquent disposer d’un officier de sécurité.

Dans ce contexte, il n’est pas davantage possible de déterminer qui est l’unique ministre compétent. L’adaptation proposée est destinée à permettre de réagir à une réalité changeante et de désigner à tout moment, le cas échéant, un officier de sécurité au sein des instances avec lesquelles des informations classifiées doivent être échangées. Le délégué d’un ministre compétent est toujours le chef de l’administration, à savoir le Président du Comité de direction.

Le Conseil d’État a soulevé dans son avis la question de la cohérence des articles 1bis, 12°, d) et 8, § 2 de la loi, insérés respectivement par les articles 4 et 18 du projet de loi. En particulier, la question a été posée de savoir s’il est cohérent qu’un magistrat soit titulaire d’une habilitation de sécurité lorsqu’il agit en tant qu’officier de sécurité et qu’il ne soit pas titulaire d’une habilitation

de sécurité lorsqu’il exerce les pouvoirs propres des autorités judiciaires. Toutefois, l’exception prévue à l’article 8 de la loi de 1998 est limitée aux pouvoirs propres des autorités judiciaires, qui ne comprennent pas la fonction d’officier de sécurité. Par ailleurs, cette fonction n’a été créée au sein du ministère public que par la loi du 23 février 2018 modifiant la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité.

En d’autres termes, l’exception prévue à l’article 8 de la loi de 1998 ne s’applique qu’aux magistrats dans l’exercice de leurs fonctions judiciaires. Par conséquent, l’officier de sécurité et le personnel administratif des juridictions concernées, y compris les greffiers et/ou secrétaires, doivent disposer d’une habilitation de sécurité correspondante lorsqu’ils ont accès à des informations classifiées.

Les tribunaux doivent également se conformer à toutes les autres mesures de protection requises par la loi et les règlements pour l’utilisation d’informations classifiées. Le 14° contient une référence à la Décision 1104/2011/ UE. Le 15° contient une référence au PRS issu du système mondial de radionavigation par satellite Galileo visé par la Décision 1104/2011/UE. Le 16° définit “l’accès au service public réglementé”, conformément à la Décision Déléguée de la Commission du 15.09 2015 complétant la décision n° 1104/2011/UE du Parlement européen et du Conseil en ce qui concerne les normes minimales communes (common minimum standards) auxquelles doivent se conformer les autorités PRS responsables” (ci-après “CMS”).

Le 17° définit “la communauté d’utilisateurs” comme stipulé dans les CMS. Le 18° définit l’“équipement” comme stipulé dans les CMS. Le 19° définit “les technologies” comme stipulé dans Art. 5 Il est inséré un chapitre Ibis de manière à regrouper les compétences de l’ANS dans un seul chapitre, et à ne plus éparpiller les dispositions y relatives dans la loi.

Art. 6 L’insertion de l’article 1ter ancre dans la loi l’ANS, créée par l’arrêté royal du 24 mars 2000 portant exécution de et aux habilitations, attestations et avis de sécurité. Ce dernier, ainsi que les actes administratifs actuellement en vigueur fixant le mode de fonctionnement et l’organisation de l’ANS, continuent à s’appliquer. En réponse aux observations de la Commission Permanente du de la police intégrée et du Conseil des Bourgmestres visant à désigner la police locale comme membre de l’ANS, il peut être communiqué que la composition de l’ANS, si d’application, est déterminée par un arrêté royal délibéré en Conseil des ministres.

Art. 7 L’insertion de l’article 1quater détermine les compétences de l’ANS. L’ANS est compétente pour la protection des informations classifiées, la mise en œuvre de vérifications de sécurité pour la délivrance et le retrait d’attestations et d’avis de sécurité, l’intervention en tant qu’autorité belge assumant la responsabilité pour le PRS issu du système mondial de radionavigation par satellite Galileo de l’Union européenne.

Les compétences de l’ANS en matière d’informations classifiées sont élargies de manière à permettre l’exercice de la protection des informations classifiées “sous tous ses aspects”, tant à l’échelle nationale qu’internationale, sans la limiter aux habilitations de sécurité. Comme indiqué précédemment au point 4 des Dispositions générales du présent Exposé des motifs, des compétences supplémentaires relatives à la protection des informations classifiées telles que mentionnées dans les cadres réglementaires de l’UE, de l’OTAN et de l’ASE sont transposées dans la réglementation belge au moyen du présent projet de loi.

Suite à l’avis du Conseil d’État concernant cet article, les compétences de l’ANS dans la loi de 1998 concernant les habilitations de sécurité, les attestations de sécurité, les avis de sécurité et les approbations d’installations physiques, SIC et produits cryptographiques, telles que visées par les différents articles de la loi, ont été harmonisées. Le 3° stipule qu’en ce qui concerne la protection des informations classifiées, l’ANS exerce aussi une fonction de contrôle; dans le cadre de celle-ci, elle est autorisée à vérifier sur place la mise-en-œuvre des mesures de protection.

Le 4° rappelle que l’ANS est compétente pour la délivrance, la modification, la suspension et le retrait des habilitations de sécurité. Le 5° détermine la compétence de l’ANS en matière de délivrance et de retrait d’attestations de sécurité et d’avis de sécurité. Les 6° et 7° attribuent à l’ANS la compétence de procéder à la délivrance, la modification, la suspension et le retrait de l’approbation d’installations physiques et SIC.

Il s’agit des approbations – délivrées par l’ANS – permettant d’utiliser les informations classifiées au sein des installations physiques ou des SIC pour lesquels une demande a été introduite. Les approbations impliquent un contrôle du dossier d’approbation, incluant le cas échéant une enquête sur le terrain. L’enquête sur le terrain dont font l’objet les installations physiques comprend entre autres un contrôle des mesures mises en place et, si besoin est, un contrôle des contre-mesures de surveillance technique.

L’approbation de SIC comprend également un contrôle des mesures mises en place incluant le cas échéant des tests de pénétration ou des analyses de vulnérabilité. L’ANS intervient en pareil cas en tant qu’autorité d’approbation de sécurité (Security Accreditation Authority, SAA). Les SIC émettent des rayonnements électromagnétiques. Des puissances étrangères utilisent certaines techniques pour intercepter ce rayonnement électromagnétique et éventuellement compromettre les informations classifiées.

Pour la protection des informations classifiées, l’ANS détermine dès lors des mesures de protection. Ces mesures de protection sont désignées sous le terme “mesures TEMPEST”. Dans le cadre d’approbations de SIC, l’ANS peut effectuer ou faire effectuer des mesurages TEMPEST. Si le niveau de classification le requiert, un contrôle est mené afin de vérifier si les mesures destinées à prévenir toute compromission par émissions électromagnétiques suffisent pour le SIC concerné.

L’ANS intervient en pareil cas en tant qu’autorité nationale TEMPEST (TA). La compétence d’intervention en tant qu’autorité responsable en matière d’assurance de l’information relève également du 6°. Dans le contexte de l’UE, il s’agit de l’“autorité chargée de l’assurance de l’information” (Information Assurance Authority) aux termes de l’article 10 de la Décision UE/488/2013, tandis que l’OTAN se réfère à l’Agence nationale de systèmes d’information et de communications (National Communications Security Authority, NCSA) (Annexe F du C-M(2002)49).

Le 8° attribue à l’ANS la compétence de délivrer, modifier, suspendre ou retirer des approbation des produits cryptographiques. L’approbation conférée à certains produits cryptographiques permet leur utilisation en tant que mesure de protection d’informations classifiées utilisée dans des SIC. L’approbation peut porter sur des produits développés au niveau national ou à l’étranger. L’attribution de cette compétence est nécessaire pour permettre l’approbation, par des partenaires internationaux, conformément à des normes de sécurité fixées à l’échelon international, de produits cryptographiques développés au niveau national, entre autres les produits déterminés par le Conseil des ministres en date du 14 décembre 2017 dans le cadre de la notification 17.

L’approbation internationale permet d’utiliser également les produits concernés pour la protection d’informations classifiées de l’UE, de l’OTAN et de l’ASE. En pareil cas, l’ANS intervient en tant qu’“autorité pour l’approbation des produits de cryptage” (Crypto Approval Authority, CAA). Le 9° attribue à l’ANS la compétence de gérer le matériel cryptographique destiné à la protection d’informations classifiées, clés de cryptage comprises en Belgique.

La gestion comprend également la distribution aux utilisateurs du matériel cryptographique national et international. Le matériel cryptographique international est le matériel utilisé principalement, mais pas exclusivement, dans le contexte de l’UE, de l’OTAN et de l’ASE. L’ANS conserve de cette manière le contrôle des utilisateurs belges de ce matériel sensible, une obligation qui figure par ailleurs dans la réglementation internationale.

Actuellement, cette fonction est assurée, pour l’utilisation de ces produits au sein de la Défense, par le SGRS La mention de cette fonction dans la loi examinée vise à permettre l’attribution formelle de cette compétence en dehors du contexte de la Défense.L’ANS reçoit cette compétence et intervient en pareil cas en tant qu’“Autorité pour la distribution des produits de cryptage” (Crypto Distribution Authority, CDA).

Le 10° rappelle que la décision n° 1104/2011/UE du 25 octobre 2011 du Parlement européen et du Conseil relative aux modalités d’accès au service public réglementé offert par le système mondial de radionavigation par satellite issu du programme Galileo (ci-après “Décision 1104/2011/UE”) impose aux États membres de mettre en place une autorité assumant la responsabilité pour le PRS”issu du système mondial de radionavigation par satellite Galileo.

Cette autorité est désignée sous l’appellation “Competent PRS Authority” (ci-après “CPA”). Dans le cadre de Galileo, le PRS est le signal sécurisé pouvant être utilisé par les autorités publiques. Toute CPA est compétente pour l’organisation et la sécurité du PRS, ainsi que pour l’octroi aux utilisateurs et développeurs de l’accès au PRS. La CPA constitue par ailleurs la passerelle sécurisée obligatoire directe vers le Centre

de surveillance de la sécurité Galileo (Galileo Security Monitoring Centre) (ci-après: GSMC). Le GSMC assure la veille de sécurité (security monitoring) des segments terrestres et spatiaux de Galileo. En ce qui concerne le signal PRS, le GSMC fournit entre autres à une CPA, sur demande de cette dernière, les clés de cryptage et traite les demandes spécifiques en matière de navigation et de positionnement.

Ce type d’intervention implique par exemple, durant une période déterminée et pour une position déterminée, une limitation du signal PRS à certains utilisateurs. Les missions de la CPA sont définies dans la Décision déléguée de la Commission du 15 septembre 2015 “complétant la décision n° 1104/2011/UE du Parlement européen et du Conseil en ce qui concerne les normes minimales communes auxquelles doivent se conformer les autorités PRS responsables”, en abrégé CMS.

En raison du caractère sensible des informations qu’il contient, ce document n’a pas été publié au Journal officiel de l’Union européenne et est uniquement consultable par les CPA et utilisateurs autorisés par l’UE. Par décision du Conseil des ministres du 19/12/2013, l’ANS a été désignée en tant que CPA pour la Belgique. Cette décision est à présent ancrée dans la loi. Le 11° attribue à l’ANS la compétence en matière de coopération internationale dans le cadre de la loi examinée.

Le cas échéant, l’ANS conclut des accords destinés à concrétiser la coopération. Les accords relatifs à la protection mutuelle et aux échanges d’informations classifiées en sont un exemple. La possibilité pour le Roi d’octroyer à l’ANS, par arrêté délibéré en Conseil des ministres et après avis du Conseil National de Sécurité, des missions supplémentaires, a été omise suite à l’avis du Conseil d’État.

Art. 8 L’article 1quinquies attribue des compétences propres à la Sûreté de l’État, au SGRS, à la Police fédérale et à la Police locale. La Sûreté de l’État conserve sa compétence en matière de délivrance, de modification, de suspension ou de retrait des habilitations de sécurité pour son propre personnel. En outre, il exerce les compétences telles que formulées à l’article 1quater, 3°, 4°, 5° en ce qui concerne la délivrance et le retrait des attestations de sécurité, 6°, 7° et 11° pour ce qui concerne ses propres activités, installations physiques et SIC.

Le SGRS exerce les compétences telles que formulées à l’article 1quater, 3°, 4°, 5° en ce qui concerne la

délivrance et le retrait des attestations de sécurité, 6° à 9° et 11° en ce qui concerne la Défense. Il conserve la compétence en matière de délivrance, modification, suspension ou de retrait des habilitations de sécurité pour le personnel de la Défense. Les habilitations de sécurité pour des personnes physiques autres que le personnel de la Défense, par exemple le personnel de firmes de sous-traitance, ne tombent pas dans le champ d’application du présent alinéa.

Sortent également du champ d’application les habilitations de sécurité pour des personnes morales actives dans le domaine de la Défense, mais ne relevant pas de la Défense, de manière à garantir une gestion centralisée et un traitement équitable des personnes morales actives en Belgique. De plus, le SGRS est autorisé à exercer pour la Défense les fonctions de SAA, CAA, CDA et TA conformément à la politique de sécurité de l’ANS.

Le SGRS peut également organiser à cet effet la coopération internationale pour la Défense. En outre, c’est la compétence du SGRS de délivrer des avis de sécurité, comme prévue dans la loi du 28 février 2007 fixant le statut des militaires et candidats militaires du cadre actif des Forces armées. La Police fédérale exerce les compétences telles que formulées à l’article 1quater, 5°, en ce qui concerne la délivrance et le retrait des attestations de sécurité et 11° pour ce qui concerne la Police fédérale.

Elle se voit attribuer la compétence en matière de délivrance ou de retrait des attestations de sécurité pour son propre personnel et ses fournisseurs de biens et services. Les zones de police locale peuvent délivrer et retirer des attestations de sécurité, tel que formulé à l’article 1quater, 5°, pour ce qui les concernent, comme le personnel propre et les fournisseurs de biens et services de leurs zones respectives.

Ces compétences sont exercées de manière autonome par ces services dans leur domaine et ne sont, dans ce cas, pas ou plus assumées par l’ANS. Les services aux compétences propres disposent déjà de leur propre organe de contrôle, qui exerce la surveillance sur leur fonctionnement. La conformité à la politique de sécurité, comme déterminée par l’ANS, est exigée dans tous les cas. Au dernier alinéa de l’article 1quinquies, il est indiqué, en réponse à la remarque du Comité permanent de Contrôle des services de renseignement et de sécurité concernant les personnes compétentes au sein des instances énumérées à l’article 1quinquies, à qui cette compétence est octroyée.

Les cas dans lesquels ce

pouvoir peut être utilisé restent inchangés et sont traités à l’article 22ter de la présente loi. Tant l’avis du Conseil des Bourgmestres que celui de la Commission Permanente de la Police Locale indique que “la police locale ne peut pas être systématiquement chargée de mener les enquêtes relatives aux attestations et aux avis de sécurité à délivrer”. Le législateur est d’accord, cette tâche incombe en premier lieu aux services de l’ANS qui effectuent la vérification de la sécurité.

La modification de la loi confirme la possibilité pour la Police locale de délivrer des attestations de sécurité pour son propre personnel et pour les fournisseurs et prestataires de services de ses propres zones de police. Cela se fait sur la base d’une décision de la Police et se distingue des vérifications de sécurité effectuées par l’ANS. Dans ce contexte, il n’est pas impossible que des demandes soient introduites auprès de la Police locale, mais ce n’est donc pas systématiquement le cas pour toutes les attestations et tous les avis de sécurité vu que ce processus est déjà réalisé par la police fédérale.

Art. 9 L’article 1sexies prévoit la possibilité de prendre des mesures lorsque les règles ne sont pas ou plus respectées et les garanties liées aux habilitations de sécurité et aux approbations visées à l’article 1bis, 8°, 9° et 10° ne sont plus présentes. En pareils cas, les décisions de l’ANS peuvent être modifiées, suspendues et/ou retirées. Il s’agit des décisions relatives à l’octroi d’habilitations de sécurité et l’approbation d’installations physiques, de SIC et de produits cryptographiques.

Suite à la remarque de Conseil d’État concernant l’article 1sexies, les dispositions sur les compétences de l’ANS en matière d’habilitations de sécurité et approbations d’installations physiques, de SIC et de produits cryptographiques ont été coordonnées dans le projet de loi entier afin d’assurer un usage de la langue cohérent. Art. 10 L’article 1septies confère une compétence de contrôle et d’inspection à l’ANS.

Celle-ci comprend la compétence de contrôle et d’inspection en matière d’informations classifiées destinée à permettre de vérifier si les mesures de protection ont été mises en place de manière correcte. L’ANS peut effectuer des inspections et des contrôles de sa propre initiative ou à la demande de services ou de personnes morales qui utilisent ces informations

classifiées. Les inspections et les contrôles sont organisés le cas échéant en coordination avec le pouvoir adjudicateur concerné, des institutions internationales ou conformément aux dispositions des accords bilatéraux Lorsque des manquements ou des infractions sont constatés, des mesures correctives et un plan de mise en œuvre ad hoc doivent être proposés à l’ANS. L’ANS peut effectuer des contrôles et des inspections en coordination avec les instances compétentes en vue du suivi et de l’évaluation de contrôles antérieurs.

Les contrôles et les inspections peuvent être organisés en l’absence d’un accord préalable avec les services ou personnes morales concernées. Par ailleurs, des visites sur place ayant fait l’objet d’un accord préalable restent possibles. Celles-ci sont par exemple destinées à évaluer la politique menée, ou peuvent s’inscrire dans le cadre de visites de services compétents pour la protection des informations classifiées d’organisations internationales telles que l’UE, l’OTAN et l’ASE.

Les contrôles et les inspections relatifs à la Sûreté de l’État et les contrôles au sein de la Défense sont effectués, respectivement, par la Sûreté de l’État ellemême ou par le SGRS. En pareil cas, l’ANS n’est pas impliquée et n’exerce pas de fonction de contrôle. Art. 11 Un nouveau chapitre Iter “L’officier de sécurité” est inséré. Art. 12 L’article 1octies contient les dispositions de l’ancien article 13/1.

Les missions de l’officier de sécurité prévues au paragraphe 1er sont réécrites pour les rendre plus lisibles. Le 1° porte sur le respect des règles relatives aux informations classifiées. Les règles relatives aux habilitations de sécurité en font partie, y compris celles relatives au “suivi”, en particulier en ce qui concerne la communication d’éléments, relatifs aux personnes qui ont reçu une habilitation de sécurité, pouvant entraîner une modification, une suspension ou un retrait de cette habilitation de sécurité.

Le 2° porte sur les attestations de sécurité et les avis de sécurité. Les règles relatives au suivi, en particulier en ce qui concerne la communication d’éléments pouvant

entraîner un retrait de l’avis de sécurité ou de l’attestation de sécurité, sont incluses ici. Le deuxième paragraphe est élargi, afin que le Roi puisse confier toutes autres tâches dans le cadre de l’application de la présente loi à l’officier de sécurité. Art. 13 À l’article 3, § 1er, le terme “informations classifiées”, tel que défini à l’article 1bis, 1°, est inséré. De plus, il est ajouté “être défavorable” pour le quatrième niveau de classification RESTREINT, conformément à l’article 4, alinéa 5.

Art. 14 À l’article 4, il est inséré un quatrième niveau de classification RESTREINT, dans la même logique que celle appliquée aux classifications existantes. Les classifications sont attribuées en fonction de l’ampleur du préjudice causé par une éventuelle compromission aux intérêts spécifiés à l’article 3, § 1er. Le niveau RESTREINT est attribué lorsque l’utilisation inappropriée peut être défavorable à un de ces intérêts.

Les motifs de classification restent maintenus. Sauf si une autorité compétente des services de police le décide explicitement, l’information policière, visée à l’article 44/1 de la loi du 5 août 1992 sur la fonction de police, ne fait pas l’objet d’une classification du niveau RESTREINT ou supérieur. Le quatrième niveau de classification permet d’offrir la protection juridique aux informations sensibles qui s’inscrivent dans le cadre de la définition de cet article.

De manière à garantir la proportionnalité des mesures de protection, toutes les mesures ne sont pas d’application à tous les niveaux de classification. Le niveau RESTREINT ne requiert pas d’habilitations ou de vérifications de sécurité, par exemple. Au niveau des mesures de protection applicables aux installations physiques et aux SIC, des mesures moins strictes sont également requises, par exemple: — pour la conservation de l’information au niveau RESTREINT, une chambre forte n’est pas exigée, un tiroir verrouillable suffit; — TEMPEST ne s’applique pas à la classification RESTREINT; — les produits cryptographiques pour les données en transit sont plus simples d’utilisation et ont un impact

budgétaire moins important que les produits cryptographiques approuvés pour les classifications supérieures; — sur le plan de la gestion, les obligations administratives sont moindres et l’enregistrement pendant la totalité du cycle de vie n’est pas exigé. Étant donné que la classification RESTREINT bénéficie d’une protection qui n’est pas moins stricte que celle dont bénéficient ses équivalents à l’échelle internationale, l’échange et l’utilisation d’informations classifiées RESTREINT UE/EU RESTRICTED, NATO RESTRICTED et ESA-RESTRICTED sont facilités.

Ceci facilite la communication entre les acteurs belges et les partenaires internationaux en raison des investissements moindres incombant à la Belgique. Un nombre de niveaux de classification différent (3 au lieu de 4 niveaux) complique en effet la communication dans le contexte international: lorsqu’il n’existe pas de niveau équivalent, il convient d’opter pour la classification supérieure, avec pour conséquence des mesures de protection plus strictes.

Ces mesures impliquent des investissements plus élevés et l’accès des justiciables aux informations est rendu plus compliqué. La définition qui figurait dans le dernier alinéa a été déplacée à l’article 1bis, 2°, et a été adaptée en ce sens que l’utilisation couvre également la production, la modification du niveau de classification, la déclassification et la destruction. Le niveau de classification RESTREINT peut se présenter comme un niveau de classification général d’un ensemble à classifier mais aussi comme le marquage d’une partie spécifique d’un ensemble plus large.

En réponse à la question du Collège des Procureurs généraux visant à clarifier l’utilisation d’information classifiée RESTREINT dans un procès-verbal ouvert, il peut être fait référence au marquage d’une “partie spécifique de l”ensemble’. Si la partie classifiée, par exemple l’auteur/la source du document, est omise, la partie restante du document peut, comme convenu avec l’auteur, être utilisée dans le procès-verbal ouvert.

Art. 15 À l’article 5bis, la référence à l’article 3, i), est remplacée par l’article 3, § 1er, i).

Art. 16 À l’article 6, il est inséré une formulation adéquate de la portée des accords internationaux. Art. 17 À l’article 7, l’alinéa 1er est modifié et cinq catégories de mesures de protection sont énumérées. Les mesures de protection à mettre en place sont déterminées par le Roi, par arrêté délibéré en Conseil des ministres. Les cinq catégories sont basées sur les cadres réglementaires de l’Union européenne, de l’OTAN et de l’ASE (cf. supra).

Le 1° comprend les mesures de protection applicables à la gestion des informations classifiées. Il s’agit de mesures administratives destinées à contribuer à un meilleur contrôle des informations classifiées tout au long de leur cycle de vie. Par exemple, les informations classifiées doivent, à partir d’un niveau de classification déterminé, être inscrites dans un registre dès l’étape de leur production.

Il peut s’agir d’un registre électronique ou papier. L’utilisation d’informations classifiées figurera également dans ce registre. Les mesures de gestion désignent par exemple les notes de transmission d’informations classifiées ou les mesures prises après une compromission présumée de manière à éviter d’éventuels dommages supplémentaires, à rétablir la situation et à contribuer à l’identification des responsables.

Le 2° comprend les mesures de protection physiques. Il s’agit des mesures de protection des locaux, bâtiments, terrains, bureaux et autres zones où des informations classifiées sont utilisées. Ces mesures englobent entre autres les enceintes physiques, les serrures, les meubles de sécurité, mais peuvent tout autant désigner des systèmes informatisés tels des systèmes d’alarme ou la surveillance au moyen de caméras.

Ces mesures s’appuient sur des normes internationalement reconnues (par exemple EN/NBN 1628:2011). Le 3° comprend les mesures de protection des SIC traitant des informations classifiées. Ce sont les mesures qui contribuent à l’assurance de l’information et à la garantie des propriétés de confidentialité, intégrité, disponibilité, non-répudiation et authenticité. Ces mesures, en ce compris leur mise en œuvre, sont désignées par le terme INFOSEC.

L’application d’une série de mesures de protection intervient sur la base de la gestion des

risques de sécurité et d’une évaluation des risques, dans l’optique de la mise en place d’un niveau de protection proportionné impliquant un équilibre acceptable entre les besoins des utilisateurs, l’investissement requis et le risque de sécurité résiduel. Les mesures techniques et non techniques de protection des SIC traitant des informations classifiées peuvent notamment être de cinq ordres: — protection des systèmes: sécurité des matériels et logiciels entre autres; — protection des communications: sécurité des réseaux, des services hébergés à l’extérieur, entre autres; — protection des applications contre les utilisations abusives; — procédures de planification, de passation de marchés et de travaux de maintenance; — monitoring, journalisation (logging) et établissement de rapports dans le but de mettre en place une solution de “Security Information and Event Management” au moyen des informations pertinentes en matière de sûreté.

Le 4° comprend les mesures de protection relatives aux personnes. Ces mesures englobent les contrôles et mesures de suivi qui offrent un degré de sécurité garantissant que les personnes physiques respectent les règles de sécurité lorsqu’elles ont accès à des informations classifiées. Les habilitations de sécurité, les briefings de sécurité et les programmes de sensibilisation sont des exemples de mesures de protection relatives aux personnes.

Le 5° comprend les mesures de protection relatives aux marchés publics. Ces mesures englobent les contrôles et mesures administratives qui offrent un degré de sécurité garantissant que les personnes morales respectent les règles de sécurité lorsqu’elles exécutent des contrats classifiés ou mènent des négociations précontractuelles. Ces mesures sont désignées sous le terme “mesures de protection liées à des marchés publics”.

Le terme “contrat classifié” désigne un contrat ou une partie de contrat en vue de la fourniture de biens, de la réalisation de travaux ou de la prestation de services, dont l’exécution requiert l’utilisation d’informations classifiées. Les contrats classifiés émanent en premier lieu d’une autorité. En cas de sous-traitance d’un contrat ou d’une

partie de contrat, les mesures de protection sont également d’application aux sous-contractants. Les personnes morales ayant accès aux informations classifiées de niveau CONFIDENTIEL ou supérieur sont également soumises à une enquête de sécurité avant l’octroi d’une habilitation de sécurité. Les procédures d’organisation de visites classifiées ou de transports d’informations classifiées de niveau CONFIDENTIEL ou supérieur constituent d’autres exemples desdites mesures.

Le Roi détermine, par arrêté délibéré en Conseil des ministres, les modalités concernant les procédures d’approbations. Art. 18 L’article 8 soumettait l’accès aux informations classifiées à deux obligations: disposer d’une habilitation de sécurité et du besoin d’en connaître. Il est ajouté un premier paragraphe, qui stipule que la mise en place des mesures de protection visées à l’article 7 est requise pour toute utilisation d’informations classifiées.

Il est ajouté à l’article 8, § 2, une troisième condition régissant l’accès aux informations classifiées, conformément aux cadres réglementaires de l’UE, de l’OTAN et de l’ASE, à savoir le briefing de sécurité. Le briefing de sécurité est une instruction sur les responsabilités, qui informe la personne concernée quant aux règles d’utilisation des informations classifiées. Les compétences de la Cellule de traitement des informations financières (CTIF), une autorité administrative indépendante avec personnalité juridique et sous la tutelle des ministres de la Justice et des Finances, ne sont plus dispensées de l’obligation de disposer d’une habilitation de sécurité pour accéder aux informations classifiées.

Dans la pratique, tous ses membres disposent d’une telle habilitation. Cette exemption n’est plus justifiée. En réponse à l’avis du Conseil d’État concernant l’ampleur de l’article 8, § 2, et plus particulièrement de la notion “autorité judiciaire”, il peut être communiqué que cette notion vise en effet tant les cours et tribunaux que les juridictions administratives, instituées par la loi. Il est ajouté un alinéa 3 dans le deuxième paragraphe, également en conformité avec les cadres réglementaires de l’UE, de l’OTAN et de l’ASE, qui stipule qu’une habilitation de sécurité n’est pas requise pour l’accès aux informations classifiées du niveau de classification RESTREINT.

Il est ajouté une dérogation au besoin d’en connaître pour l’exercice d’une fonction ou d’une mission afin de rencontrer le besoin des services publics de mieux protéger leurs informations sensibles dans des situations spécifiques. Plus précisément, il s’agit de donner accès à des informations revêtues d’une classification de niveau RESTREINT à des personnes qui ont besoin d’en connaître pour des finalités autres que le contexte professionnel.

Un exemple concret est celui de la communication d’informations d’une autorité à une personne physique dans le cadre d’une procédure contentieuse. L’autorité d’origine notifie dans ce cas que l’utilisation des informations classifiées de niveau RESTREINT est limitée à cette seule procédure. Compte tenu de la classification au niveau RESTREINT, l’utilisation de ces informations en dehors de cette unique procédure est dans ce cas punissable.

Par la protection de la classification, les informations sont mieux protégées dans cette procédure qu’auparavant, avec l’utilisation du marquage “Diffusion restreinte”, tel visé à l’article 20 de l’arrêté royal du 24 mars 2000. Étant donné les mesures de protection des SIC applicables lors de l’utilisation des informations classifiées de niveau RESTREINT, seule une version papier est déposée dans le dossier administratif accessible à la personne concernée.

L’autorité d’origine notifie à la personne concernée les mesures de sécurité qu’elle doit respecter (par exemple pas d’utilisation avec un SIC non-approuvée, conservation dans une armoire verrouillée ou pas de diffusion en dehors de la procédure concernée). Il n’est pas opportun d’imposer des mesures plus strictes au niveau national, celles-ci ayant un impact budgétaire plus important qui peut entraîner un désavantage concurrentiel.

En cas d’une approche plus stricte, impliquant par conséquent un niveau de protection non équivalent, la coopération internationale requise pour la délivrance d’une habilitation de sécurité à des non- Belges s’en trouverait fortement compliquée. L’article 8, § 3, stipule que l’installation physique doit obtenir l’approbation de l’ANS pour la conservation d’informations classifiées du niveau CONFIDENTIEL ou supérieur.

La conservation d’informations classifiées durant une mission à l’étranger ne relève pas de la conservation, mais de transport; elle n’impose dès lors pas l’approbation de l’installation physique. Conformément à l’avis du Conseil d’État, un deuxième alinéa a été inséré au paragraphe 3, déterminant qu’une installation physique peut être approuvée lorsqu’elle offre suffisamment de garanties pour prévenir, détecter et/ou ralentir l’accès non autorisé à des informations

classifiées. Ces conditions étaient auparavant reprises dans la définition d’installation physique. L’article 8, § 4, stipule que les informations classifiées existant sous forme électronique ne peuvent être utilisées que dans des SIC approuvés. La procédure d’approbation peut varier en fonction du niveau des informations classifiées qui y sont utilisées. En outre, la transmission de ces informations ne peut se faire qu’au moyen de produits cryptographiques approuvés.

Conformément à l’avis du Conseil d’État, un deuxième et troisième alinéa, qui contiennent les conditions d’approbation de SIC et des produits cryptographiques ont été ajoutés au paragraphe 4. L’approbation des SIC vise à obtenir l’assurance que les informations classifiées et les SIC font l’objet d’un niveau suffisant de protection et que toutes les mesures de sécurité appropriées ont été mises en œuvre par rapport aux propriétés suivantes: (a) confidentialité: la propriété selon laquelle les informations ne sont pas révélées ou divulguées à des personnes non autorisées et l’accès à ces informations n’est pas accordé à des processus non autorisés; (b) intégrité: la propriété consistant à préserver l’exactitude et le caractère complet des informations et actifs; (c) disponibilité: la caractéristique d’être accessible et utilisable, à la demande d’un utilisateur autorisé.

Les propriétés suivantes peuvent également être requises: (d) authenticité: la garantie que l’information est authentique et non falsifiée et émane de sources dignes de foi; (e) non-répudiation: la possibilité de prouver qu’une action ou un événement a eu lieu, de sorte que cet action ou événement ne peut être contesté par la suite. L’approbation comprend, outre le système technique, l’ensemble des éléments fonctionnels nécessaires pour le faire fonctionner, y compris l’infrastructure, l’organisation, le personnel et les ressources d’information.

Le troisième alinéa du paragraphe 4 décrit aussi les différentes propriétés qu’un produit cryptographique doit posséder. Ces conditions étaient auparavant reprises dans la définition d’approbation de SIC et de produits cryptographiques. Art. 19 À l’article 8bis, la référence à l’ANS est modifiée. Art. 20 À l’article 9, le terme “informations classifiées” tel qu’il est défini à l’article 1bis, 1° est inséré.

Art. 21 À l’article 10, le terme “informations classifiées” tel qu’il est défini à l’article 1bis, 1°, est inséré et la référence à l’article 4 est abrogé, vu le remplacement de l’article 4 et la nouvelle définition de “l’utilisation des informations classifiées”. L’article 10 est également complété par deux nouveaux alinéas concernant l’utilisation de marquages supplémentaires et le consentement pour l’utilisation au-delà de la limitation imposée.

En pareil cas, des marquages spécifiques sont apposés dans le but d’indiquer que certaines informations classifiées doivent être maintenues au sein d’un groupe cible. Le marquage BELGIAN EYES ONLY, par exemple, limite les destinataires aux acteurs belges. Art. 22 À l’article 11, le champ d’application d’éventuelles sanctions est élargi: outre le titulaire d’une habilitation de sécurité (visé au § 1er qui reste inchangé), toutes les autres personnes physiques et morales peuvent également être sanctionnées en cas d’utilisation inappropriée d’informations classifiées.

L’élargissement du champ d’application s’impose afin de protéger de manière adéquate les informations classifiées contre toute utilisation inappropriée par des personnes qui ne sont pas ou plus titulaires d’une

L’élargissement doit aussi permettre de sanctionner des infractions contre l’utilisation appropriée d’informations classifiées de niveau RESTREINT puisqu’une habilitation de sécurité n’est pas requise pour l’accès à ce type d’informations. Une comparaison avec l’approche choisie par les pays voisins révèle que la fuite délibérée ou accidentelle d’informations classifiées est sanctionnée, qu’elle soit imputable à des personnes titulaires ou non d’une habilitation de sécurité.

Le quantum de la sanction est suffisamment large et permet d’une part une modulation entre les infractions commises par les personnes titulaires ou non d’une habilitation de sécurité et tient compte d’autre part du niveau de classification des informations ayant fait l’objet de l’infraction. Les personnes qui se rendent coupables de participation à l’utilisation inappropriée d’informations classifiées sont punissables conformément aux dispositions du chapitre VII du Code pénal.

Dans son avis, le Conseil d’État relève que, conçue de manière aussi large, l’incrimination visée au paragraphe 4 (pour les non titulaires d’une habilitation qui diffuse l’information classifiée sans intention malveillante) pourrait soulever des difficultés au regard des droits protégés par l’article 10 de la Convention européenne des droits de l’homme, singulièrement le droit à la liberté d’expression et d’information.

Le Conseil d’État enjoint à évaluer si la sanction d’une divulgation non autorisée d’informations classifiées est nécessaire dans une société démocratique. Comme le dit lui-même le Conseil d’État, la liberté d’expression n’est pas un droit absolu et des exceptions sont possibles si elles sont prévues dans une loi et constituent des mesures nécessaires, dans une société démocratique, à la sécurité nationale, à l’intégrité territoriale ou à la sûreté publique, à la défense de l’ordre et à la prévention du crime, à la protection de la santé ou de la morale, à la protection de la réputation ou des droits d’autrui, pour empêcher la divulgation d’informations confidentielles ou pour garantir l’autorité et l’impartialité du pouvoir judiciaire.

Il convient de rappeler qu’une information ne peut être classifiée que si son utilisation inappropriée peut porter atteinte à un des intérêts fondamentaux du pays cités exhaustivement à l’article 3, § 1er, de la loi 1998.

Concrètement, une utilisation inappropriée d’une information classifiée peut par exemple mettre en danger des agents d’un service de renseignement, des policiers infiltrés, un témoin protégé, une source, des ressortissants belges à l’étranger ou des forces armées belges ou alliées. Il s’agit donc de faire priorité à l’intégrité physique des personnes. Une telle utilisation inappropriée peut également aggraver un conflit en cours, mettre de l’huile sur le feu dans le cadre de relations diplomatiques tendues avec toutes les conséquences que cela peut impliquer.

Il s’agit ici de préserver la sécurité nationale. Le législateur a estimé qu’il était nécessaire dans une société démocratique de protéger ces intérêts fondamentaux en fixant des règles de protection strictes des informations dont le contenu touche à ces intérêts. Bien entendu, une protection ne peut être efficace que s’il existe des sanctions en cas de non-respect des mesures imposées. Il est évident que ces sanctions doivent être applicables peu importe l’auteur de l’utilisation inappropriée, car les dégâts possibles se produisent indépendamment de la qualité ou de la profession de l’auteur de la divulgation.

L’article 10 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales prévoit d’ailleurs expressément la possibilité que la liberté d’expression soit soumise à des restrictions et des sanctions lorsque ces mesures sont nécessaires, dans une société démocratique, à la sécurité nationale pour empêcher la divulgation d’informations confidentielles. Il est attiré l’attention sur le fait qu’une condition est prévue pour qu’une personne puisse être sanctionnée: le fait qu’elle sache ou devrait savoir qu’une divulgation est susceptible de porter atteinte à un des intérêts fondamentaux cités à l’article 3, § 1er, de la loi de 1998.

Dès lors, la personne qui divulgue par exemple une information classifiée dont le marquage a été effacé et dont elle ne pouvait pas comprendre du contenu que cela pouvait porter préjudice, ne sera jamais sanctionnée. Néanmoins pour tenir compte de l’avis du Conseil d’État et du Comité R, le paragraphe 4 a été adapté. Il est maintenant composé de trois alinéas. Le premier alinéa incrimine la personne qui rend publiques des informations classifiées et qui sait ou devrait savoir qu’une divulgation est susceptible de porter atteinte à l’intégrité physique d’une personne.

Dans ce cas, aucune exception n’est possible, la liberté

d’expression ne pouvant jamais avoir primauté sur le droit à l’intégrité physique. Le deuxième alinéa reprend l’incrimination prévue initialement au paragraphe 4: est sanctionnée la personne qui rend publiques des informations classifiées et qui sait ou devrait savoir qu’une divulgation est susceptible de porter atteinte à un des intérêts fondamentaux visés à l’article 3, § 1er, de la loi de 1998. Le troisième alinéa prévoit deux exceptions à l’alinéa précédent: — si la personne exerce son droit à la liberté de la presse à condition que la diffusion ait lieu dans le but de protéger l’intérêt public général, ou si la personne diffuse les informations classifiées pour révéler une faute grave, un acte répréhensible grave ou une activité illégale grave d’une autorité publique, et ce dans le but de protéger l’intérêt public général.

En ce qui concerne la première hypothèse, la Cour européenne des Droits de l’Homme rappelle certaines limites de la liberté de la presse: “Ces principes revêtent une importance particulière pour la presse: si elle ne doit pas franchir les bornes fixées en vue, notamment, de préserver la “sécurité nationale” ou de “garantir l’autorité du pouvoir judiciaire”, il lui incombe néanmoins de communiquer des informations et des idées sur des questions d’intérêt public.

À sa fonction qui consiste à en diffuser, s’ajoute le droit, pour le public, d’en recevoir. S’il en était autrement, la presse ne pourrait jouer son rôle indispensable de “chien de garde” (Cour européenne des Droits de l’Homme, arrêt Observer and Guardian du 26 novembre 1991, Publ. Cour eur. D.H., Serie A, nr. 216, § 59). Par ailleurs, il est entendu que la deuxième hypothèse doit être interprétée restrictivement et que ce n’est qu’à titre exceptionnel qu’il peut être considéré que rendre publique une information classifiée a pour but de protéger l’intérêt public général.

En effet, dans son considérant 25, la directive (UE) n° 2019/1937 du Parlement européen et du Conseil sur la protection des personnes qui signalent des violations du droit de l’Union du 23/10/2019 précise ce qui suit: “La présente directive ne devrait pas non plus porter atteinte à la protection des informations classifiées qui, en vertu du droit de l’Union ou des dispositions législatives, réglementaires ou administratives en vigueur dans l’État membre concerné, doivent être protégées, pour des raisons de sécurité, contre tout accès non autorisé.

En outre, la présente directive ne devrait pas affecter

les obligations découlant de la décision 2013/488/UE du Conseil (33) ou de la décision (UE, Euratom) 2015/444 de la Commission (34).” Dans son article 3, la directive dispose: “3. La présente directive n’affecte pas l’application du droit de l’Union ou du droit national concernant l’un ou l’autre des éléments suivants: a) la protection des informations classifiées; […]” Finalement, il est rappelé que la procédure normale pour dénoncer l’irrégularité d’un acte d’un service de police ou de renseignement est de le signaler auprès de son autorité de contrôle, respectivement le Comité P ou le Comité R.

Art. 23 Il est inséré un nouveau chapitre IIbis pour donner effet à la Décision 1104/2011/UE. Art. 24 Au paragraphe 1er de l’’article 11bis, inséré, les différentes autorisations accordées par l’ANS dans le cadre de l’exercice de sa fonction en tant que CPA sont définies. Les autorisations préalables à l’accès au PRS (aux fins d’utilisation du PRS), au développement et à la production d’équipements PRS et à l’exportation d’équipements et de technologies PRS sont accordées par la CPA sur la base de conditions fixées dans les “Normes Minimales Communes” (CMS) imposées à la CPA conformément à l’article 8 de la Décision 1104/2011/UE.

Ces normes minimales communes s’adressent aux États membres européens. Elles contiennent, outre les missions incombant au CPA, les conditions régissant l’accès au PRS en ce qui concerne la sécurité et la protection des informations. La diffusion des CMS est limitée aux États membres qui souhaitent installer ou ont déjà mis en place une CPA et aux utilisateurs autorisés. Le paragraphe 2 stipule que l’accès au PRS, et dès lors l’utilisation du PRS, doit obligatoirement passer par une procédure d’octroi d’une autorisation à une communauté d’utilisateurs.

L’ANS, qui intervient en tant qu’autorité assumant la responsabilité pour le PRS, s’assure que

les communautés d’utilisateurs se conforment aux règles relatives à la sécurité et à la confidentialité. Le paragraphe 3 fixe la compétence de contrôle et d’inspection de la CPA. Cette compétence porte sur le contrôle administratif destiné à vérifier la concordance entre, d’une part, les autorisations octroyées, y compris les modalités d’octroi, et d’autre part, les informations et pièces justificatives transmises à l’ANS ou demandées par cette dernière.

Le paragraphe 4 stipule que le Roi fixe les modalités d’exécution de cet article, en ce compris les procédures et modalités d’obtention des trois types d’autorisation précités. Art. 25 Il est inséré un article 11ter. Conformément à l’article 15 de la Décision 1104/2011/UE, cet article détermine le régime de sanctions applicables aux violations des dispositions de l’article 11bis. L’utilisation inappropriée des informations PRS (tant classifiées que non classifiées) est donc passible de sanctions.

Art. 26 Le terme “informations classifiées” tel qu’il est défini à l’article 1bis, 1° est inséré à l’article 12, alinéa 1 et 2 afin d’assurer un langage cohérent dans le texte. Art. 27 L’article 13 est abrogé, le contenu a été repris à l’article 1bis. Art. 28 L’article 13/1 est abrogé, le contenu a été repris à l’article 1octies. Art. 29 À l’article 14, suite à l’entrée en vigueur du RÈGLEMENT (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation

de ces données, et abrogeant la directive 95/46/CE, la référence à la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel, est remplacée par une référence à “la loi du 30 juillet 2018 relative à la protection des personnes physiques à l”égard du traitement de données à caractère personnel’ (ci-après: LPD). portant sur l’article 14, on peut dire que cette modification de la loi envisage uniquement la correction d’une référence obsolète sans modifier l’ampleur de l’enquête de sécurité.

Cette dernière nécessiterait une adaptation de la directive du Comité Ministériel du Renseignement et de la Sécurité relative à l’ampleur de l’enquête de sécurité et les enquêteurs restent liés à la disposition de l’article 2, § 2, de la loi organique du 30 novembre 1998 des services de renseignement et de sécurité, qui reste inchangé. Le nouvel article 110 de la GBW est en effet plus large que les articles 6 et 8 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel en raison des “données génétiques et biométriques et des données de santé”.

Toutefois, tant dans l’article 14 actuel que dans l’article 14 conçu, les mots “entre autres” indiquent que cette liste n’est pas exhaustive. En outre, comme indiqué par le Comité permanent de contrôle des services de renseignement et de sécurité, l’article 2§ 2 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité interdit d’obtenir, d’analyser ou d’exploiter des données protégées par le secret professionnel d’un médecin, par conséquent les données médicales restent exclues implicitement de l’enquête Il n’est toutefois pas impossible que lors du traitement de données personnelles, des éléments médicaux sont pris en considération lors d’une enquête de sécurité, s’ils apparaissent par exemple dans un procès-verbal de la police, conforme aux règles de l’OTAN sur la portée de l’enquête de sécurité dans le contexte des habilitations de sécurité pour les personnes physiques (cf.

CM(2002)49, directive sur la sécurité du personnel, AC/35-D/2000-Rev7, annexe 1, point 9). La remarque du Comité permanent de contrôle des services de renseignement et de sécurité concernant l’absence d’une disposition établissant un responsable du traitement des données pour l’ANS, est correcte. Ni cette loi, ni la LDP déterminent qui est le responsable du traitement. L’organisation et la composition de l’ANS

sont déterminées dans les arrêtés d’exécution. De plus, l’ANS n’existe pour l’instant pas en tant qu’organisation unique. Sans modification de l’AR d’exécution, l’ANS reste une autorité collégiale composée de plusieurs services avec, le cas échéant, plusieurs responsables du traitement. Art. 30 L’article 15 est abrogé, le contenu est repris à Art. 31 L’article 15bis est abrogé, le contenu entrepris à l’article 11quater.

Art. 32 À l’article 18, la référence aux services extérieurs de la Sûreté de l’État est abrogée. Art. 33 À l’article 22, la possibilité de modifier et de suspendre des habilitations de sécurité est inséré, suite à l’avis du Conseil d’État sur l’article 1sexies. Art. 34 À l’article 22bis, la référence à l’article 8, alinéa 2 est remplacée par une référence à l’article 8, § 2, alinéa 2. Art. 35 L’article 22ter est remplacé afin de tenir compte de la modification de la référence à l’ANS, les nouvelles dispositions figurant à l’article 1quater, 3°, l’article 1quinquies et la compétence du Comité permanent de contrôle des services de renseignements et de sécurité.

Pour répondre au point I.3 des observations générales du Conseil d’État, il convient d’abord de préciser que le sous-titre 3 du titre 3 de la LPD est applicable pour tous les traitements effectués dans le cadre de la présente loi. Le registre prévu à l’article 22ter n’a pas la même portée que le registre visé à l’article 111 de la LDP.

Le but du registre de l’article 22ter est de garder une liste de toutes les vérifications effectuées (dossiers individuels) alors que le registre “vie privée” impose de lister les types d’activités de traitement effectuées par les autorités de sécurité (enquêtes de sécurité, vérifications de sécurité, … – donc une liste générale et abstraite). Afin de se conformer à l’observation du Conseil d’État il a donc été décidé de supprimer l’habilaitation au Roi et de fixer le continu du registre et la durée de conservation des données.

Art. 36 À l’article 22quinquies, § 6 de la loi de 1998, la référence à l’ANS et remplacée et la référence à l’article 13, 1°, a), b), c) ou d), est remplacé par une référence à l’article 1bis, 12°, a), b), c) ou d), puisque la définition d’officier de sécurité a été déplacée. Art. 37 Dans l’article 22quinquies/1 de la même loi, les mots “autorité visée à l’article 15, alinéa 1er” sont remplacés par les mots “Autorité Nationale de Sécurité”.

Art. 38 Dans le texte néerlandais de l’article 22quinquies/1, § 1er, alinéa 2, la référence à l’ANS est modifiée, car celle-ci n’était pas couverte par la disposition modificative reprise à l’article 37. Art. 39 À l’article 22sexies, § 1er, deuxième alinéa, de la présente loi, les mots “la Commission de la protection de la vie privée” sont remplacés par les mots “du Comité permanent de contrôle des services de renseignements et de sécurité”.

En réponse à l’avis du Conseil d’État au sujet de l’examen de cet article, il est indiqué que les modifications apportées à cet article sont limitées à ce qui précède.

Art. 40 L’article 22septies sera abrogé et fera, avec un nouveau contenu, partie d’un nouveau Chapitre IIIter. Rétributions. Art. 41 Il est inséré un nouveau chapitre “Chapitre IIIter. – Rétributions” afin de regrouper toutes les dispositions en matière de rétributions en vue de la sécurité juridique et la cohérence de la loi de 1998. Art. 42 À l’article 22septies de la loi de 1998 sont reprises les dispositions de l’ancien article 22septies. Les références ont été modifiées suite aux modifications de la loi de 1998. Sont exemptés de la rétribution:

1° les services publics fédéraux;

2° les services publics de programmation;

3° le Ministère de la Défense;

4° la Police intégrée;

5° le ministère public, les cours et tribunaux et les juridictions administratives;

6° l’Agence fédérale de Contrôle nucléaire;

7° le Corps interfédéral de l’Inspection des Finances;

8° les journalistes professionnels accrédités et ayant accès à des locaux, bâtiments ou sites liés à des fonctions d’autorité publique ou à un évènement déterminé national ou international, diplomatique ou protocolaire. En réponse à la demande du Collège des procureurs généraux du ministère public, il peut être communiqué que le 5e a été inséré dans cet article. Art. 43 Il est inséré un article 22octies.

Le premier paragraphe fixe les rétributions dans le cadre des habilitations de sécurité pour les individus et les personnes morales tel que définies dans l’actuel article. Un deuxième paragraphe est introduit qui prévoit la possibilité d’introduire des rétributions pour l’exercice des nouvelles compétences, à savoir l’approbation d’une installation physique, d’un SIC et d’un produit cryptographique, et la gestion et la distribution de matériels cryptographiques.

Une rétribution peut être introduite afin de déployer des moyens publics spécialisés nécessaires pour remplir ces missions spécifiques. Le paragraphe 3 stipule que certaines autorités sont exemptées de toute rétribution visée aux paragraphes 1 et 2: — les services publics fédéraux; — les services publics de programmation; — le ministère de la Défense; — l’Agence fédérale de Contrôle nucléaire; — le ministère public, les cours et tribunaux et les — le Corps interfédéral de l’Inspection des Finances; — la Police intégrée.

En réponse à la demande du ministère public, il peut être communiqué que le 5° a été inséré dans cet article. Le paragraphe 4 stipule que toute rétribution est due au service administratif à comptabilité autonome “Autorité Nationale de Sécurité”. Le paragraphe 5 stipule que le Roi détermine le montant de la rétribution à percevoir, détermine le cas échéant une clé de répartition entre différents bénéficiaires ainsi que les modalités de perception des rétributions, de versement de ces rétributions au service administratif à comptabilité autonome “Autorité Nationale de Sécurité” et les règles en matière de comptabilité.

Art. 44 À l’article 23, la référence à l’ANS est modifiée.

Art. 45 Des mesures transitoires sont ajoutées afin d’éviter que le cadre du PRS ne soient plus valables après l’entrée en vigueur de cette loi. Les habilitations de sécurité visées au paragraphe 1er, alinéa 1er, 1°, sont celles visées à l’ancien article 13, 2°, de la loi de 1998. Cela inclut les habilitations de sécurité pour les personnes physiques et les personnes morales. Les évaluations effectuées dans le cadre de l’habilitation de sécurité pour les personnes morales quant aux “moyens matériels et techniques et aux méthodes utilisées pour protéger l’information” restent également valables.

Cela correspond dans la pratique aux approbations des installations physiques et des SIC, telles que décrites dans la présente loi. Le retrait et, le cas échéant, la modification et la suspension des instruments visés au paragraphe 1er, alinéa 1er, se déroulent conformément aux dispositions de la loi de 1998, telle que modifiée par ce projet de loi. Art. 46 Le législateur est conscient du fait que de nombreux autres lois et arrêtés d’exécution devront être modifiés suite à l’entrée en vigueur de ce projet de loi.

En réponse à la remarque du Conseil d’État, qui concernait en particulier la LDP et la loi du 11 décembre 1998 portant création d’un organe de recours en matière d’habilitations, d’attestations et d’avis de sécurité, et en réponse sur l’avis du Comité permanent de Contrôle des services de renseignement et de sécurité, qui concernait en particulier la LPD, il a été décidé d’habiliter le Roi de modifier les dispositions légales en vigueur afin d’assurer leur concordance avec la loi de 1998, telle que modifiée par ce projet de loi.

Art. 47 Le Roi fixe les dates d’entrée en vigueur des dispositions de la présente loi, en fonction de la disponibilité des arrêtés d’exécution. Pour répondre à la dernière remarque du Conseil d’État , il convient d’expliquer que de nombreuses dispositions de ce projet de loi ne pourront pas être appliquées par

l’ANS tant que les modalités pratiques ne sont pas déterminées par le Roi. Dès lors, et pour éviter que l’ANS ne se retrouve contrainte d’exécuter une obligation légale sans qu’en soient déterminées les modalités, l’entrée en vigueur de la loi est directement dépendante de l’entrée en vigueur des arrêtés d’exécution. Ces derniers sont en cours de rédaction et traite l’élaboration complexe et technique.

Dès lors, il n’est pas encore possible de fixer une date-limite, sauf à fixer une date lointaine par prudence, ce qui n’a pas de plus-value. La ministre des Affaires étrangères, Sophie WILMÈS Le ministre de la Justice, Vincent VAN QUICKENBORNE La ministre de la Défense, Ludivine DEDONDER La ministre de l’Intérieur, Annelies VERLINDEN

AVANT-PROJET DE LOI

soumis à l’avis du Conseil d’État Avant-projet de loi portant modification de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et Chapitre 1 Modifications de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité Article 1er. La présente loi règle une matière visée à l’article 74 de la Constitution. Art. 2. L’intitulé de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité, remplacé par la loi du 3 mai 2005, est remplacé par ce qui suit: “la loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé”. Art. 3. Dans la même loi, l’intitulé du chapitre I est remplacé par ce qui suit: “Chapitre I. Disposition générale et définitions Art. 4. Dans la même loi, il est inséré un article 1bis rédigé comme suit: “Art. 1bis. Pour l’application de la présente loi et de ses arrêtés d’exécution, l’on entend par:

1° “les informations classifiées”: les informations, le matériel, les matériaux ou matières, quels qu’en soient la forme, la nature ou le mode de transmission, auxquels une classification a été attribuée et qui, dans l’intérêt de la sécurité nationale, nécessitent une protection contre tout accès non autorisé, toute utilisation inappropriée et toute divulgation;

2° “l’utilisation des informations classifiées”: toutes opérations dont des informations classifiées sont susceptibles de faire l’objet, comme la production, le traitement, la reproduction, la conservation, le transport, la transmission, la déclassification, le déclassement et la destruction;

3° “l’installation physique”: l’environnement, le terrain, le bâtiment, les bureaux, les espaces et toutes les autres zones où des informations classifiées sont utilisées;

4° “le système de communication et d’information”: un système permettant d’utiliser des informations classifiées sous forme électronique;

5° “le matériel cryptographique”: les algorithmes cryptographiques, les modules matériels et logiciels cryptographiques, les produits cryptographiques , les clés cryptographiques, comprenant les modalités de mise en œuvre et la documentation relative, ainsi que les éléments de mise à la clé;

6° “l’enquête de sécurité”: l’enquête effectuée par un service de renseignement et de sécurité qui vise à établir que toutes les conditions nécessaires à la délivrance d’une habilitation de sécurité sont réunies, en tenant compte du niveau et de l’objet de l’habilitation de sécurité;

7° “l’habilitation de sécurité”: la décision officielle, établie après une enquête de sécurité, selon laquelle, pour accéder à des données auxquelles un certain niveau de confidentialité a été attribué: a) une personne physique présente des garanties suffisantes quant à la discrétion, la loyauté et l’intégrité; b) une personne morale présente des garanties suffisantes quant à la discrétion, la loyauté et l’intégrité de ses organes et préposés susceptibles d’avoir accès à ces données;

8° “l’approbation d’un système de communication et d’information”: l’autorisation officielle d’utiliser un système de communication et d’information pour l’utilisation d’informations classifiées après que ce système ait été soumis à une procédure d’approbation. Pour être approuvés, ces systèmes doivent présenter des garanties suffisantes quant à la confidentialité, l’intégrité et la disponibilité de ces systèmes et des informations qu’ils contiennent. Des mesures supplémentaires destinées à garantir l’authenticité et la non-répudiation peuvent être requises;

9° “l’approbation d’une installation physique”: l’autorisation officielle d’utiliser une installation physique pour l’utilisation d’informations classifiées de niveau confidentiel ou supérieur, après que l’installation physique ait été soumise à une procédure d’approbation. Pour être approuvée, l’installation physique doit présenter des garanties suffisantes pour prévenir, détecter et/ ou ralentir l’accès non autorisé à des informations classifiées;

10° “l’approbation d’un produit cryptographique”: l’autorisation officielle d’utiliser un produit cryptographique pour la protection des informations classifiées, après que ce produit ait été soumis à une procédure d’approbation. Pour être approuvé, ce produit cryptographique doit présenter au minimum des garanties suffisantes quant à la fourniture de services de sécurité (confidentialité, intégrité, disponibilité, authenticité, non-répudiation) au moyen d’un ou de plusieurs mécanismes de chiffrement;

11° “l’officier de sécurité”: a) le fonctionnaire, titulaire d’une habilitation de sécurité, qui, dans une administration publique, un organisme d’intérêt public ou une entreprise publique autonome utilisant des informations classifiées, est désigné par le ministre ou son

délégué ou, à défaut de tutelle d’un ministre, le chef de cette administration, de cet organisme ou de cette entreprise, pour veiller à l’observation des règles de sécurité; b) le membre du personnel, titulaire d’une habilitation de sécurité, qui au sein d’une personne morale titulaire d’une habilitation de sécurité, est désigné par la direction de la personne morale pour veiller à l’observation des règles de sécurité; c) le fonctionnaire, titulaire d’une habilitation de sécurité, qui, dans une administration publique, un organisme d’intérêt public ou une entreprise publique autonome, est désigné par le ministre ou son délégué ou, à défaut de tutelle d’un ministre, le chef de cette administration, de cet organisme ou de cette entreprise, pour veiller à l’observation des règles de sécurité dans le cadre d’un avis de sécurité ou d’une attestation de sécurité, ou le membre du personnel, titulaire d’une habilitation de sécurité, qui est désigné par la direction de la personne morale pour veiller à l’observation des règles de sécurité dans le cadre d’un avis de sécurité ou d’une attestation de sécurité; d) le magistrat du ministère public, titulaire d’une habilitation de sécurité, qui est désigné par le chef de corps ci-dessous pour veiller à l’observation des règles de sécurité: — le procureur fédéral en ce qui concerne le parquet fédéral; — le procureur général concerné en ce qui concerne les parquets, les auditorats du travail, le parquet général et l’auditorat général de son ressort; — le président du Collège des procureurs généraux en ce qui concerne le service d’appui du ministère public;

12° “un service de renseignement et de sécurité”: la Sûreté de l’État et le Service Général du Renseignement et de la Sécurité des Forces armées;

13° “la Décision 1104/2011/UE”: la Décision 1104/2011/ UE du Parlement européen et du Conseil du 25 octobre 2011 relative aux modalités d’accès au service public réglementé offert par le système mondial de radionavigation par satellite issu du programme Galileo;

14° “le service public réglementé”: le service public réglementé issu du système mondial de radionavigation par satellite Galileo, visé par la Décision 1104/2011/UE;

15° “l’accès au service public réglementé”: l’utilisation du service public réglementé et le fait de disposer de produits destinés au service public réglementé, y compris la mise en service d’équipements et les actions destinées à tester, perturber ou falsifier le service public réglementé;

16° “la communauté d’utilisateurs”: un ensemble d’utilisateurs du service public réglementé, résidant ou établis sur le territoire belge et dont l’organisation et le fonctionnement sont conformes aux normes minimales communes adoptées en application de l’article 8 de la Décision 1104/2011/UE, qui par l’intermédiaire d’un point de contact commun, interagissent avec l’autorité compétente pour le service public réglementé;

17° “l’équipement”: les modules de sécurité et les récepteurs destinés au service public réglementé, ainsi que les instruments destinés à tester, approuver et faire fonctionner ces modules de sécurité et récepteurs;

18° “les technologies”: les logiciels et matériels informatiques et les informations, y compris les clés, requis pour la recherche et le développement, la conception, l’approbation, la production ou l’utilisation d’équipements destinés au service public réglementé.” Art. 5. Dans la même loi, il est inséré un chapitre 1bis intitulé: “Chapitre 1bis. L’Autorité Nationale de Sécurité” Art. 6. Dans le chapitre 1bis inséré par l’article 5, il est inséré un article 1ter rédigé comme suit: “Art. 1ter.

L’Autorité Nationale de Sécurité est une autorité de sécurité collégiale dont la composition, le fonctionnement et l’organisation sont déterminés par le Roi, par arrêté délibéré en Conseil des ministres.” Art. 7. Dans le même chapitre 1bis, il est inséré un article 1quater rédigé comme suit: “Art. 1quater. L’Autorité Nationale de Sécurité exerce les compétences suivantes:

1° la préparation de la politique belge de sécurité relative à: — la protection des informations classifiées; — les vérifications de sécurité, le suivi et la coordination de leur mise en œuvre;

2° la préparation de la politique de sécurité internationale applicable à la Belgique relative: — à la protection des informations classifiées; — aux vérifications de sécurité;

3° la supervision de la mise en place des mesures de protection telles que visées à l’article 7;

4° la délivrance et le retrait des habilitations de sécurité, attestations de sécurité et avis de sécurité;

5° la délivrance et le retrait des approbations d’installations physiques;

6° la délivrance et le retrait des approbations de systèmes de communication et d’information, y compris les mesures destinées à prévenir la compromission par rayonnement électromagnétique;

7° la délivrance et le retrait des approbations de produits cryptographiques;

8° la gestion et la distribution de matériel cryptographique;

9° les interventions en tant qu’autorité belge responsable pour le service public réglementé tel que visé à l’article 5 de la Décision 1104/2011/UE;

10° la coopération internationale dans le cadre de la présente loi et dans tous les cas où des conventions internationales attribuent des compétences et obligations à l’Autorité Nationale de Sécurité;

11° les missions déterminées par le Roi, par arrêté délibéré en Conseil des ministres, après avis du Conseil National de Sécurité.” Art. 8. Dans le même chapitre 1bis, il est inséré un article 1quinquies rédigé comme suit: “Art. 1quinquies. Par dérogation à l’article 1quater, la Sûreté de l’État exerce les compétences de l’Autorité Nationale de Sécurité visées à l’article 1quater, 3° à 6°, 10° et 11° pour ce qui concerne le service civil de renseignement et de sécurité lui-même.

Par dérogation à l’article 1quater, le Service Général du Renseignement et de la Sécurité des Forces armées exerce les compétences de l’Autorité Nationale de Sécurité visées à l’article 1quater, 3° à 8°, 10° et 11° en ce qui concerne la Défense. Par dérogation à l’article 1quater, la Police fédérale exerce à l’article 1quater, 10° et 11° et la compétence de l’Autorité Nationale de Sécurité visée à l’article 1quater, 4° pour la délivrance et le retrait des attestations et avis de sécurité en ce qui concerne la Police fédérale.

Par dérogation à l’article 1quater, la zone de police locale exerce les compétences de l’Autorité Nationale de Sécurité visées à l’article 1quater, 4° pour la délivrance et le retrait des attestations et avis de sécurité en ce qui concerne sa zone de police. La vérification de sécurité visée à l’article 22sexies est demandée d’une manière déterminée par le Roi. Les autorités visées aux alinéas 1 à 4 sont dénommées ci-après “l’autorité de sécurité”.

Art. 9. Dans le même chapitre 1bis, il est inséré un article 1sexies rédigé comme suit:

“Art. 1sexies. Des habilitations de sécurité et des approbations de systèmes de communication et d’information, d’installations physiques et de produits cryptographiques peuvent être modifiées, suspendues ou retirées si les règles relatives à la protection des informations classifiées ne sont pas respectées ou si les conditions pour la délivrance de l’habilitation de sécurité ou pour l’approbation de systèmes de communication et d’information, d’installations physiques ou de produits cryptographiques ne sont plus remplies.” Art. 10.

Dans le même chapitre 1bis, il est inséré un article 1septies rédigé comme suit: “Art. 1septies. La supervision visée à l’article 1quater, 3° consiste en l’exécution de contrôles et d’inspections quant à l’implémentation correcte de mesures de protection adéquates visées à l’article 7. L’Autorité Nationale de Sécurité peut formuler des recommandations et injonctions en vue d’améliorer la protection des informations classifiées.

Lorsque des manquements ou des infractions sont constatés, la personne morale, l’administration publique, l’organisme d’intérêt public ou l’entreprise publique autonome qui est concerné, met en place des mesures correctives. Le Roi fixe les modalités de la supervision.” Art. 11. Dans la même loi, il est inséré un chapitre Iter intitulé: “Chapitre Iter. L’officier de sécurité” Art. 12. Dans le chapitre Iter insérée par l’article 11, il est inséré un article 1octies rédigé comme suit: “Article 1octies. § 1er.

L’officier de sécurité est chargé:

1° de veiller à l’observation des règles de sécurité relatives à la protection des informations classifiées;

2° de l’application des prescriptions relatives aux attestations de sécurité et avis de sécurité, en particulier de la notification des éléments relatifs aux personnes qui ont reçu un avis de sécurité ou une attestation de sécurité, et qui peuvent mener à une révision de cet avis de sécurité ou de cette attestation § 2. Le Roi peut confier à l’officier de sécurité d’autres missions dans le cadre de l’application de la présente loi. § 3.

L’officier de sécurité exerce ses tâches de façon complètement indépendante. Il fait rapport au dirigeant de l’administration publique, de l’organisme d’intérêt public ou de l’entreprise publique autonome, au chef de corps respectif du Ministère public visé à l’article 1bis, 11°, d) ou au responsable d’une personne morale de droit privé.

Il informe l’Autorité Nationale de Sécurité visée à l’article 1quater, lorsque cela est prévu.” Art. 13. Dans l’article 3, § 1er de la même loi, modifié par la loi du 30 mars 2011, les mots ““les informations, documents ou données, le matériel, les matériaux ou matières, sous quelque forme que ce soit dont l’utilisation inappropriée peut porter atteinte à l’un des intérêts suivants” sont remplacés par les mots “les informations classifiées dont l’utilisation inappropriée peut être défavorable ou porter atteinte à l’un des intérêts suivants”.

Art. 14. L’article 4 de la même loi est remplacé par ce qui suit: “Art. 4. La classification visée à l’article 3, § 1er comprend quatre niveaux

TRES

SECRET, SECRET, CONFIDENTIEL

et RESTREINT. Le niveau TRES SECRET est attribué lorsque l’utilisation inappropriée peut porter très gravement atteinte à un des intérêts visés à l’article 3, § 1er. Le niveau SECRET est attribué lorsque l’utilisation inappropriée peut porter gravement atteinte à un des intérêts visés à l’article 3, § 1er. Le niveau CONFIDENTIEL est attribué lorsque l’utilisation inappropriée peut porter atteinte à un des intérêts visés à l’article 3, § 1er. Le niveau RESTREINT est attribué lorsque l’utilisation inappropriée peut être défavorable à un des intérêts visés à L’autorité d’origine et le destinataire peuvent limiter expressément la diffusion ultérieure et l’utilisation des informations classifiées au moyen de marquages supplémentaires. Lorsque l’autorité d’origine limite expressément la diffusion, le destinataire doit obtenir son consentement pour l’utilisation des informations classifiées au-delà de la limitation imposée. Le Roi détermine, par arrêté délibéré en Conseil des ministres, les autorités et les personnes qui peuvent octroyer, réviser et abroger un niveau de classification.” Art. 15. Dans l’article 5bis, alinéa 1er de la même loi, inséré par la loi de 7 juillet 2002, les mots “article 3, i)” sont remplacés par les mots “article 3, § 1er , i)”. Art. 16. Dans l’article 6 de la même loi, l’alinéa 1er est remplacé par ce qui suit: “Art. 6. Les informations classifiées qui sont échangées dans le cadre de traités ou de conventions internationaux qui lient la Belgique, conservent la classification qui leur est attribuée.”

Art. 17. L’article 7 de la même loi est remplacé par ce qui suit: “Art. 7. Le Roi fixe, par arrêté délibéré en Conseil des ministres, les modalités de la protection des informations classifiées, qui comprend au moins les mesures de protection portant sur les cinq catégories suivantes: 1° les mesures de protection applicables à la gestion d’informations classifiées; 2° les mesures de protection physiques; 3° les mesures de protection des systèmes d’information et de communication; 4° les mesures de protection relatives aux personnes; 5° les mesures de protection liées à des marchés publics. nistres, les modalités concernant les procédures d’approbation visées à l’article 1bis, 8°, 9° et 10°.” Art. 18.

L’article 8 de la même loi, modifié par la loi du 3 mai 2005, est remplacé par ce qui suit: “Art. 8. § 1er. L’utilisation d’informations classifiées requiert l’application des mesures de protection visées à l’article 7. § 2. Nul n’est admis à avoir accès aux informations classifiées, sauf s’il est titulaire d’une habilitation de sécurité correspondante, s’il a reçu un briefing de sécurité sur ses obligations et s’il a besoin d’en connaître et d’y avoir accès pour l’exercice de sa fonction ou de sa mission, sans préjudice des compétences propres des autorités judiciaires, et de celles des membres de l’organe de recours visé par la loi du 11 décembre 1998 portant création d’un organe de recours en matière d’habilitations, d’attestations et d’avis de sécurité.

L’accès aux locaux, bâtiments ou sites où se trouvent des informations classifiées peut être soumis aux mêmes conditions par les autorités désignées par le Roi. Par dérogation à l’alinéa 1er, une personne ne doit pas être titulaire d’une habilitation de sécurité pour avoir accès aux informations classifiées de niveau RESTREINT. § 3. La conservation des informations classifiées de niveau CONFIDENTIEL ou supérieur requiert de disposer d’une approbation de l’installation physique.

Les informations classifiées sous forme électronique peuvent uniquement être utilisées dans des systèmes d’information et de communication approuvés et transmis au moyen de produits cryptographiques approuvés.”

Art. 19. Dans l’article 8bis, § 2, alinéa 1er, 3° de la même loi, inséré par la loi du 30 mars 2011, les mots “l’autorité de sécurité visée à l’article 15, alinéa 1er” sont remplacés par les mots “l’Autorité Nationale de Sécurité”. Art. 20. L’article 9 de la même loi est remplacé comme suit: “Art. 9. Le niveau de l’habilitation de sécurité est déterminé par le niveau de classification des informations classifiées auxquelles le titulaire de l’habilitation de sécurité peut avoir accès pour l’exercice de sa fonction ou de sa mission.” Art. 21.

À l’article 10 de la même loi, les mots “Les informations, documents ou données, le matériel, les matériaux ou matières classifiés ne peuvent être utilisés” sont remplacés par les mots “Les informations classifiées ne peuvent être utilisées”. Art. 22. L’article 11 de la même loi est remplacé par ce “Art. 11. § 1er. Les personnes qui sont titulaires d’une habilitation de sécurité et utilisent ou laissent utiliser de manière inappropriée des informations classifiées de niveau CONFIDENTIEL ou supérieur sont, même si cette utilisation est la conséquence d’une négligence, pour autant que celleci soit grave, passibles d’un emprisonnement de six mois à cinq ans et d’une amende de cent euros à cinq mille euros ou d’une de ces peines seulement. § 2.

Les personnes qui ont reçu un briefing de sécurité et utilisent ou laissent utiliser de manière inappropriée des informations classifiées de niveau RESTREINT sont, même si cette utilisation est la conséquence d’une négligence, pour autant que celle-ci soit grave, passibles d’un emprisonnement d’un mois à trois ans et d’une amende de cent euros à cinq mille euros ou d’une de ces peines seulement. § 3.

Les personnes qui ne sont pas titulaires d’une habilitation de sécurité et qui utilisent des informations classifiées de manière inappropriée avec une intention malveillante ou à dessein de nuire sont passibles d’un emprisonnement d’un mois à trois ans et d’une amende de cent euros à cinq mille euros § 4. Les personnes qui ne sont pas titulaires d’une habilitation de sécurité et qui rendent publique des informations classifiées, qui savent ou devraient savoir qu’une divulgation est susceptible de porter atteinte à un des intérêts fondamentaux visés à l’article 3, § 1er, sont passibles d’une amende de cent euros à cinq mille euros.” Art. 23.

Dans la même loi, un chapitre IIbis est inséré, intitulé comme suit: “Chapitre IIbis. Le service public réglementé”

Art. 24. Dans le chapitre IIbis inséré par l’article 23, il est inséré un article 11bis rédigé comme suit: “Art. 11bis. § 1er. L’Autorité Nationale de Sécurité, qui intervient, conformément à l’article 1quater, 9°, en tant qu’autorité belge responsable pour le service public réglementé, octroie des autorisations pour:

1° l’accès au service public réglementé;

2° le développement et la production, y compris les services auxiliaires qui requièrent l’accès à des informations relatives au service public réglementé, d’équipements destinés au service public réglementé;

3° l’exportation des équipements et technologies visés au 2°. L’Autorité Nationale de Sécurité peut refuser, modifier ou retirer les autorisations visées à l’ alinéa 1er pour des raisons d’ordre public, de sécurité nationale ou de défense, de respect d’engagements internationaux et des normes minimales communes telles que fixées à l’article 8 de la Décision 1104/2011/UE. Tout transfert d’équipements ou de technologies conçus pour le service public réglementé offert par le système mondial de radionavigation par satellite issu du programme européen Galileo et qui est effectué depuis la Belgique vers les autres États membres de l’Union européenne, fait l’objet d’une déclaration à l’Autorité Nationale de Sécurité. § 2. L’accès au service public réglementé, comme prévu au paragraphe 1er, alinéa 1er, 1°, est autorisé pour une communauté d’utilisateurs.

Une communauté d’utilisateurs doit recevoir au préalable une autorisation émanant de l’Autorité Nationale de Sécurité, qui vérifie si les normes minimales communes, telles que fixées à l’article 8 de la Décision 1104/2011/UE, sont respectées. Lorsqu’une communauté d’utilisateurs ne remplit pas ou ne remplit plus les conditions liées à cette autorisation, celle-ci peut être refusée, suspendue ou retirée par l’Autorité Nationale de Sécurité. § 3.

Sans préjudice de l’article 1sexies, l’Autorité Nationale de Sécurité peut procéder à des contrôles et inspections pour vérifier si les conditions visées au paragraphe 1er, alinéa 2 sont remplies. § 4. Le Roi détermine la procédure et les modalités pour l’exécution de cet article.” Art. 25. Dans le même chapitre IIbis, il est inséré un article 11ter, rédigé comme suit: “Art. 11ter. Est passible d’un emprisonnement de six mois à cinq ans et d’une amende de cent euros à dix mille euros ou d’une de ces peines seulement, celui qui mène une activité prévue à l’article 11bis, § 1er, alinéa 1er sans autorisation de

l’Autorité Nationale de Sécurité ou sans tenir compte des conditions liées à l’autorisation de l’Autorité Nationale de Sécurité. La tentative visant à mener une activité visée à l’alinéa 1er précédent est passible d’une amende de cent euros à cinq mille euros.” Art. 26. Dans la même loi, il est inséré un chapitre IIter, “Chapitre IIter. Rétributions” Art. 27. Au chapitre IIter inséré par l’article 26, il est inséré un article 11quater rédigé comme suit: “Art. 11quater. § 1er.

La personne physique ou la personne morale pour laquelle une habilitation de sécurité est demandée, est redevable d’une rétribution. § 2. Le Roi peut imposer une rétribution à la personne morale qui demande l’approbation d’une installation physique, d’un système de communication et d’information ou d’un produit cryptographique ou qui demande un matériel cryptographique à l’Autorité Nationale de Sécurité. § 3.

Sont exemptés de toute rétribution visée aux paragraphes 1 et 2: 1° les services publics fédéraux; 2° les services publics de programmation; 3° le Ministère de la Défense; 4° l’Agence fédérale de Contrôle nucléaire; 5° le Corps interfédéral de l’Inspection des Finances; 6° la Police intégrée. § 4. Toute rétribution est due au service administratif à comptabilité autonome “Autorité Nationale de Sécurité”. § 5.

Le Roi peut fixer le montant des rétributions à percevoir et la clé de répartition entre les services concernés qui composent l’Autorité Nationale de Sécurité ou certains d’entre eux et détermine les modalités de perception des rétributions, de versement des rétributions au service administratif à comptabilité autonome “Autorité Nationale de Sécurité” ainsi que celles relatives à la comptabilité.” Art. 28.

Dans l’article 12, alinéa 1er et 2e de la même loi, les mots “informations, documents ou données, à des matériels, matériaux ou matières classifiés” sont remplacés par les mots “informations classifiées”. Art. 29. L’article 13 de la même loi, modifié par la loi du 23 février 2018, est abrogé.

Art. 30. L’article 13/1 de la même loi, inséré par la loi du Art. 31. Dans l’article 14 de la même loi, les mots “aux articles 6 et 8 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel” sont remplacés par les mots “à l’article 110 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel”.

Art. 32. L’article 15 de la même loi est abrogé. Art. 33. L’article 15bis de la même loi, inséré par la loi du 27 décembre 2006 et modifié par la loi du 6 décembre 2015 et la loi du 23 février 2018, est abrogé. Art. 34. À l’article 18, alinéa 3 de la même loi, les termes “des Services extérieurs” sont abrogés. Art. 35. L’article 22ter de la même loi, inséré par la loi du 3 mai 2005 et modifié par la loi du 30 mars 2011, est remplacé “Art. 22ter.

Par dérogation à l’article 1quater, 4° et sans préjudice de l’article 1quinquies, les autorités suivantes peuvent délivrer et retirer les attestations de sécurité lorsqu’elles concernent l’accès aux locaux, bâtiments ou terrains qui relèvent de leur responsabilité ou, en ce qui concerne l’Agence fédérale de Contrôle nucléaire, dont le contrôle relève de sa responsabilités, ou lorsqu’il s’agit d’événements qu’elles organisent elles-mêmes:

1° le président de l’Autorité Nationale de Sécurité;

2° le directeur général de l’Agence fédérale de Contrôle nucléaire ou son délégué, le responsable du département compétent pour la sécurité nucléaire;

3° le directeur général de la Direction générale Centre de crise du Service public fédéral Intérieur ou un agent de niveau A qu’il a désigné. Chacune des autorités visées à l’alinéa 1er et celles visées à l’article 1quinquies, alinéas 1 à 4, tient un registre des vérifications de sécurité effectuées par elle-même et des décisions prises. Les données figurant dans ce registre et leur durée de conservation sont déterminées par le Roi après avis du Comité permanent de contrôle des services de renseignements et de sécurité.” Art. 36.

Dans l’article 22quinquies, § 6 de la même loi, remplacé par la loi de 23 février 2018, les mots “article 13, 1°, a), b), c) ou d)” sont remplacés par les mots “article 1bis, 11°, a), b), c) ou d)”. Art. 37. Dans l’article 22quinquies de la même loi, remplacé par la loi du 23 février 2018, l’article 22quinquies/1 de la même loi, inséré par la loi du 23 février 2018 et l’article 22sexies de la même loi, inséré par la loi du 3 mai 2005 et modifié par la loi du 23 février 2018, les mots “autorité visée à l’article 15,

alinéa 1er” sont remplacés par les mots “Autorité Nationale de Sécurité”. Art. 38. Dans le texte néerlandais de l’article 22quinquies/1, § 1er , alinéa 2 de la même loi, inséré par la loi du 23 février 2018, les mots “in artikel 15, eerste lid, bedoelde overheid” sont remplacés par les mots “Nationale Veiligheidsoverheid”. Art. 39. Dans l’article 22sexies, § 1er, alinéa 2e de la même loi, inséré par la loi de 23 février 2018, les mots “la Commission pour la protection de la vie privée” sont remplacés par les mots “Comité permanent de contrôle des services de renseignements et de sécurité”.

Art. 40. L’article 22septies da la même loi, remplacé par la loi de 23 février 2018, est remplacé par ce qui suit: “Art. 22septies. Une rétribution est due par l’employeur de la personne physique pour laquelle une attestation de sécurité ou un avis de sécurité est sollicité. Aucune rétribution n’est due pour les attestations de sécurité émises par les autorités visées à l’article 22ter, alinéa 1er, 1° et 3° et l’article 1quinquies, alinéa 1 à 4.

Sont exemptés de la rétribution visée à l’alinéa 1er:

5° l’Agence fédérale de Contrôle nucléaire;

6° le Corps interfédéral de l’Inspection des Finances;

7° les journalistes professionnels accrédités et ayant accès à des locaux, bâtiments ou sites liés à des fonctions d’autorité publique ou à un évènement déterminé national ou international, diplomatique ou protocolaire. Cette rétribution est due au service administratif à comptabilité autonome “Autorité nationale de Sécurité” ou, le cas échéant, à l’autorité visée à l’article 22ter, alinéa 2, 2°. La délivrance de l’attestation de sécurité ou de l’avis de sécurité ne peut avoir lieu qu’après paiement de la rétribution.

Le Roi détermine le montant de la rétribution à percevoir pour les attestations de sécurité et les avis de sécurité. Le Roi détermine également la clé de répartition de cette rétribution entre les autorités visées à l’article 22ter, alinéa 1, 1° et l’article 1quinquies, alinéa 1 à 3.

Le Roi détermine les modalités de perception des rétributions et les modalités de versement de ces rétributions au service administratif à comptabilité autonome “Autorité nationale de Sécurité “et celles relatives à la comptabilité. Par dérogation à l’alinéa 6, le Roi détermine le montant de la rétribution à percevoir pour les attestations de sécurité émises par l’autorité visée à l’article 22ter, alinéa 1, 2°.

Le bution entre les autorités visées à l’article 22ter, alinéa 1, 2° et l’article 1quinquies, alinéas 1 à 3. Par dérogation à l’alinéa 7, le Roi détermine les modalités de perception des rétributions et les modalités de versement de ces rétributions à l’autorité visée à l’article 22ter, alinéa 1, 2° et celles relatives à la comptabilité.” Art. 41. Dans l’article 23, alinéa 1er de la même loi, modifié par la loi du 3 mai 2005, les mots “les membres des autorités visées aux articles 15, 22ter et 22quinquies” sont remplacés par les mots “Les membres de l’Autorité Nationale de Sécurité, les autorités visées aux articles 22ter et 22quinquies et à l’article 1 quinquies, alinéas 1 à 3”.

Chapitre 2 Dispositions transitoires et finales Art. 42. § 1er. Les décisions suivantes, octroyées avant l’entrée en vigueur de cette loi, restent valables jusqu’à leur date d’expiration après l’entrée en vigueur de cette loi:

1° les habilitations de sécurité délivrées conformément à l’article 15 de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité;

2° les avis de sécurité délivrées conformément à l’article 22quinquies/1 de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de 3° les attestations de sécurité délivrées conformément aux articles 22bis et 22ter de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité;

4° les autorisations octroyées par l’Autorité Nationale de Sécurité dans le cadre de la Décision 1104/2011/UE du Parlement européen et du Conseil du 25 octobre 2011 relative aux modalités d’accès au service public réglementé offert par le système mondial de radionavigation par satellite issu du programme Galileo. Les décisions visées à l’alinéa 1er peuvent être révisées, modifiées, suspendues ou retirées conformément aux dispositions de la loi du 11 décembre 1998 relative à la classification,

aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. § 2. Les personnes morales qui ont reçu une habilitation de sécurité visée au paragraphe 1er, 1° incluant une approbation de leurs systèmes de communication et d’information ou de leurs installations physiques, sont exemptées de l’obtention de l’approbation de leurs systèmes de communication et d’information ou de l’approbation de leurs installations physiques pour la durée de validité de cette habilitation de sécurité.

Art. 43. Le Roi fixera, par arrêté délibéré en Conseil des ministres, les dates d’entrée en vigueur des dispositions de cette loi

AVIS DU CONSEIL

D’ÉTAT N° 66.143/2 DU 20 JUIN 2019 Le 7 mai 2019, le Conseil d’État, section de législation, a été invité par le Vice‑Premier ministre et ministre des Affaires étrangères et européennes, et de la Défense, chargé de Beliris et des Institutions culturelles fédérales à communiquer un avis, dans un délai de trente jours, sur un “arrêté de présentation d’un projet de loi portant modification de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité”.

L’avant‑projet de loi a été examiné par la deuxième chambre le 20 juin 2019. La chambre était composée de Jacques Jaumotte, président du Conseil d’État, Pierre Vandernoot, président de chambre, Patrick Ronvaux, conseiller d’État, et Béatrice Drapier, greffier. Le rapport a été présenté par Stéphane Tellier, auditeur. La concordance entre la version française et la version néer‑ landaise a été vérifiée sous le contrôle de Pierre Vandernoot.

L’avis, dont le texte suit, a été donné le 20 juin 2019. * Comme la demande d’avis est introduite sur la base de l’article 84, § 1er, alinéa 1er, 2°, des lois ‘sur le Conseil d’État’, coordonnées le 12 janvier 1973, la section de législation limite son examen au fondement juridique de l’avant‑projet, à la compétence de l’auteur de l’acte ainsi qu’à l’accomplissement des formalités préalables, conformément à l’article 84, § 3, des lois coordonnées précitées.

Sur ces trois points, le projet appelle les observations suivantes. Formalités préalables La notification de la décision du Conseil des ministres du 3 mai 2019 précise qu’outre la saisine de la section de législation du Conseil d’État, il a été décidé d’envoyer l’avant‑projet pour avis au Collège des procureurs généraux, à la Commission permanente pour la police locale, au Conseil consultatif des bourgmestres ainsi qu’au Comité R en tant qu’autorité de protection des données1.

La déléguée du ministre n’a pas communiqué l’avis du Collège des procureurs généraux ni celui du Comité R. Cette saisine du Comité R se fonde sur l’article 128, § 1er, alinéa 1er, de la loi du 30 juillet 2018 ‘relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel’.

Il sera veillé au bon accomplissement de ces formalités. En tout état de cause, si, à la suite de ces avis, l’avantprojet devait s’en trouver modifié sur des points autres que ceux faisant l’objet du présent avis, il y aurait lieu de soumettre à nouveau les dispositions modifiées pour avis au Conseil d’État, section de législation. Observations générales I. — LE DROIT AU RESPECT DE LA VIE PRIVÉE 1. Le droit au respect de la vie privée, tel qu’il est garanti par l’article 22 de la Constitution mais aussi par l’article 8 de la Convention européenne des droits de l’homme et l’article 17 du Pacte international ‘relatif aux droits civils et politiques’, a pour but essentiel de protéger les personnes contre les ingé‑ rences dans leur vie privée.

Ce droit a une portée étendue et englobe notamment la protection des données à caractère personnel et des informations personnelles. Le règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ‘relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)’ (ci-après: “le RGPD”) s’inscrit dans cette même logique.

Bien que le domaine visé par la loi du 11 décembre 1998 ‘relative à la classification et aux habilitations, attestations et avis de sécurité’, modifiée par l’avant-projet examiné, ne relève pas du champ d’application du droit de l’Union européenne, ce règlement est applicable aux traitements de données à caractère personnel en cause dans l’avant-projet en vertu de l’article 2, alinéa 2, de la loi du 30 juillet 2018 ‘relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel’2.

Cette dernière loi contient ainsi, en son titre 3, sous-titre 3, des dispositions relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel dans le cadre de la loi du 11 décembre 1998 ‘rela‑ tive à la classification et aux habilitations, attestations et avis de sécurité’. L’article 6 du RGPD prévoit notamment ce qui suit: Voir en ce sens l’avis n° 65.450/2 donné le 18 mars 2019 sur un avant‑projet de décret ‘relatif à la gouvernance numérique du système scolaire et à la transmission des données numériques dans l’enseignement obligatoire’; l’avis n° 65.655/2 donné le 9 avril 2019 sur un projet devenu l’arrêté royal du 26 avril 2019 ‘fixant les critères d’agrément des orthopédagogues cliniciens, ainsi que des maîtres de stage et services de stage’.

“1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie: […] c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis; […] e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement; […] 2. […] 3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par: a) le droit de l’Union; ou b) le droit de l’État membre auquel le responsable du traitement est soumis.

Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au para‑ graphe 1, point e), sont nécessaires à l’exécution d’une mission dont est investi le responsable du traitement. Cette base juri‑ dique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres: les conditions générales régissant la licéité du traitement par le responsable du traitement; les types de données qui font l’objet du traitement; les personnes concernées; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être; la limitation des finalités; les durées de conservation; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX.

Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi”. 2. Conformément à l’article 22 de la Constitution, tout traitement de données à caractère personnel et, plus généra‑ lement, toute atteinte au droit à la vie privée, sont soumis au respect du principe de légalité. Par conséquent, les éléments essentiels du dispositif doivent être fixés dans la loi même, à savoir notamment les finalités du traitement, ainsi que les cas et conditions dans lesquels des données à caractère personnel sont traitées.

L’ingérence dans l’exercice du droit au respect de la vie privée doit être définie en des termes clairs et suffisamment précis qui permettent d’appréhender de manière prévisible les hypothèses dans lesquelles le légis‑ lateur autorise une pareille ingérence. Toute ingérence dans le droit au respect de la vie privée doit, en outre, reposer sur

une justification raisonnable et être proportionnée aux buts poursuivis par le législateur3‑4. S’agissant de l’ingérence dans l’exercice du droit au respect de la vie privée lorsque l’autorité publique prend des mesures dans le domaine de la sécurité nationale, il est renvoyé à l’avis de l’Assemblée générale de la section de législation du Conseil d’État portant les numéros de rôle 37.748/AG et 37.749/AG, donné le 23 novembre 2004 sur un avant‑projet devenu la loi du 3 mai 2005 ‘modifiant la loi du 11 décembre 1998 relative à la classification et aux habilitations de sécurité’ et sur un avant‑projet devenu la loi du 3 mai 2005 ‘modifiant la loi du en matière d’habilitations de sécurité’, dont les observations Voir notamment l’avis n° 63.192/2 donné le 19 avril 2018 sur un avant-projet devenu la loi du 30 juillet 2018 ‘relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel’ (Doc. parl., Chambre, 2017- 2018, n° 3126/001, pp.

402 à 456, http://www​.raadvst​-consetat​ .be​/dbx​/avis​/62192​.pdf); l’avis n° 63.202/2 donné le 26 avril 2018 sur un avant-projet devenu la loi du 5 septembre 2018 ‘instituant le comité de sécurité de l’information et modifiant diverses lois concernant la mise en œuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE’ (Doc. parl., Chambre, 2017-2018, n° 3185/001, pp. 120 à 145, http://www​ .raadvst‑consetat​.be​/dbx​/avis​/63202​.pdf).

Voir par exemple en ce sens les considérations suivantes émises par la Cour constitutionnelle dans son arrêt n° 29/2018 du 15 mars 2018:

“B.13.1. En réservant au législateur compétent le pouvoir de fixer dans quels cas et à quelles conditions il peut être porté atteinte au droit au respect de la vie privée, l’article 22 de la Constitution garantit à tout citoyen qu’aucune ingérence dans l’exercice de ce droit ne peut avoir lieu qu’en vertu de règles adoptées par une assemblée délibérante, démocratiquement élue. Une délégation à un autre pouvoir n’est toutefois pas contraire au principe de légalité, pour autant que l’habilitation soit définie de manière suffisamment précise et porte sur l’exécution de mesures dont les éléments essentiels sont fixés préalablement par le législateur.

B.13.2. Outre l’exigence de légalité formelle, l’article 22 de la Constitution impose également que l’ingérence dans l’exercice du droit au respect de la vie privée soit définie en des termes clairs et suffisamment précis qui permettent d’appréhender de manière prévisible les hypothèses dans lesquelles le législateur autorise une pareille ingérence.

[…]

B.14.1. Une ingérence des pouvoirs publics dans l’exercice du droit au respect de la vie privée doit non seulement reposer sur une disposition législative suffisamment précise mais aussi répondre à un besoin social impérieux dans une société démocratique et être proportionnée au but légitime poursuivi. Le législateur dispose en la matière d’une marge d’appréciation. Cette marge n’est toutefois pas illimitée: pour qu’une norme soit compatible avec le droit au respect de la vie privée, il faut que le législateur ait établi un juste équilibre entre tous les droits et intérêts en cause” (voir également C.C., 14 juillet 2016, n° 108/2016, B.11.1, B.11.2 et B.12.1; voir encore l’avis n° 63.192/2 du 19 avril 2018 de la section de législation du Conseil d’État précité, Doc. parl., Chambre, 2017-2018, n° 3126/1, pp. 404 à 407).

pertinentes, qui sont réitérées à propos de l’avant-projet exa‑ miné, sont reproduites en annexe au présent avis. 3. S’agissant du respect du principe de légalité découlant de l’article 22 de la Constitution, il y a lieu de relever qu’en l’occurrence, en ce qui concerne la détermination des données à caractère personnel traitées pouvant figurer dans le registre des vérifications de sécurité et la durée de conservation de ces données, l’article 22ter, alinéa 2, seconde phrase, de la loi du 11 décembre 1998, tel que remplacé par l’article 35 de l’avant-projet examiné, comporte une très large habilitation au Roi, laquelle ne semble être encadrée ni par les dispositions pertinentes de la loi du 30 juillet 2018 ni par l’article 25 de la loi du 11 décembre 1998.

En effet, le registre d’activités de traitement des données à caractère personnel visé à l’article 123 de la loi du 30 juillet 2018 ne semble pas se confondre avec le registre des vérifica‑ tions de sécurité dont il est question à l’article 22ter, alinéa 2, en projet de la loi du 11 décembre 1998. Si tel devait être le cas, la section de législation n’aperçoit pas quelle serait la portée et l’utilité de l’habilitation conférée au Roi par le texte en projet dès lors que les données pouvant figurer dans le registre seraient déjà limitativement énumérées à l’article 123 de la loi du 30 juillet 2018.

La section de législation n’aperçoit de même pas la portée et l’utilité de l’habilitation conférée au Roi par le texte en projet de déterminer la durée de conser‑ vation de ces données si le régime prévu par l’article 111 de la loi du 30 juillet 2018 et l’article 25 de la loi du 11 décembre 1998 trouvait à s’appliquer. À la lumière des principes déduits de l’article 22 de la Constitution, tels qu’ils ont été rappelés ci‑avant au point 2, il apparait que l’habilitation prévue à l’article 22ter, alinéa 2, seconde phrase, en projet, de la loi du 11 décembre 1998, si elle devait être considérée comme ayant une portée autonome, serait alors contraire à l’exigence de légalité formelle car elle ne serait pas suffisamment précise et ne porterait pas sur l’exécution de mesures dont les éléments essentiels auraient été fixés préalablement par le législateur.

Sur la base d’une telle interprétation, l’article 22ter en projet de la loi du 11 décembre 1998 sera dès lors revu de manière à ce que soit il ne puisse pas être compris comme habilitant le Roi à déterminer les données à caractère personnel et la durée de conservation de celles-ci autres que celles résultant des textes légaux existants, soit il prévoie lui‑même avec suffisamment de précision les données à caractère personnel

pouvant figurer dans le registre de vérifications de sécurité et la durée de conservation de celles‑ci5. L’article 22ter en projet de la loi du 11 décembre 1998 sera revu à la lumière de ces observations. 4. L’Autorité Nationale de Sécurité, qui fait l’objet du cha‑ pitre 1bis en projet de la loi du 11 décembre 1998, est appelée à jouer un rôle central, en tant qu’“autorité de sécurité”, en matière de politique de sécurité nationale, pour ce qui concerne notamment les informations classifiées et les vérifications de sécurité (habilitations, attestations et avis de sécurité, appro‑ bation d’installations physiques, etc.).

Dans l’exercice de ses missions, telles que décrites à l’article 1quater, en projet, de la loi du 11 décembre 1998, inséré par l’article 7 de l’avantprojet, ladite Autorité sera amenée à s’ingérer dans l’exercice du droit au respect de la vie privée, garanti par les dispositions internationales et constitutionnelle rappelées ci-avant. Il relève donc de la compétence du législateur de déterminer en des termes clairs et suffisamment précis les hypothèses dans lesquelles une pareille ingérence est autorisée.

Au regard des principes rappelés plus haut, l’habilitation conférée au Roi par l’article 1quater, 11°, en projet, de la loi du 11 décembre 1998, inséré par l’article 7 de l’avant‑projet, contient une habilitation trop large en ce qu’elle permet au Roi de déterminer des missions supplémentaires de l’Autorité Nationale de Sécurité sans que le législateur puisse, à défaut de déterminer lui-même ces missions supplémentaires, vérifier si celles-ci emportent ou non des atteintes admissibles et proportionnées au droit au respect de la vie privée en matière de traitements de données à caractère personnel.

La compétence de déterminer les missions supplémen‑ taires qui pourront être exercées par l’Autorité Nationale de Sécurité doit être réservée au législateur, une habilitation au Roi n’étant pas en soi contraire au principe de légalité, pour autant que l’habilitation soit définie de manière suffisamment précise et porte sur l’exécution de mesures dont les éléments essentiels sont fixés préalablement par le législateur.

Les missions de l’Autorité Nationale de Sécurité relèvent de ces éléments essentiels. Voir en ce sens l’observation formulée dans l’avis n° 37.748/AG donné le 23 novembre 2004 sur un avant-projet devenu la loi du 3 mai 2005 ‘modifiant la loi du 11 décembre 1998 relative à la classification et aux habilitations de sécurité’, à propos de la disposition devenue l’article 22ter de la loi du 11 décembre 1998:

“Quant à la détermination et à la durée de la conservation des données pouvant figurer dans le registre des vérifications, la délégation faite au Roi, au dernier alinéa de la disposition en projet, ne paraît admissible qu’à la condition pour le législateur de préciser – en tenant compte de la nature des données recueillies – les principes essentiels et, notamment, les délais maximums de conservation de ces données, sur la base desquels de telles règles peuvent être élaborées par le Roi” (Doc. parl., Chambre, 2004‑2005, n° 1598/1, pp. 44 à 77, http://www​.raadvst‑consetat​ .be​/dbx​/avis​/37748​.pdf).

L’article 1quater, 11°, en projet de la loi du 11 décembre 1998 sera revu à la lumière de cette observation. II. — ARTICULATION ENTRE TEXTES LÉGISLATIFS 1. Les modifications apportées à la loi du 11 décembre 1998 auront pour effet, à partir de leur entrée en vigueur, de rendre obsolètes de nombreuses références faites à cette loi dans la loi du 30 juillet 2018. Il s’ensuit que la loi du 30 juillet 2018 devra également être modifiée de manière à tenir compte des modifications apportées dans la loi du 11 décembre 1998.

Il conviendra de prévoir une même date d’entrée en vigueur des modifications apportées à ces deux lois. 2. Des observations analogues valent pour ce qui concerne l’articulation avec la loi du 11 décembre 1998 ‘portant création d’un organe de recours en matière d’habilitations, d’attesta‑ tions et d’avis de sécurité’. Observations particulières Dispositif Article 4 1. La version française de l’article 1bis, 5°, en projet de la loi du 11 décembre 1998, inséré par l’article 4 de l’avant-projet, sera réexaminée, les mots “ainsi que les éléments de mise à la clé” n’apparaissant pas compréhensibles et le commentaire de l’article étant muet sur ce point.

2. Les 8°, 9° et 10° de l’article 1bis en projet ne se limitent pas à définir les approbations qui y sont visées mais contiennent des éléments de fond relatifs aux conditions d’approbation. Ces éléments doivent être extraits de la définition en ce qu’ils constituent en tant que tels des conditions d’obtention d’une approbation. Ils trouveraient mieux leur place à l’article 7 en projet comme conditions visant à encadrer les délégations conférées au Roi par cette disposition.

3. Dans son avis n° 61.551/2 donné le 14 juin 2017 sur un avant-projet devenu la loi du 23 février 2018 ‘portant modifica‑ tion de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité’, la section de législation du Conseil d’État a observé ce qui suit à pro‑ pos de l’article 2, lequel a complété l’article 13, 1°, de la loi

du 11 décembre 1998 en élargissant la définition d’“officier de sécurité”: “Dans la mesure où les magistrats, en vertu de l’article 8 de la loi du 11 décembre 1998, ne doivent pas disposer d’une habilitation de sécurité, le Conseil d’État s’interroge quant à la cohérence de l’exigence qu’un magistrat, pour pouvoir être désigné officier de sécurité du Ministère public, doive être titulaire d’une habilitation de sécurité”.

La même incohérence apparait pouvoir être relevée, pour ce qui concerne les magistrats, entre l’article 1bis, 11°, d), en projet, de la loi du 11 décembre 1998, inséré par l’article 4 de l’avant-projet, et l’article 8, § 2, en projet de la même loi, inséré par l’article 18 de l’avant-projet6. Article 8 1. L’auteur de l’avant-projet s’assurera de l’étendue de l’exercice de compétences qu’il confère au Service Général de Renseignement et de la Sécurité, l’article 1quinquies, alinéa 2, en projet de la loi du 11 décembre 1998, précisant qu’elle porte notamment sur les compétences visées à l’article 1quater, 3° à 8°, alors que le commentaire de l’article 8 indique que cet exercice porte notamment sur les compétences visées à l’article 1quater, 3° à 6°.

2. Selon l’article 1quinquies, alinéa 4, seconde phrase, en projet, la vérification de sécurité visée à l’article 22sexies est, s’agissant de la zone de police locale, “demandée d’une manière déterminée par le Roi”. Cette précision ne figure pas dans les trois premiers ali‑ néas de l’article 1quinquies en projet, s’agissant des autres autorités qui y sont visées. Le commentaire de l’article est par ailleurs muet sur la portée de cette habilitation, singuliè‑ rement en ce qu’elle vise les modalités d’une “demande de vérification de sécurité”.

La disposition en projet sera réexaminée à la lumière de cette observation et le commentaire de l’article à tout le moins complété sur ce point. Article 9 L’article 1sexies en projet de la loi du 11 décembre 1998, tel qu’inséré par l’article 9 de l’avant‑projet, prévoit que des habilitations de sécurité peuvent être “suspendues”. Or, l’article 22 de la même loi, non modifié, ne prévoit que l’octroi ou le retrait d’une habilitation de sécurité.

Dans cet article 8, § 2, en projet, comme dans le texte actuel de l’article 8, alinéa 1er, de la loi du 11 décembre 1998, les mots “sans préjudice des compétences propres des autorités judiciaires” signifient que ces dernières ne doivent pas être titulaires d’une habilitation de sécurité correspondante pour avoir accès aux “informations classifiées” au sens de l’article 1bis, 1°, de l’avant-projet.

Interrogée sur la volonté de l’auteur de l’avant-projet de modifier l’article 22 de la loi du 11 décembre 1998 afin de prévoir dans quelles hypothèses une habilitation de sécurité est soit retirée, soit suspendue, la déléguée du ministre a répondu comme suit: “Het is de bedoeling om artikel 22 te wijzigen en de schorsing te voorzien, dit moet toegevoegd worden. De mogelijkheid moet namelijk bestaan om tijdelijk de toegang tot geclassi‑ ficeerde informatie te verhinderen indien bijkomende elementen gecommuniceerd worden aan de veiligheidsoverheid en er een later veiligheidsonderzoek noodzakelijk is (cf. art. 16, ficatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen)”.

Compte tenu de cette réponse, l’auteur de l’avant-projet est invité à réexaminer la cohérence entre les dispositions de la loi du 11 décembre 1998, l’entrée en vigueur de l’ar‑ ticle 1sexies, en projet, ne pouvant éventuellement être effective que si l’article 22 de la même loi est modifié de manière à prévoir la possibilité de suspendre les habilitations visées à l’article 1sexies, en projet. Article 18 L’article 8, § 2, de la loi du 11 décembre 1998, en projet, se réfère à la notion d’autorité judiciaire.

Pour être conforme aux articles 144 et 145 de la Constitution, il va de soi que cette notion, comme c’est déjà le cas dans la version actuelle de l’article 8, doit être interprétée de manière large en ce qu’elle vise non seulement les cours et tribunaux de l’ordre judiciaire mais également les juridictions adminis‑ tratives instituées pas la loi. C’est donc l’ensemble des magistrats de ces juridictions qui sont dispensés de l’obligation d’être titulaire d’une habilitation de sécurité pour les dossiers qu’ils traitent en cette qualité.

Article 22 L’article 11, § 4, en projet dispose comme suit: “Les personnes qui ne sont pas titulaires d’une habilitation de sécurité et qui rendent publique[s] des informations clas‑ sifiées, qui savent ou devraient savoir qu’une divulgation est susceptible de porter atteinte à un des intérêts fondamentaux visés à l’article 3, § 1er, sont passibles d’une amende de cent euros à cinq milles euros”. Conçue de manière aussi large, cette incrimination pour‑ rait, dans certaines hypothèses, soulever des difficultés au regard des droits protégés par l’article 10 de la Convention européenne des droits de l’homme, singulièrement le droit à la liberté d’expression et d’information.

Ainsi, dans l’arrêt Fressoz et Roire c. France du 21 janvier 1999, la Grande Chambre de la Cour européenne a rappelé que, “tout en reconnaissant le rôle essentiel qui revient à la presse dans une société démocratique, la Cour souligne que les journalistes ne sauraient en principe être déliés par la protection que leur offre l’article 10 de leur devoir de res‑ pecter les lois pénales de droit commun.

Le paragraphe 2 de l’article 10 pose d’ailleurs les limites de l’exercice de la liberté d’expression. Il échet de déterminer si, dans les circonstances particulières de l’affaire, l’intérêt d’informer le public l’emportait sur les ‘devoirs et responsabilités’ pesant sur les requérants en raison de l’origine douteuse des documents qui leur avaient été adressés”. Il s’en déduit qu’il existe donc des exceptions possibles quant à la nécessité de respecter les lois pénales, ce qu’a admis la Cour dans cette affaire en concluant que, dans le cas d’espèce, la condamnation pénale des journalistes pour violation du “secret fiscal” ne répondait pas à un besoin social impérieux dans une société démocratique et n’était donc pas nécessaire au sens du paragraphe 2 de l’article 10 de la Convention.

Récemment, le législateur belge a tenu compte de cet enseignement dans le cadre des dispositions du Code de droit économique relatives à la transposition de la direc‑ tive européenne en matière de secret d’affaires, lesquelles s’énoncent comme suit: “Art. XI.332/2. § 1er. Les dispositions relatives aux secrets d’affaires ne portent pas atteinte à:

1° l’exercice des droits fondamentaux consacrés par les règles de droit international et supranational et la Constitution, notamment le droit à la liberté d’expression et d’information, y compris le respect de la liberté et du pluralisme des médias; […]. Art. XI.332/5. Une demande ayant pour objet l’application des mesures, procédures et réparations relatives à l’obten‑ tion, l’utilisation ou la divulgation illicite d’un secret d’affaires est rejetée lorsque l’obtention, l’utilisation ou la divulgation alléguée du secret d’affaires a eu lieu dans l’une ou l’autre des hypothèses suivantes:

1° pour exercer le droit à la liberté d’expression et d’infor‑ mation établi dans les règles de droit international et supra‑ national et la Constitution, y compris le respect de la liberté et du pluralisme des médias;

2° pour révéler une faute, un acte répréhensible ou une activité illégale, à condition que le défendeur ait agi dans le but de protéger l’intérêt public général […]”. En l’espèce, pour préserver la liberté de l’information garantie par l’article 10 de la Convention européenne et l’article 19 du Pacte international relatif aux droits civils et politiques, l’auteur de l’avant‑projet pourrait envisager de

compléter le paragraphe 4 à l’examen par un nouvel alinéa, rédigé comme suit: “Les dispositions de la présente loi portant interdiction de divulgation d’informations classifiées ne portent pas atteinte à l’exercice des droits fondamentaux consacrés par les règles de droit international et supranational et la Constitution, notamment le droit à la liberté d’expression et d’information, ni au droit de révéler publiquement une faute, un acte répréhensible ou une activité illégale, à condition dans cette hypothèse, que celui qui diffuse l’information classifiée ait agi dans le but de protéger l’intérêt public général”.

C’est toutefois à l’auteur de l’avant‑projet qu’il revient d’exa‑ miner si, compte tenu de la nature propre des informations classifiées dont la divulgation est interdite par l’avant-projet, lesquelles ne sont pas – comme dans les exemples cités plus haut – de nature fiscale ou économique mais touchent aux “intérêts fondamentaux visés à l’article 3, § 1er,” de la loi du 11 décembre 1998, il y a ou non lieu d’insérer à l’avance dans la loi l’hypothèse où la sanction d’une divulgation d’informa‑ tions ne serait pas nécessaire dans une société démocratique, sachant qu’en toute hypothèse c’est au juge éventuellement saisi de poursuites liées à la commission de l’infraction concer‑ née qu’il appartiendra de vérifier si la restriction de la liberté d’expression et d’information qui résulte de l’incrimination évoquée s’avère in concreto admissible au regard des normes internationales précitées.

Article 26 Le chapitre IIIbis de la loi du 11 décembre 1998, intitulé “Des attestations de sécurité et des avis de sécurité”, contient un article 22septies relatif au versement d’une rétribution en cas de demande d’attestation de sécurité ou d’un avis de sécurité. Dans un objectif de sécurité juridique et de cohérence de la loi du 11 décembre 1998, plutôt que de créer un chapitre IIter (“Rétributions”) et de n’y faire figurer que l’article 11quater en projet (article 27 de l’avant-projet), cette dernière disposition et le dispositif de l’article 22septies gagneraient à être regroupés sous un même chapitre IIIter, intitulé “Rétributions”, à insérer entre les chapitres IIIbis et IV de la loi.

Article 30 Afin d’éviter toute équivoque quant aux tâches effectuées par les officiers de sécurité, le commentaire de l’article 30 indiquera que “l’article 13/1 est abrogé et déplacé à l’article 1octies”.

Article 39 Le commentaire de l’article 39 indique notamment que “les références à l’Autorité Nationale de Sécurité sont modifiées et celles aux autorités visées au 22ter sont corrigées”. Or, cette volonté ne transparait pas dans le dispositif de l’article 39. Il sera complété en conséquence. Article 40 Le contenu de l’article 22septies, alinéa 3, 7°, en projet, de la loi du 11 décembre 1998, inséré par l’article 40 de l’avantprojet, est déjà inséré au sein de cette même disposition par la loi du 2 mai 2019 ‘portant modification de la loi du 11 décembre et avis de sécurité’.

Il convient dès lors, dans la phrase introductive de l’article 40 de l’avant-projet, d’insérer les mots “et modifié par la loi du 2 mai 2019” après les mots “remplacé par la loi du 23 février 2018”. Article 42 Dès lors que le commentaire de l’article 42 précise que “les habilitations de sécurité visées au paragraphe 1er, alinéa 1er, 1°, sont celles visées à l’ancien article 13, 2° de la loi”, il convient, à l’article 42, § 1er, 1°, de l’avant-projet, de viser “l’article 13, 2°, de la loi” et non pas l’article 15 de la même loi.

Article 43 L’article 43 prévoit que le Roi fixera la date d’entrée en vigueur des dispositions de la loi en projet. Au regard de l’article 108 de la Constitution, les prérogatives du législateur seraient mieux respectées si une date limite était prévue, à laquelle l’avant‑projet entrerait en vigueur sans que le Roi doive intervenir7.

Le greffier, Le président,

Béatrice DRAPIER Jacques JAUMOTTE Principes de technique législative - Guide de rédaction des textes législatifs et réglementaires, www.raadvst‑consetat​.be, onglet “Technique législative”, recommandation nos 154 à 154.1.2 et formules F 4-5-2-3 ou F 4-5-2-4.

Annexe Extraits de l’avis de l’assemblée générale de la section de législation du Conseil d’État portant les nos 37.748/AG et 37.749/AG, donné le 23 novembre 2004 sur un avant‑projet devenu la loi du 3 mai 2005 ‘modifiant la loi du 11 décembre 1998 relative à la classification et aux habilitations de sécurité’ et sur un avant‑projet devenu la loi du 3 mai 2005 ‘modifiant la loi du 11 décembre 1998 portant création d’un organe de recours en matière d’habilitations de sécurité’ “A.

Le droit au respect de la vie privée L’article 22 de la Constitution 11. En vertu de l’article 22, alinéa 1er, de la Constitution, ‘Chacun a droit au respect de sa vie privée et familiale, sauf dans les cas et conditions fixés par la loi’. Seul le législateur est donc habilité à restreindre l’étendue de la protection due au respect de la vie privée. Il n’est toutefois pas requis que l’ensemble des éléments de la réglementation envisagée figurent dans la loi; même dans les matières réser‑ vées à la loi par l’article 22 de la Constitution, des habilitations au pouvoir exécutif sont admissibles, pour autant que ce soit le législateur lui-même qui fixe les principes et les éléments essentiels des règles contenant les restrictions au droit au respect de la vie privée et que les attributions de pouvoirs au Roi ne portent que sur la mise en œuvre de la loi8.

12. L’article 22 de la Constitution ne mentionne pas de manière expresse les critères d’admissibilité des éventuelles ingérences dans la jouissance du droit au respect de la vie privée. Il ressort toutefois des travaux préparatoires de l’article 22 de la Constitution que le Constituant a entendu chercher Note de bas de page n° 13 de l’avis cité: Voir notamment, en ce qui concerne l’admissibilité d’attributions de pouvoirs au Roi dans la matière du droit au respect de la vie privée garanti par l’article 22 de la Constitution, l’avis 24.770/2, donné le 27 mars 1996 sur un avant-projet de loi devenu la loi “Services” (Doc. parl., Chambre, 1995-1996, n° 638/1, p. 29), l’avis 25.704/2, donné le 21 mai 1997 sur un avant-projet de loi devenu la loi “Habilitation” (Doc. parl., Chambre, 1996-1997, n° 1193/1-1194/1, p. 36), l’avis 33.962/2, donné le 19 novembre 2002 sur un avant-projet de loi devenu la loi du 25 mars 2003 modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques et la loi du 19 juillet 1991 relative aux registres de la population et aux cartes d’identité et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques (Doc. parl., Chambre, 2002-2003, n° 2226/1, p. 47) et l’avis 34.547/AG, donné le 11 février 2003 sur un projet d’arrêté royal “portant création d’une Commission ad hoc en ce qui concerne les avis négatifs relatifs aux candidats à un mandat au sein de l’Exécutif des Musulmans de Belgique”.

‘[…] à mettre le plus possible la proposition en concordance avec l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales […], afin d’éviter toute contestation sur le contenu respectif de l’article de la Constitution et de l’article 8 de la [Convention]’9. D’une manière plus générale d’ailleurs, les restrictions aux libertés publiques, lorsqu’elles sont admises en droit belge, sont appréciées, sous la réserve de l’application de l’article 53 de la C.E.D.H.10, selon les mêmes critères que ceux qui sont fixés par la C.E.D.H., telle qu’elle est interprétée par la Cour européenne des droits de l’homme (ci‑après la ‘Cour européenne’)11.

Il y a lieu d’examiner en conséquence, à la lumière de la jurisprudence de la Cour européenne, quelles sont les exigences mises par la C.E.D.H. à la restriction du droit au respect de la vie privée lorsque l’autorité publique prend des mesures dans le domaine de la sécurité nationale. L’article 8 de la Convention européenne des droits de l’homme 13. L’article 8 de la C.E.D.H. est rédigé comme suit: ‘1.

Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. 2. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est Note de bas de page n° 14 de l’avis cité: Doc. parl., Chambre, 1993-1994, n° 997/5, p. 2. En ce sens, notamment, C.A., n° 50/2003, 30 avril 2003, considérant B.8.3, et n° 162/2004, 20 octobre 2004, considérant B.2.4.

Note de bas de page n° 15 de l’avis cité: L’article 53 de la C.E.D.H. dispose:

“Aucune des dispositions de la présente Convention ne sera interprétée comme limitant ou portant atteinte aux droits de l’homme et aux libertés fondamentales qui pourraient être reconnus conformément aux lois de toute Partie contractante ou à toute autre Convention à laquelle cette Partie contractante est partie”. Note de bas de page n° 16 de l’avis cité: Voir par exemple, la lecture globale faite par la Cour d’arbitrage, d’une part, des articles 19 et 25 de la Constitution et, d’autre part, de l’article 10 de la C.E.D.H., en se fondant plus particulièrement sur l’interprétation résultant de la jurisprudence de la Cour européenne (C.A., n° 45/96, 12 juillet 1996, considérants B.7.5 et B.7.6, n° 102/99, 30 septembre 1999, considérants B.24.2, B.24.4 et B.24.5, n° 10/2001, 7 février 2001, considérant B.4.8.1 et n° 136/2003, 22 octobre 2003, considérants B.6.1 et B.6.2).

C’est d’ailleurs en vertu de l’“ensemble indissociable” existant entre les dispositions constitutionnelles et les dispositions conventionnelles ayant une portée analogue, que la Cour d’arbitrage tient compte, dans son examen de la compatibilité d’une disposition légale avec une disposition du titre II de la Constitution, des dispositions du droit international, liant la Belgique, qui garantissent des droits ou libertés analogues (C.A., n° 136/2004, 22 juillet 2004, considérants B.5.3 et B.5.4, n° 158/2004, 20 octobre 2004, considérant B.5.2 et n° 162/2004, 20 octobre 2004, considérants B.2.3 et B.2.4, ce dernier arrêt portant sur la lecture conjointe des articles 22 de la Constitution et 8 de la C.E.D.H, outre d’ailleurs l’article 17 du Pacte international relatif aux droits civils et politiques).

prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui’. Il résulte du paragraphe 2 de cette disposition que l’ingé‑ rence doit être prévue par la loi, poursuivre un but légitime énoncé par cette disposition et, de surcroît, être nécessaire dans une société démocratique pour atteindre ce but.

La condition selon laquelle la mesure doit être ‘prévue par la loi’ 14. Sur l’exigence selon laquelle les mesures doivent être ‘prévues par la loi’, la Cour européenne a souligné à maintes reprises que ces mots veulent d’abord que la mesure incriminée ait une base en droit interne, mais qu’ils impliquent en plus des conditions qui ont trait à la qualité de la loi en question. Ils exigent que celle-ci soit ‘accessible’ et ‘prévisible’.

Quant à cette dernière condition, la Cour considère qu’une norme est ‘prévisible’ lorsqu’elle a une formulation assez précise pour permettre à toute personne – en s’entourant, au besoin, de conseils éclairés – de prévoir, à un degré raisonnable dans les circonstances de la cause, les conséquences pouvant résulter d’un acte déterminé12. 15. La Cour européenne se réfère au principe de prévisibilité dans plusieurs arrêts qui examinent l’admissibilité de mesures comportant des ingérences au droit au respect de la vie privée et motivées pour l’essentiel par les nécessités de la sécurité nationale, même lorsque ces mesures ont un caractère secret, consciente de ce que l’exigence de prévisibilité de la ‘loi’ ‘[…] implique […] que le droit interne doit offrir une certaine protection contre les atteintes arbitraires de la puissance publique aux droits garantis par (l’article 8, § 1er, de la C.E.D.H.) (et que) le danger d’arbitraire apparaît avec une netteté sin‑ gulière là où un pouvoir de l’exécutif s’exerce en secret’13.

Certes, comme la Cour l’a admis dans l’affaire Leander, ‘[…] [d]ans le contexte particulier de contrôles secrets du personnel affecté à des secteurs touchant à la sécurité natio‑ nale, l’exigence de prévisibilité ne saurait […] être la même qu’en maints autres domaines. Ainsi, elle ne saurait signifier qu’un individu doit se trouver en mesure d’escompter avec précision les vérifications auxquelles (l’autorité compétente) procédera à son sujet en s’efforçant de protéger la sécurité nationale.

Néanmoins, dans un système applicable à tous les Note de bas de page n° 17 de l’avis cité: Voir, notamment, Cour eur. D.H., arrêt Maestri c/ Italie du 17 février 2004, § 30. Note de bas de page n° 18 de l’avis cité: Cour eur. D.H., arrêt Malone c/ Royaume Uni du 2 août 1984, § 67. Voir aussi, notamment, Cour eur. D.H., arrêt Amann c/ Suisse du 16 février 2000, § 56; Cour eur. D.H., arrêt Rotaru, précité, § 55.

citoyens, tel celui de l’ordonnance sur le contrôle du personnel, la loi doit user de termes assez clairs pour leur indiquer de manière adéquate en quelles circonstances et sous quelles conditions elle habilite la puissance publique à se livrer à pareille ingérence secrète, et virtuellement dangereuse, dans leur vie privée’14. Les éléments sur lesquels doit porter la prévisibilité de la ‘loi’ concernent également le pouvoir d’appréciation accordé aux autorités publiques.

Ce pouvoir ne saurait être illimité. En conséquence, la ‘loi’ doit définir ‘l’étendue et les modalités d’exercice d’un tel pouvoir avec une netteté suffisante – compte tenu du but légitimement poursuivi – pour fournir à l’individu une protection adéquate contre l’arbitraire’15. Il y a lieu d’examiner les dispositions en projet à la lumière de ces principes, notamment en ce qui concerne les circons‑ tances dans lesquelles les vérifications de sécurité peuvent être effectuées et la procédure à suivre.

La légitimité du but poursuivi 16. Les buts légitimes admissibles sont ceux qui sont énoncés par le paragraphe 2 de l’article 8 de la C.E.D.H., au titre d’exceptions au principe de la protection de la vie privée. En l’espèce, c’est essentiellement sous l’aspect de la ‘sécurité nationale’ que la légitimité des buts poursuivis par les avant-projets sera examinée. La nécessité, dans une société démocratique 17. Dans son arrêt Silver, la Cour européenne a résu‑ mé comme suit les termes ‘nécessaire dans une société démocratique’: ‘a) l’adjectif ‘nécessaire’ n’est pas synonyme d’’indispen‑ sable’, mais n’a pas non plus la souplesse de termes tels qu’’admissible’, ‘normal’, ‘utile’, ‘raisonnable’ ou ‘opportun’ […]; b) les États contractants jouissent d’une certaine marge d’appréciation – non illimitée – en matière de recours à des Note de bas de page n° 19 de l’avis cité: Cour eur.

D.H., arrêt Leander c/ Suède du 26 mars 1987, § 51. L’exigence de “termes assez clairs” pour indiquer aux citoyens “en quelles circonstances et sous quelles conditions” la puissance publique est habilitée à se livrer à une ingérence secrète dans leur vie privée, a été affirmée aussi en relation avec des mesures secrètes de surveillance et des interceptions de communications. Voir Cour eur. D.H., arrêt Malone, précité, § 67; Cour eur.

D.H., arrêt Halford c/ Royaume- Uni, du 25 juin 1997, § 49; Cour eur. D.H., arrêt Kopp c/ Suisse du 25 mars 1998, § 64; Cour eur. D.H., arrêt Valenzuela Contreras c/ Espagne du 30 juillet 1998, § 46, iii); Cour eur. D.H., arrêt Khan c/ Royaume-Uni du 12 mai 2000, § 26. Note de bas de page n° 20 de l’avis cité: Cour eur. D.H., arrêt Malone, précité, § 68. Dans le même sens: Cour eur. D.H., arrêt Leander, précité, § 51; Cour eur.

D.H., arrêt Amann, précité, § 56; Cour eur. D.H., arrêt Rotaru, précité, § 55; Cour eur. D.H., arrêt Hassan et Tchaouch c/ Bulgarie du 26 octobre 2000, § 84; Cour eur. D.H., arrêt Al‑Nashif c/ Bulgarie du 20 juin 2002, § 119.

restrictions, mais la décision finale sur la compatibilité de celles-ci avec la Convention appartient à la Cour […]; c) ‘nécessaire dans une société démocratique’ signifie que pour se concilier avec la Convention, l’ingérence doit notamment correspondre à un ‘besoin social impérieux’ et être ‘proportionnée au but légitime poursuivi’ […]; d) appellent une interprétation restrictive celles des clauses de la Convention qui ménagent une exception à un droit garanti […]’16.

18. Appliquant ces principes à une affaire mettant en jeu des impératifs de sécurité nationale, la Cour européenne a considéré, dans l’arrêt Leander, précité: ‘58. La notion de nécessité implique une ingérence fondée sur un besoin social impérieux, et notamment proportionnée au but légitime recherché […]. 59. La Cour reconnaît toutefois que les autorités nationales jouissent d’une marge d’appréciation dont l’ampleur dépend non seulement de la finalité, mais encore du caractère propre de l’ingérence.

En l’occurrence, il échet de mettre en balance l’intérêt de l’État défendeur à protéger sa sécurité nationale avec la gravité de l’atteinte au droit du requérant au respect de sa vie privée. Pour préserver la sécurité nationale, les États contractants ont indéniablement besoin de lois qui habilitent les autorités internes compétentes à recueillir et à mémoriser dans des fichiers secrets des renseignements sur des personnes, puis à les utiliser quand il s’agit d’évaluer l’aptitude de candidats à des postes importants du point de vue de ladite sécurité’17.

La Cour souligne toutefois que les États ne disposent pas pour autant d’une latitude illimitée18. C’est pour cette raison qu’elle déclare devoir ‘se convaincre de l’existence de garanties adéquates et suffisantes contre les abus’19. Lorsqu’il s’agit de prendre des décisions sur base de renseignements touchant à la sécurité nationale, la Cour admet que ces renseignements ne soient pas portés à la connaissance de l’intéressé: ‘c’est précisément de la sorte, au moins en partie, que la procédure de contrôle du personnel peut opérer avec efficacité’20.

Note de bas de page n° 21 de l’avis cité: Cour eur. D.H., arrêt Silver c/ Royaume-Uni du 25 mars 1983, § 97. Note de bas de page n° 22 de l’avis cité: Cour eur. D.H., arrêt Leander, précité, §§ 58 et 59. Note de bas de page n° 23 de l’avis cité: Cour eur. D.H., arrêt Klass, précité, § 49. Note de bas de page n° 24 de l’avis cité: Cour eur. D.H., arrêt Klass, précité, § 50; Cour eur. D.H., arrêt Leander, précité, § 60.

Note de bas de page n° 25 de l’avis cité: Cour eur. D.H., arrêt Leander, précité, § 66.

Cette circonstance rend d’autant plus importante l’exigence de garanties contre des abus. Ces garanties peuvent prendre la forme, notamment, de contrôles préventifs ou de contrôles a posteriori, par des organes indépendants. Quant aux contrôles a posteriori, ils doivent normalement être assurés, au moins en dernier ressort, par des organes juridictionnels, car ces organes offrent les meilleures garanties d’indépendance, d’impartialité et de procédure régulière21. […]”. Note de bas de page n° 26 de l’avis cité: Cour eur. D.H., arrêt Klass, précité, § 55.

PHILIPPE

Roi des Belges, À tous, présents et à venir, Salut. Sur la proposition de la ministre des Affaires étrangères, du ministre de la Justice, de la ministre de la Défense et de la ministre de l’Intérieur, Nous avons arrêté et arrêtons: La ministre des Affaires étrangères, le ministre de la Justice, la ministre de la Défense et la ministre de l’Intérieur sont chargés de présenter en notre nom, à teneur suit: CHAPITRE 1ER Modifications de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité La présente loi règle une matière visée à l’article 74 de la Constitution. L’intitulé de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité, remplacé par la loi du 3 mai 2005, est remplacé par ce qui suit: “la loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé.” Dans la même loi, l’intitulé du chapitre I est remplacé “Chapitre I. Disposition générale et définitions.”

Dans la même loi, il est inséré un article 1bis rédigé “Art. 1bis. Pour l’application de la présente loi et de ses arrêtés d’exécution, l’on entend par:

1° “les informations classifiées”: les informations, le matériel, les matériaux ou matières, quels qu’en soient la forme, la nature ou le mode de transmission, auxquels une classification a été attribuée en application de la présente loi et qui, dans l’intérêt de la sécurité nationale, toute utilisation et divulgation inappropriée;

2° “l’utilisation des informations classifiées”: toutes opérations dont des informations classifiées sont susceptibles de faire l’objet, comme la production, la prise de connaissance, le traitement, la reproduction, la conservation, le transport, la transmission, la déclassification, la modification du niveau de classification et la destruction;

3° “l’installation physique”: l’environnement, le terrain, le bâtiment, les bureaux, les espaces et toutes les autres zones où des informations classifiées sont utilisées;

5° “le matériel cryptographique”: les algorithmes cryptographiques, les modules matériels et logiciels cryptographiques, les produits comprenant les modalités de mise en œuvre et la documentation y relative, ainsi que le matériel de mise à la clé;

6° “l’enquête de sécurité”: l’enquête effectuée par un service de renseignement et de sécurité qui vise à établir que toutes les conditions nécessaires à la délivrance d’une habilitation de sécurité sont réunies, en tenant compte du niveau et de l’objet de l’habilitation de sécurité;

7° “l’habilitation de sécurité”: la décision officielle, établie après une enquête de sécurité, selon laquelle, pour accéder à des données auxquelles une classification de niveau CONFIDENTIEL ou supérieur, au sens de la présente loi, a été attribuée: a) une personne physique présente des garanties suffisantes quant à la discrétion, la loyauté et l’intégrité; b) une personne morale présente des garanties suffisantes quant à la discrétion, la loyauté et l’intégrité de

ses organes et préposés susceptibles d’avoir accès à ces données;

8° “l’approbation d’un système de communication et d’information”: l’autorisation officielle d’utiliser un système de communication et d’information pour l’utilisation d’informations classifiées après que ce système ait été soumis à une procédure d’approbation;

9° “l’approbation d’une installation physique”: l’autorisation officielle d’utiliser une installation physique pour l’utilisation d’informations classifiées de niveau confidentiel ou supérieur, après que l’installation physique ait été soumise à une procédure d’approbation;

10° “l’approbation d’un produit cryptographique”: l’autorisation officielle d’utiliser un produit cryptographique pour la protection des informations classifiées, après que ce produit ait été soumis à une procédure d’approbation;

11° “l’autorité de sécurité”: a) l’Autorité nationale de sécurité; b) la Sûreté de l’État; c) le Service Général du Renseignement et de la 12° “l’officier de sécurité”: a) le fonctionnaire, titulaire d’une habilitation de sécurité, qui, dans une administration publique, un organisme d’intérêt public ou une entreprise publique autonome utilisant des informations classifiées, est désigné par le ministre ou son délégué ou, à défaut de tutelle d’un ministre, le chef de cette administration, de cet organisme d’intérêt public ou de cette entreprise publique autonome, pour veiller à l’observation des règles de sécurité; b) le membre du personnel, titulaire d’une habilitation de sécurité, qui au sein d’une personne morale titulaire d’une habilitation de sécurité, est désigné par la direction de la personne morale pour veiller à l’observation des règles de sécurité; c) le fonctionnaire, titulaire d’une habilitation de sécud’intérêt public ou une entreprise publique autonome, est désigné par le ministre ou son délégué ou, à défaut de tutelle d’un ministre, le chef de cette administration, de cet organisme d’intérêt public ou de cette entreprise publique autonome, pour veiller à l’observation des règles

de sécurité dans le cadre d’un avis de sécurité ou d’une attestation de sécurité, ou le membre du personnel, titulaire d’une habilitation de sécurité, qui est désigné par la direction de la personne morale pour veiller à l’observation des règles de sécurité dans le cadre d’un avis de sécurité ou d’une attestation de sécurité; d) le magistrat du ministère public, titulaire d’une habilitation de sécurité, qui est désigné par le chef de corps ci-dessous pour veiller à l’observation des règles de sécurité: — le procureur fédéral en ce qui concerne le parquet fédéral; les parquets, les auditorats du travail, le parquet général et l’auditorat général de son ressort; — le président du Collège des procureurs généraux en ce qui concerne le service d’appui du ministère public;

13° “un service de renseignement et de sécurité”: la Sûreté de l’État ou le Service Général du Renseignement et de la Sécurité des Forces armées;

14° “la Décision 1104/2011/UE”: la Décision 1104/2011/ UE du Parlement européen et du Conseil du 25 ocradionavigation par satellite issu du programme Galileo;

15° “le service public réglementé”: le service public réglementé issu du système mondial de radionavigation par satellite Galileo, visé par la Décision 1104/2011/UE;

16° “l’accès au service public réglementé”: l’utilisation du service public réglementé et le fait de disposer d’équipement et des technologies destinés au service public réglementé, y compris la mise en service d’équipements et les actions destinées à tester, perturber ou falsifier le service public réglementé;

17° “la communauté d’utilisateurs”: un ensemble d’utilisateurs du service public réglementé, résidant ou établis sur le territoire belge et dont l’organisation et le fonctionnement sont conformes aux normes minimales communes adoptées en application de l’article 8 de la Décision 1104/2011/UE, qui par l’intermédiaire d’un

point de contact commun, interagissent avec l’autorité compétente pour le service public réglementé;

18° “l’équipement”: les modules de sécurité et les récepteurs destinés au service public réglementé, ainsi que les instruments destinés à tester, approuver et faire fonctionner ces modules de sécurité et récepteurs;

19° “les technologies”: les logiciels, matériels informatiques et les informations, y compris les clés, requis pour la recherche et le développement, la conception, l’approbation, la production ou l’utilisation d’équipements destinés au service public réglementé.” Dans la même loi, il est inséré un chapitre 1bis intitulé: “Chapitre 1bis. L’Autorité Nationale de Sécurité.” Dans le chapitre 1bis, inséré par l’article 5, il est inséré un article 1ter rédigé comme suit: “Art. 1ter.

L’Autorité Nationale de Sécurité est une autorité de sécurité dont le fonctionnement et l’organisation sont déterminés par le Roi, par arrêté délibéré Dans le même chapitre 1bis, il est inséré un ar- “Art. 1quater. L’Autorité Nationale de Sécurité exerce les compétences suivantes:

1° la préparation de la politique belge de sécurité relative à: b) les vérifications de sécurité, le suivi et la coordination de leur mise en œuvre;

2° la préparation de la politique de sécurité internationale applicable à la Belgique relative: a) à la protection des informations classifiées;

b) aux vérifications de sécurité;

3° le contrôle de la mise en place des mesures de 4° la délivrance, la modification, la suspension et le retrait des habilitations de sécurité;

5° la délivrance et le retrait des attestations de sécurité et la délivrance des avis de sécurité;

6° la délivrance, la modification, la suspension et le retrait des approbations d’installations physiques;

7° la délivrance, la modification, la suspension et le retrait des approbations de systèmes de communication et d’information, y compris les mesures destinées à prévenir la compromission par rayonnement électromagnétique;

8° la délivrance, la modification, la suspension et le retrait des approbations de produits cryptographiques;

9° la gestion et la distribution de matériel cryptographique;

10° les interventions en tant qu’autorité belge responsable pour le service public réglementé tel que visé à l’article 5 de la Décision 1104/2011/UE;

11° la coopération internationale dans le cadre de la présente loi et dans tous les cas où des conventions internationales attribuent des compétences et obligations “Art. 1quinquies. Par dérogation à l’article 1quater, la Sûreté de l’État exerce les compétences de l’Autorité Nationale de Sécurité visées à l’article 1quater, 3°, 4°, 5° concernant la délivrance et le retrait des attestations de sécurité, 6°, 7° et 11° pour ce qui la concerne.

Par dérogation à l’article 1quater, le Service Général du Renseignement et de la Sécurité des Forces armées exerce les compétences de l’Autorité Nationale de Sécurité visées à l’article 1quater, 3°, 4°, 5° concernant la délivrance et le retrait des attestations de sécurité, 6°

exerce la compétence de délivrer des avis de sécurité. Par dérogation à l’article 1quater, la Police fédérale exerce la compétence de l’Autorité Nationale de Sécurité visée à l’article 1quater, 11° et la compétence de l’Autorité Nationale de Sécurité visée à l’article 1quater, 5° concernant la délivrance et le retrait des attestations de sécurité en ce qui concerne la Police fédérale. Par dérogation à l’article 1quater, la zone de police locale exerce la compétence de l’Autorité Nationale de Sécurité visée à l’article 1quater, 5° pour la délivrance et le retrait des attestations de sécurité en ce qui concerne sa zone de police.

Dans le cadre de la vérification de sécurité visée à l’article 22sexies, la zone de police locale consulte les services de renseignement et de sécurité par intermédiaire de la Police fédérale. Les compétences visées à l’article 1quater, 4° à 9° attribuées aux autorités visées aux alinéas 1 à 4 sont exercées par leurs dirigeants ou par un fonctionnaire de niveau A ou un officier délégué par lui. “Art. 1sexies.

Des habilitations de sécurité et des appropeuvent être modifiées, suspendues ou retirées si les règles relatives à la protection des informations classifiées ne sont pas respectées ou si les conditions pour la délivrance de l’habilitation de sécurité ou pour l’approbation de systèmes de communication et d’information, d’installations physiques ou de produits cryptographiques ne sont plus remplies.” “Art. 1septies.

La supervision visée à l’article 1quater, 3° consiste en l’exécution de contrôles et d’inspections quant à l’implémentation correcte des dispositions des articles 7 et 8.

L’Autorité Nationale de Sécurité peut formuler des recommandations et injonctions en vue d’améliorer la protection des informations classifiées. constatés, la personne morale, l’administration publique, l’organisme d’intérêt public ou l’entreprise publique autonome qui est concerné, met en place des mesures correctives. Dans la même loi, il est inséré un chapitre Iter intitulé: “Chapitre Iter. L’officier de sécurité.” Dans le chapitre Iter insérée par l’article 11, il est inséré un article 1octies rédigé comme suit: “Article 1octies. § 1er. L’officier de sécurité est chargé:

1° de veiller à l’observation des règles de sécurité relatives à la protection des informations classifiées;

2° de l’application des prescriptions relatives aux attestations de sécurité et avis de sécurité, en particulier de la notification des éléments relatifs aux personnes qui ont reçu un avis de sécurité ou une attestation de sécurité, et qui peuvent mener à une modification de cet avis de sécurité ou de cette attestation de sécurité. l’administration publique, de l’organisme d’intérêt public ou de l’entreprise publique autonome, au chef de corps respectif du Ministère public visé à l’article 1bis, 12°, d) ou au responsable d’une personne morale de droit privé.

Il informe l’Autorité Nationale de Sécurité lorsque cela est prévu.”

Dans l’article 3, § 1er de la même loi, modifié par la loi du 30 mars 2011, les mots ““les informations, documents quelque forme que ce soit dont l’utilisation inappropriée peut porter atteinte à l’un des intérêts suivants” sont remplacés par les mots “les informations classifiées dont l’utilisation inappropriée peut être défavorable ou porter atteinte à l’un des intérêts suivants”. L’article 4 de la même loi est remplacé par ce qui suit: “Art. 4. La classification visée à l’article 3, § 1er comprend quatre niveaux

TRES

SECRET, SECRET

CONFIDENTIEL et RESTREINT. Le niveau TRÈS SECRET est attribué lorsque l’utilisation inappropriée peut porter très gravement atteinte à un des intérêts visés à l’article 3, § 1er. Le niveau SECRET est attribué lorsque l’utilisation inappropriée peut porter gravement atteinte à un des Le niveau CONFIDENTIEL est attribué lorsque l’utilisation inappropriée peut porter atteinte à un des intérêts visés à l’article 3, § 1er. inappropriée peut être défavorable à un des intérêts ministres, les autorités et les personnes qui peuvent octroyer, réviser et abroger un niveau de classification.” Dans l’article 5bis, alinéa 1er de la même loi, inséré par la loi de 7 juillet 2002, les mots “article 3, i)” sont remplacés par les mots “article 3, § 1er , i)”. Dans l’article 6 de la même loi, l’alinéa 1er est remplacé par ce qui suit:

“Art. 6. Les informations classifiées qui sont échangées dans le cadre de traités ou de conventions internationaux qui lient la Belgique, conservent la classification qui leur est attribuée.” L’article 7 de la même loi est remplacé par ce qui suit: ministres, les modalités de la protection et de la déclassification des informations classifiées. La protection des informations classifiées comprend au moins les mesures de protection portant sur les cinq catégories suivantes:

1° les mesures de protection applicables lors de la classification et de la gestion d’informations classifiées;

2° les mesures de protection physiques;

3° les mesures de protection des systèmes d’information et de communication;

4° les mesures de protection relatives aux personnes;

5° les mesures de protection liées aux marchés publics. d’approbation visées à l’article 1bis, 8°, 9° et 10°.” L’article 8 de la même loi, modifié par la loi du 3 mai 2005, est remplacé par ce qui suit: “Art. 8. § 1er. L’utilisation d’informations classifiées requiert l’application des mesures de protection visées à l’article 7. § 2. Nul n’est admis à avoir accès aux informations classifiées, sauf s’il est titulaire d’une habilitation de sécurité correspondante, s’il a reçu un briefing de sécurité sur ses obligations et s’il a besoin d’en connaître et d’y avoir accès pour l’exercice de sa fonction ou de sa mission, sans préjudice des compétences propres des autorités judiciaires, et de celles des membres de l’organe de recours visé par la loi du 11 décembre 1998 portant création d’un organe de recours en matière d’habilitations, d’attestations et d’avis de sécurité.

L’accès aux locaux, bâtiments ou sites où se trouvent des informations classifiées peut être soumis aux mêmes conditions par les autorités désignées par le Roi. Par dérogation à l’alinéa 1er, une personne ne doit pas être titulaire d’une habilitation de sécurité pour avoir accès aux informations classifiées de niveau RESTREINT. Par dérogation à l’alinéa 1er, l’autorité d’origine peut accorder l’accès aux informations classifiées de niveau RESTREINT à une personne qui a besoin d’en connaître en dehors de l’exercice de sa fonction ou de sa mission.

Dans ce cas, l’autorité d’origine notifie les limites de l’utilisation de ces informations classifiées de niveau RESTREINT et les mesures de protection applicables. § 3. La conservation des informations classifiées de niveau CONFIDENTIEL ou supérieur requiert de disposer d’une approbation de l’installation physique. Pour être approuvée, l’installation physique doit présenter des garanties suffisantes pour prévenir, détecter classifiées. § 4.

Les informations classifiées sous forme électronique peuvent uniquement être utilisées dans des systèmes d’information et de communication approuvés et transmis au moyen de produits cryptographiques approuvés. Pour être approuvés, les systèmes d’information et de communication visés à l’alinéa 1er doivent présenter des garanties suffisantes quant à la confidentialité, l’intégrité et la disponibilité de ces systèmes et des informations qu’ils contiennent.

Des mesures supplémentaires destinées à garantir l’authenticité et la non-répudiation peuvent être requises. Les produits cryptographiques visés à l’alinéa 1er doivent, pour être approuvés, présenter au minimum des sécurité (confidentialité, intégrité, disponibilité, authenticité, non-répudiation) au moyen d’un ou de plusieurs mécanismes de chiffrement.”

Dans l’article 8bis, § 2, alinéa 1er, 3° de la même loi, inséré par la loi du 30 mars 2011, les mots “l’autorité de sécurité visée à l’article 15, alinéa 1er” sont remplacés par les mots “l’Autorité Nationale de Sécurité”. L’article 9 de la même loi est remplacé comme suit: “Art. 9. Le niveau de l’habilitation de sécurité est déterminé par le niveau de classification des informations classifiées auxquelles le titulaire de l’habilitation de sécurité peut devoir avoir accès pour l’exercice de sa fonction ou de sa mission.” L’article 10 de la même loi est remplacé par ce qui suit: “Art. 10.

Les informations classifiées ne peuvent être diffusées que moyennant l’autorisation de l’autorité d’origine, ou dans les cas déterminés par la loi, sans préjudice des compétences propres des autorités judiciaires. L’autorité d’origine et le destinataire peuvent limiter expressément l’utilisation et la diffusion ultérieure des informations classifiées au moyen de marquages supplémentaires. Lorsque l’autorité d’origine limite expressément l’utilisation ou la diffusion, le destinataire doit obtenir son consentement pour l’utilisation des informations classifiées au-delà de la limitation imposée.” L’article 11 de la même loi est remplacé par ce qui suit: “Art. 11. § 1er.

Les personnes qui sont titulaires d’une habilitation de sécurité et utilisent ou laissent utiliser de manière inappropriée des informations classifiées de niveau CONFIDENTIEL ou supérieur sont, même si cette utilisation est la conséquence d’une négligence, pour autant que celle-ci soit grave, passibles d’un emprisonnement de six mois à cinq ans et d’une amende de cent euros à cinq mille euros ou d’une de ces peines seulement.

et utilisent ou laissent utiliser de manière inappropriée sont, même si cette utilisation est la conséquence d’une négligence, pour autant que celle-ci soit grave, passibles d’un emprisonnement d’un mois à trois ans et d’une amende de cent euros à cinq mille euros ou d’une de ces peines seulement. § 3. Les personnes qui ne sont pas titulaires d’une habilitation de sécurité et qui utilisent ou laissent utiliser des informations classifiées de manière inappropriée avec une intention malveillante ou à dessein de nuire sont passibles d’un emprisonnement d’un mois à trois ans et d’une amende de cent euros à cinq mille euros § 4.

Les personnes qui ne sont pas titulaires d’une habilitation de sécurité, qui rendent publique des informations classifiées et qui savent ou devraient savoir qu’une divulgation est susceptible de porter atteinte à l’intégrité physique d’une personne sont passibles d’une peine d’emprisonnement de huit jours à un mois et d’une amende de cent euros à cinq mille euros ou d’une de ces peines seulement. Les personnes qui ne sont pas titulaires d’une habilitation de sécurité, qui rendent publiques des informations classifiées et qui savent ou devraient savoir qu’une divulgation est susceptible de porter atteinte à un des intérêts fondamentaux visés à l’article 3, § 1er, sont passibles d’une amende de cent euros à cinq mille euros.

Par dérogation à l’alinéa 2, ne sont pas punissables les personnes qui, dans le but de protéger l’intérêt public général, diffusent des informations classifiées pour exercer le droit à la liberté de la presse ou pour révéler une faute grave, un acte répréhensible grave ou une activité illégale grave d’une autorité publique. Dans la même loi, un chapitre IIbis est inséré, intitulé “Chapitre IIbis. Le service public réglementé.” Dans le chapitre IIbis inséré par l’article 23, il est

“Art. 11bis. § 1er. L’Autorité Nationale de Sécurité, qui intervient, conformément à l’article 1quater, 10°, en tant qu’autorité belge responsable pour le service public réglementé, octroie des autorisations pour:

2° le développement et la production, y compris les services auxiliaires qui requièrent l’accès à des informations relatives au service public réglementé, d’équipements destinés au service public réglementé;

3° l’exportation des équipements et technologies visés au 2°. L’Autorité Nationale de Sécurité peut refuser, modifier, suspendre ou retirer les autorisations visées à l’ alinéa 1er pour des raisons d’ordre public, de sécurité nationale ou de défense, de respect d’engagements internationaux et des normes minimales communes telles que fixées à l’article 8 de la Décision 1104/2011/UE. Tout transfert d’équipements ou de technologies conçus pour le service public réglementé offert par le système mondial de radionavigation par satellite issu du programme européen Galileo et qui est effectué depuis la Belgique vers les autres États membres de l’Union européenne, fait l’objet d’une déclaration à l’Autorité Nationale de Sécurité. § 2.

L’accès au service public réglementé, comme prévu au paragraphe 1er, alinéa 1er, 1°, est autorisé pour une communauté d’utilisateurs. Une communauté d’utilisateurs doit recevoir au préalable une autorisation émanant de l’Autorité Nationale de Sécurité, qui vérifie si les normes minimales communes, telles que fixées à l’article 8 de la Décision 1104/2011/UE, sont respectées. ou ne remplit plus les conditions liées à cette autorisation, celle-ci peut être refusée, modifiée, suspendue ou retirée par l’Autorité Nationale de Sécurité. § 3.

Sans préjudice de l’article 1sexies, l’Autorité Nationale de Sécurité peut procéder à des contrôles et inspections pour vérifier si les conditions visées au paragraphe 1er, alinéa 2 sont remplies. § 4. Le Roi détermine la procédure et les modalités pour l’exécution de cet article.”

Dans le même chapitre IIbis, il est inséré un ar- “Art. 11ter. Est passible d’un emprisonnement de six mois à cinq ans et d’une amende de cent euros à dix mille euros ou d’une de ces peines seulement, celui qui mène une activité prévue à l’article 11bis, § 1er, alinéa 1er sans autorisation de l’Autorité Nationale de Sécurité ou sans tenir compte des conditions liées à l’autorisation de l’Autorité Nationale de Sécurité.

La tentative visant à mener une activité visée à l’alinéa 1er est passible d’une amende de cent euros à cinq mille euros.” Dans l’article 12, alinéa 1er et 2 de la même loi, les mots “informations, documents ou données, à des matériels, matériaux ou matières classifiés” sont remplacés par les mots “informations classifiées”. L’article 13 de la même loi, modifié par la loi du 23 février 2018, est abrogé.

L’article 13/1 de la même loi, inséré par la loi du 23 fé- Dans l’article 14 de la même loi, les mots “aux articles 6 et 8 de la loi du 8 décembre 1992 relative à la données à caractère personnel” sont remplacés par les mots “à l’article 110 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel”. L’article 15 de la même loi est abrogé.

L’article 15bis de la même loi, inséré par la loi du 27 décembre 2006 et modifié par la loi du 6 décembre 2015 et la loi du 23 février 2018, est abrogé. À l’article 18, alinéa 3 de la même loi, les termes “des Services extérieurs” sont abrogés. À l’article 22 de la même loi, modifié par la loi du 21 avril 2016, les modifications suivantes sont apportées:

1° l’alinéa 4 est remplacé par ce qui suit: “L’autorité de sécurité peut modifier, suspendre ou retirer une habilitation de sécurité sur base d’informations qui lui sont présentées par les services de renseignement et de sécurité ou dans le cas visé à l’article 16, § 1er, alinéa 3.”;

2° dans l’alinéa 5, les mots “La notification d’un refus d’octroi ou d’un retrait de l’habilitation de sécurité” sont remplacés par les mots “La notification du refus, de la modification, de la suspension ou du retrait de l’habilitation de sécurité”. Dans l’article 22bis, alinéa 1er de la même loi, inséré par loi du 3 mai 2005, les mots “article 8, alinéa 2” sont remplacés par les mots “article 8, § 2, alinéa 2”.

L’article 22ter de la même loi, inséré par la loi du 3 mai 2005 et modifié par la loi du 30 mars 2011, est “Art. 22ter. Par dérogation à l’article 1quater, 5° et sans préjudice de l’article 1quinquies, les autorités suivantes peuvent délivrer et retirer les attestations de sécurité lorsqu’elles concernent l’accès aux locaux, bâtiments ou terrains qui relèvent de leur responsabilité ou, en ce qui concerne l’Agence fédérale de Contrôle nucléaire,

dont le contrôle relève de sa responsabilité, ou lorsqu’il s’agit d’événements qu’elles organisent elles-mêmes: de crise du Service public fédéral Intérieur ou un agent de niveau A qu’il a désigné. Toutes les autorités qui délivrent et retirent des attestations de sécurité tiennent un registre des vérifications de sécurité effectuées par elles-mêmes et des décisions prises. Ce registre contient:

1° le nom, le ou les prénoms, la date de naissance, la nationalité et l’adresse des personnes qui ont fait l’objet d’une vérification de sécurité;

2° l’auteur et la date de la demande de vérification;

3° l’objet et la durée de validité de l’attestation;

4° en cas de refus ou de retrait, la décision motivée de l’autorité compétente. Ces données sont détruites à l’expiration d’un délai de cinq ans à dater de la dernière décision dont la personne concernée a fait l’objet. À l’article 22quinquies de la même loi, remplacé par la loi du 23 février 2018, les modifications suivantes sont apportées:

1° aux paragraphes 3, 4 et 5, les mots “autorité visée à l’article 15, alinéa 1er” sont remplacés par les mots “Autorité Nationale de Sécurité”;

2° au paragraphe 6, les mots “article 13, 1°, a), b), c) ou d)” sont remplacés par les mots “article 1bis, 12°, a), b), c) ou d)”.

Dans l’article 22quinquies de la même loi, remplacé par la loi du 23 février 2018, l’article 22quinquies/1 de la même loi, inséré par la loi du 23 février 2018 et l’article 22sexies de la même loi, inséré par la loi du 3 mai 2005 et modifié par la loi du 23 février 2018, les mots “autorité visée “Autorité Nationale de Sécurité”. § 1er , alinéa 2 de la même loi, inséré par la loi du 23 février 2018, les mots “in artikel 15, eerste lid, bedoelde overheid” sont remplacés par les mots “Nationale Veiligheidsoverheid”.

Dans l’article 22sexies § 1er, alinéa 2e de la même loi, inséré par la loi de 23 février 2018, les mots “la Commission pour la protection de la vie privée” sont remplacés par les mots “Comité permanent de contrôle des services de renseignements et de sécurité”. Dans la même loi, l’article 22septies, inséré par la loi du 23 février 2018 et modifié par la loi du 2 mai 2019, est abrogé. Dans la même loi, il est inséré un chapitre IIIter, intitulé “Chapitre IIIter.

Rétributions.” Dans chapitre IIIter, inséré par l’article 41, il est inséré un article 22septies rédigé comme suit: “Art. 22septies. Une rétribution est due par l’employeur de la personne physique pour laquelle une attestation de sécurité ou un avis de sécurité est sollicité. Une rétribution n’est pas due pour les attestations de sécurité

émises par les autorités visées aux articles 1quinquies, alinéa 1 à 4 et 22ter, alinéa 1er, 1° et 3°. Cette rétribution est due au service administratif à ou, le cas échéant, à l’autorité visée à l’Agence fédérale de Contrôle nucléaire. La délivrance de l’attestation de sécurité ou de l’avis de sécurité ne peut avoir lieu qu’après paiement de la rétribution. Le Roi détermine le montant de la rétribution à percevoir pour les attestations de sécurité et les avis de sécurité.

Le Roi détermine également la clé de répartition de cette rétribution entre les autorités visées aux articles 1quinquies, alinéas 1 à 4 et 22ter, alinéa 1, 1°. Le Roi détermine les modalités de perception des rétributions et les modalités de versement de ces rétributions au service administratif à comptabilité autonome “Autorité nationale de Sécurité “et celles relatives à la comptabilité. de la rétribution à percevoir pour les attestations de sécurité émises par l’autorité visée à l’article 22ter, alinéa 1, 2°.

Le Roi détermine également la clé de répartition de cette

rétribution entre les autorités visées aux articles 1quinquies, alinéas 1 à 4 et 22ter, alinéa 1, 2°. Par dérogation à l’alinéa 7, le Roi détermine les modalités de perception des rétributions et les modalités de versement de ces rétributions à l’autorité visée à l’article 22ter, alinéa 1, 2° et celles relatives à la comptabilité. Dans le même chapitre IIIter, il est inséré un article 22octies rédigé comme suit: “Art. 22octies. § 1er.

La personne physique ou la personne morale pour laquelle une habilitation de sécurité est demandée, est redevable d’une rétribution. § 2. Le Roi peut imposer une rétribution à la personne morale qui demande l’approbation d’une installation physique, d’un système de communication et d’information ou d’un produit cryptographique ou qui demande un matériel cryptographique à l’Autorité Nationale de Sécurité. § 3.

Sont exemptés de toute rétribution visée aux 4° l’Agence fédérale de Contrôle nucléaire;

7° la Police intégrée. § 4. La rétribution visée aux paragraphes 1 et 2 est due au service administratif à comptabilité autonome § 5. Le Roi peut fixer le montant des rétributions à percevoir et la clé de répartition entre les services concernés et détermine les modalités de perception des rétributions, de versement des rétributions au service

administratif à comptabilité autonome “Autorité Nationale de Sécurité” ainsi que celles relatives à la comptabilité.” Dans l’article 23, alinéa 1er de la même loi, modifié par la loi du 3 mai 2005, les mots “les membres des autorités visées aux articles 15, 22ter et 22quinquies” sont remplacés par les mots “Les membres de l’Autorité Nationale de Sécurité, des autorités visées aux articles 1quinquies, alinéas 1 à 4, 22ter et 22quinquies”.”. § 1er.

Les décisions suivantes, octroyées avant l’entrée en vigueur de cette loi, restent valables jusqu’à leur 1° les habilitations de sécurité délivrées conformément à l’article 13, 2°, de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et 2° les avis de sécurité délivrés conformément à[aux] l’article 22quinquies/1 de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité;

3° les attestations de sécurité délivrées conformément aux articles 22bis et 22ter de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité; de Sécurité dans le cadre de la Décision 1104/2011/ radionavigation par satellite issu du programme Galileo. Les habilitations de sécurité visées à l’alinéa 1er, 1° peuvent être modifiées, suspendues ou retirées conformément aux dispositions de la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé.

Les attestations de sécurité visés à l’alinéa 1er, 3° peuvent être retirés conformément aux dispositions de la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. Les autorisations octroyées par l’Autorité Nationale public réglementé visées à l’alinéa 1er, 4° peuvent être modifiées, suspendues ou retirées conformément aux dispositions de la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. § 2.

Les personnes morales qui ont reçu une habilitation de sécurité visée au paragraphe 1er, alinéa 1er, 1° incluant une approbation de leurs systèmes de communication et d’information ou de leurs installations physiques, sont exemptées de l’obtention de l’approbation de leurs systèmes de communication et d’information ou de l’approbation de leurs installations physiques pour la durée de validité de cette habilitation de sécurité.

Le Roi peut modifier la terminologie utilisée dans les dispositions légales en vigueur en vue d’assurer leur concordance avec la loi du 11 décembre 1998 relative avis de sécurité, telle que modifiée par la présente loi.

Le Roi fixera, par arrêté délibéré en Conseil des ministres, les dates d’entrée en vigueur des dispositions de cette loi. Donné à Bruxelles, le 9 décembre 2021 PHILIPPE Par le Roi:

Coordination Modifications de la loi du 11 décembre 1998 r attestations et a Texte de base 11 DECEMBRE 1998. - Loi relative à la classification et aux habilitations, attestations et avis de sécurité.

CHAPITRE I. - Dispositions générales.

Art. 3. § 1er. Peuvent faire l'objet d'une

classification : les informations, documents ou données, le matériel, les matériaux ou matières, sous quelque forme que ce soit, dont l'utilisation inappropriée peut porter atteinte à l'un des intérêts suivants : a) la défense de l'intégrité du territoire national et des plans de défense militaire; b) l'accomplissement des missions des forces armées;

c) la sûreté intérieure de l'Etat, y compris dans le domaine de l'énergie nucléaire, et la pérennité de l'ordre démocratique et constitutionnel; d) la sûreté extérieure de l'Etat et les relations internationales de la Belgique; e) le potentiel scientifique et économique du pays; f) tout autre intérêt fondamental de l'Etat; g) la sécurité des ressortissants belges à l'étranger; h) le fonctionnement des organes décisionnels de l'Etat. i ) la sécurité des personnes auxquelles en vertu de l'article 104, § 2, du Code d'instruction criminelle, des mesures de protection spéciales sont octroyées.

§ 2. Les matières nucléaires à usage pacifique réparties en catégories en vertu de l'article 17ter de la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de contrôle nucléaire, ainsi que les documents nucléaires, tels que définis à l'article 1er bis de la même loi, ne sont pas classifiés au sens de la présente loi, sans préjudice des règles établies par ou en vertu des traités ou conventions qui lient la Belgique.

Art. 4. La classification visée à l'article 3

comprend trois degrés

TRES

SECRET, SECRET, CONFIDENTIEL.

Le degré TRES SECRET est attribué lorsque l'utilisation inappropriée peut porter très gravement atteinte à un des intérêts visés à l'article 3.

Le degré SECRET est attribué lorsque l'utilisation inappropriée peut porter gravement atteinte à un des intérêts visés à l'article 3.

Le degré CONFIDENTIEL est attribué lorsque l'utilisation inappropriée peut porter atteinte à un

L'utilisation susvisée comprend notamment la prise de connaissance, la détention, conservation, l'utilisation, le traitement, communication, la diffusion, la reproduction, la transmission ou le transport.

Art. 5bis. Dans le contexte de la protection

spéciale des personnes visées à l'article 3, i ), le degré de classification TRES SECRET est attribué à tous les documents pouvant révéler un lien entre l'ancienne et la nouvelle résidence de la personne protégée et/ou son identité.

Cette classification est révoquée de plein droit lorsque la Commission de protection des témoins a retiré les mesures de protection spéciales.

Art. 6. Les informations, documents ou données,

le matériel, les matériaux ou matières classifiés, sous quelque forme que ce soit, en application des traités ou de conventions internationaux qui lient la Belgique conservent la classification qui leur a été attribuée.

Le Roi détermine les rapports entre les degrés de classification visés à l'article 4 et ceux qui découlent traités ou conventions internationaux qui lient la Belgique.

Art. 7. Le Roi détermine les modalités de

classification, de déclassification et de protection d'informations, de documents, de données, de matériel, de matériaux et de matières, ainsi que les autorités et personnes qui peuvent attribuer un degré de classification.

Art. 8. Nul n'est admis à avoir accès aux

informations, documents ou données, au matériel, aux matériaux ou matières classifiés s'il n'est pas titulaire d'une habilitation sécurité correspondante et s'il n'a pas besoin d'en connaître et d'y avoir accès pour l'exercice de sa fonction ou de sa mission, sans préjudice des compétences propres des autorités judiciaires, de celles de la

Cellule de traitement des informations financières et de celles des membres de l'organe de recours visé par la loi du 11 décembre 1998 portant création d'un organe de recours en matière d'habilitations, d'attestations et d'avis de sécurité.

L'accès aux locaux, bâtiments ou sites où se trouvent des informations, documents, données, matériels, matériaux et matières classifiés peut être soumis aux mêmes conditions par les autorités désignées par le Roi.

Art. 8bis. § 1er. Sans préjudice des compétences

propres des autorités judicaires, quiconque a accès aux matières nucléaires et aux documents visés à l'article 3, § 2, ainsi qu'aux zones de sécurité des installations nucléaires et des entreprises de transport nucléaire, en ce compris les véhicules de transport nucléaire, doit être titulaire d'une habilitation de sécurité, délivrée conformément au chapitre III ou d'une habilitation de sécurité délivrée par les autorités compétentes d'un pays tiers et reconnue par les conventions et traités internationaux qui lient la Belgique en cette matière.

Le Roi détermine les niveaux d'habilitation requis en fonction de la catégorisation des zones de sécurité, des matières nucléaires ou des documents nucléaires.

Le Roi peut autoriser les autorités belges désignées par lui à vérifier la validité de l'habilitation de sécurité délivrée par une autorité étrangère. Le Roi fixe les règles de cette procédure de vérification.

§ 2. Par dérogation au paragraphe 1er, le Roi peut autoriser le directeur-général de l'Agence fédérale de Contrôle nucléaire ou son délégué, le responsable du département qui a la sécurité dans ses compétences, à délivrer une attestation de sécurité, conformément au chapitre IIIbis, pour l'accès aux zones de sécurité ainsi qu'aux matières nucléaires et aux documents nucléaires lorsque :

1°la durée pendant laquelle la personne doit avoir accès est inférieure à douze ou quinze mois, selon que le niveau d'habilitation normalement requis est respectivement " CONFIDENTIEL " ou " SECRET ";

2° la durée pendant laquelle cette personne doit avoir occasionnellement accès ne dépasse pas six heures;

3° une demande d'habilitation a été introduite auprès de l'autorité de sécurité visée à l'article 15, alinéa 1er. Cette attestation de sécurité vient à expiration soit à la date d'octroi ou de refus définitif de l'habilitation de sécurité, soit lorsque le délai de validité de l'attestation est forclos ou au plus tard, à l'échéance du délai fixé par le Roi.

Le Roi fixe les règles et la procédure permettant aux personnes visées au présent paragraphe d'avoir accès aux matières nucléaires catégorisées, aux zones de sécurité et aux documents nucléaires.

§ 3. Par dérogation aux §§ 1er et 2, une personne de nationalité belge non résidente en Belgique ou qui ne possède ni la nationalité belge ni un domicile fixe en Belgique et non titulaire de l'habilitation visée au § 1er. peut avoir accès aux zones de sécurité ainsi qu'aux matières nucléaires et aux documents nucléaires si elle est en possession d'une attestation, délivrée depuis moins d'un an par les autorités compétentes du pays où elle réside habituellement, certifiant qu'elle est autorisée dans ce pays à avoir accès à une installation nucléaire ou une entreprise de transport nucléaire, aux matières nucléaires, aux endroits où elles sont localisées, aux documents qui les concernent.

Le Roi fixe la procédure permettant aux personnes visées au présent paragraphe d'avoir accès aux matières nucléaires, aux zones de sécurité et aux documents nucléaires.

§ 4. Par dérogation aux §§ 1er et 2, le Roi définit les modalités d'accès aux zones de sécurité en cas d'urgence motivée par l'occurrence d'un incident ou d'un accident nucléaire ou par toute cause de nature à provoquer, de manière imminente, soit un risque radiologique anormal pour la population, les travailleurs ou l'environnement soit des dommages graves aux personnes ou aux biens.

Le Roi définit également les modalités d'accès aux zones de sécurité en cas d'urgence motivée par l'occurrence d'un incident ou d'un accident sans risque d'impact radiologique.

§ 5. Dans les cas visés aux §§ 2 à 4, des mesures protection complémentaires nature technique, organisationnelle et administrative sont prises pour contrôler efficacement l'accès aux matières nucléaires, aux documents nucléaires et aux zones de sécurité. En aucun cas, ces mesures ne peuvent impliquer l'obligation pour la personne visée dans les paragraphes susdits de fournir à son employeur, à l'officier de sécurité, au responsable de la protection physique ou aux autorités concernées par la mise en oeuvre de la présente loi, des informations à caractère personnel si celles-ci ne sont pas requises dans le cadre de l'application de ladite loi et de ses arrêtés d'exécution ou si elles sont demandées par une personne physique ou morale non habilitée à ce faire par la présente loi et ses arrêtés d'exécution.

Les mesures de protection complémentaires sont établies par le Roi, après avis de l'Agence fédérale de Contrôle nucléaire. Elles sont mises en oeuvre par la personne responsable de la protection physique de l'installation nucléaire ou de l'entreprise de transport nucléaire.

§ 6. Dans les cas visés aux §§ 2 à 4, à l'exception du cas de la personne autorisée à visiter l'installation nucléaire ou l'entreprise de transport nucléaire et dont l'accès d'une durée égale ou inférieure à six heures est limité exclusivement aux zones de sécurité, il ne peut être donné accès aux aux zones de sécurité ainsi qu'à la connaissance des informations contenues dans les documents nucléaires que lorsque le dit accès est indispensable pour que la personne concernée exerce sa fonction ou réalise sa mission.

Art. 9. Le niveau de l'habilitation de sécurité est

déterminé par le degré de classification des informations, documents ou données, du matériel, des matériaux ou matières auxquels le titulaire de l'habilitation peut devoir avoir accès pour l'exercice de sa fonction ou de sa mission.

Art. 10. Les informations, documents ou données,

le matériel, les matériaux ou matières classifiés ne peuvent être utilisés, au sens de l'article 4, que moyennant l'autorisation de l'auteur de la classification ou de son supérieur hiérarchique, ou dans les cas déterminés par la loi, sans préjudice

Art. 11. Le titulaire d'une habilitation de sécurité

qui, dans l'exercice de ses fonctions, utilise ou laisse utiliser au sens de l'article 4 des des matériaux ou matières classifiés, de manière inappropriée sera, même si cette utilisation est la conséquence d'une négligence, pour autant que celle-ci soit grave, puni d'un emprisonnement d'un mois à cinq ans et d'une amende de cent francs à cinq mille francs ou d'une de ces peines seulement.

Art. 12. La présente loi s'applique lorsque, dans

l'intérêt de la défense de l'intégrité du territoire national, des plans de défense militaires, de l'accomplissement des missions des forces armées, de la sûreté intérieure de l'Etat, y compris dans le domaine de l'énergie nucléaire, et de la pérennité de l'ordre démocratique et constitutionnel, de la sûreté extérieure de l'Etat et des relations internationales, du potentiel scientifique ou économique du pays ou tout autre intérêt fondamental de l'Etat, de la sécurité des ressortissants belges à l'étranger, du fonctionnement des organes décisionnels de l'Etat, ou en application des traités liant la Belgique, l'autorité compétente pour régler l'accès à un emploi, une fonction ou un grade, à des informations, documents ou données, à des matériels, matériaux ou matières classifiés, à des locaux, des bâtiments ou des sites ou pour organiser la passation et l'exécution d'un contrat ou d'un marché public, impose la possession d'une

Dans les cas déterminés par le Roi, la présente loi s'applique également aux habilitations de sécurité

demandées par des personnes morales ou physiques qui souhaitent obtenir une habilitation de sécurité en vue d'accéder à l'étranger à des locaux, des bâtiments ou des sites, dont l'accès est réservé au titulaire d'une habilitation de sécurité.

La présente loi s'applique également à toutes les personnes qui souhaitent accéder aux documents classifiés visés à l'article 5bis.

personnes qui doivent avoir accès aux matières nucléaires catégorisées, aux documents nucléaires ou aux zones de sécurité tels qu'ils sont définis par l'Agence fédérale de Contrôle nucléaire.

Art. 13. Dans la présente loi, on entend par :

1° " officier de sécurité "; a) le fonctionnaire titulaire d'une habilitation de sécurité, qui, dans une administration publique, un organisme d'intérêt public ou une entreprise publique autonome manipulant des documents ou du matériel classifiés, est désigné, par le ministre dont cette administration, cet organisme ou cette entreprise relève, pour veiller à l'observation des b) le membre du personnel titulaire d'une habilitation de sécurité, au sein d'une personne morale titulaire d'une habilitation de sécurité, désigné par la direction de la personne morale pour veiller à l'observation des règles de sécurité; c) le fonctionnaire, titulaire d'une habilitation de publique autonome, est désigné par le ministre pour veiller à l'observation des règles de sécurité dans le cadre d'un avis de sécurité ou d'une titulaire d'une habilitation de sécurité, qui est veiller à l'observation des règles de sécurité dans le cadre d'un avis de sécurité ou d'une attestation de sécurité ;

d) le magistrat du ministère public, titulaire d'une habilitation de sécurité, est désigné par le ministre de la Justice pour veiller à l'observation des règles de sécurité sur proposition du : - procureur fédéral en ce qui concerne le parquet fédéral ; - procureur général concerné en ce qui concerne les parquets, les auditorats du travail, le parquet général et l'auditorat général de son ressort ; - président du Collège des procureurs généraux en ce qui concerne le service d'appui du ministère public.

2° " habilitation de sécurité ", l'attestation officielle établie sur la base des informations recueillies par un service de renseignement et de sécurité, selon laquelle, pour accéder à des données auxquelles un certain degré de confidentialité a été attribué : - une personne physique présente des garanties suffisantes, quant à la discrétion, la loyauté et l'intégrité; - une personne morale présente des garanties suffisantes, quant aux moyens matériels et techniques et aux méthodes utilisés pour protéger ces données et quant à la discrétion, la loyauté et l'intégrité de ses organes et préposés susceptibles d'avoir accès à ces données;

3° " enquête de sécurité ", l'enquête effectuée par un service de renseignement et de sécurité et visant à établir que toutes les conditions nécessaires à la délivrance de l'habilitation de sécurité sont réunies, en tenant compte du niveau et de l'objet de l'habilitation;

4° " service de renseignement et de sécurité ", la Sûreté de l'Etat et le Service général du renseignement et de la sécurité des Forces armées.

Art. 13/1. Les personnes visées à l'article 13, 1°,

sont en particulier chargées : a) d'une part, de l'application et du contrôle de la politique en matière de sécurité et de la protection de l'information classifiée ou, d'autre part, du suivi des attestations de sécurité ou des avis de sécurité ; b) du suivi, en particulier pour la mention des éléments relatifs aux personnes qui ont reçu un avis de sécurité, une attestation de sécurité, ou une habilitation de sécurité, et qui peuvent mener à une révision de cet avis de sécurité, attestation de sécurité, ou de cette habilitation de sécurité.

Le Roi peut confier aux officiers de sécurité d'autres missions respectivement en matière d'habilitations de sécurité et de protection de ce qui

a été classifié conformément à l'article 3, § 1er, et en matière d'avis de sécurité ou d'attestations de L'officier de sécurité exerce ses tâches en toute indépendance. Il fait rapport au fonctionnaire dirigeant des administrations publiques, des organismes d'intérêt publics ou des entreprises publiques autonomes, ou au chef de corps respectif du ministère public visé à l'article 13, d), ou au responsable d'une personne morale de droit privé. Il informe l'autorité visée à l'article 15, alinéa 1er, lorsque cela est prévu.

Art. 14. Dans le cadre de l'application de la

présente loi, des données à caractère personnel peuvent être traitées, y compris celles visées aux articles 6 et 8 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

Art. 15. Le Roi désigne la ou les autorités

collégiales compétentes pour délivrer ou retirer les habilitations de sécurité. Cette ou ces autorités sont ci-après dénommées " l'autorité de sécurité ". Par dérogation à l'alinéa 1er, les autorités suivantes peuvent être autorisées par le Roi à exercer les compétences attribuées par la présente loi à l'autorité de sécurité :

1° l'administrateur général de la Sûreté de l'Etat ou, en cas d'empêchement, l'administrateur général adjoint, pour les membres du personnel de ce service et les candidats à un emploi dans ce service;

2° le chef du Service général du renseignement et de la sécurité des Forces armées, ou un officier supérieur qu'il délègue, pour les personnes qui relèvent du Ministre de la Défense nationale et pour les candidats à un emploi au sein du Ministère de la Défense nationale.

Art. 15bis. Une rétribution est due par la personne

physique ou morale pour laquelle une habilitation de sécurité est demandée et qui ne fait pas partie du personnel de l'administration fédérale et de la police intégrée. Cette rétribution est perçue par l'autorité de sécurité visée à l'article 15, alinéa 1er, suite à l'accord, prévu à l'article 16, de la personne pour laquelle une habilitation de sécurité est demandée. Le Roi fixe, sur avis du Conseil national de sécurité, le montant de la rétribution à percevoir; son tarif dépend du niveau de l'habilitation de sécurité requise.

rétributions, les modalités de versement de ces rétributions au service administratif à comptabilité autonome " Autorité nationale de Sécurité " et celles relatives à la comptabilité.

Art. 18. L'enquête de sécurité est effectué par un

service de renseignement et de sécurité.

Lorsque la personne pour laquelle l'habilitation de sécurité est requise réside, transite ou séjourne à l'étranger ou y a transité, séjourné ou résidé, ce service peut solliciter la collaboration des services compétents du pays hôte.

Les agents des Services extérieurs de la Sûreté de l'Etat et les membres du Service général du renseignement et de la sécurité chargés d'effectuer les enquêtes sont désignés respectivement par le Ministre de la Justice, sur la proposition de l'administrateur général de la Sûreté de l'Etat, et par le Ministre de la Défense nationale, sur la proposition du chef du Service général du

Ils recoivent, lors de leur désignation, une carte de légitimation, dont le modèle est fixé par le Ministre compétent. Cette carte ne peut être utilisée que dans le cadre des enquêtes de sécurité et doit être immédiatement restituée à l'autorité qui l'a délivrée lorsque la désignation visée à l'alinéa 3 a pris fin.

L'ampleur de l'enquête de sécurité varie en fonction du niveau de l'habilitation de sécurité requise et est déterminée, pour chaque niveau, par le Conseil national de sécurité. Elle ne peut en tout cas nécessiter des pouvoirs d'investigation autres que ceux prévus par la présente loi, en particulier à l'article 19.

La décision du Conseil national de sécurité est communiquée uniquement aux agents et membres des services de renseignement et de sécurité, à l'autorité de sécurité, ainsi qu'au Comité permanent R.

Art. 22. A l'issue de l'enquête de sécurité, l'autorité

de sécurité statue par décision motivée, dans le délai fixé par le Roi, sur l'octroi de l'habilitation de sécurité requise, sur la base du rapport d'enquête

qui lui est soumis par le service de renseignement et de sécurité qui y a procédé.

Si elle l'estime utile à l'examen du rapport d'enquête, l'autorité de sécurité requiert de ce service de lui communiquer une copie du dossier d'enquête dans son intégralité. Elle peut également requérir de ce service la communication de toute information complémentaire qu'elle juge utile à l'examen du rapport d'enquête.

La décision est notifiée à l'intervention de l'officier de sécurité à la personne, physique ou morale, pour laquelle l'habilitation est requise, dans le délai fixé par le Roi.

L'autorité de sécurité peut retirer une habilitation de sécurité sur base d'informations qui lui sont présentées par les services de renseignement et de sécurité ou dans le cas visé à l'article 16, § 1er, alinéa 3.

La notification d'un refus d'octroi ou d'un retrait de l'habilitation de sécurité reprend les motifs justifiant cette décision, à l'exception de toute information dont la communication serait de nature à porter atteinte à la défense de l'intégrité du territoire national, aux plans de défense militaires, à l'accomplissement des missions des forces armées, à la sûreté intérieure de l'Etat, y compris dans le domaine de l'énergie nucléaire, à la pérennité l'ordre démocratique et constitutionnel, à la sûreté extérieure de l'Etat et aux relations internationales, au potentiel scientifique ou économique du pays ou tout autre intérêt fondamental de l'Etat, à la sécurité des à la protection des sources , au secret d'une information ou d'une instruction judiciaire en cours ou à la protection de la vie privée de tiers.

Si ces secrets concernent une information ou une instruction judiciaire en cours, l'autorité de sécurité se concerte au préalable à ce sujet avec le magistrat compétent.

L'autorité de sécurité doit prendre les mesures internes nécessaires afin de garantir le caractère confidentiel des rapports d'enquête et, le cas échéant, des dossiers d'enquête.

Art. 22bis. Dans les cas où une habilitation de

sécurité n'est pas requise pour l'accès d'une personne aux locaux, bâtiments ou sites dont il est question à l'article 8, alinéa 2, l'autorité visée par cette disposition peut imposer la possession d'une attestation de sécurité.

Les autorités publiques ayant des compétences en matière de sécurité, désignées par le Roi peuvent, pour des raisons d'ordre public, de sécurité ou de protection de l'intégrité physique des personnes présentes, soumettre l'accès d'une personne pour une durée limitée à des locaux, bâtiments ou sites liés à des fonctions d'autorité publique ou à un événement déterminé national ou international, diplomatique ou protocolaire, à la possession d'une attestation de sécurité dans le cas où il existe une menace potentielle au sens de l'article 8, 1°, de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité.

La décision de cette autorité publique est motivée et portée à la connaissance de l'autorité visée à l'article 22ter et des organisateurs l'événement responsables des locaux, des bâtiments ou des sites, selon les modalités et les délais fixés par le Roi. Les organisateurs ou les responsables donnent connaissance à toutes les personnes concernées de la décision motivée, selon les modalités définies par le Roi.

Ils transmettent immédiatement les données suivantes à l'autorité visée à l'article 22ter a) l'identité des personnes qui devront avoir accès, cette identité comprenant au moins le nom, le ou les prénoms, la date de naissance, la nationalité, l'adresse et, le cas échéant, le numéro du registre national; b) l'adresse, le numéro de télécopieur ou l'adresse de courrier électronique des personnes auxquelles la décision éventuelle de refus d'attestation devra être notifiée.

Art. 22ter. L'autorité de sécurité visée à l'article

15, alinéa 1er, est compétente pour délivrer ou retirer les attestations de sécurité.

suivantes peuvent exercer cette compétence, en ce qui concerne l'accès aux locaux, bâtiments ou sites placés sous leur responsabilité [1 ou en ce qui concerne l'Agence fédérale de Contrôle

nucléaire, dont le contrôle relève de sa responsabilité]1 ou pour les événements qu'elles organisent elles-mêmes :

1° le président de l'Autorité nationale de 2° l'administrateur général de la Sûreté de l'Etat ou un fonctionnaire de niveau 1 délégué par lui;

3° le chef du Service général du renseignement et de la sécurité des Forces armées, ou un officier supérieur délégué par lui;

4° le directeur général de l'Agence fédérale de contrôle nucléaire ou [1 son délégué, le responsable du département qui a la sécurité nucléaire dans ses compétences]1;

5° le commissaire général de la police fédérale ou un officier délégué par lui ainsi que le chef du corps de la police locale ou un officier délégué par lui;

6° le directeur général de la Direction générale du Centre de crise du Service public fédéral de l'Intérieur ou un fonctionnaire de niveau 1 délégué par lui.

Chacune de ces autorités tient un registre des vérifications de sécurité qu'elle a effectuées ainsi que des décisions qu'elle a prises. Les données insérées dans ce registre ainsi que la durée de leur conservation sont déterminées par le Roi moyennant un avis préalable de la Commission de la protection de la vie privée.

Art. 22quinquies. § 1er. L'exercice d'une

profession, d'une fonction, d'une mission ou d'un mandat, l'accès aux locaux, bâtiments ou sites, ou la détention d'un permis, d'une licence ou d'une autorisation ne peut être soumis à la vérification de sécurité visée à l'article 22sexies, que si cet exercice, cet accès ou cette détention, par un usage inapproprié, peut nuire aux intérêts visés à l'article 12, alinéa 1er. Dans ce cas, la procédure devant être suivie est reprise aux paragraphe 2 et suivants.

§ 2. À la demande de l'autorité administrative compétente ou d'initiative, les personnes morales de droit public ou de droit privé qui font partie d'un secteur d'activité concerné, tel que visé au § 7, effectuent une analyse de risques pour ellesmêmes. Cette analyse de risque évalue si l'exercice d'une profession, d'une fonction, d'une mission ou d'un mandat, l'accès à des locaux, des bâtiments, des sites, ou la détention d'un permis, d'une licence

ou d'une autorisation peut, par un usage inapproprié, porter atteinte à un des intérêts visé à l'article 12, alinéa 1er. Cette analyse de risque est transmise à l'autorité administrative compétente visée au § 7.

§ 3. Sur la base de l'analyse de risque visée au § 2 et sur la base d'une analyse spécifique de la menace demandée par l'autorité administrative compétente aux services compétents en fonction de la nature de la menace, l'autorité administrative compétente effectue une analyse d'impact. Cette analyse d'impact vise à identifier les dommages qui peuvent être infligés aux intérêts visés à l'article 12, alinéa 1er.

Sur la base de ces éléments, elle fait une proposition pour soumettre l'exercice d'une autorisation, à une vérification de sécurité visée à l'article 22sexies pour le secteur d'activités qui la concerne, en transmettant un dossier de demande à l'autorité visée à l'article 15, alinéa 1er.

§ 4. L'autorité visée à l'article 15, alinéa 1er, évalue le dossier de demande visé au § 3 qui lui est soumis en ce qui concerne la recevabilité formelle et examine la validité de la demande qui lui est faite au regard des intérêts visés à l'article 12, alinéa 1er et décide ensuite de l'approuver ou non. L'autorité visée à l'article 15, alinéa 1er, transmet sa décision à l'autorité administrative compétente qui a soumis le dossier de demande y afférent et qui à son tour communique la décision au secteur d'activité concerné, tel que visé au § 7.

L'autorité visée à l'article 15, alinéa 1er, peut réclamer des informations complémentaires avant de prendre sa décision.

§ 5. Chaque autorité administrative compétente qui, conformément au paragraphe 7, a été désignée par le Roi pour le secteur d'activités qui la concerne obtient, à sa demande, de l'autorité visée à l'article 15, alinéa 1er, documents pour l'accomplissement de l'analyse de risque et d'impact. Les personnes morales de droit public et de droit privé qui relèvent d'un secteur d'activités pour lequel l'autorité administrative a été désignée, obtiennent à leur demande également ces documents de l'autorité visée à l'article 15, alinéa 1er.

§ 6. L'autorité administrative compétente et la personne morale de droit public et de droit privé qui a une profession, une fonction, une mission ou un mandat, un accès aux locaux, bâtiments ou sites, ou la détention d'un permis, d'une licence ou d'une autorisation qui est soumis à la vérification de sécurité visée à l'article 22sexies, dispose au moins d'un officier de sécurité visé à l'article 13, 1°, a), b), c) ou d).

§ 7. Le Roi détermine, par un arrêté délibéré en Conseil des ministres, les secteurs d'activités soumis à l'application du présent article et les autorités administratives compétentes pour chacun de ces secteurs.

Art. 22quinquies/1. § 1er. La personne morale de

droit public et de droit privé informe la personne concernée du fait qu'elle tombe sous l'application de la demande approuvée visée à l'article 22quinquies, § 4, et de l'obligation de se soumettre à la vérification de sécurité visée à l'article 22sexies, Après que la personne concernée a été informée, l'officier de sécurité, visé à l'article 22quinquies, § 6, demande, préalablement à la vérification de sécurité telle que visée à l'article 22sexies le consentement de la personne concernée et transmet, la demande individuelle de vérification et le consentement à l'officier de sécurité de l'autorité administrative compétente pour qu'il les centralise et en vérifie la conformité, avant de les transmettre à l'autorité visée à l'article 15, alinéa 1er. § 2.

L'autorité visée à l'article 15, alinéa 1er, transmet son avis de sécurité motivé à l'autorité administrative qui l'a sollicité. L'autorité administrative informe l'officier de sécurité de l'employeur de l'avis de sécurité.

Lorsqu'un avis de sécurité négatif est rendu, l'autorité administrative compétente qui l'a sollicité communique cet avis de sécurité motivé, conformément à l'article 22, alinéa 5, par envoi recommandé également à la personne concernée.

§ 3. Si aucun avis n'est rendu dans le délai prescrit, l'autorité administrative compétente qui a demandé l'avis de sécurité, met en demeure l'autorité visée à l'article 15, alinéa 1er de délivrer un avis de sécurité dans le délai qu'elle détermine et qui inclut au moins le délai prescrit. Si l'avis de

sécurité n'est pas rendu à l'expiration de ce délai, il est réputé positif.

§ 4. L'avis de sécurité visé au § 2, alinéa 1er, est délivré pour une durée de validité de maximum cinq ans.

§ 5. L'autorité visée à l'article 15, alinéa 1er, peut de sa propre initiative émettre ultérieurement un nouvel avis de sécurité sur la base des données et informations visées à l'article 22sexies. Elle communique cet avis à l'autorité administrative compétente qui, en cas d'avis de sécurité négatif transmet cet avis motivé, recommandé à la personne concernée et, à l'officier de sécurité de l'employeur de la personne concernée.

§ 6. La personne concernée peut à tout moment via son officier de sécurité faire savoir par écrit à l'autorité administrative compétente qu'elle ne souhaite pas ou plus faire l'objet d'une vérification de sécurité. L'autorité administrative compétente en informe l'autorité visée à l'article 15, alinéa 1er.

§ 7. Le Roi fixe les délais visés aux §§ 1er à 3, 5 et 6 ainsi que les autres modalités d'application de ces dispositions.

Art. 22sexies. § 1er. La vérification de sécurité

consiste en la consultation et l'évaluation :

1° des données visées à l'article 19, alinéa 2, 1° ;

2° des informations rassemblées dans le cadre de la loi organique des services de renseignement et de sécurité du 30 novembre 1998, communiquées par les services de renseignement et de sécurité ;

3° des données et informations des banques de données policières internationales résultant de traités liant la Belgique, communiquées par les services de police ;

4° des données et informations visées aux articles 44/1 et 44/2 de la loi sur la fonction de police qui sont communiquées par les services de police moyennant autorisation des autorités judiciaires compétentes pour les données de police judiciaire. Pour ces dernières, les autorités judiciaires, à la demande des services de police, les informent du statut d'une information ou d'une instruction judiciaire ;

5° d'autres données et informations.

Le caractère adéquat, pertinent et non excessif des données et informations visées à l'alinéa 1er, 3°, 4° et 5°, ainsi que la liste de ces données et informations sont déterminés par un arrêté royal délibéré en Conseil des ministres après avis de la Commission pour la protection de la vie privée.

Lorsque la personne pour laquelle la vérification de sécurité est requise, réside, transite ou séjourne à l'étranger, ou y a résidé, transité ou séjourné, l'autorité visée à l'article 15, alinéa 1er, et les services visés à l'alinéa 1er, peuvent solliciter les informations visées à l'alinéa 1er auprès des services compétents du pays concerné.

Dans les cas où le gouverneur délivre une autorisation ou un document similaire en vertu de la loi sur les armes du 8 juin 2006, ou lorsque le ministre de l'Intérieur est compétent en vertu de l'article 93 de la loi du 2 octobre 2017 réglementant la sécurité privée et particulière, la vérification de sécurité consiste également en l'évaluation des informations judiciaires transmises par le ministère public et des informations relatives à l'intéressé transmises par les services compétents dépendant du ministre de l'Intérieur.

Si elle le juge utile pour l'analyse d'un dossier, l'autorité visée à l'article 22ter peut, dans les limites l'alinéa 1er exiger communication d'informations complémentaires.

L'ensemble de ces données constitue le dossier de vérification.

Sauf dans les cas où une vérification de sécurité telle que visée aux articles 22bis et 22quinquies, § 1er, alinéa 1er, est requise pour eux, la personne âgée de moins de 18 ans ne peut pas être soumise à une vérification de sécurité.

§ 2. L'autorité visée à l'article 15, alinéa 1er, peut refuser de donner suite à une décision d'exécuter des vérifications de sécurité lorsqu'elle est d'avis que ces vérifications ne sont pas justifiées par un des intérêts visés respectivement aux articles 22bis, alinéa 2 et 22quinquies, § 1er, alinéa 1er. Les décisions de refus sont notifiées, selon les modalités et dans les délais fixés par le Roi, aux autorités visées par les articles 22bis et

22quinquies, aux organisateurs de l'événement ou aux responsables des locaux, bâtiments ou sites, et aux personnes concernées.

Art. 22septies. Une rétribution est due par

l'employeur de la personne physique pour laquelle une attestation de sécurité ou un avis de sécurité est sollicité. Aucune rétribution n'est due pour les attestations de sécurité émises par les autorités visées à l'article 22ter, alinéa 2, 1°, 2°, 3°, 5° et 6°.

Sont exemptés de la rétribution visée à l'alinéa 1er :

1° les services publics fédéraux ;

2° les services publics de programmation ;

3° le ministère de la Défense ;

4° la Police intégrée ;

5° l'Agence fédérale de Contrôle nucléaire ;

6° le Corps interfédéral de l'Inspection des Finances.

comptabilité autonome " Autorité nationale de Sécurité " ou, le cas échéant, à l'autorité visée à l'article 22ter, alinéa 2, 4°.

La délivrance de l'attestation de sécurité ou de l'avis de sécurité ne peut avoir lieu qu'après paiement de la rétribution.

Le Roi détermine le montant de la rétribution à percevoir pour les attestations de sécurité et les avis de sécurité. Le Roi détermine également la clé de répartition de cette rétribution entre les autorités visées à l'article 22ter, alinéa 2, 1°, 2°, 3° et 5°.

Le Roi détermine les modalités de perception des rétributions, les modalités de versement de ces

Par dérogation à l'alinéa 6, le Roi détermine le montant de la rétribution à percevoir pour les attestations de sécurité émises par l'autorité visée à l'article 22ter, alinéa 2, 4°. Le Roi détermine également la clé de répartition de cette rétribution entre les autorités visées à l'article 22ter, alinéa 2, 2° à 5°.

Par dérogation à l'alinéa 7, le Roi détermine les modalités de perception des rétributions, les modalités de versement de ces rétributions à l'autorité visée à l'article 22ter, alinéa 2, 4° et

Art. 23. (les membres des autorités visées aux

articles 15, 22ter et 22quinquies, le personnel affecté à l'exercice de leurs missions) et les officiers de sécurité sont dépositaires des secrets qui leur sont confiés en raison du concours qu'ils apportent a l'application de la présente loi.

L'obligation de secret subsiste même lorsqu'ils ont cessé d'apporter ce concours.

HOOFDSTUK I. - Algemene bepalingen.

overeenkomsten en verdragen die België terzake binden.

§ 7. De Koning bepaalt, bij een besluit vastgelegd na overleg in de Ministerraad, de

§ 5. De overheid bedoeld in artikel 15, eerste lid,

verantwoordelijken van de lokalen, gebouwen of terreinen en van de betrokken personen.

De geheimhoudingsplicht blijft bestaan, zelfs wanneer zij opgehouden hebben deze medewerking te verlenen.