7 AVRIL 2023. - Loi portant modificatio de la loi du 11 décembre 1998, relative à la classification et aux habilitations, attestations et avis de sécurité

CHAPITRE 1er. - Disposition générale

Article 1er. La présente loi règle une matière visée à l'article 74 de la Constitution.

CHAPITRE 2. - Modifications de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité

Article 2. L'intitulé de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité, remplacé par la loi du 3 mai 2005, est remplacé par ce qui suit: "loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé".

Article 3. Dans la même loi, l'intitulé du chapitre I est remplacé par ce qui suit:

"Chapitre I. Disposition générale et définitions."

Article 4. Dans le chapitre I de la même loi, il est inséré un article 1bis rédigé comme suit:

"Art. 1bis. Pour l'application de la présente loi et de ses arrêtés d'exécution, l'on entend par:

1° "la classification": l'attribution d'un degré de protection par ou en vertu de la loi ou par ou en vertu des traités ou conventions liant la Belgique;

2° "la déclassification": la suppression totale de tout degré de protection;

3° "les informations classifiées": les informations, le matériel, les matériaux ou matières, quels qu'en soient la forme, la nature ou le mode de transmission, auxquels une classification a été attribuée et qui, dans l'intérêt de la sécurité nationale, nécessitent une protection contre tout accès non autorisé, toute utilisation et divulgation inappropriée;

4° "l'utilisation des informations classifiées": toutes opérations dont des informations classifiées sont susceptibles de faire l'objet, comme la production, la prise de connaissance, le traitement, la finalisation, la reproduction, la conservation, le transport, la transmission, la diffusion, la déclassification, la modification du niveau de classification et la destruction;

5° "l'autorité d'origine": l'autorité administrative sous l'autorité ou l'instruction de laquelle des informations classifiées sont générées par le titulaire d'une habilitation de sécurité dans les cas déterminés par la loi;

6° "l'installation physique": l'environnement, le terrain, le bâtiment, les bureaux, les espaces et toutes les autres zones où des informations classifiées sont utilisées;

7° "le système de communication et d'information": un système permettant d'utiliser des informations classifiées sous forme électronique;

8° "le matériel cryptographique": les algorithmes cryptographiques, les modules matériels et logiciels cryptographiques, les produits comprenant les modalités de mise en oeuvre et la documentation y relative, ainsi que le matériel de mise à la clé;

9° "l'enquête de sécurité": l'enquête effectuée par un service de renseignement et de sécurité qui vise à établir que toutes les conditions nécessaires à la délivrance d'une habilitation de sécurité sont réunies, en tenant compte du niveau et de l'objet de l'habilitation de sécurité;

10° "l'habilitation de sécurité": la décision officielle, établie après une enquête de sécurité, selon laquelle, pour accéder à des données auxquelles une classification de niveau CONFIDENTIEL ou supérieur, au sens de la présente loi, a été attribuée:

11° "l'approbation d'un système de communication et d'information": l'autorisation officielle d'utiliser un système de communication et d'information pour l'utilisation d'informations classifiées après que ce système a été soumis à une procédure d'approbation;

12° "l'approbation d'une installation physique": l'autorisation officielled'utiliser une installation physique pour l'utilisation d'informations classifiées de niveau confidentiel ou supérieur, après que l'installation physique a été soumise à une procédure d'approbation;

13° "l'approbation d'un produit cryptographique": l'autorisation officielle d'utiliser un produit cryptographique pour la protection des informations classifiées, après que ce produit a été soumis à une procédure d'approbation;

14° "l'autorité de sécurité": l'une des autorités suivantes, selon le cas:

15° "l'officier de sécurité":

• le procureur fédéral en ce qui concerne le parquet fédéral;

• le procureur général concerné en ce qui concerne les parquets, les auditorats du travail, le parquet général et l'auditorat général de son ressort;

• le président du Collège des procureurs généraux en ce qui concerne le service d'appui du ministère public;

16° "un service de renseignement et de sécurité": la Sûreté de l'Etat ou le Service Général du Renseignement et de la Sécurité des Forces armées;

17° "la Décision 1104/2011/UE": la Décision n° 1104/2011/UE du Parlement européen et du Conseil du 25 octobre 2011 relative aux modalités d'accès au service public réglementé offert par le système mondial de radionavigation par satellite issu du programme Galileo;

18° "le service public réglementé": le service public réglementé issu du système mondial de radionavigation par satellite Galileo, visé par la Décision 1104/2011/UE;

19° "l'accès au service public réglementé": l'utilisation du service public réglementé et le fait de disposer d'équipement et des technologies destinés au service public réglementé, y compris la mise en service d'équipements et les actions destinées à tester, perturber ou falsifier le service public réglementé;

20° "la communauté d'utilisateurs": un ensemble d'utilisateurs du service public réglementé, résidant ou établis sur le territoire belge et dont l'organisation et le fonctionnement sont conformes aux normes minimales communes adoptées en application de l'article 8 de la Décision 1104/2011/UE, qui par l'intermédiaire d'un point de contact commun, interagissent avec l'autorité compétente pour le service public réglementé;

21° "l'équipement": les modules de sécurité et les récepteurs destinés au service public réglementé, ainsi que les instruments destinés à tester, approuver et faire fonctionner ces modules de sécurité et récepteurs;

22° "les technologies": les logiciels, les matériels informatiques et les informations, y compris les clés, requis pour la recherche et le développement, la conception, l'approbation, la production ou l'utilisation d'équipements destinés au service public réglementé.".

Article 5. Dans la même loi, il est inséré un chapitre lbis intitulé:

"Chapitre lbis. L'Autorité Nationale de Sécurité.".

Article 6. Dans le chapitre Ibis, inséré par l'article 5, il est inséré un article 1ter rédigé comme suit:

"Art. 1ter. L'Autorité Nationale de Sécurité est une autorité de sécurité dont le fonctionnement et l'organisation sont déterminés par le Roi, par arrêté délibéré en Conseil des ministres.".

Article 7. Dans le même chapitre lbis, il est inséré un article 1quater rédigé comme suit:

"Art. 1quater. L'Autorité Nationale de Sécurité exerce les compétences suivantes:

1° la préparation de la politique belge de sécurité relative à la protection des informations classifiées;

2° la préparation de la politique de sécurité internationale applicable à la Belgique relative à la protection des informations classifiées;

3° le contrôle de la mise en place des mesures de protection telles que visées à l'article 7;

4° la délivrance, la modification, la suspension et le retrait des habilitations de sécurité;

5° la délivrance, la modification, la suspension et le retrait des approbations d'installations physiques;

6° la délivrance, la modification, la suspension et le retrait des approbations de systèmes de communication et d'information, y compris les mesures destinées à prévenir la compromission par rayonnement électromagnétique;

7° la délivrance, la modification, la suspension et le retrait des approbations de produits cryptographiques;

8° la gestion et la distribution de matériel cryptographique;

9° les interventions en tant qu'autorité belge responsable pour le service public réglementé telles que visées à l'article 5 de la Décision 1104/2011/UE;

10° la coopération internationale dans le cadre de la présente loi et dans tous les cas où des conventions internationales attribuent des compétences et obligations à l'Autorité Nationale de sécurité.".

Article 8. Dans le même chapitre lbis, il est inséré un article 1quinquies rédigé comme suit:

"Art. 1quinquies. La Sûreté de l'Etat exerce les compétences de l'Autorité Nationale de Sécurité visées à l'article 1quater, 3° à 6° et 10°, pour ce qui la concerne.

Le Service Général du Renseignement et de la Sécurité des Forces armées exerce les compétences de l'Autorité Nationale de Sécurité visées à l'article 1quater, 3° à 8° et 10°, en ce qui concerne la Défense.

Les compétences visées à l'article 1quater, 4° à 7°, attribuées aux autorités visées aux alinéas 1er et 2 sont exercées par leur chef de service ou par un fonctionnaire de niveau A ou un officier supérieur délégué par lui.".

Article 9. Dans le même chapitre lbis, il est inséré un article 1sexies rédigé comme suit:

"Art. 1sexies. Des habilitations de sécurité et des approbations de systèmes de communication et d'information, d'installations physiques et de produits cryptographiques peuvent être modifiées, suspendues ou retirées si les règles relatives à la protection des informations classifiées ne sont pas respectées ou si les conditions pour la délivrance de l'habilitation de sécurité ou pour l'approbation de systèmes de communication et d'information, d'installations physiques ou de produits cryptographiques ne sont plus remplies.".

Article 10. Dans le même chapitre lbis, il est inséré un article 1septies rédigé comme suit:

"Art. 1septies. Le contrôle visé à l'article 1quater, 3°, consiste en l'exécution de contrôles et d'inspections quant à l'exécution correcte des dispositions des articles 7 et 8.

L'Autorité Nationale de Sécurité peut formuler des recommandations et instructions en vue d'améliorer la protection des informations classifiées.

Lorsque des manquements ou des infractions sont constatés, la personne morale, l'administration publique, l'organisme d'intérêt public ou l'entreprise publique autonome qui est concerné, met en place des mesures correctives.

Le Roi fixe les modalités du contrôle.".

Article 11. Dans la même loi, il est inséré un chapitre Iter intitulé:

"Chapitre Iter. L'officier de sécurité."

Article 12. Dans le chapitre Iter, inséré par l'article 11, il est inséré un article 1octies rédigé comme suit:

"Article 1octies. § 1er. L'officier de sécurité est chargé:

1° de veiller à l'observation des règles de sécurité relatives à la protection des informations classifiées;

2° de l'application des prescriptions relatives aux attestations de sécurité et avis de sécurité, en particulier de la notification des éléments relatifs aux personnes qui ont reçu un avis de sécurité ou une attestation de sécurité, et qui peuvent mener à une modification de cet avis de sécurité ou de cette attestation de sécurité.

§ 2. Le Roi peut confier à l'officier de sécurité d'autres missions dans le cadre de l'application de la présente loi.

§ 3. L'officier de sécurité exerce ses missions de façon complètement indépendante. Il fait rapport au dirigeant de l'administration publique, de l'organisme d'intérêt public ou de l'entreprise publique autonome, au chef de corps respectif du ministère public visé à l'article 1bis, 15°, d), ou au responsable d'une personne morale de droit privé.

Il informe l'Autorité Nationale de Sécurité lorsque cela est prévu.".

Article 13. L'article 2 de la même loi, modifié par la loi du 11 septembre 2022, est abrogé.

Article 14. Dans l'article 3, § 1er, de la même loi, modifié en dernier lieu par la loi du 11 septembre 2022, les mots "dont l'utilisation inappropriée peut" sont remplacés par les mots "dont l'accès non autorisé ou l'utilisation et la divulgation inappropriée peuvent".

Article 15. L'article 4 de la même loi est remplacé par ce qui suit:

"Art. 4. La classification visée à l'article 3, § 1er, comprend quatre niveaux: TRES SECRET, SECRET, CONFIDENTIEL et RESTREINT.

Le niveau TRES SECRET est attribué lorsque l'utilisation inappropriée peut porter très gravement atteinte à un des intérêts visés à l'article 3, § 1er.

Le niveau SECRET est attribué lorsque l'utilisation inappropriée peut porter gravement atteinte à un des intérêts visés à l'article 3, § 1er.

Le niveau CONFIDENTIEL est attribué lorsque l'utilisation inappropriée peut porter atteinte à un des intérêts visés à l'article 3, § 1er.

Le niveau RESTREINT est attribué lorsque l'utilisation inappropriée peut être défavorable à un des intérêts visés à l'article 3, § 1er.

Le Roi détermine, par arrêté délibéré en Conseil des ministres, les autorités et les personnes qui peuvent octroyer, réviser et abroger un niveau de classification.".

Article 16. Dans l'article 5bis, alinéa 1er, de la même loi, inséré par la loi de 7 juillet 2002, les mots "article 3, i)" sont remplacés par les mots "article 3, § 1er, i)".

Article 17. Dans l'article 6 de la même loi, l'alinéa 1er est remplacé par ce qui suit:

"Les informations classifiées qui sont échangées dans le cadre de traités ou de conventions internationaux qui lient la Belgique, conservent la classification qui leur a été attribuée.".

Article 18. L'article 7 de la même loi, remplacé par la loi du 11 septembre 2022, est remplacé par ce qui suit:

"Art. 7. § 1er. Le Roi fixe, par arrêté délibéré en Conseil des ministres, les modalités de la protection et de la déclassification des informations classifiées. La protection des informations classifiées comprend au moins les mesures de protection portant sur les cinq catégories suivantes:

1° les mesures de protection applicables lors de la classification et de la gestion d'informations classifiées;

2° les mesures de protection physiques;

3° les mesures de protection des systèmes d'information et de communication;

4° les mesures de protection relatives aux personnes;

5° les mesures de protection liées aux marchés publics.

Le Roi détermine, par arrêté délibéré en Conseil des ministres, les modalités concernant les procédures d'approbation visées à l'article 1bis, 11°, 12° et 13°.

§ 2. Sauf dans les cas visés au paragraphe 3, alinéas 4 et 6, et au paragraphe 5, la classification expire après que l'autorité d'origine prend, conformément au paragraphe 3, la décision explicite de la déclassifier, au plus tard à l'issue du délai suivant, à compter de la finalisation de l'information classifiée:

1° après vingt ans pour une classification de niveau CONFIDENTIEL;

2° après trente ans pour une classification de niveau SECRET;

3° après cinquante ans pour une classification de niveau TRES SECRET.

L'autorité d'origine peut à tout moment décider de déclassifier ou de modifier la classification avant l'expiration du délai de déclassification.

Le fait que des informations classifiées sont déclassifiées, est clairement marqué sur ces informations déclassifiées.

En cas d'abaissement du niveau de classification, le délai après lequel la décision visée à l'alinéa 1er doit intervenir est celui prévu pour le nouveau niveau de classification. Ce délai commence à courir à partir de la finalisation de l'information classifiée. Si l'ancienneté de l'information classifiée est supérieure à la durée du délai du nouveau niveau de classification visé dans l'alinéa 1er, l'autorité d'origine motive le maintien d'un niveau de classification conformément au paragraphe 3, alinéas 1er, 2 et 9, 3°.

L'autorité d'origine ne peut attribuer un niveau de classification plus élevé que si de nouveaux éléments sont ajoutés à l'information classifiée ou que si le contexte a profondément changé. Dans ce cas, le délai de classification est prolongé, mais son point de départ reste la finalisation de l'information classifiée originelle.

§ 3. Au plus tard au terme du délai prévu au paragraphe 2 et au plus tôt six mois avant son expiration, l'autorité d'origine décide si l'information classifiée peut être déclassifiée.

En vue de protéger les intérêts énumérés à l'article 3, § 1er, l'autorité d'origine peut décider de maintenir la classification et le cas échéant d'abaisser le niveau de classification selon les modalités prévues au paragraphe 2, alinéa 4.