Habilitations de sécurité
Notons qu’il existe une distinction entre le secteur public et le secteur privé en ce qui concerne les certificats et leur procédure d’obtention. Pour plus d'informations à ce sujet, voir: Entreprises privées, Administrations publiques ou Organisations internationales.
Des habilitations de sécurité pour entités et des habilitations de sécurité pour individus
Quelle est la différence entre une habilitation de sécurité pour une entité et une habilitation de sécurité pour individus?
Soulignons en premier lieu qu’une habilitation de sécurité doit d’abord être attribuée à une personne morale, c’est-à-dire au niveau d’une entité. C’est ce que nous appellerons une habilitation de sécurité pour entités. Alors seulement un collaborateur, ou personne physique, pourra introduire une demande d’habilitation de sécurité individuelle. C’est ce que nous appellerons une habilitation de sécurité pour individus.
Les demandes provenant de personnes physiques doivent donc toujours être liées à une entreprise ou à une administration qui a, au préalable, reçu l’autorisation de la part de l’Autorité Nationale de Sécurité (ANS) de traiter des informations classifiées.
Concrètement:
- les entreprises doivent d’abord introduire une demande d’habilitation de sécurité pour entités
- alors que les administrations publiques et les organisations internationales doivent au préalable s’enregistrer auprès de l'ANS.
Dès que ceci est fait, les collaborateurs des unes comme des autres peuvent introduire une demande d’habilitation de sécurité pour individus, par l’intermédiaire de l’officier de sécurité de leur organisation.
Déterminer le niveau et le champ d’application d’une demande d’habilitation de sécurité
Lors de l’introduction d’une demande d’habilitation de sécurité, le niveau et le champ d’application souhaités doivent être précisés. Un seul niveau peut être indiqué. Par contre, sur base des besoins professionnels, plusieurs champs d’application peuvent être choisis. Attention, le besoin d’en connaître (c’est-à-dire la nécessité de prendre connaissance d’informations classifiées) devra toujours être démontré.
Le niveau et le champ d’application de l’habilitation de sécurité sont déterminés par l’administration compétente (belge ou internationale). Normalement, ces informations se trouvent dans le contrat, dans l’offre ou dans l’adjudication établis entre le commanditaire ou employeur et l’entreprise ou le collaborateur. Notons que des sous-traitants peuvent obtenir ces informations en passant par leur entrepreneur.
Pour avoir accès à des informations classifiées, l’entreprise ou l’organisation, le (ou les) officier(s) de sécurité désigné(s) ainsi que les dirigeants ou la direction doivent posséder une habilitation de sécurité. Celle-ci doit être au moins du même niveau que le niveau de classification le plus élevé des informations classifiées à traiter.
Par exemple, si une entreprise désire concourir aussi bien pour un contrat avec un niveau de classification ‘secret’ que pour un autre contrat avec un niveau de classification ‘confidentiel’, elle devra au moins avoir une habilitation de sécurité du niveau ‘secret’. Ceci est également valable pour les officiers de sécurité désignés et pour les dirigeants. Par contre, les habilitations de sécurité pour collaborateurs individuels peuvent être limitées au niveau ‘confidentiel’ si leur « besoin d’en connaître » ne dépasse pas le contrat avec un niveau de classification ‘confidentiel’.
En principe, le niveau le plus élevé qui puisse être demandé par une entreprise est celui de ‘secret’. Par contre, et dans des cas exceptionnels (par exemple pour des contrats OTAN), leurs employés peuvent demander une habilitation de sécurité de niveau ‘très secret’. Les administrations, peuvent exceptionnellement requérir le niveau ‘très secret’.
Outre la question du niveau, le champ d’application de l’habilitation de sécurité joue également un rôle. En Belgique, l’on peut demander une habilitation pour trois champs d’application différents:
- NATIONAL (Belgique)
- OTAN (NATO)
- UE
Une entreprise qui veut, par exemple, concourir pour un appel d’offre classifié à l’OTAN aura besoin d’une habilitation de sécurité ‘NATO’.
Voici un tableau contenant les différents niveaux et champs d’application des habilitations de sécurité:
NATIONAL (Belgique) | ZEER GEHEIM/TRES SECRET |
GEHEIM/SECRET |
VERTROUWELIJK/CONFIDENTIEL |
NATO |
COSMIC TOP SECRET |
NATO SECRET | NATO CONFIDENTIAL |
UE |
TRES SECRET UE/EU TOP SECRET |
SECRET UE/EU SECRET | CONFIDENTIEL UE/EU CONFIDENTIAL |
Démontrer un "besoin d’en connaître"
Toute personne qui demande une habilitation de sécurité pour une entreprise, pour une administration ou pour un collaborateur individuel doit toujours pouvoir démontrer la nécessité professionnelle de prendre connaissance d'informations classifiées et donc de posséder une telle habilitation.
Pour ce faire, les entreprises devront joindre un document officiel de leur commanditaire à chaque demande, en identifiant ce dernier. Le niveau de classification requis devra être clairement mentionné. Ce document peut prendre la forme d’un appel d’offre public, d’un contrat ou d’un projet, d’une clause contractuelle ou d’une lettre motivée de la part de l’autorité ou du commanditaire qui exige l’habilitation de sécurité. D’éventuels sous-traitants doivent obtenir ce document par intermédiaire de leur entrepreneur ou de leur commanditaire.
Les administrations publiques doivent motiver le « besoin d’en connaître » (c’est-à-dire le besoin d’avoir accès à des informations classifiées) dans une lettre signée par le ministre compétent ou, en ce qui concerne les organisations internationales, par le directeur.
L’officier de sécurité doit motiver le besoin d’en connaître de ses collaborateurs.
En quoi consiste une enquête de sécurité ?
Par le biais d’une enquête approfondie, il est déterminé si une entreprise ou une personne satisfait à tous les critères pour pouvoir traiter des informations classifiées. Cette enquête est effectuée par les services de renseignement et de sécurité.
Par ce biais, l’on vérifie si les garanties suivantes sont remplies :
- Discrétion lors du traitement d’informations
- Intégrité dans l’exécution des tâches
- Loyauté par rapport à l’organisation, ainsi que par rapport aux principes de l’état de droit belge
Par ailleurs, outre pour les entreprises et les individus, ces garanties sont également appliquées dans le cadre de la sécurité physique et de la sécurité d’informations. Pour cette raison, l’on vérifie également dans les entreprises s’il existe suffisamment de garanties par rapport aux moyens et méthodes utilisés en vue de protéger les informations classifiées. Le SPF Economie effectue également une analyse économique de l’entreprise.