Nouvelles règles en matière de sécurité de l’information
Proposition de règlement relatif à la sécurité de l’information dans les institutions, organes et organismes de l’Union
Contexte
En raison des volumes toujours plus conséquents d’informations sensibles non classifiées et d’informations classifiées de l’Union européenne (ci-après les «ICUE») que les institutions, organes et organismes de l’Union doivent se partager, et compte tenu de l’évolution spectaculaire des menaces, l’administration européenne est exposée à des attaques dans tous ses domaines d’activité. Les informations traitées par nos institutions, organes et organismes ont une grande valeur pour de nombreux acteurs malveillants et nécessitent une protection appropriée.
Les États membres ont déjà appelé nos institutions à aller dans cette direction. L’un des grands objectifs du programme stratégique pour 2019-2024 adopté par le Conseil européen en juin 2019 est la protection de nos sociétés contre les menaces visant les informations traitées par l’administration européenne. Dans ses conclusions, le Conseil européen a invité les institutions de l’UE, ainsi que les États membres, à œuvrer à des mesures visant à renforcer la résilience et à améliorer la culture de sécurité de l’UE face aux cybermenaces et aux menaces hybrides émanant de l’extérieur de l’UE, et à mieux protéger les réseaux d’information et de communication de l’UE, ainsi que ses processus décisionnels, contre les actes de malveillance de tout type.
En juillet 2020, la Commission a adopté sa stratégie de l’UE pour l’union de la sécurité, par laquelle elle s’est engagée à compléter les efforts nationaux dans le domaine de la sécurité. Cet engagement inclut notamment l’initiative visant à harmoniser les cadres juridiques internes relatifs à la sécurité de l’information dans l’ensemble des institutions, organes et organismes de l’Union.
Objectifs
L’objectif général de cette proposition est de créer un ensemble standard de règles de haut niveau en matière de sécurité de l’information pour l’ensemble des institutions, organes et organismes de l’Union, afin d’assurer une protection accrue et cohérente contre les menaces en constante évolution qui pèsent sur leurs informations.
Cet objectif général est traduit en quatre objectifs spécifiques:
- définir des catégories d’informations harmonisées et exhaustives fondées sur le niveau de confidentialité;
- recenser les lacunes en matière de sécurité et mettre en œuvre les mesures qui s’imposent;
- mettre en place un espace de coopération efficace en matière de sécurité de l’information entre les institutions, organes et organismes de l’Union;
- moderniser les politiques de sécurité de l’information, en tenant compte des tendances actuelles, telles que la transformation numérique et le télétravail.
Questions et réponses
Pourquoi la Commission propose-t-elle un règlement relatif à la sécurité de l’information dans les institutions, organes et organismes de l’Union?
Les institutions, organes et organismes de l’Union disposent actuellement de leurs propres règles en matière de sécurité de l’information ou n’ont pas du tout adopté de telles règles. La fragmentation du cadre juridique applicable a entraîné des différences importantes entre les niveaux de sécurité que ces organisations peuvent garantir en ce qui concerne les informations qu’elles traitent. Cette situation accroît le risque que des attaques compromettent la sécurité du maillon le plus faible et l’utilisent comme point d'entrée pour perpétrer de nouvelles attaques contre d’autres institutions ou organes.
En créant un ensemble unique de règles en matière de sécurité de l’information pour l’ensemble des institutions, organes et organismes de l’Union, la Commission propose un socle commun de normes élevées pour la protection des informations traitées. En outre, les règles harmonisées faciliteront le partage d’informations entre les institutions, organes et organismes, ainsi qu’avec les États membres.
À qui s’appliquera le règlement proposé?
La proposition en question établit les règles applicables à l’administration de l’Union (institutions, organes et organismes). Elle peut imposer indirectement des obligations aux personnes qui exécutent des tâches au nom de cette administration ou sur une base contractuelle (à l’exception des commissaires, des représentants des États membres agissant au sein du Conseil, des députés du Parlement européen, des juges des tribunaux de l’Union et des membres de la Cour des comptes européenne).
Le règlement proposé ne s’applique pas aux États membres.
Quelles sont les catégories d’informations concernées par cette proposition de règlement?
La proposition porte sur les informations non classifiées et les informations classifiées de l’UE et s’applique aux niveaux de confidentialité suivants:
- trois niveaux d’informations non classifiées: usage public, ordinaire et sensible non classifié;
- quatre niveaux d’ICUE: RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU CONFIDENTIAL, SECRET UE/EU SECRET, TRÈS SECRET UE/EU TOP SECRET.
Les règles proposées seront-elles réexaminées?
Tous les cinq ans après la date de début d’application, la Commission évaluera le règlement afin d’en analyser les effets réels et d’examiner la nécessité de prendre d’autres mesures.
En outre, la Commission soumettra régulièrement au Parlement européen et au Conseil un rapport sur la mise en œuvre du règlement.
Quelles sont les prochaines étapes?
La proposition de la Commission suivra la procédure législative ordinaire du Parlement européen et du Conseil pour adoption.
Lors de leur réunion informelle qui s’est tenue à Nevers le 9 mars 2022, les ministres des télécommunications ont appelé les institutions, agences et organes de l’UE à renforcer encore leur cybersécurité et leur sécurité de l’information, l’UE étant devenue un acteur stratégique essentiel dont le rôle sur la scène internationale exige qu’elle sécurise ses données et ses réseaux face aux cybermenaces.
Documents
Impact analysis accompanying the proposal
JRC study on information security in the age of EU institutions digitalisation
Liens utiles
The EU Security Union Strategy: European Security Union
Décisions de la Commission
Stratégie de l'UE pour l'union de la sécurité: Union européenne de la sécurité | Commission européenne (europa.eu)
L’objectif des mesures de sécurité prises au sein de la Commission est de permettre à celle-ci de mener ses activités dans un environnement sûr. Aussi la Commission doit-elle assurer la sécurité des personnes, des biens et des informations en son sein en vertu de la décision (UE, Euratom) 2015/443 de la Commission relative à la sécurité au sein de la Commission et de la décision (UE, Euratom) 2015/444 de la Commission concernant les règles de sécurité aux fins de la protection des informations classifiées de l’UE. Il s’agit notamment de l’intégrité physique des personnes et des biens, de l’intégrité, de la confidentialité et de la disponibilité des informations et des systèmes de communication et d’information, ainsi que du fonctionnement sans entrave des activités de la Commission.
Dans ce contexte, il se peut que la Commission doive traiter des données à caractère personnel. Toutes les activités de traitement de ce type sont conformes au règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision nº 1247/2002/CE (Texte présentant de l’intérêt pour l’EEE).
Les déclarations relatives à la protection de la vie privée concernant des procédures liées à la sécurité sont énumérées ci-dessous:
Documents
- TéléchargerEnglish(728.83 KB - PDF)
- TéléchargerEnglish(489.35 KB - PDF)