Annexe de Sécurité Annexe IV au Contrat GSA/OP/05/13



Documents pareils
Conditions Générales Location d équipements terminaux

RÈGLEMENTS INTÉRIEURS ET DE PROCÉDURE

LES NOUVELLES CONTRAINTES EN MATIERE DE MARCHES PUBLICS

Belgique-Bruxelles: Logiciels de gestion de la relation clientèle 2013/S Avis de marché. Fournitures

Luxembourg-Luxembourg: Services de traduction AMI14/AR-RU 2014/S Appel de manifestations d'intérêt

LA CYBER COMPAGNIE 3 7 r u e g u i b a l M A R S E I L L E Tel : Site :

LICENCE SNCF OPEN DATA

CHARTE DU CORRESPONDANT MODELE TYPE

CHARTE D UTILISATION DE GÉOANJOU : PLATEFORME MUTUALISEE POUR LE PARTAGE

CONDITIONS GÉNÉRALES DE VENTE

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

Dispositions relatives aux services bancaires en ligne valables dès le 1er janvier 2013

REGLES GENERALES DE CERTIFICATION HACCP

CONDITIONS GENERALES DE VENTES -REFERENCEMENT NATUREL

Contrat de courtier. Entre : (ci-après nommée «Empire Vie») (ci-après nommé «courtier») Adresse civique : Ville ou municipalité :

AVIS DE MARCHÉ SERVICES

CCAP CAHIER DES CLAUSES ADMINISTRATIVES PARTICULIERES

CONDITIONS GENERALES YOUSIGN v1.4 A - CONDITIONS APPLICABLES A TOUTES LES PRESTATIONS YOUSIGN

AVIS DE MARCHE SERVICES

Cahier des Clauses Administratives Particulières

EXIGENCES MINIMALES RELATIVES À LA PROTECTION DES RENSEIGNEMENTS PERSONNELS LORS DE SONDAGES RÉALISÉS PAR UN ORGANISME PUBLIC OU SON MANDATAIRE

AVIS DE MARCHÉ FOURNITURES

Entente administrative sur la certification de produits conclue entre. la Direction générale de Transports Canada, Aviation civile (TCAC)

2.1 Les présentes conditions générales régissent les conditions de vente et d utilisation de Ticket Premium.

LICENCE SNCF OPEN DATA

Politique en matière de traitement des demandes d'information et des réclamations

PROCÉDURE D'APPEL D'OFFRES ET D'OCTROI POUR LES ACHATS D'ÉLECTRICITÉ

ACTES PRIS EN APPLICATION DU TITRE VI DU TRAITÉ UE

ADDENDA AU CONTRAT BLACKBERRY SOLUTION DE LICENCE POUR WATCHDOX CLOUD DE BLACKBERRY («le ADDENDA»)

Guide de la pratique sur les réserves aux traités 2011

CONDITIONS GENERALES D UTILISATION DU SERVICE DE BANQUE EN LIGNE

«OUTIL DE GESTION DE LA RELATION CLIENT - CRM» CONVENTION DE PRESTATIONS

Lignes directrices concernant les contrôles à l importation dans le domaine de la sécurité et de la conformité des produits

Licence ODbL (Open Database Licence) - IdéesLibres.org

Cahier des Charges Administratives Particulières. Marché public Prestation de nettoyage de locaux extrahospitaliers

Politique et Standards Santé, Sécurité et Environnement

CAHIER DES GARANTIES ET ASSURANCES

CONDITIONS GENERALES DE MAINTENANCE DES LOGICIELS

Cahier des Clauses Particulières Valant Acte d Engagement CCP/AE

Contrat d'enregistrement d'un nom de domaine qui dépend du domaine ".ch"

XTRADE TRADING CFD EN LIGNE. XTRADE - XFR Financial Ltd. CIF 108/10 1

1 - Les conditions légales et réglementaires

Guide d accompagnement à l intention des entreprises désirant obtenir ou renouveler une autorisation pour contracter/souscontracter avec un organisme

CIRCULAIRE N 01/02 (annule et remplace la circulaire n 01/00)

Circulaire de la DACG n CRIM 08-01/G1 du 3 janvier 2008 relative au secret de la défense nationale NOR : JUSD C

CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (87) 15 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES

CERTIFICATION CERTIPHYTO

LOI N du 14 janvier (JO n 2966 du , p.3450) CHAPITRE PREMIER DE LA PREVENTION DES INFRACTIONS

Conditions générales de prestations de services

LSSSS. Aux fins du deuxième alinéa: Page 1 sur 13

Comité sectoriel du Registre national. Avis RN n 01/2013 du 11 décembre 2013

LOI N portant Code des Postes

1 EVALUATION DES OFFRES ET NEGOCIATIONS

Protocole d'amendement à la Convention concernant l'assistance administrative mutuelle en matière fiscale

Conditions Générales de Vente d applications pour le Système de Commande en Ligne via la Boutique d Applications Mercedes-Benz.

MODULE 7 - COMPTABILITÉ

1. Procédure. 2. Les faits

1.1 Les conditions suivantes s appliquent à l étendue de la prestation, sauf stipulation contraire, convenue par écrit.

Les partenaires du projet EJE, qui réunit les organisations représentatives de la profession

Fax: Soumission des offres et des demandes de participation par voie électronique (URL):

Convention Beobank Online et Beobank Mobile

3. NORMES RELATIVES A LA CERTIFICATION DES COMPTES ANNUELS CONSOLIDES

APPEL D OFFRES OUVERT SUR OFFRES DE PRIX N 32/2013 SEANCE PUBLIQUE

CONDITIONS GENERALES VENTE

PRESTATIONS DE NETTOYAGE DES LOCAUX, NETTOYAGE DES VITRES, FOURNITURES de PRODUITS CONSOMMABLES et ADAPTES

Conditions générales d assurance pour les assurances de crédit de fabrication pour les crédits aux sous-traitants CGA FA-ST

PUBLICITÉ, DOCUMENTATION COMMERCIALE ET CORRESPONDANCE

ÉBAUCHE POUR COMMENTAIRE MODALITÉS RELATIVES AUX ADJUDICATIONS DES OBLIGATIONS À TRÈS LONG TERME DU GOUVERNEMENT DU CANADA

Réutilisation d informations publiques provenant des Archives départementales de Saône-et-Loire

Camping-car Park est un concept novateur de gestion d aires d étapes de camping-cars en France et à l Etranger, ouvertes 24 H/24, toute l année.

Décision 04/77/ILR du 6 juillet 2004

Conditions générales de maintenance des logiciels

données à caractère personnel (ci-après la "LVP"), en particulier l'article 29 ;

LICENCE D UTILISATION DE LA DO NOT CALL ME LIST : CONDITIONS GENERALES

LE DELEGUE INTERMINISTERIEL A LA SECURITE ROUTIERE A MESDAMES ET MESSIEURS LES PREFETS MONSIEUR LE PREFET DE POLICE

Code civil local art. 21 à 79

Conditions d utilisation de la Carte Scotia MD SCÈNE MD*

LE LIVRET 10/12 Conditions Générales

CONVENTION REGISTRE - BUREAU D ENREGISTREMENT

Conditions Générales du RME

Les responsabilités des professionnels de santé

pour la couverture des risques liés à l activité

Question N 2 1. Quelles sont les catégories de véhicules à moteur pour lesquelles l assurance est obligatoire?

LE CONSEIL DES COMMUNAUTÉS EUROPÉENNES,

CONDITIONS GENERALES DE VENTE ET D UTILISATION

ADHESION AU SYSTEME DE PAIEMENT PAR CARTES BANCAIRES CB CONDITIONS GENERALES D'ADHESION AU SYSTEME DE PAIEMENT A DISTANCE PAR CARTES BANCAIRES CB

Conditions spécifiques de ventes applicables aux offres AUTISCONNECT ADSL Page 1 sur 5

Annexe 5. CONTRAT CYBERPLUS PRO Souscrit dans le cadre du Titre 1Conditions Particulières

Être un bon locataire

II. Conclusion du contrat, parties au contrat, limitation des responsabilités contractuelles et prescription

AVANT-PROJET DE RÈGLEMENT PORTANT SUR L INSCRIPTION ET COMMENTAIRES

Conditions Générales d Intervention du CSTB pour la délivrance d une HOMOLOGATION COUVERTURE

ACCORD ENTRE LE GOUVERNEMENT DE LA PRINCIPAUTE DU LIECHTENSTEIN ET LE MATIERE FISCALE

CONTRAT DE MAINTENANCE

ASSOCIATION CANADIENNE DES COURTIERS DE FONDS MUTUELS

et rangés en deux classes ne pourront être érigés, transformés, déplacés ni exploités qu'en vertu d'un permis dit d'exploitation.

POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013)

CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND

Transcription:

Annexe de Sécurité Annexe IV au Contrat /OP/05/13 Participants: Page 1 of 15

Service Contract /NP/09/12 Annex 13: Security Aspects Letter Table of Contents 1 Introduction 3 2 Références 3 3 Niveau de classification 3 4 Instructions de Sécurité concernant l Information Classifiée 4 5 Accès aux locaux de la 9 6 Documents Applicables 9 7 Documents de référence 9 8 Guide de Classification de Sécurité (GCS) 10 Page 2 of 15

1 Introduction Ce document constitue l Annexe de Sécurité (en anglais «Security Aspects Letter» ou SAL) applicable au Contrat /OP/05/13. Elle définit les conditions de sécurité requises par la dans le cadre de ce Contrat. Ces conditions font partie intégrante du Contrat, en vertu duquel des informations classifiées sont susceptibles d être transmises ou produites. Ce document identifie les éléments du Contrat qui comportent des informations classifiées, soumises à protection particulière, et identifie les exigences essentielles de sécurité. Cette SAL s'applique à toute entité juridique engagée dans une activité contractuelle ou précontractuelle au travers du présent Contrat. Ce document est destiné à fournir un aperçu des exigences essentielles de sécurité que le Contractant doit mettre en œuvre. Ces dispositions de sécurité, fondées sur l instruction de sécurité relative au Programme du GNSS européen (en anglais «European GNSS Programme Security Instruction» ou «European GNSS PSI») précisent les exigences de sécurité applicable à un contrat spécifique. L instruction de sécurité «European GNSS PSI 1» (cf. AD2) doit être considérée comme un document applicable au contrat, fournissant les directives du programme GNSS européen quant à l interprétation et l application des mesures de sécurité figurant dans la Décision de la Commission 2006/548 et plus particulièrement dans son article 27, qui traite des normes minimales communes en matière de sécurité industrielle. Dans les cas où les dispositions législatives et réglementaires nationales diffèrent des dispositions de la présente SAL, les dispositions législatives et réglementaires nationales peuvent être appliquées à condition de ne pas être moins strictes que les dispositions énoncées dans la SAL. Dans une telle hypothèse, le Contractant doit porter à la connaissance de la les procédures modifiées. Le a seul la compétence d approuver cette SAL ou ces modifications en cas d évolution des directives ou du corpus réglementaire qui la régisse ou en cas de changement manifeste des conditions de sécurité. Les commentaires et questions sur l'interprétation de cette SAL doivent être adressés à la, à l Autorité Nationale de Sécurité (ANS) ou à l Autorité de Sécurité Désignée (ASD) du Contractant. 2 Références - Le Règlement (UE) No 912/2010 2 article 22, établit que "L Agence doit appliquer les principes de sécurité énoncés dans la Décision de la Commission 2001/844/EC, ECSC, Euratom". - Les Normes Minimales Communes en Matière de Sécurité Industrielle de la Commission («Commission's Common Minimum Standards on Industrial Security», RD1), Décision de la Commission 2006/548, paragraphe 27, disposent que tous les contrats classifiés doivent inclure une SAL et un Guide de classification de Sécurité (GCS). 3 Niveau de classification 1 Voir paragraphe 6 Documents applicables. 2 Règlement (UE) No 912/2010 du Parlement Européen et du Conseil du 22 Septembre 2010 établissant l Agence du GNSS européen, abrogeant le règlement (CE) n 1321/2004 du Conseil sur les structures de gestion des programmes européens de radionavigation par satellite et modifiant le règlement (CE) n 683/2008 du Parle ment européen et du Conseil (OJ L 276, 20.10, p 11) Page 3 of 15

En référence à l'article 27.2 (i) de la Décision la Commission 2006/548 (RD 1), le niveau général de classification de sécurité du Contrat s élève au niveau SECRET UE, en considération du fait que le personnel du Contractant est en mesure d accéder à des zones de sécurité accréditées au niveau SECRET UE, ou d'avoir accès ou fournir des informations ou matériels classifiés jusqu'au niveau SECRET UE. 4 Instructions de Sécurité concernant l Information Classifiée - [REQ 1] L'exécution de ce Contrat pourrait comprendre le traitement d Informations Classifiées de l'union européenne (ICUE) jusqu'au niveau SECRET UE. - [REQ 2] Le personnel du Contractant participant à l exécution du présent contrat doit être ressortissant d'un État membre de l'ue, sauf accord préalable avec la. - [REQ 3] Le personnel du Contractant ainsi que le personnel des sous-traitants, qui ont accès en vertu du présent Contrat à des informations classifiées de l'union européenne jusqu'au niveau SECRET UE, doivent être titulaires d'une Habilitation de Sécurité du Personnel (HSP) de niveau SECRET UE. - [REQ 4] La Société du Contractant et le cas échéant ses sous-traitants ayant accès en vertu du présent Contrat à des ICUE jusqu'au niveau SECRET UE doivent être titulaires d une Habilitation de Sécurité d Etablissement (HSE) de niveau SECRET UE. - [REQ 5] Si la HSP requise pour le personnel du Contractant ou des sous-traitants est retirée ou n'est pas obtenue dans le délai fixé dans le cahier des charges (Paragraphe 2.5 : conditions particulières de sécurité), après l'attribution du contrat, ce fait sera considéré comme une non-conformité aux exigences de sécurité de la. - [REQ 6] Toute entité participant à des activités en vertu de, ou en relation avec le marché ou sous-contrats, qui impliquent l'accès à des informations de classification SECRET UE ou supérieure, doit détenir une Habilitation de Sécurité d Etablissement (HSE) de niveau SECRET UE. Cette habilitation est délivrée par l ANS/ASD de l'état participant dans lequel il se trouve, confirmant que ses installations peuvent assurer et garantir la protection adéquate de la sécurité des informations classifiées jusqu'au niveau de classification approprié. Les questions concernant les HSE doivent être adressées à l ASN/ASD de l Etat concerné, dont les détails peuvent être trouvés dans le document «European GNSS PSI» (AD2). - [REQ 7] Les documents cités à l'article 6 (Documents Applicables), considérés dans leur dernière version, sont applicables au Contractant et sous-traitants, et les principes de sécurité qu'ils contiennent régissent l'exécution du contrat. Les documents cités à l'article 7 (Documents de Référence), considérés dans leur dernière version, sont des indications supplémentaires concernant les documents applicables. Page 4 of 15

- [REQ 8] L'information générée par le Contractant ou un sous-traitant et qui nécessite d être classifiée doit être identifiée à l'aide des marquages de classification de sécurité de l'ue et, si nécessaire, une double inscription telle que détaillée dans le document «European GNSS PSI», conformément au GCS, point 8. - [REQ 9] Lorsqu'un doute existe sur le niveau de classification de l'information provenant de toute activité prévue par ou liée au Contrat, le Contractant ou le sous-traitant concerné doit demander à la par écrit le niveau de classification à adopter. Dans l attente de la réponse de la, l'information doit être classée SECRET UE et toutes les Parties doivent la traiter en conséquence, jusqu'à la décision de la sur le niveau de classement effectif, qui est communiquée par écrit au Contractant et / ou sous-traitant. - [REQ 10] Le Contractant doit traiter et protéger les informations et le matériel classifiés mis à sa disposition ou générés par lui-même dans le cadre du présent Contrat, en conformité avec leur classification telle que décrite dans le document «European GNSS PSI» (AD2) ou, à condition qu'elles ne soient pas moins sévères, en conformité avec les réglementations nationales. - [REQ 11] Si l ASN/ASD compétente au regard du Contractant identifie un manquement de celui-ci aux dispositions de sécurité ou aux règlements visés dans les termes de la présente SAL, il en informe la. Si ce manquement est de nature à entraîner le retrait de la HSE du Contractant pour le traitement des documents classifiés nécessaires à l'exécution du contrat, et que la, agissant de manière réfléchie, considère que l'effet d'un tel retrait n'est pas réparable la peut résilier le Contrat avec effet immédiat, en dérogation avec la période de préavis prévue à l Article II.14.2 du Contrat, en signifiant la résiliation par écrit au Contractant. La ne peut être tenue responsable de toute perte, dommages, coûts ou dépenses que le Contractant devra supporter en raison de la résiliation du Contrat ou d un contrat de sous-traitance en vertu de la présente exigence (- [REQ 11]). - [REQ 12] Si l ASN/ ASD compétente au regard du Contractant ou sous-traitant identifie un nonrespect par un sous-traitant des dispositions de sécurité ou règlements visés dans la présente SAL, qui entraîne le retrait de l HSE du sous-traitant, la a le droit d'exiger que le Contractant mette fin au contrat de sous-traitance avec effet immédiat, sans préjudice du droit de la de résilier le Contrat avec effet immédiat et/ou d engager des poursuites pénales et/ou civiles contre le sous -traitant. La ne peut être tenue responsable de toute perte, dommages, coûts ou dépenses que le Contractant devra supporter en raison de la résiliation du Contrat ou d un contrat de sous-traitance en vertu de la présente exigence (- [REQ 12]). - [REQ 13] Pour toutes les visites nécessaires à l'exécution de ce Contrat, les modalités de visites internationales contenues dans le document «European GNSS PSI» (AD2) s'appliquent. - [REQ 14] Pour les prestations effectuées dans les locaux de la, le Contractant et son personnel doivent se conformer aux exigences de sécurité telles que décrites au point 5 ci-après («Accès aux locaux de la»). Page 5 of 15

- [REQ 15] Pour les prestations effectuées hors des locaux de la ou du Contractant, le Contractant et son personnel doivent se conformer aux exigences de sécurité locales à condition qu'elles ne soient pas moins strictes que celles du document «European GNSS PSI» (AD2). - [REQ 16] Le Contractant ne peut transmettre aucune information ou matériel classifié(e) à un sous-traitant sans l'accord préalable écrit de l'auteur et de la. - [REQ 17] La responsabilité ultime de la protection des informations classifiées au sein des entités, industrielles ou autres, incombe à la Direction de ces entités. - [REQ 18] Il peut être nécessaire pour le Contractant de négocier des contrats de sous-traitance classifiés à différents niveaux. Le Contractant est responsable de s'assurer que toute sous-traitance et toute activité des sous-traitants sont menées en conformité avec les normes minimales communes figurant dans la présente SAL. Les procédures visant la sous-traitance contenue dans le document «European GNSS PSI» (AD2) sont appliquées à tous les contrats de sous-traitance potentiels. - [REQ 19] Un guide de classification de sécurité (GCS) doit faire partie de tout contrat de soustraitance qui est en mesure d impliquer le traitement d'informations classifiées, et doit décrire les éléments spécifiques qui sont classifiés et spécifier les niveaux de classification de sécurité applicables. Les dispositions de la SAL et du GCS appliquées à ces sous-traitants ne doivent pas être moins strictes que celles applicables au Contractant. - [REQ 20] Les informations classifiées communiquées au Contractant ou sous-traitant, ou générées par toute activité prévue ou liée au Contrat, ne doivent pas être utilisées à des fins autres que celles définies par le Contrat ou contrat de sous-traitance classifié, respectivement, et ne peuvent être communiquées à des tiers sans l'accord préalable écrit de l'auteur et de la. - [REQ 21] Tout au long de la durée du contrat, le respect de toutes les dispositions de sécurité doit être contrôlé par la, en collaboration avec le correspondant ASN/ASD. Tout incident de sécurité doit être signalé, conformément aux dispositions prévues par le document «European GNSS PSI» (AD2). Toute modification ou retrait d'une HSE doivent être immédiatement communiqués au Responsable local de la Sécurité de la («Local Security Officer» ou LSO). - [REQ 22] Si des modifications dans les exigences de sécurité apparaissent au cours de l'exécution du contrat et si ces modifications s'écartent sensiblement des mesures initiales, le contrat sera modifié en conséquence ou résilié, selon le cas. - [REQ 23] Lorsque des modifications dans les exigences de sécurité se traduisent par des mesures de sécurité supplémentaires à prendre ou des investissements à réaliser par le Contractant, un avenant au Contrat sera négocié de manière juste et raisonnable conformément aux dispositions contractuelles relatives aux avenants. - [REQ 24] Dans le cas où le Contractant ne peut se conformer à des exigences additionnelles en matière de sécurité, et où ni le Contractant, ni les Parties ne peuvent, au terme d un effort raisonnable, s'accorder sur un avenant conforme aux dispositions contractuelles le régissant, le Contrat peut être résilié avec effet immédiat, en dérogation avec la période Page 6 of 15

de préavis prévue à l Article II.14.2 du Contrat, donnant droit à réclamation par le Contractant du sommes dues dans les limites imposées par l Article II.14.3 du Contrat. Cette résiliation ne pourra jamais être considérée comme une résiliation pour faute. - [REQ 25] L ASN/ASD compétente au regard du Contractant sera informée par le Contractant et par le Responsable local de la Sécurité de la, de manière séparée, de la date d'attribution du Contrat ainsi que de tout contrat de sous-traitance qui peut impliquer le traitement d informations classifiées. - [REQ 26] Lorsque le Contrat ou contrat de sous-traitance qui implique la manipulation d'informations classifiées est résilié, le Contractant et le Responsable local de la Sécurité de communiquent séparément cette résiliation dans un délai d'un mois à l ASN/ASD compétente. - [REQ 27] Tout au long de la durée du Contrat, le respect de toutes les dispositions de sécurité est contrôlé par la, en collaboration avec le correspondant de l ASN/ASD. Tout incident de sécurité doit être signalé, conformément aux dispositions prévues dans le document «European GNSS PSI» (AD2). Toute modification ou retrait d'une HSE doit être immédiatement communiqué au Responsable local de la Sécurité de la. - [REQ 28] Le Contractant doit, sous peine de résiliation du contrat, se conformer aux exigences de sécurité prescrites par la telles que détaillées dans la présente SAL. - [REQ 29] Le Contractant doit mettre à jour l'organisation de sécurité décrite dans son Plan de Gestion de Projet ainsi que les coordonnées de son Responsable en charge de la gestion du Contrat et de son responsable de la sécurité lors de la réunion de lancement du Contrat (Kick-Off-Meeting ou KOM). L'information ainsi mise à jour sera ajoutée en annexe au procès-verbal du KOM. - [REQ 30] le Contactant communique à la par écrit, par le biais de l ANS/ASD, dans un délai de 30 jours à compter de sa survenance, toute modification ultérieure dans l'organisation de la sécurité ainsi que dans les coordonnées de son Responsable en charge de la gestion du Contrat et de son responsable de la sécurité. - [REQ 31] Les modalités de transmission des informations classifiées contenues dans le document «European GNSS PSI» (AD2), s appliquent à toute transmission d'informations classifiées résultant des activités contractuelles. - [REQ 32] Le Contractant et les sous-traitants, en plus des prescriptions du document «European GNSS PSI» (AD2), doivent chiffrer toutes les informations classifiées, dès lors qu elles sont stockées sur support numérique, et cela quel que soit leur niveau de classification. - [REQ 33] Le Contractant et les sous-traitants doivent chiffrer avant transmission, toutes les informations sensibles de la manière détaillée dans les dispositions ci-dessous (cf. - [REQ 35]). Page 7 of 15

- [REQ 34] Le détail des dispositifs de transmission d'informations classifiées au niveau CONFIDENTIEL UE ou au-delà est considéré comme sensible et est chiffré lors des envois par e-mail. - [REQ 35] Sauf accord contraire par écrit, Chiasmus for Windows, outil développé par le BSI, doit être utilisé pour le chiffrement. Le respect de cette exigence doit être garanti lors de la signature du contrat. Si un soumissionnaire présente une offre non conforme à cet égard, il doit présenter un plan de mise en conformité à cette exigence. - [REQ 36] Le Contractant doit s'assurer qu'il possède la licence d utilisation délivrée par le BSI. Les coordonnées du BSI sont les suivantes: Bundesamt für Sicherheit in der Informationstechnik (BSI) Refereat Z5 / Vertrieb Postfach 20 03 63 53133 Bonn GERMANY Phone: +49 228 9582 281 or 212 Fax: +49 228 9582 4430 E-mail: vertrieb@bsi.bund.de - [REQ 37] Toutes les Parties impliquées dans les activités contractuelles doivent être à même de gérer l'outil de chiffrement et les documents chiffrés ainsi générés en conformité avec les Procédures Opérationnelles en matière de Sécurité (SecOPs) de l organisation fournissant l outil de chiffrement ou, à condition que ce ne soit pas moins strict, conformément aux réglementations nationales. - [REQ 38] Les violations de sécurité doivent être traitées comme prévu par le document «European GNSS PSI» (AD2). - [REQ 39] Les rapports de violation de sécurité doivent également être envoyés au Responsable local de la sécurité de la ( LSO). - [REQ 40] Les rapports de violation de sécurité doivent être classifiés de manière appropriée et transmis en conséquence. Si le classement du rapport est supérieur à RESTREINT UE (ou équivalent), un rapport allégé permettant une classification au niveau RESTREINT UE ou inférieur doit être établi afin de permettre une transmission rapide de celui-ci en utilisant les canaux et les outils appropriés. Page 8 of 15

5 Accès aux locaux de la 1. Le Contractant, les sous-traitants et leur personnel doivent respecter les règles et règlements internes de sécurité et doivent suivre les instructions données par le Responsable local de la Sécurité de. Ils seront informés en conséquence par Responsable local de la Sécurité de. Ils accordent leur pleine coopération pour prévenir et signaler tout incident de sécurité. 2. Toute manquement aux consignes de sécurité de la peut entraîner l interdiction d accès ou l expulsion des locaux de la. 3. Sauf accord contraire des Parties, tous les membres du personnel du Contractant et des soustraitants exécutant des prestations dans les locaux de la, exception faite de la participation à des réunions avec les représentants du, doivent avoir la nationalité d'un Etat membre de l'ue. 4. La peut temporairement autoriser, au cas par cas, l exécution de prestations dans ses locaux, effectuée par du personnel du Contractant et des sous-traitants pour lesquels les contrôles de sécurité initiaux n ont révélé aucun renseignement défavorable et dont la procédure d'habilitation de sécurité a été lancée ou est en cours. 5. Tout renseignement ou document fourni au personnel du Contractant ou sous-traitants doit être considéré comme étant fourni officiellement par la. 6. Le Contractant doit aviser le Responsable local de la Sécurité de dans les 5 jours ouvrables avant toute visite avec les noms, dates de naissance et nationalités et une copie certifiée de la HSP de l'individu, et le cas échéant, le détail des véhicules, pour tout personnel du Contractant et des sous-traitants temporaires, exécutant de manière temporaire des prestations dans les locaux de la, selon la procédure prévue dans le document «European GNSS PSI» (AD2). 7. La est en droit de refuser l'accès à ses locaux à tout membre du personnel du Contractant ou des sous-traitants, sans donner de justification, si elle le juge nécessaire pour des raisons de sécurité. 6 Documents Applicables AD 1 Règlement (UE) No 912/2010 du Parlement Européen et du Conseil du 22 Septembre 2010 établissant l Agence du GNSS européen, abrogeant le règlement (CE) n 1321/2004 du Conseil sur les structures de gestion des programmes européens de radionavigation par satellite et modifiant le règlement (CE) n 683/2008 du Parlement européen et du Conseil (OJ L 276, 20.10, p 11) AD 2 The European GNSS PSI, 4.0, dated 19/11/2012 AD 3 User Segment Classification Guide, -595211 V1.0, 18 January 2012 RESTREINT UE AD 4 European GNSS COMSEC Instructions Issue 3, Version 0, 5 September 2012 RESTREINT UE AD 5 Security Classification Guide of the Galileo programme 2.1, 12 June 2008 RESTREINT UE 7 Documents de référence Page 9 of 15

RD 1 Commission Decision 2001/844/EC, ECSC, Euratom published in OJ L 317 of 3.12.2001 as last amended by Commission Decision 2006/548/EC, Euratom published in OJ L 215 p.38 of 5.8.2006, amending its internal Rules of Procedure (COMMISSION PROVISIONS ON SECURITY) RD 2 Amendments to Commission Decision 2001/844/EC, ECSC, Euratom RD 3 Commission Decision 2005/94/EC, Euratom, of 3 February 2005 published in OJ L 31 of 4.2.2005 amending Decision 2001/844/EC, ECSC, Euratom RD 4 Commission Decision 2006/70/EC, Euratom, of 31 January 2006 published in OJ L 34 of 7.2.2006 amending Decision 2001/844/EC, ECSC, Euratom 8 Guide de Classification de Sécurité (GCS) 1. Le guide de classification de sécurité (GCS), pour le contrat /OP/05/13 sera composé : - User Segment Classification Guide, -595211 V1.0, 18 January 2012 RESTREINT UE (AD 3) - European GNSS COMSEC Instructions Issue 3, Version 0, 5 September 2012 RESTREINT UE (AD4) - Security Classification Guide of the Galileo programme v 2.1, 12 June 2008 RESTREINT UE (AD 5) - Et tout autre matériel et document classifié pour lesquels le Contractant ou les sous-traitants auront démontré le besoin d en connaitre dans l exécution du contrat et de leur mission. 2. Le GCS peut être amendé tout au long du contrat et les éléments qu il contient peuvent être déclassifiés ou déclassés. 3. Toutes les parties du GCS seront fournis dans des annexes classifiées séparées. 9 Evaluation du respect de la SAL Afin d évaluer les capacités du Contractant à remplir les conditions de sécurité requises par la dans le cadre du contrat /OP/05/13, celui-ci veillera à fournir les éléments ci-après décrits. Veuillez noter que seule les candidats répondant aux exigences de la SAL et le démontrant grâce aux documents demandés ci-dessous aux points 1., 2. et 3. pourront être évalués. Il est donc demandée à ceux-ci de remplir ces documents avec honnêteté et la plus grande attention ainsi que de fournir tout document nécessaire à prouver leurs assertions. En cas de déclaration mensongère, le candidat sera exclu de la procédure et des poursuites légales pourront être engagées contre lui. 1. Les coordonnées du responsable de la sécurité du contractant, 2. Une description de l organisation de la sécurité interne du Contractant et le cas échéants de ses sous-traitants, 3. La matrice de conformité : Il est demande aux candidats de fournir la matrice de conformité ciaprès remplie afin d apporter la preuve de leur capacité à respecter les exigences de la SAL. Page 10 of 15

Matrice de conformité aux exigences essentielles de l Annexe de Sécurité du Contrat /OP/05/13 Etat de conformité Exigence de l Annexe de Sécurité - [REQ 1] L'exécution de ce Contrat pourrait comprendre le traitement d Informations Classifiées de l'union européenne (ICUE) jusqu'au niveau SECRET UE. - [REQ 2] Le personnel du Contractant participant à l exécution du présent contrat doit être ressortissant d'un État membre de l'ue, sauf accord préalable avec la. - [REQ 3] Le personnel du Contractant ainsi que le personnel des sous-traitants, qui ont accès en vertu du présent Contrat à des informations classifiées de l'union européenne jusqu'au niveau SECRET UE, doivent être titulaires d'une Habilitation de Sécurité du Personnel (HSP) de niveau SECRET UE. - [REQ 4] La Société du Contractant et le cas échéant ses sous-traitants ayant accès en vertu du présent Contrat à des ICUE jusqu'au niveau SECRET UE doivent être titulaires d une Habilitation de Sécurité d Etablissement (HSE) de niveau SECRET UE. - [REQ 5] Si la HSP requise pour le personnel du Contractant ou des sous-traitants est retirée ou n'est pas obtenue dans le délai fixé dans le cahier des charges (Paragraphe 2.5 : conditions particulières de sécurité), après l'attribution du contrat, ce fait sera considéré comme une non-conformité aux exigences de sécurité de la. - [REQ 6] Toute entité participant à des activités en vertu de, ou en relation avec le marché ou sous-contrats, qui impliquent l'accès à des informations de classification SECRET UE ou supérieure, doit détenir une Habilitation de Sécurité d Etablissement (HSE) de niveau SECRET UE. Cette habilitation est délivrée par l ANS/ASD de l'état participant dans lequel il se trouve, confirmant que ses installations peuvent assurer et garantir la protection adéquate de la sécurité des informations classifiées jusqu'au niveau de classification approprié. Les questions concernant les HSE doivent être adressées à l ASN/ASD de l Etat concerné, dont les détails peuvent être trouvés dans le document «European GNSS PSI» (AD2). - [REQ 7] Les documents cités à l'article 5 (Documents Applicables), considérés dans leur dernière version, sont applicables au Contractant et sous-traitants, et les principes de sécurité qu'ils contiennent régissent l'exécution du contrat. Les documents cités à l'article 6 (Documents de Référence), considérés dans leur dernière version, sont des indications OUI (remarques) NON (remarques) Page 11 of 15

supplémentaires concernant les documents applicables. - [REQ 8] L'information générée par le Contractant ou un sous-traitant et qui nécessite d être classifiée doit être identifiée à l'aide des marquages de classification de sécurité de l'ue et, si nécessaire, une double inscription telle que détaillée dans le document «European GNSS PSI», conformément au GCS, point 8. - [REQ 9] Lorsqu'un doute existe sur le niveau de classification de l'information provenant de toute activité prévue par ou liée au Contrat, le Contractant ou le soustraitant concerné doit demander à la par écrit le niveau de classification à adopter. Dans l attente de la réponse de la, l'information doit être classée SECRET UE et toutes les Parties doivent la traiter en conséquence, jusqu'à la décision de la sur le niveau de classement effectif, qui est communiquée par écrit au Contractant et / ou sous-traitant. - [REQ 10] Le Contractant doit traiter et protéger les informations et le matériel classifiés mis à sa disposition ou générés par lui-même dans le cadre du présent Contrat, en conformité avec leur classification telle que décrite dans le document «European GNSS PSI» (AD2) ou, à condition qu'elles ne soient pas moins sévères, en conformité avec les réglementations nationales. - [REQ 11] Si l ASN/ASD compétente au regard du Contractant identifie un manquement de celui-ci aux dispositions de sécurité ou aux règlements visés dans les termes de la présente SAL, il en informe la. Si ce manquement est de nature à entraîner le retrait de la HSE du Contractant pour le traitement des documents classifiés nécessaires à l'exécution du contrat, et que la, agissant de manière réfléchie, considère que l'effet d'un tel retrait n'est pas réparable la peut résilier le Contrat avec effet immédiat, en dérogation avec la période de préavis prévue à l Article II.14.2 du Contrat, en signifiant la résiliation par écrit au Contractant. La ne peut être tenue responsable de toute perte, dommages, coûts ou dépenses que le Contractant devra supporter en raison de la résiliation du Contrat ou d un contrat de sous-traitance en vertu de la présente exigence (- [REQ 11]). - [REQ 12] Si l ASN/ ASD compétente au regard du Contractant ou sous-traitant identifie un non-respect par un sous-traitant des dispositions de sécurité ou règlements visés dans la présente SAL, qui entraîne le retrait de l HSE du soustraitant, la a le droit d'exiger que le Contractant mette fin au contrat de sous-traitance avec effet immédiat, sans préjudice du droit de la de résilier le Contrat avec effet immédiat et/ou d engager des poursuites pénales et/ou civiles contre le sous -traitant. La ne peut être tenue responsable de toute perte, dommages, coûts ou dépenses que le Contractant devra supporter en raison de la résiliation du Contrat ou d un contrat de sous-traitance en vertu de la présente exigence (- [REQ 12] ) - [REQ 13] Pour toutes les visites nécessaires à l'exécution de ce Contrat, les modalités de visites internationales Page 12 of 15

contenues dans le document «European GNSS PSI» (AD2) s'appliquent. - [REQ 14] Pour les prestations effectuées dans les locaux de la, le Contractant et son personnel doivent se conformer aux exigences de sécurité telles que décrites au point 5 ci-après («Accès aux locaux de la»). - [REQ 15] Pour les prestations effectuées hors des locaux de la ou du Contractant, le Contractant et son personnel doivent se conformer aux exigences de sécurité locales à condition qu'elles ne soient pas moins strictes que celles du document «European GNSS PSI» (AD2). - [REQ 16] Le Contractant ne peut transmettre aucune information ou matériel classifié(e) à un sous-traitant sans l'accord préalable écrit de l'auteur et de la. - [REQ 17] La responsabilité ultime de la protection des informations classifiées au sein des entités, industrielles ou autres, incombe à la Direction de ces entités. - [REQ 18] Il peut être nécessaire pour le Contractant de négocier des contrats de sous-traitance classifiés à différents niveaux. Le Contractant est responsable de s'assurer que toute sous-traitance et toute activité des sous-traitants sont menées en conformité avec les normes minimales communes figurant dans la présente SAL. Les procédures visant la soustraitance contenue dans le document «European GNSS PSI» (AD2) sont appliquées à tous les contrats de sous-traitance potentiels. - [REQ 19] Un guide de classification de sécurité (GCS) doit faire partie de tout contrat de sous-traitance qui est en mesure d impliquer le traitement d'informations classifiées, et doit décrire les éléments spécifiques qui sont classifiés et spécifier les niveaux de classification de sécurité applicables. Les dispositions de la SAL et du GCS appliquées à ces soustraitants ne doivent pas être moins strictes que celles applicables au Contractant. - [REQ 20] Les informations classifiées communiquées au Contractant ou sous-traitant, ou générées par toute activité prévue ou liée au Contrat, ne doivent pas être utilisées à des fins autres que celles définies par le Contrat ou contrat de sous-traitance classifié, respectivement, et ne peuvent être communiquées à des tiers sans l'accord préalable écrit de l'auteur et de la. - [REQ 21] Tout au long de la durée du contrat, le respect de toutes les dispositions de sécurité doit être contrôlé par la, en collaboration avec le correspondant ASN/ASD. Tout incident de sécurité doit être signalé, conformément aux dispositions prévues par le document «European GNSS PSI» (AD2). Toute modification ou retrait d'une HSE doivent être immédiatement communiqués au Responsable local de la Sécurité de la («Local Security Officer» ou LSO). - [REQ 22] Si des modifications dans les exigences de sécurité apparaissent au cours de l'exécution du contrat et si ces modifications s'écartent sensiblement des mesures initiales, le contrat sera modifié en conséquence ou résilié, Page 13 of 15

selon le cas. - [REQ 23] Lorsque des modifications dans les exigences de sécurité se traduisent par des mesures de sécurité supplémentaires à prendre ou des investissements à réaliser par le Contractant, un avenant au Contrat sera négocié de manière juste et raisonnable conformément aux dispositions contractuelles relatives aux avenants. - [REQ 24] Dans le cas où le Contractant ne peut se conformer à des exigences additionnelles en matière de sécurité, et où ni le Contractant, ni les Parties ne peuvent, au terme d un effort raisonnable, s'accorder sur un avenant conforme aux dispositions contractuelles le régissant, le Contrat peut être résilié avec effet immédiat, en dérogation avec la période de préavis prévue à l Article II.14.2 du Contrat, donnant droit à réclamation par le Contractant du sommes dues dans les limites imposées par l Article II.14.3 du Contrat. Cette résiliation ne pourra jamais être considérée comme une résiliation pour faute. - [REQ 25] L ASN/ASD compétente au regard du Contractant sera informée par le Contractant et par le Responsable local de la Sécurité de la, de manière séparée, de la date d'attribution du Contrat ainsi que de tout contrat de soustraitance qui peut impliquer le traitement d informations classifiées. - [REQ 26] Lorsque le Contrat ou contrat de sous-traitance qui implique la manipulation d'informations classifiées est résilié, le Contractant et le Responsable local de la Sécurité de communiquent séparément cette résiliation dans un délai d'un mois à l ASN/ASD compétente. - [REQ 27] Tout au long de la durée du Contrat, le respect de toutes les dispositions de sécurité est contrôlé par la, en collaboration avec le correspondant de l ASN/ASD. Tout incident de sécurité doit être signalé, conformément aux dispositions prévues dans le document «European GNSS PSI» (AD2). Toute modification ou retrait d'une HSE doit être immédiatement communiqué au Responsable local de la Sécurité de la. - [REQ 28] Le Contractant doit, sous peine de résiliation du contrat, se conformer aux exigences de sécurité prescrites par la telles que détaillées dans la présente SAL. - [REQ 29] Le Contractant doit mettre à jour l'organisation de sécurité décrite dans son Plan de Gestion de Projet ainsi que les coordonnées de son Responsable en charge de la gestion du Contrat et de son responsable de la sécurité lors de la réunion de lancement du Contrat (Kick-Off-Meeting ou KOM). L'information ainsi mise à jour sera ajoutée en annexe au procès-verbal du KOM. - [REQ 30] le Contactant communique à la par écrit, par le biais de l ANS/ASD, dans un délai de 30 jours à compter de sa survenance, toute modification ultérieure dans l'organisation de la sécurité ainsi que dans les coordonnées de son Responsable en charge de la gestion du Contrat et de son responsable de la sécurité. - [REQ 31] Les modalités de transmission des informations Page 14 of 15

classifiées contenues dans le document «European GNSS PSI» (AD2), s appliquent à toute transmission d'informations classifiées résultant des activités contractuelles. - [REQ 32] Le Contractant et les sous-traitants, en plus des prescriptions du document «European GNSS PSI» (AD2), doivent chiffrer toutes les informations classifiées, dès lors qu elles sont stockées sur support numérique, et cela quel que soit leur niveau de classification. - [REQ 33] Le Contractant et les sous-traitants doivent chiffrer avant transmission, toutes les informations sensibles de la manière détaillée dans les dispositions ci-dessous (cf. - [REQ 35]). - [REQ 34] Le détail des dispositifs de transmission d'informations classifiées au niveau CONFIDENTIEL UE ou audelà est considéré comme sensible et est chiffré lors des envois par e-mail. - [REQ 35] Sauf accord contraire par écrit, Chiasmus for Windows, outil développé par le BSI, doit être utilisé pour le chiffrement. Le respect de cette exigence doit être garanti lors de la signature du contrat. Si un soumissionnaire présente une offre non conforme à cet égard, il doit présenter un plan de mise en conformité à cette exigence. - [REQ 36] Le Contractant doit s'assurer qu'il possède la licence d utilisation délivrée par le BSI (Bundesamt für Sicherheit in der Informationstechnik). - [REQ 37] Toutes les Parties impliquées dans les activités contractuelles doivent être à même de gérer l'outil de chiffrement et les documents chiffrés ainsi générés en conformité avec les Procédures Opérationnelles en matière de Sécurité (SecOPs) de l organisation fournissant l outil de chiffrement ou, à condition que ce ne soit pas moins strict, conformément aux réglementations nationales. - [REQ 38] Les violations de sécurité doivent être traitées comme prévu par le document «European GNSS PSI» (AD2). - [REQ 39] Les rapports de violation de sécurité doivent également être envoyés au Responsable local de la sécurité de la ( LSO). - [REQ 40] Les rapports de violation de sécurité doivent être classifiés de manière appropriée et transmis en conséquence. Si le classement du rapport est supérieur à RESTREINT UE (ou équivalent), un rapport allégé permettant une classification au niveau RESTREINT UE ou inférieur doit être établi afin de permettre une transmission rapide de celui-ci en utilisant les canaux et les outils appropriés. Fin du document Page 15 of 15

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back