Le dispositif de protection du potentiel scientifique et technique de la nation – Foire aux questions

1. Généralités

Qu’est-ce que le dispositif de protection du potentiel scientifique et technique de la nation (PPST) ?

Le dispositif de protection du potentiel scientifique et technique de la nation (PPST) a pour but de protéger, au sein des établissements publics et privés, l’accès à leurs savoirs et savoir-faire stratégiques ainsi qu’à leurs technologies sensibles. Il permet de se prémunir plus efficacement contre les tentatives de captation d’informations.

Le dispositif PPST offre une protection juridique et administrative fondée sur le contrôle des accès, physiques comme virtuels, aux informations sensibles détenues au sein de zones protégées, appelées zones à régime restrictif (ZRR) qui constituent des espaces définis à l’intérieur desquels se déroulent des activités de recherche ou de production stratégique à protéger en raison de l’intérêt qu’elles présentent pour la compétitivité de l’établissement ou de la nation.

Suis-je concerné ?

Je suis concerné par ce dispositif si, la captation indue ou le détournement des savoirs, savoir-faire et technologies développés ou mis en œuvre dans mon établissement peuvent :

  • porter préjudice de manière significative à ma compétitivité, à celle de mes partenaires industriels ou à celle du pays ;
  • permettre le développement d’une arme conventionnelle ;
  • favoriser le développement d’une arme de destruction massive ;
  • générer une menace du fait d’un usage possible à des fins terroristes sur le territoire national ou à l’étranger.

Quels sont les avantages de cette règlementation ?

La réglementation apporte les avantages suivants :

  • accompagnement étatique personnalisé et privilégié dans la démarche d’élévation du niveau de sécurité de l’établissement ;
  • appartenance à une communauté de confiance favorable aux partenariats industriels ou de recherche, parfois même réponse à l’exigence de certains clients ou fournisseurs ;
  • protection et sécurisation du potentiel scientifique de l’établissement (R&D, connaissances, savoir-faire, processus de production, données, etc.) afin de le préserver de tout risque de vulnérabilité et de fragilisation (utilisation frauduleuse, anticoncurrentielle, espionnage, perte de chiffre d’affaires et d’opportunités contractuelles) ;
  • flexibilité du dispositif pour l’entité qui identifie et cible son besoin de protection en lien avec le ministère concerné ;
  • protection juridique renforcée contre les actes malveillants ayant des conséquences sur la compétitivité de l’établissement ;
  • fondement juridique permettant de demander des avis sur les personnes pénétrant dans la ZRR et des sanctions renforcées en cas d’intrusion ou de diffusion des informations protégées.

Est-ce obligatoire ?

La protection du potentiel scientifique et technique de la nation fait l’objet d’une concertation entre les pouvoirs publics et les établissements. A l’issue de cette dernière, une convention est établie entre l’établissement et le ministère sectoriel.

Ce dispositif réglementaire repose sur l’adhésion des acteurs concernés et non sur la contrainte.

Quels sont les coûts de la mise en œuvre de la PPST pour un établissement abritant une ZRR ?

Il n’existe pas de normes techniques obligatoires pour protéger une zone à régime restrictive (ZRR). Le dispositif impose seulement que la ZRR soit un espace clos doté, à chacun de ses accès extérieurs, d’une signalétique informant du statut de ZRR et des conséquences pénales auxquelles s’exposent les contrevenants. En d’autres termes, le dispositif n’impose aucun frais lié à la protection physique des ZRR. Chaque entité décide, selon ses moyens et ses besoins de déployer ou non des moyens de protection supplémentaires (lecteur de badge, caméra de surveillance, etc.).

La gestion des dossiers de demandes d’accès aux ZRR peut néanmoins avoir un coût en termes de ressources humaines, dans l’éventualité où un nombre important et régulier de demandes d’accès devait être déposé. Afin d’en limiter, il est fortement conseillé aux chefs d’établissements de définir au plus juste les lieux devant faire l’objet d’une création de ZRR.

2. Création d’une ZRR

Comment créer une ZRR ?

Lorsqu’il existe un risque lié à la captation d’informations, de savoirs et de savoir-faire sensibles, susceptibles d’affaiblir le potentiel scientifique et technique de l’établissement ou de la nation, le chef d’établissement et le ministre sectoriel s’entendent sur la nécessité de créer une zone à régime restrictif.

Pour ce faire, le responsable d’établissement identifie les informations sensibles, délimite la zone nécessitant un besoin réel de protection contenant les savoirs sensibles et adresse enfin au service du haut fonctionnaire de défense et de sécurité du ministère de rattachement, un dossier de demande de création de ZRR et la convention signée.

Comment constituer un dossier ?

La demande de création d’une ZRR s’effectue en remplissant un formulaire administratif qui doit être transmis au service adéquat du ministère sectoriel [cf. question « Qui contacter »].

Quel est le délai de création d’une ZRR ?

La demande de création d’une ZRR est une procédure administrative qui se conclut par la signature d’un arrêté de création de la zone.

Les délais de traitement diffèrent en fonction des ministères de tutelle mais en pratique ne dépassent pas un mois.

Une visite de l’établissement pas les services de l’Etat pour valider le dossier est-elle obligatoire ?

Chaque ministère est libre de mettre en place les mesures de validation d’un dossier de création de ZRR qu’il souhaite. Il est donc possible d’organiser une visite à la fois pour valider le dossier et de vérifier la bonne compréhension de la réglementation par l’établissement. Un rapport de visite peut être réalisé.

Qui contacter ?

La création de ZRR revient au service du Haut fonctionnaire de défense et de sécurité de votre ministère de rattachement dont les coordonnées sont les suivantes :

Comment intégrer la ZRR dans mon règlement intérieur ?

La création d’une ZRR a pour conséquences d’inclure au sein du règlement intérieur de l’établissement des dispositions spécifiques, notamment les conditions et modalités d’accès à cette zone.

A titre d’exemple, le règlement intérieur peut mentionner spécifiquement les coordonnées du responsable de la ZRR, les formalités d’accès, les mesures de contrôle interne, l’encadrement des visites et le circuit de notoriété.

Dois-je mettre en place une protection physique ?

Aucune mesure de protection physique n’est exigée en dehors d’un espace clos. L’établissement protège sa/ses zones selon ses moyens et son besoin de protection.
Il est possible de solliciter les services de l’Etat pour une évaluation du niveau de sûreté bâtimentaire.

Dans tous les cas, les mesures de protection physique ne doivent pas être confondues avec les exigences requises pour la réglementation de la protection du secret de la défense nationale.

3. Demande d’accès à une ZRR

A quoi sert-elle ?

La délimitation d’une ZRR au sein de son établissement implique une restriction de la circulation des personnes. Seules les personnes autorisées ont le droit d’accéder à la ZRR sous peine d’être sanctionnée pénalement.

Qui est concerné ?

L’accès à une zone à régime restrictif, qu’il soit physique ou virtuel, pour y effectuer un stage, y préparer un doctorat, y participer à une activité de recherche, y suivre une formation, y effectuer une prestation de service ou y exercer une activité professionnelle est soumis à l’autorisation du chef du service, d’établissement, après avis favorable du ministre chargé d’en exercer la tutelle avant d’être autorisée par le chef d’établissement.
Ainsi, toute personne effectuant une activité de recherche au sein de la ZRR et en lien direct avec les activités qu’elle abrite doit effectuer une demande d’accès.

Il existe des exceptions à ce principe de demande d’accès.

En effet, une visite qui se caractérise par son aspect temporaire et par l’absence de participation directe aux activités scientifiques et techniques de la ZRR, ne requiert pas l’avis ministériel, seule l’autorisation du chef d’établissement est nécessaire.
Toutefois, le visiteur doit être encadré et suivre un circuit défini de telle manière qu’aucune information à protéger ne puisse, lors de la visite, être directement accessible ou déduite.
De même, toute personne bénéficiant d’une habilitation au titre de la protection du secret de la défense nationale est réputée avoir obtenu l’avis ministériel favorable, et n’est par conséquent pas concernée par la procédure de demande d’accès.

Comment la procédure de demande d’accès en zone à régime restrictif fonctionne-t-elle ?

La procédure de demande d’accès s’effectue en trois étapes :

  1. le « demandeur » formalise sa demande au moyen d’un formulaire-type fourni par le ministère de rattachement. La délivrance de l’autorisation d’accès est un préalable à la signature du contrat de travail ou à l’inscription du demandeur à des travaux de recherche se déroulant dans une ZRR ;
  2.  « l’accueillant », responsable de la ZRR ou directeur de recherche, accuse réception du dossier (cette date marque le début du délai de réponse de deux mois) et complète la demande par les données scientifiques demandées ;
  3. le ministre, qui s’exprime, le cas échéant, par l’intermédiaire du haut fonctionnaire de défense et de sécurité ou par délégation du fonctionnaire de sécurité et de défense, rend un avis. Lorsque l’avis est favorable, l’accueillant peut ou non faire droit à la demande d’accès. Lorsque l’avis est défavorable, le chef de service doit refuser la demande qui lui est adressée.

Quels est le délai de réponse ?

Le ministre dispose d’un délai maximal de deux mois pour instruire les dossiers de demande d’accès aux ZRR. Ce délai est nécessaire pour garantir la bonne instruction des demandes d’accès les plus sensibles. Le ministre peut donner sa réponse avant le terme du délai, si l’instruction du dossier le permet, mais un chef de service, d’établissement ne peut exiger une réponse ministérielle dans un délai inférieur à deux mois.

Pour les opérateurs envisageant des recrutements, il est possible d’anticiper le délai d’instruction en faisant parvenir au ministère concerné, en amont de la session finale de recrutement, une courte liste des candidats sélectionnés de manière à ce que l’avis soit rendu au moment de la phase finale de sélection.

Une demande d’accès virtuel à la ZRR doit-elle être traitée au même niveau qu’une demande d’accès physique ?

Tout accès à la ZRR, qu’il soit physique ou virtuel, est soumis à autorisation du chef d’établissement, après avis favorable du ministre. Les répertoires et documents de la ZRR ne peuvent donc être consultés que par les personnes y ayant été autorisées par le chef d’établissement.

L’ensemble du personnel travaillant physiquement dans une ZRR, ou qui est amené à s’y connecter à distance, doit donc être informé du statut de la ZRR, des règles qui la régissent et des poursuites pénales auxquelles s’expose un contrevenant.

Suis-je tenu de suivre l’avis du ministre ?

Si l’avis du ministre est positif, le chef d’établissement n’est pas tenu de suivre cet avis.

Par contre, si l’avis du ministre est négatif, le chef d’établissement est tenu de suivre cet avis.

4. Protection juridique de la ZRR

De quelle protection bénéficie-je ?

En application de l’article 413-7 du code pénal, les personnes qui pénètrent sans autorisation dans une ZRR risquent une peine de 6 mois d’emprisonnement et 7 500 € d’amende.

La ZRR abrite des éléments essentiels du potentiel scientifique et technique de la nation, définis, conformément à l’article 410-1 du code pénal, comme des intérêts fondamentaux de la nation.

A ce titre, l’article 411-9 du code pénal sanctionne sévèrement les faits de nature à porter atteinte aux intérêts fondamentaux de la nation (jusqu’à 15 ans de détention criminelle et 225 000 € d’amende). Un vol ou un détournement de documents ou de matériels au sein d’une ZRR pourrait donc relever de l’article 411-9 du code pénal.

Dans quelles conditions est-elle effective ?

L’article 413-7 du code pénal prévoit des sanctions dès l’introduction sans autorisation dans la zone même s’il n’y a pas eu de captation.

Suis-je responsable en cas d’intrusion dans la ZRR ?

En cas d’intrusion dans une ZRR, seul le contrevenant est susceptible d’être sanctionné. En aucun cas, le chef d’établissement sera sanctionné en cas de captation de son savoir et savoir-faire contenus dans sa ZRR.

5. Sécurité des systèmes d’information de la ZRR

Que dois-je mettre en place ?

Les établissements doivent avant tout mettre en place une politique de sécurité des systèmes d’information (PSSI). La PSSI est un document interne à l’établissement qui diffuse les bonnes pratiques, les procédures et fixe les objectifs de l’établissement en matière de sécurité informatique. Ce document contribue à ce que chaque utilisateur adopte les bons réflexes d’hygiène informatique dans le but de réduire les incidents de sécurité et les coûts associés. La PSSI peut être intégrée dans le règlement intérieur de l’établissement.

Dans ce cadre, le chef d’établissement doit également désigner un responsable de la sécurité des systèmes d’information (RSSI). Il est l’interlocuteur privilégié pour toutes les questions relatives à la sécurité informatique et a la responsabilité de la mise en œuvre de la PSSI.

A titre d’exemple, les mesures de sécurité informatique peuvent être logicielles (chiffrement des informations, du disque dur ou contrôle d’accès avec chiffrement des répertoires partagés sur un serveur) ou physiques (les machines ou le réseau local à la ZRR, accessible uniquement depuis les locaux soumis à un contrôle d’accès).

6. Coopérations et partenariats internationaux

La protection des savoirs et des savoir-faire ne repose pas uniquement sur le mécanisme des ZRR. La notion de secteurs scientifiques et techniques protégés permet d’étendre cette protection non plus en considération du lieu, mais du domaine d’activité.

Une unité de recherche ou de production relève d’un secteur scientifique et technique protégé si sa discipline scientifique principale ou l’une de ses disciplines secondaires fait partie de la liste des secteurs scientifiques et techniques protégés (cf. Arrêté du 3 juillet 2012 relatif à la protection du potentiel scientifique et technique de la nation).

Puis-je continuer à collaborer avec des établissements étrangers ?

Si mon unité de recherche relève d’un secteur scientifique et technique protégé, il est demandé que le chef d’établissement soumette pour avis tous les projets de collaborations internationales (accords-cadres, memorandum of understanding, etc.).

De même, le SHFDS doit être également informé de tout projet de conférence et de séminaire et d’inscription aux formations relatif au secteur scientifique et technique protégé.

 

Pour toute question supplémentaire : ppst@sgdsn.gouv.fr