Le dispositif de protection du potentiel scientifique et technique de la nation – Foire aux questions

1. Eléments d’introduction

Contexte

Les atteintes au potentiel scientifique et technique qui se sont multipliées ces cinq dernières années ont amené le gouvernement à réviser, en 2011, le dispositif de protection du patrimoine scientifique et technique français, qui datait de 1972 et dont la précédente réforme remontait à 1993.

Juridiquement plus robuste, le nouveau dispositif de protection du potentiel scientifique et technique de la nation (PPST) est fondé sur le code pénal et s’organise principalement autour d’un décret du Premier ministre en Conseil d’Etat[1], d’un arrêté du Premier ministre[2] et d’une circulaire interministérielle du Premier ministre[3].

Il vise à protéger les accès aux savoirs, savoir-faire et technologies les plus « sensibles » des établissements publics et privés, dont le détournement ou la captation pourraient :

  • porter atteinte aux intérêts économiques de la nation ;
  • renforcer des arsenaux militaires étrangers ou affaiblir les capacités de défense de la nation ;
  • contribuer à la prolifération des armes de destruction massive et de leurs vecteurs ;
  • être utilisés à des fins terroristes sur le territoire national ou à l’étranger.

Le dispositif est erga omnes et écarte donc tout risque de discrimination.

Chaque ministère adapte les modalités de mise en œuvre du dispositif de la PPST en fonction des spécificités de son domaine de compétences (différentes directives ministérielles ont été rédigées à cet effet).

Mesures de protection

Le dispositif prévoit la mise en œuvre de mesures de protection qui s’appliquent aux éléments essentiels du potentiel scientifique et technique de la nation et notamment aux savoirs et savoir-faire et technologies relatives aux secteurs scientifiques et techniques protégés listés en annexe de l’arrêté du 3 juillet 2012.

La protection des contenants est assurée par la création de zones protégées au sens de l’article 413-7 du code pénal. L’accès à ces zones, dénommées zones à régime restrictif (ZRR), est réglementé et soumis à l’avis favorable du ministre de rattachement de l’établissement concerné.

2. Questions pratiques sur l’organisation du dispositif

Pourquoi intégrer le dispositif PPST ?

  • la PPST est un outil de sécurité économique destiné à favoriser la protection du potentiel scientifique et technique d’un établissement (R&D, connaissances, savoir-faire, processus de production, données, etc.) face aux menaces d’ingérences directes ou indirectes (utilisation frauduleuse d’informations, vol ou captation de données sensibles, pratiques anticoncurrentielles, intrusion dans les systèmes d’information etc.) ;
  • la PPST est également un outil destiné à lutter contre la prolifération des armes de destruction massive (ADM) et contre l’expansion du terrorisme grâce au contrôle des accès aux informations et aux biens susceptibles d’y contribuer (connaissances, savoirs, savoir-faire). Le dispositif robuste ainsi constitué permet à la France de respecter ses engagements internationaux en termes de lutte contre la prolifération et contre le terrorisme ;
  • l’Etat met à la disposition de l’établissement concerné les outils réglementaires, techniques et humains dont il dispose pour maîtriser les risques pesant sur ce potentiel ;
  • le potentiel de l’établissement concerné est intégré aux intérêts fondamentaux de la nation et bénéficie à ce titre de la protection juridique instituée par le code pénal.

Comment créer une zone à régime restrictif (ZRR) ?

Lorsqu’il existe un risque lié à la captation d’information susceptible d’affaiblir le potentiel scientifique et technique de la nation, le chef de service, d’établissement ou d’entreprise et le ministre de rattachement s’entendent sur la nécessité de créer une zone à régime restrictif.

Pour ce faire, le chef de service ou d’établissement adresse au ministre un dossier de demande de création de ZRR, dont les modalités sont précisées par des procédures propres à chaque ministère.

Comment la procédure de demande d’accès en zone à régime restrictif fonctionne-t-elle ?

La procédure de demande d’accès s’effectue en trois étapes :

  1. le « demandeur » formalise sa demande au moyen d’un formulaire-type fourni par le ministère de rattachement. La délivrance de l’autorisation d’accès est un préalable à la signature du contrat de travail ou à l’inscription du demandeur à des travaux de recherche se déroulant dans une ZRR ;
  2. « l’accueillant », responsable de la ZRR ou directeur de recherche, accuse réception du dossier (cette date marque le début du délai de réponse de deux mois) et complète la demande par les données scientifiques demandées ;
  3. le ministre, qui s’exprime le cas échéant par l’intermédiaire du haut fonctionnaire de défense et de sécurité ou par délégation du fonctionnaire de sécurité et de défense, rend un avis. Lorsque l’avis est favorable, l’accueillant peut ou non faire droit à la demande d’accès.

Une demande d’accès virtuel à la ZRR doit-elle être traitée au même niveau qu’une demande d’accès physique ?

Tout accès à la ZRR, qu’il soit physique ou virtuel, est soumis à autorisation du chef d’établissement, après avis favorable du ministre. Les répertoires et documents de la ZRR ne peuvent donc être consultés que par les personnes y ayant été autorisées par le chef d’établissement.

L’ensemble du personnel travaillant physiquement dans une ZRR, ou qui est amené à s’y connecter à distance, doit donc être informé du statut de la ZRR, des règles qui la régissent et des poursuites pénales auxquelles s’expose un contrevenant.

Quelle est la différence entre un accès à une ZRR et une visite de ZRR ?

L’accès à la ZRR, qu’il soit physique ou virtuel, s’entend comme tout recrutement (CDD, CDI, intérimaire), stage, doctorat, activité de recherche, prestation de service, etc. effectué au sein de la ZRR et en lien direct avec les activités qu’elle abrite. Toute demande d’accès doit recueillir l’avis favorable du ministre avant d’être autorisée par le chef d’établissement.

Une visite se caractérise par son aspect temporaire et par l’absence de participation directe aux activités scientifiques et techniques de la ZRR. L’avis ministériel n’est pas requis pour une visite, seule l’autorisation du chef d’établissement est nécessaire.

Une visite se différencie également de la prestation de service, nécessitant une autorisation d’accès, par l’absence de contrat.

Quels sont les coûts de la mise en œuvre de la PPST pour un établissement abritant une ZRR ?

Il n’existe pas de normes techniques obligatoires pour protéger une ZRR. La PPST impose seulement que la ZRR soit un espace clos doté, à chacun de ses accès extérieurs, d’une signalétique informant du statut de ZRR et des conséquences pénales auxquelles s’exposent les contrevenants. En d’autres termes, la PPST n’impose aucun frais lié à la protection physique des ZRR. Chaque entité décide, selon ses moyens et son besoin de protection, si elle souhaite protéger sa ZRR.

La gestion des dossiers de demandes d’accès aux ZRR peut néanmoins avoir un coût en termes de ressources humaines, dans l’éventualité où un nombre important et régulier de demandes d’accès devait être déposé.

Quelles sont les peines encourues par les personnes qui pénètrent sans autorisation dans une ZRR ?

En application de l’article 413-7 du code pénal, les personnes qui pénètrent sans autorisation dans une ZRR risquent une peine de 6 mois d’emprisonnement et 7 500 € d’amende.

A quelles peines s’expose la personne détournant ou dérobant des informations ou du matériel détenus dans une ZRR ?

La ZRR abrite des éléments essentiels du potentiel scientifique et/ou économique de la nation, définis, conformément à l’article 410-1 du code pénal, comme des intérêts fondamentaux de la nation.

A ce titre, l’article 411-9 du code pénal sanctionne sévèrement les faits de nature à porter atteinte aux intérêts fondamentaux de la nation (jusqu’à 15 ans de détention criminelle et 225 000 € d’amende). Un vol ou un détournement de documents ou de matériels au sein d’une ZRR pourrait donc relever de l’article 411-9.

Qu’impose la PPST en matière de sécurité informatique ?

Les entreprises doivent avant tout mettre en place une politique de sécurité des systèmes d’information (PSSI). La PSSI est un document interne à l’entreprise qui diffuse les bonnes pratiques, les procédures et fixe les objectifs de l’entreprise en matière de sécurité informatique. Ce document contribue à ce que chaque utilisateur adopte les bons réflexes d’hygiène informatique dans le but de réduire les incidents de sécurité et les coûts associés.

Dans ce cadre, le chef d’entreprise doit également désigner un responsable de la sécurité des systèmes d’information (RSSI). Il est l’interlocuteur privilégié pour toutes les questions relatives à la sécurité informatique et a la responsabilité de la mise en œuvre de la PSSI.

Qu’impose la réglementation à un établissement public ou privé dès lors qu’il conduit des activités relevant d’un ou plusieurs secteur(s) protégé(s) ou qui souhaite coopérer avec un partenaire étranger dans un domaine relevant de ces secteurs ?

Les secteurs protégés listés en annexe de l’arrêté du 3 juillet 2012 ont été définis en fonction de l’intérêt stratégique qu’ils présentent pour la nation ou pour ceux qui les convoitent et de la nécessité de préserver le potentiel scientifique et technique.

La règlementation prévoit que l’établissement relevant d’un ou plusieurs de ces secteurs protégés fasse remonter certaines informations vers le haut fonctionnaire de défense et de sécurité (HFDS) du ministère concerné. A titre d’exemple, le HFDS doit être tenu informé des projets de congrès/séminaires/conférences organisés par l’établissement.

L’entité qui souhaite coopérer avec un partenaire étranger doit en informer le HFDS du ministère en charge du secteur dont il relève. Le HFDS émet alors un avis sur le projet.

Qui contacter pour avoir des informations complémentaires sur le dispositif ?

Tout établissement relevant de la PPST ou souhaitant intégrer le dispositif peut contacter les services du Haut-fonctionnaire de défense et de sécurité de son ministère de référence (Ecologie, Recherche, Economie et finances, Santé, Défense, Agriculture).

La PPST impose-t-elle de modifier le règlement intérieur des entités concernées ?

Si la création d’une ZRR a des conséquences sur les conditions et modalités d’accès à cette zone, telles que décrites dans le règlement intérieur, celui-ci doit être modifié.


[1] Décret n° 2011-1425 du 2 novembre 2011 portant application de l’article 413-7 du code pénal et relatif à la protection du potentiel scientifique et technique de la nation.

[2] Arrêté du 3 juillet 2012 relatif à la protection du potentiel scientifique et technique de la nation.

[3]  Circulaire interministérielle du 7 novembre 2012 de mise en œuvre du dispositif de protection du potentiel scientifique et technique de la nation