Le dispositif de protection du potentiel scientifique et technique de la nation – Foire aux questions

Le dispositif interministériel de protection du potentiel scientifique et technique de la nation (PPST) vise à prévenir certaines atteintes aux intérêts fondamentaux de la nation en empêchant les tentatives de captation de savoirs et savoir-faire stratégiques par des prédateurs technologiques ou économiques, ainsi que le détournement de savoirs et savoir-faire identifiés comme sensibles pour les risques de prolifération des armes de destruction massive et de leurs vecteurs, de dissémination d'armement conventionnel ou de capacités militaires ou encore de commission d'actes terroristes. Il a pour but de protéger, au sein des établissements publics et privés (laboratoire de recherche, entreprise, etc.), l’accès à leurs savoirs et savoir-faire ainsi qu’à leurs technologies sensibles. 

Le dispositif PPST offre une protection juridique et administrative fondée notamment sur le contrôle des accès, physiques comme virtuels, aux informations sensibles détenues au sein de zones protégées, appelées zones à régime restrictif (ZRR), qui constituent des espaces à l’intérieur desquels se déroulent des activités de recherche ou de développement à protéger en raison de l’intérêt qu’elles présentent pour la nation.

Il s’intègre ainsi dans un ensemble national cohérent de régimes de protection et de sécurité et a été conçu pour assurer une complémentarité avec les autres dispositifs réglementaires (la sécurité des activités d’importance vitale, la protection du secret de la défense nationale, etc.).
 

Je suis concerné par ce dispositif si la captation indue ou le détournement des savoirs, savoir-faire et technologies développés ou mis en œuvre dans mon unité de recherche ou de développement peuvent :

• porter préjudice de manière significative à ma compétitivité, à celle de mes partenaires industriels ou scientifique ou à celle du pays ;
• permettre le développement d’une arme conventionnelle ;
• favoriser le développement d’une arme de destruction massive ou de son vecteur ;

• générer une menace du fait d’un usage possible à des fins terroristes sur le territoire national ou à l’étranger.

  Toute entité qui le souhaite peut solliciter son ministère sectoriel afin d’échanger pour caractériser la sensibilité éventuelle de ses activités au regard des risques évoqués supra, et le cas échéant, déterminer la pertinence de recourir au dispositif de la PPST pour les protéger.
   

Le cadre de la PPST offre :

• une protection juridique et administrative du potentiel scientifique et technique de l’établissement (recherche & développement, connaissances, savoir-faire, processus de production, données, etc.) contre les actes malveillants (intrusion, diffusion d’informations sensibles, espionnage, utilisation frauduleuse, anticoncurrentielle, etc.) ; 
• une protection ciblée pour ne protéger que ce qui doit l’être, le périmètre de la ZRR étant adapté au « juste besoin de protection » afin de perturber a minima le fonctionnement de l’entité ; 
• une évaluation adaptée du niveau des différents risques pour chaque activité considérée comme « sensible » au titre de la PPST et hébergée dans une ZRR, contribuant ainsi à « filtrer » aux mieux les accès pouvant présenter une vulnérabilité potentielle en termes de captation et/ou détournement de savoirs et de savoir-faire ; 
• de la flexibilité, le périmètre de la ZRR étant facilement modifiable pour rester en adéquation avec les éléments et les activités qu’elle protège et qui peuvent évoluer dans le temps ; 
• un accompagnement étatique personnalisé et privilégié pour augmenter progressivement le niveau de global de sécurité en fonction des ressources disponibles ;
• une appartenance à une communauté de confiance favorable aux partenariats industriels ou de recherche.
   

L’adhésion au dispositif de la PPST se fait sur la base d’une concertation entre les services de l’État et l’entité intéressée. 

Il n’existe pas de normes techniques obligatoires pour protéger une zone à régime restrictif (ZRR). Le dispositif impose seulement que la ZRR soit un espace clos doté, à chacun de ses accès extérieurs, d’une signalétique informant du statut de ZRR et des conséquences pénales auxquelles s’exposent les personnes qui y pénètreraient sans autorisation. En d’autres termes, le dispositif n’impose aucun frais lié à la protection physique des ZRR. Chaque entité décide, selon ses moyens et ses besoins, de déployer ou non des moyens de protection supplémentaires (lecteur de badge, caméra de surveillance, etc.).

La gestion des demandes d’accès aux ZRR peut néanmoins présenter un coût en termes de ressources humaines, dans l’éventualité où un nombre important et régulier de demandes devait être déposé. La délimitation au plus juste des lieux concernés par la création d’une ZRR est donc une étape importante du processus d’adhésion. 
 

Lorsqu’il existe un risque lié à la captation d’informations, de savoirs et de savoir-faire sensibles, susceptibles d’affaiblir le potentiel scientifique et technique de l’établissement ou de la nation, le chef d’établissement et le ministre sectoriel s’entendent sur la nécessité de créer une zone à régime restrictif.

Pour ce faire, le responsable d’établissement identifie les informations sensibles, délimite la zone nécessitant un besoin réel de protection contenant les savoirs sensibles et adresse enfin au service compétent du ministre sectoriel concerné (généralement le service du haut fonctionnaire de défense et de sécurité), un dossier de demande de création de ZRR. La ZRR est ensuite formellement crée par arrêté du ministre concerné (cet arrêté n'est pas publié au Journal Officiel).
 

La demande de création d’une ZRR s’effectue en remplissant un formulaire administratif qui doit être transmis au service du haut fonctionnaire de défense et de sécurité du ministère sectoriel [cf. question « Qui contacter ? »].

Chaque ministère est libre de mettre en place les mesures de validation d’un dossier de création de ZRR qu’il souhaite. Il est donc possible d’organiser une visite à la fois pour valider le dossier et de vérifier la bonne compréhension de la réglementation par l’établissement. Un rapport de visite peut être réalisé. 

La création de ZRR revient au service du Haut fonctionnaire de défense et de sécurité de votre ministère de rattachement dont les coordonnées sont les suivantes :

• ministère chargé de l’agriculture : intelligence.economique@agriculture.gouv.fr 
• ministère chargé de la défense : dga-ssdi.ppst.fct@intradef.gouv.fr 
• ministère chargé de l'écologie : ppst.diepi.sdsie.sg@developpement-durable.gouv.fr 
• ministère chargé de l’économie: ppst.hfds@finances.gouv.fr 
• ministère chargé de la recherche : hfds-zrr-creation@recherche.gouv.fr
• ministère chargé de la santé : hfds-ppst@sg.social.gouv.fr.
   

La création d’une ZRR a pour conséquences d’inclure au sein du règlement intérieur de l’établissement des dispositions spécifiques, notamment les conditions et modalités d’accès à cette zone.

À  titre d’exemple, le règlement intérieur peut mentionner spécifiquement les coordonnées du responsable de la ZRR, les formalités d’accès, les mesures de contrôle interne, l’encadrement des visites et le circuit de notoriété.

Aucune mesure de protection physique n’est exigée en dehors d’un espace clos. L’établissement protège sa/ses zone(s) selon ses moyens et son besoin de protection. 

Il est possible de solliciter les services de l’État pour une évaluation du niveau de sûreté bâtimentaire.

Dans tous les cas, les mesures de protection physique propres à la PPST ne doivent pas être confondues avec les exigences requises par d’autres réglementations, le plus souvent sectorielles, qui reposent sur des logiques distinctes (protection du secret de la défense nationale, sécurité des activités d’importance vitale, etc.).
 

La délimitation d’une ZRR au sein de son établissement implique une restriction de la circulation des personnes. Seules les personnes autorisées par le chef d’établissement ont le droit d’accéder à la ZRR sous peine d’être sanctionnée pénalement.

L’accès à une ZRR, qu’il soit physique ou virtuel, pour y effectuer un stage, y préparer un doctorat, y participer à une activité de recherche, y suivre une formation ne relevant pas de la formation universitaire initiale, y effectuer une prestation de service, y effectuer une mission d'audit ou d'inspection pour le compte d'un État tiers, ou y exercer une activité professionnelle est soumis à l’autorisation du chef du service, d’établissement ou d'entreprise, après avis favorable du ministre qui a déterminé le besoin de protection (celui avec lequel le dialogue de protection PSST est établi). 

Il existe certaines exceptions, regroupées dans le statut de "visite", à ce principe de demande d’accès.

Une visite se caractérise par son aspect temporaire et par l’absence de participation directe aux activités scientifiques et techniques de la ZRR, ne requiert pas l’avis ministériel, seule l’autorisation du chef d’établissement est nécessaire. Toutefois, le visiteur doit être encadré et suivre un circuit dit de "notoriété" défini au préalable de telle manière qu’aucune information protégée ne puisse, lors de la visite, être directement accessible ou déduite.

La procédure de demande d’accès s’effectue en trois étapes :

1. le « demandeur » formalise sa demande au moyen d’un formulaire-type fourni par le ministère de rattachement. La délivrance de l’autorisation d’accès est un préalable à la signature du contrat de travail ou à l’inscription du demandeur à des travaux de recherche se déroulant dans une ZRR ;
2. « l’accueillant », responsable de la ZRR ou directeur de recherche, accuse réception du dossier (cette date marque le début du délai de réponse de deux mois),complète la demande par une description des connaissances scientifiques ou techniques concernées, puis transmet le dossier au service compétent au sein de son ministère de référence (en général le service du haut fonctionnaire de sécurité et de défense du ministère concerné) ;
3. le ministre, après instruction des différentes pièces communiquées émet un avis fondé sur une analyse de risques. Lorsque l’avis est favorable, l’accueillant peut ou non faire droit à la demande d’accès. Lorsque l’avis est défavorable, le chef de service est lié par l’avis ministériel et doit refuser la demande qui lui est adressée.
    

Le ministre dispose d’un délai maximal de deux mois pour instruire les dossiers de demande d’accès aux ZRR. Ce délai est nécessaire pour garantir la bonne instruction des demandes d’accès les plus sensibles. Le ministre peut donner sa réponse avant le terme du délai, si l’instruction du dossier le permet.Des échanges peuvent être initiés avec les services de l’Etat en amont du dépôt des demandes afin d’anticiper et de réduire les délais. Par exemple, les opérateurs envisageant des recrutements peuventanticiper le délai d’instruction en faisant parvenir au ministère concerné, en amont de la session finale de recrutement, une courte liste des candidats sélectionnés de manière à ce que l’avis soit rendu au moment de la phase finale de sélection.

Si le chef d'établissement, de service ou d'entreprise ne fournit pas de réponse au-delà de deux mois après la soumission de la demande d'accès, cette demande est réputée refusée. 

Tout accès à la ZRR, qu’il soit physique ou virtuel, doit être soumis à autorisation du chef d’établissement, après avis favorable du ministre. Les répertoires et documents de la ZRR ne peuvent donc être consultés que par les personnes y ayant été autorisées par le chef d’établissement.

L’ensemble du personnel travaillant physiquement dans une ZRR, ou qui est amené à s’y connecter à distance, doit donc être informé du statut de la ZRR, des règles qui la régissent et des poursuites pénales auxquelles s’expose un contrevenant.

Si l’avis du ministre est favorable, le chef d’établissement n’est pas tenu de suivre cet avis et peut rendre une décision divergente.

Par contre, si le ministre émet un avis défavorable, le chef d’établissement est tenu de suivre cet avis et de refuser la demande d’accès en ZRR.

En application de l’article 413-7 du code pénal, les personnes qui pénètrent sans autorisation dans une ZRR risquent une peine de 6 mois d’emprisonnement et 7 500€ d’amende.

La ZRR abrite des éléments essentiels du potentiel scientifique et technique de la nation, définis, conformément à l’article 410-1 du code pénal, comme des intérêts fondamentaux de la nation.

A ce titre, les articles 411-1 à 9 du code pénal sanctionnent sévèrement les faits de nature à porter atteinte aux intérêts fondamentaux de la nation (jusqu’à 20 ans de détention criminelle et 300 000 € d’amende). Un vol ou un détournement de documents ou de matériels au sein d’une ZRR pourrait relever par exemple de l’article 411-6 du code pénal.
 

L’article 413-7 du code pénal prévoit des sanctions dès l’introduction sans autorisation dans la zone, même s’il n’y a pas eu de captation.

En cas d’intrusion dans une ZRR, seul le contrevenant est susceptible d’être sanctionné. En aucun cas, le chef d’établissement ne peut être sanctionné du fait d’une captation de son savoir et savoir-faire contenus dans sa ZRR.

Est puni de l'amende prévue pour les contraventions de la cinquième classe le fait de :

1° Ne pas rendre apparentes les limites d'une ZRR et les mesures d'interdiction dont elle est l'objet ;

2° S'abstenir de soumettre à autorisation l'accès d'une personne pénétrant dans une ZRR ;

3° Autoriser l'accès à une ZRR dans des conditions non conformes aux exigences fixées par le II de l'article R. 413-5-1 du code pénal ;

4° S'abstenir de communiquer au ministre les informations qui lui sont transmises en application du V de l'article R. 413-5-1 du code pénal ;

5° S'abstenir d'informer le ministre chargé de l'enseignement supérieur, les autorités de tutelle de l'établissement et le ministre chargé des affaires étrangères, d'un projet d'accord avec une institution étrangère ou internationale et impliquant des activités conduites dans une ZRR, dans le cas où l'établissement relève des dispositions des articles L. 123-7-1 et D. 123-19 du code de l'éducation.

II. − Est puni de la même amende le fait, pour toute personne, de faire obstacle à l'accomplissement des missions des personnels qui, au sein d'un service, d'un établissement ou d'une entreprise comprenant une zone à régime restrictif, sont chargés de la protection de cette zone.

Les établissements doivent avant tout mettre en place une politique de sécurité des systèmes d’information (PSSI). La PSSI est un document interne à l’établissement qui diffuse les bonnes pratiques, les procédures et fixe les objectifs de l’établissement en matière de sécurité informatique. Ce document contribue à ce que chaque utilisateur adopte les bons réflexes d’hygiène informatique dans le but de réduire les incidents de sécurité et les coûts associés. La PSSI peut être intégrée dans le règlement intérieur de l’établissement.

Dans ce cadre, le chef d’établissement doit également désigner un responsable de la sécurité des systèmes d’information (RSSI). Il est l’interlocuteur privilégié pour toutes les questions relatives à la sécurité informatique et a la responsabilité de la mise en œuvre de la PSSI.

À titre d’exemple, les mesures de sécurité informatique peuvent être logicielles (chiffrement des informations, du disque dur ou contrôle d’accès avec chiffrement des répertoires partagés sur un serveur) ou physiques (les machines ou le réseau local à la ZRR, accessible uniquement depuis les locaux soumis à un contrôle d’accès).
 

Si mon unité de recherche relève d’un secteur scientifique et technique protégé, il est demandé que le chef d’établissement soumette pour avis tous les projets de collaborations internationales (accords-cadres, memorandum of understanding, etc.).

De même, les services compétents du ministre concerné doivent être également informés de tout projet de conférence et de séminaire et d’inscription aux formations relatif au secteur scientifique et technique protégé.