Ordonnance sur la procédure de sécurité relative aux entreprises (OPSEnt)

La présente ordonnance régit:

1. les modalités de la procédure de sécurité relative aux entreprises visée aux art. 49 à 73 LSI;
2. l’application aux sous-contractants de la procédure de sécurité relative aux entreprises;
3. les tâches et les compétences du service spécialisé chargé de mener la procédure de sécurité relative aux entreprises (service spécialisé PSE);
4. les mesures nécessaires pour garantir la sécurité des données du système visé à l’art. 70 LSI;
5. les modalités du contrôle périodique réalisé par un organe externe du traitement des données personnelles.

Elle s’applique:

1. aux autorités visées à l’art. 2, al. 1, LSI;
2. aux unités de l’administration fédérale centrale au sens de l’art. 7 de l’ordonnance du 25 novembre 1998 sur l’organisation du gouvernement et de l’administration²;
3. à l’armée.

L’application de la présente ordonnance aux unités de l’administration fédérale décentralisée visées à l’art. 2, al. 3, de la loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration (LOGA) ³ et aux organisations visées à l’art. 2, al. 4, LOGA est régie par l’art. 2, al. 2 et 3, de l’ordonnance du 8 novembre 2023 sur la sécurité de l’information (OSI) ⁴ .

La procédure de sécurité visée dans la présente ordonnance est menée auprès des entreprises dont le siège est en Suisse.

Les traités internationaux visés à l’art. 87 LSI régissent l’exécution de la procédure de sécurité s’appliquant aux entreprises dont le siège est à l’étranger.

Le Secrétariat d’État à la politique de sécurité du Département fédéral de la défense, de la protection de la population et des sports (DDPS) exploite le service spécialisé PSE.

Le service spécialisé PSE coordonne ses activités internationales avec celles du service spécialisé de la Confédération pour la sécurité de l’information (art. 83 LSI).

Dans le domaine de compétence du Conseil fédéral, les préposés à la sécurité de l’information des unités administratives visés à l’art. 37 OSI ⁵ ont la compétence de demander l’ouverture de la procédure. L’art. 13, al. 2, let. c, est réservé.

Les autorités visées à l’art. 2, al. 1, LSI annoncent au service spécialisé PSE qui, dans leur domaine de compétence, est chargé de demander l’ouverture de la procédure.

La demande comprend notamment:

1. une description des travaux de construction, de la livraison ou de la prestation;
2. des explications sur le caractère sensible du mandat;
3. des informations sur la procédure d’adjudication prévue.

Avant d’ouvrir la procédure, le service spécialisé PSE consulte l’adjudicateur, l’autorité étrangère ou l’organisation internationale compétente.

La procédure doit impérativement être ouverte lorsque l’une des conditions suivantes est remplie:

1. le mandat sensible comprend le traitement d’informations classifiées «secret» ou l’administration, l’exploitation, la maintenance ou le contrôle de moyens informatiques relevant de la catégorie de sécurité «protection très élevée»;
2. le mandat sensible comprend le traitement d’informations classifiées «confidentiel» qui concernent plusieurs autorités ou départements;
3. le mandat sensible comprend l’administration, l’exploitation, la maintenance ou le contrôle de moyens informatiques relevant de la catégorie de sécurité «protection élevée» engagés pour l’accomplissement de tâches concernant plusieurs autorités ou départements;
4. l’entreprise soumissionne pour un mandat dont l’exécution requiert un certificat international de sécurité au sens de l’art. 66 LSI.

Le service spécialisé PSE informe l’adjudicateur dès lors qu’il est prévisible que l’examen de la demande durera plus de 30 jours.

Lorsque des entreprises étrangères entrent en considération pour l’exécution du mandat sensible, le service spécialisé PSE transmet la demande au service spécialisé de la Confédération pour la sécurité de l’information.

Le service spécialisé de la Confédération pour la sécurité de l’information vérifie avec l’autorité de sécurité étrangère compétente si les entreprises concernées disposent d’une déclaration de sécurité relative aux entreprises valable. Si tel n’est pas le cas, il demande à l’autorité de sécurité étrangère d’ouvrir la procédure de sécurité relative aux entreprises.

Les exigences en matière de sécurité de l’information pour la procédure d’adjudication et la phase d’exécution du mandat sont définies dans l’OSI ⁶ et dans l’ordonnance du 8 novembre 2023 sur les contrôles de sécurité relatifs aux personnes ⁷ .

Si la procédure est ouverte à la demande d’une autorité étrangère ou d’une organisation internationale, les exigences en matière de sécurité de l’information sont régies par le traité international pertinent.

Le service spécialisé PSE fixe en accord avec l’adjudicateur les tâches sensibles que ce dernier doit mettre en œuvre pour la procédure d’adjudication et la phase d’exécution du mandat.

L’adjudicateur demeure responsable de la coordination des processus de la procédure d’adjudication.

L’adjudicateur peut indiquer au service spécialisé PSE jusqu’à cinq entreprises entrant en considération. Dans des cas motivés, le service spécialisé PSE peut autoriser un nombre plus élevé à la demande de l’adjudicateur.

Le service spécialisé PSE vérifie si les entreprises entrant en considération ont consenti à la procédure.

Il informe l’adjudicateur dès lors qu’il est prévisible que l’examen de la qualification durera plus de 30 jours.

Le service spécialisé PSE collecte toutes les données pertinentes pour la sécurité nécessaires à l’évaluation de la qualification de l’entreprise, notamment:

1. les données sur les rapports de propriété et les modifications prévues telles que les fusions, les participations ou les acquisitions;
2. les données sur la composition de la direction de l’entreprise;
3. les données sur les liens d’intérêts des membres de la direction de l’entreprise;
4. les données sur la solvabilité et les éventuelles procédures de saisie ou de faillite;
5. les données sur le paiement des impôts et des cotisations sociales;
6. les références de marchés publics antérieurs;
7. les données sur les relations de l’entreprise avec des États étrangers ou des organisations étrangères ou sur d’autres relations de dépendance.

Il recueille auprès du Service de renseignement de la Confédération les données que ce dernier a collectées dans l’accomplissement des tâches visées à l’art. 6, al. 1, let. a, de la loi fédérale du 25 septembre 2015 sur le renseignement ⁸ .

L’adjudicateur et le service spécialisé PSE s’informent mutuellement dès lors qu’il existe des indices laissant supposer qu’une entreprise entrant en considération pourrait être exclue de la procédure d’adjudication.

Le service spécialisé PSE poursuit la procédure tant que l’adjudicateur n’exclut pas l’entreprise concernée de la procédure d’adjudication.

Si l’adjudicateur exclut l’entreprise, la procédure de sécurité relative à cette entreprise est classée.

Lors de l’échange d’informations visé à l’art. 10, al. 1, l’adjudicateur et le service spécialisé PSE se mettent mutuellement à disposition toutes les informations et données utiles à l’examen de la qualification ou à la vérification des faits visés à l’art. 44 de la loi fédérale du 21 juin 2019 sur les marchés publics (LMP) ⁹ , sous réserve des art. 70, al. 3, et 71, al. 1, let. a, LSI.

Le plan de sécurité définit les mesures organisationnelles, personnelles, techniques et physiques permettant de garantir une exécution du mandat sensible tenant compte des risques pour la sécurité.

Le service spécialisé PSE fixe les directives auxquelles doit répondre le plan de sécurité après inspection visuelle des locaux de l’entreprise. Il tient compte des conditions spécifiques de l’entreprise.

Si le plan de sécurité ne correspond pas aux directives du service spécialisé PSE, ce dernier accorde à l’entreprise un délai approprié afin de l’adapter.

Le service spécialisé PSE informe l’adjudicateur dès lors qu’il est prévisible que le contrôle du plan de sécurité durera plus de 30 jours.

Les entreprises entrant en considération pour l’exécution du mandat indiquent un préposé à la sécurité et son suppléant au service spécialisé PSE. Le préposé à la sécurité et son suppléant doivent être membres de la direction ou agir sur son mandat direct.

Le préposé à la sécurité accomplit les tâches suivantes:

1. il est l’interlocuteur du service spécialisé PSE pour toutes les questions relatives à la sécurité de l’information;
2. il veille à la mise en œuvre du plan de sécurité (art. 12, al. 1);
3. il demande l’ouverture de la procédure de sécurité relative aux entreprises pour le sous-contractant si l’adjudicateur a autorisé l’entreprise à octroyer un mandat sensible à un sous-contractant.

L’adjudication est communiquée séparément pour chaque marché dépendant d’un contrat-cadre.

Lorsqu’il communique l’adjudication, l’adjudicateur transmet au service spécialisé PSE les informations nécessaires à l’établissement du plan de sécurité.

Le service spécialisé PSE détermine les personnes de l’entreprise qui sont soumises à un contrôle de sécurité relatif aux personnes.

Il peut autoriser l’entreprise à ouvrir la procédure du contrôle de sécurité de manière autonome.

La déclaration de sécurité relative aux entreprises indique l’activité sensible que l’entreprise est autorisée à accomplir.

Par changement dans le domaine de la sécurité, on entend notamment:

1. un changement des rapports de propriété ou des structures de l’entreprise;
2. un changement du site de l’entreprise;
3. un changement de la composition de la direction de l’entreprise;
4. un changement des liens d’intérêts des membres de la direction de l’entreprise;
5. un changement de la solvabilité et d’éventuelles procédures de saisie ou de faillite;
6. l’existence de litiges de droit privé ou public ou de procédures pénales;
7. un changement concernant l’utilisation des moyens informatiques;
8. l’engagement de collaborateurs amenés à participer aux activités sensibles;
9. un changement dans les relations de l’entreprise avec des États étrangers ou des organisations étrangères ou dans d’autres relations de dépendance;
10. l’acceptation de mandats suscitant un conflit d’intérêts ou créant une relation de dépendance par rapport à un adjudicateur.

Par incident dans le domaine de la sécurité, on entend notamment:

1. l’accès illicite à l’entreprise;
2. l’utilisation abusive des moyens informatiques de l’entreprise;
3. une attaque visant les moyens informatiques de l’entreprise, qu’elle ait abouti ou non;
4. la découverte de vulnérabilités ou de failles de sécurité;
5. l’ouverture de procédures pénales ou de procédures de poursuite pour dettes contre du personnel de l’entreprise participant à l’exécution du mandat sensible;
6. les perquisitions et les mises sous séquestre effectuées dans l’entreprise.

L’entreprise doit également annoncer les changements et les incidents dans le domaine de la sécurité qui concernent leurs fournisseurs si ces changements ou incidents sont susceptibles d’avoir un impact sur l’exécution du mandat sensible.

Elle informe le service spécialisé PSE dès lors qu’il est prévisible que la déclaration de sécurité de l’entreprise arrivera à échéance alors que l’entreprise sera en train d’exécuter un mandat sensible.

Si, lors de la collaboration avec l’entreprise, l’adjudicateur constate un changement ou un incident dans le domaine de la sécurité, il prend sans délai les mesures nécessaires et informe immédiatement le service spécialisé PSE.

L’adjudicateur informe en outre le service spécialisé PSE dans les cas suivants:

1. il a connaissance, dans le cadre de l’exécution du mandat sensible, d’indices justifiant la révocation de l’adjudication au sens de l’art. 44 LMP¹⁰;
2. il entend procéder à un changement dans le domaine de la sécurité concernant le mandat;
3. il entend confier un mandat supplémentaire à l’entreprise.

Le service spécialisé PSE perçoit un émolument de 100 francs pour l’établissement d’un certificat international de sécurité.

Un émolument correspondant au temps consacré est de plus perçu si l’établissement d’un certificat international de sécurité requiert au préalable une procédure de sécurité relative aux entreprises. Le tarif horaire est de 100 à 400 francs. Il dépend de l’urgence du de la tâche et de la fonction occupée par le personnel qui conduit la procédure. Pour le reste, l’ordonnance générale du 8 septembre 2004 sur les émoluments ¹¹ s’applique.

Le service spécialisé de la Confédération pour la sécurité de l’information et le service spécialisé PSE peuvent transmettre, sur demande, une copie du certificat international de sécurité à l’autorité étrangère ou à l’organisation internationale.

Si le service spécialisé PSE a connaissance d’indices laissant supposer qu’il existe un motif de révocation de la déclaration de sécurité, il fixe, après avoir consulté l’adjudicateur, un délai à l’entreprise pour qu’elle remédie aux manquements.

Si le mandat est retiré en raison de la révocation de la déclaration de sécurité, l’adjudicateur veille immédiatement à ce que:

1. toutes les activités sensibles soient stoppées sans attendre et que les droits d’accès qui y sont liés soient retirés, et que
2. toutes les informations classifiées, tous les moyens informatiques et tout le matériel soient saisis.

Dans les dix jours après avoir été informé de la révocation, l’adjudicateur confirme au service spécialisé PSE qu’il a exécuté les mesures visées à l’al. 2.

Le service spécialisé PSE est compétent pour ouvrir la répétition de la procédure de sécurité relative aux entreprises.

Si la déclaration de sécurité de l’entreprise échoit alors que la procédure est en cours de répétition, sa validité est prolongée jusqu’à ce qu’une nouvelle déclaration soit rendue ou que la procédure de sécurité relative aux entreprises soit classée.

Si la déclaration de sécurité de l’entreprise n’est pas renouvelée ou si la procédure de sécurité relative aux entreprises est classée, l’art. 20 s’applique par analogie. L’art. 58, al. 3, LSI est réservé.

Les données personnelles et les données concernant l’entreprise enregistrées dans le système d’information sur la procédure de sécurité relative aux entreprises figurent dans l’annexe 1.

Le DDPS veille à ce qu’un organe indépendant du service spécialisé PSE contrôle au moins tous les cinq ans la licéité du traitement des données personnelles par les services concernés.

Les cantons peuvent demander au service spécialisé PSE une évaluation de la qualification au sens des art. 55 à 57 LSI en vue de l’exécution d’un mandat sensible selon le droit cantonal:

1. lorsqu’ils disposent d’une base légale suffisante;
2. lorsqu’ils entendent effectuer des évaluations à l’instar de la Confédération pour garantir la sécurité de l’information, et
3. lorsqu’ils ont conclu une convention de prestations avec le DDPS.

La convention de prestation visée à l’al. 1, let. c, règle notamment:

1. le nombre d’évaluations à réaliser;
2. les services cantonaux autorisés à demander de telles évaluations;
3. le financement des prestations, y compris ses modalités.

Le montant des émoluments est régi par l’art. 19, al. 2.

L’abrogation et la modification d’autres actes sont réglées dans l’annexe 2.

L’ancien droit s’applique aux mandats octroyés avant l’entrée en vigueur de la présente ordonnance et aux procédures de sauvegarde du secret en cours à l’entrée en vigueur de la présente ordonnance.

La présente ordonnance entre en vigueur le 1 ^er janvier 2024.