ENTRE
ENTRE
Le Soumissionnaire ET
La société anonyme de droit public A.S.T.R.I.D. ayant son siège social à 0000 Xxxxxxxxx, Boulevard du Régent 54, Représentée par Xxxxxxxx Xxxxx, en sa qualité de Directeur général,
Ci-après dénommée « A.S.T.R.I.D. »
SONT
Dénommés individuellement par le terme « Partie » et ensemble par le terme « les Parties »
IL EST EXPOSÉ QUE
1. Aux termes de la présente Convention, on entend par « Loi 98 » la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité ainsi que ses arrêtés royaux et ministériels d’application y incluent l’ensemble des modifications apporté par le législateur ;
2. Aux termes de la présente Convention, on entend par « Information·s » les éléments suivants :
i. Toutes les Informations ou données, indépendamment de leur forme ou de leur nature, et qui sont classifiées
« CONFIDENTIEL », « SECRET » ou « TRÈS SECRET » au sens de la Loi 98 et suivi par « (Loi 11.12.1998) » (p. ex. CONFIDENTIEL - Loi 11.12.1998) ;
ii. Toutes les Informations ou données, indépendamment de leur forme ou de leur nature, et qui ont de l’impor- tance pour le Propriétaire de l’Information et ses utilisateurs y compris le savoir-faire technique, les spécifica- tions, les plans, les modèles, les logiciels, les techniques, les dessins, les schémas, les procédures, ainsi que les droits de propriété industrielle et intellectuelle, les données d’entreprise, les Informations sur les fournisseurs et clients du Propriétaire de l’Information, et en général, toutes les Informations communiquées ou divulguées par une des Parties, ses employés, Parties tierces ou Sous-traitants à l’autre Partie. Ces Informations peuvent être catégorisées ou non1 par A.S.T.R.I.D. selon les règles suivantes tout en respectant les catégories du Propriétaire de l’Information :
XXXXXX PUBLIC : désigne une Information qui ne relève d'aucune des classifications supérieures et qui sont déjà publiques ou dont le traitement public est expressément auto- risé ;
ASTRID RESTRICTED : désigne une Information accessible à un nombre limité de personnes et dont le risque d’un impact négatif en cas de divulgation pour les Parties, leurs usagers, employés, parties tierces, partenaires … est considéré comme raisonnable ;
XXXXXX CONFIDENTIAL : désigne une Information accessible à un nombre limité de personnes justifiables qui sont individuellement approuvées par le propriétaire de l’Information et dont le risque d’un impact négatif en cas de divulgation pour les Parties, leurs usagers, employés, parties tierces, partenaires … est considéré comme élevé. Toute Information sans catégorie de classification sera considérée comme XXXXXX CONFIDENTIAL ;
XXXXXX SECRET : désigne une Information accessible à un nombre strictement limité de per- sonnes qui font partie des employés d’A.S.T.R.I.D. et dont le risque d’un im- pact négatif en cas de divulgation pour A.S.T.R.I.D., ses usagers, employés, parties tierces, partenaires … est considéré comme déraisonnable ;
iii. Il y a lieu d’entendre également toutes les Informations ou données, indépendamment de leur forme ou de leur nature, qui ont de l’importance pour le Propriétaire de l’Information et ses utilisateurs et qui sont considérées comme données à caractère personnel et soumises de ce fait à l’application stricte du Règlement Général sur la Protection des Données (EU 2016/679) (RGPD) et à l’application stricte de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (EU 2016/680). Ces Informations peuvent être catégorisées ou non2 par A.S.T.R.I.D. selon la règle suivante :
1 Dépendant de leur date de création ou de modification, toutes les Informations ne possèdent pas nécessairement un degré de catégori- sation propre à A.S.T.R.I.D.
2 Dépendant de leur date de création ou de modification, toutes les Informations ne possèdent pas nécessairement un degré de catégori- sation propre à X.X.X.X.X.X.
XXXXXX PRIVACY : désigne une Information à caractère personnel accessible à un nombre limité de personnes et dont le traitement hors du cercle restreint de personnes auto- risées, sans autorisation formelle du propriétaire de l’Information, peut nuire gravement à·aux personne·s concernée·s par la divulgation ;
3. A.S.T.R.I.D. est l’opérateur des réseaux de sécurité et d’urgence (cf. les articles 102 et 103 de l’arrêté royal du 16 janvier 2017 établissant le troisième contrat de gestion d’A.S.T.R.I.D.). Sur ces réseaux transitent des Informations qui pour- raient, lors d’incidents, être divulguées sous quelque forme ou nature que ce soit ;
4. Aux termes de la présente Convention, on entend par « Infrastructures » les éléments suivants :
i. Infrastructures : Les systèmes A.S.T.R.I.D. ou toute infrastructure dans lequel ces systèmes sont déployés, exploi- tés, développés, entretenus ou doivent être installés, constitués, adaptés ou élargis ;
ii. Client : Tout service, institution, société ou association tel que défini à l'article 3 §1 de la loi du 8 juin 1998 relative aux radiocommunications des services de secours et de sécurité ;
iii. Utilisateur/usager : Tout membre (du personnel) du client qui recourt aux systèmes et services A.S.T.R.I.D. ;
iv. Parties tierces : Personne·s ou groupe·s de personnes extérieures à la présente Convention ;
v. Partenaires : Personne·s ou groupe·s de personnes associés pour la réalisation d’un projet ;
vi. Sous-traitants : Personne·s qui exécute·nt une mission pour compte d’une des Parties ;
vii. Need to Know : Le principe de la connaissance justifiée ou du « besoin d'en connaitre » doit être appliqué lors de la fourniture de l'accès aux Informations. Ce principe stipule que les Informations ne sont accessibles qu’aux seules personnes qui en ont réellement besoin pour accomplir leurs tâches professionnelles ;
viii. Propriétaire de l’Information : Partie qui dispose de la propriété intellectuelle ;
5. Dans le cadre des Prestations, les Parties s’échangent des Informations ;
6. Dans le cadre des Prestations, le Soumissionnaire, y inclus ses employés, et le cas échéant ses Parties tierces et Sous- traitants, pourrait être amené à prendre connaissance de telles Informations ou accéder à des Infrastructures ;
HABILITATIONS ET AVIS DE SECURITE
7. Le Soumissionnaire doit respecter la Loi 98 selon les modalités décrites sous le titre « Habilitations et avis de sécurité » ;
8. Si le Soumissionnaire emploie un travailleur belge habilité au sens de la Loi 98, il doit alors se conformer aux exigences suivantes :
i. Le Soumissionnaire s’engage à fournir à l’Officier de Sécurité d’A.S.T.R.I.D. (xxx.xxxxxx@xxxxxx.xx) tous les ren- seignements (références, dates, niveaux de sécurité …) relatifs à l’habilitation de sécurité dont est titulaire le travailleur concerné par la présente Convention ainsi que ses données personnelles ;
9. Si le Soumissionnaire emploie un travailleur belge sans habilitation au sens de la Loi 98, titulaire d’un numéro de re- gistre national et résidant en Belgique depuis plus de 5 ans de façon continue, il doit alors se conformer aux exigences suivantes :
i. Obtenir, par l’intermédiaire d’A.S.T.R.I.D., un avis de sécurité au sens de la Loi 98 auprès de l’Autorité Nationale de Sécurité (ANS) pour chaque travailleur concerné par le présent marché pour autant qu’il soit dans les condi- tions de faire la demande d’obtention d’un tel avis de sécurité ;
ii. Si nécessaire, le Soumissionnaire désignera un officier de Sécurité au sens de la Loi 98 auprès de l’Autorité Na- tionale de Sécurité (ANS) au moyen du formulaire ad hoc. Ce formulaire peut être obtenu auprès de l’Autorité Nationale de Sécurité (ANS) ou d’A.S.T.R.I.D. ;
iii. Le Soumissionnaire communiquera à A.S.T.R.I.D. les coordonnées de son officier de Sécurité ;
iv. Le délai d’obtention d’un avis de sécurité est de minimum 6 (six) semaines à dater du moment où A.S.T.R.I.D. a reçu la demande du Soumissionnaire ;
v. Les montants relatifs à l’obtention d’un avis de sécurité sont entièrement à charge du Soumissionnaire ;
10. Si le Soumissionnaire emploie un travailleur belge sans habilitation au sens de la Loi 98, titulaire d’un numéro de re- gistre national et résidant en Belgique depuis moins de 5 ans ou n’ayant pas résidé en Belgique pendant plus de 5 ans de façon continue, il doit alors se conformer aux exigences suivantes :
i. Avec le support d’A.S.T.R.I.D., si nécessaire, le Soumissionnaire effectuera les démarches auprès de l’Autorité Nationale de Sécurité (ANS) pour habiliter sa société au sens de la Loi 98 avec un niveau au minimum équivalent à celui requis par A.S.T.R.I.D. dans le cadre de l’exécution des Prestations ;
ii. Si nécessaire, le Soumissionnaire désignera un officier de Sécurité auprès de l’Autorité Nationale de Sécurité (ANS) ;
iii. Le Soumissionnaire communiquera à A.S.T.R.I.D. les coordonnées de son officier de Sécurité : sec.advice@as- xxxx.xx ;
iv. Le Soumissionnaire effectuera les démarches auprès de l’Autorité Nationale de Sécurité (ANS) pour obtenir pour son travailleur une habilitation, au sens de la Loi 98, du niveau requis par A.S.T.R.I.D. dans le cadre de l’exécution des Prestations ;
v. Le Soumissionnaire s’engage à fournir à l’Officier de Sécurité d’A.S.T.R.I.D. tous les renseignements (références, dates, niveaux de sécurité …) relatifs à l’habilitation de sécurité dont sera titulaire le travailleur concerné par le présent marché ainsi que ses données personnelles ;
vi. Le délai d’obtention d’une habilitation de sécurité pour personne physique est de minimum 6 (six) mois à dater du moment où l’Autorité Nationale de Sécurité (ANS) a reçu la demande du Soumissionnaire ;
vii. Les montants relatifs à l’obtention d’une habilitation de sécurité pour personne physique ou morale sont entiè- rement à charge du Soumissionnaire ;
11. Si le Soumissionnaire emploie un travailleur non belge, il doit alors se conformer aux exigences suivantes :
i. Contacter l’Autorité Nationale de Sécurité du pays dont dépend le travailleur non belge pour obtenir une habili- tation du niveau requis par A.S.T.R.I.D. dans le cadre de l’exécution des Prestations, à condition qu’il existe une équivalence d’habilitation entre la Belgique et le pays dont l’employé est ressortissant tel qu’explicité dans la table ci-dessous :
NATIONAL (BELGIUM) | TOP SECRET TRES SECRET | SECRET | CONFIDENTIAL | |
NATO | COSMIC TOP SECRET | NATO SECRET | NATO CONFIDENTIAL | NATO RESTRICTED |
EU | TRES SECRET UE EU TOP SECRET | SECRET UE EU SECRET | CONFIDENTIEL UE EU CONFIDENTIAL | RESTREINT UE EU RESTRICTED |
Source : xxxxx://xxx.xxxxxx.xx/xx/xxxxxxx-xxxxxxxxxxx/xxxxxxxxxx-xxxxxxxxxxx
ii. Les montants relatifs à l’obtention d’une habilitation de sécurité pour personne physique ou morale sont entiè- rement à charge du Soumissionnaire ;
iii. Le Soumissionnaire communiquera à A.S.T.R.I.D. les coordonnées de son officier de Sécurité ;
iv. Le Soumissionnaire s’engage à fournir à l’Officier de Sécurité d’A.S.T.R.I.D. tous les renseignements (références, dates, niveaux de sécurité …) relatifs à l’habilitation de sécurité dont sera titulaire le travailleur concerné par le présent marché ainsi que ses données personnelles ;
12. Il est de la responsabilité du Soumissionnaire de signaler à l’Officier de Sécurité d’A.S.T.R.I.D. toute modification con- cernant les habilitations et avis de sécurité demandés et reçus, pour ses travailleurs concernés par le présent marché, tels que l’annulation ou le retrait d’une habilitation ou d’un avis de sécurité ;
13. Il est de la responsabilité du Soumissionnaire de s’assurer du bon renouvèlement en heure et en temps des habilita- tions et avis de sécurité détenus par ses travailleurs concernés par le présent marché ;
14. Les Sous-traitants du Soumissionnaire ne peuvent s’adresser qu’à l’Officier de Sécurité du Soumissionnaire. L’Officier de Sécurité d’A.S.T.R.I.D. refusera les demandes qui lui sont directement adressées par les Sous-traitants du Soumis- sionnaire ;
15. L’Officier de Sécurité d’A.S.T.R.I.D. est joignable par xxxxxxxx à l’adresse suivante : xxx.xxxxxx@xxxxxx.xx
EXIGENCES DE SECURITE DE L’INFORMATION
16. Le Soumissionnaire doit se conformer également aux exigences de sécurité de l’information reprises au point 18. ci- dessous;
17. Tout échange d’Informations hors de l’Espace Économique Européen se doit de répondre aux exigences du Règlement Général sur la Protection des Données (EU 2016/679) (RGPD), de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (EU 2016/680) et aux Clauses Con- tractuelles Type de la Commission Européenne disponibles sur le site de l’Autorité belge de protection des données : xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxxx.xx ;
18. En tenant compte des Infrastructures, de la nature et du contenu des Informations, il est demandé au Soumissionnaire qui à un moment ou un autre pendant la durée des Prestations pourraient être confronté à des Infrastructures et/ou des Informations, de mettre en place les mesures organisationnelles de sécurité de l’information suivantes (sauf men- tion particulière) :
i. Politique de sécurité portant au minimum sur les points suivants (source : ISO27001 (2013) Code de bonnes pra- tiques pour le management de la sécurité de l’information) :
- La sécurité des ressources humaines (s’assurer que les salariés et les contractants comprennent leurs responsabilités et qu’ils sont compétents pour remplir les fonctions que l’organisation envisage de leur confier) ;
- Contrôle d’accès (limiter l’accès à l’information et aux moyens de traitement de l’information) ;
- Sécurité physique et environnementale (empêcher tout accès physique non autorisé, tout dommage ou intrusion portant sur l’information et les moyens de traitement de l’infirmation) ;
- Sécurité liée à l’exploitation (s’assurer de l’exploitation correcte et sécurisée des moyens de traitement de l’information) ;
- Sécurité des communications (garantir la protection de l’information sur les réseaux et des moyens de traitement de l’information sur lesquels elle s’appuie) ;
- Acquisition, développement et maintenance des systèmes d’information (s’assurer que la sécurité de l’information fasse partie intégrante des systèmes d’information tout au long de leur cycle de vie) ;
- Relations avec les fournisseurs (garantir la protection des informations accessibles par les fournisseurs) ;
- Gestion des incidents liés à la sécurité de l’information (assurer une réponse cohérente et efficace de gestion des incidents liés à la sécurité de l’information, incluant la communication des évènements et des failles liés à la sécurité) ;
- Reprise des activités après désastre (assurer que la continuité des activités après désastre est prise en compte par l’organisation) ;
- Conformité (éviter toute violation des obligations légales, statutaires, règlementaires ou contractuelles relatives à la sécurité de l’information, éviter toute violation des exigences de sécurité) ;
ii. Contrôle régulier des mesures organisationnelles et techniques pour vérifier leur adéquation avec les menaces auxquelles est confronté le Soumissionnaire ;
iii. Mais également les mesures techniques de sécurité de l’information suivantes :
- Système de back-up ;
- Mesures en cas d’incendie, cambriolage, dégâts des eaux ou incidents physiques ou techniques ;
- Contrôle de l’accès (physique et logique) ;
- Système d’authentification stricte ;
- Politique en matière de mots de passe ;
- Politique en matière de noms d’utilisateur ;
- Système d’identification, détection et analyse des entrées ;
- Mise à jour des systèmes d’information, des logiciels et des moyens de lutte contre les virus, les mal- wares … ;
- Anti-virus, anti-malwares … ;
- Pare-feu ;
- Sécurité du réseau ;
- Surveillance, examen et entretien des systèmes ;
- Chiffrement des médias de stockages ;
iv. Sur simple demande du Chief Information Security Officer (CISO) d’A.S.T.R.I.D., le Soumissionnaire s’engage à lui fournir les évidences relatives aux mesures de sécurité organisationnelles et techniques mises en place ;
v. Le Soumissionnaire s’engage à se faire auditer par ou à la demande d’A.S.T.R.I.D., et ce chaque fois qu’A.S.T.R.I.D. le jugera nécessaire ;
19. Les deux Parties reconnaissent le caractère confidentiel ou secret des Infrastructures relatives au présent marché ;
20. Les deux Parties reconnaissent le caractère confidentiel ou secret des Informations relatives au présent marché qui pourraient transiter par les réseaux de sécurité et d’urgence opérés par A.S.T.R.I.D. et/ou toute Information transmises par le Soumissionnaire ;
21. Le Soumissionnaire est responsable au nom de ses employé(e)s, Parties tierces et Sous-traitants du strict respect de la présente Convention ;
22. Les Parties souhaitent arrêter dans la présente Convention, les conditions auxquelles les Informations sont échangées et divulguées entre les Parties ;
IL EST CONVENU CE QUI SUIT
23. La présente Convention est conclue pour une durée égale à la durée du marché public, éventuellement renouvelée et continuera également à sortir ses effets au terme des Prestations, dans la limite de la loi applicable ;
24. Les Parties conviennent et acceptent que, à l’exception des droits expressément prévus dans la présente Convention, la communication et la fourniture d’Informations exclusives au titre de la présente Convention par l’une ou l’autre des Parties ne seront pas interprétées comme donnant à la Partie réceptrice des droits explicites ou implicites, par licence
ou autre, sur les affaires, les inventions ou les découvertes auxquelles les Informations exclusives appartiennent, ni ne confère de quelconque droit d’auteur, droit de marque ou droit dans des secrets commerciaux ;
25. Les Parties s’engagent à ne pas divulguer à des tiers les Informations, qu’elles se communiquent mutuellement par quelque moyen que ce soit ;
26. Les Parties s’engagent à ne pas utiliser les Informations à d’autres fins ou dans une autre intention que celles définies au titre des Prestations ;
27. Les Parties s’engagent à communiquer les Informations uniquement aux personnes impliquées dans les Prestations ;
28. Les Parties répondent de ce que les personnes précitées seront également tenues par la présente obligation de confi- dentialité, et/ou toute autre obligation de confidentialité équivalente à la présente obligation ;
29. Sans préjudice de ce qui précède, il est entendu que seule l’Information soumise au Need to Know peut être divulguée en dehors de l’Espace Économique Européen aux conditions que le Soumissionnaire ait l’accord formel préalable du propriétaire de l’Information et qu’il s’assure qu’un NDA (Non-Disclosure Agreement) ou toute autre convention équi- valente couvrant la présente Convention existe entre lui et la Partie réceptrice de l’Information qu’il divulgue ;
30. Ne sont toutefois pas considérées comme Informations :
i. Les Informations déjà en possession d’une partie – sans violation d’une obligation de confidentialité – avant qu’elles n’aient été communiquées par l’autre partie ;
ii. Les Informations qui font déjà partie du domaine public au moment où elles sont obtenues de l’autre partie ;
iii. Les Informations qui, après leur réception, tombent dans le domaine public sans que l’autre partie ne soit en cause ;
iv. Les Informations qu’une partie obtient d’un tiers qui les détenait de bonne foi et était autorisé à les lui commu- niquer ;
v. Les Informations qui ont été développées par la partie réceptrice de manière indépendante et non basée sur ou utilisant une quelconque donnée ou Information communiquée ou divulguée par le Propriétaire de l’Informa- tion ;
31. Il est entendu que la présente Convention comprend l’intégralité des engagements des Parties concernant la confiden- tialité et supplante toute obligation antérieure entre les Parties à ce sujet ;
32. La présente Convention est soumise au droit belge. Tous différends entre les Parties qui pourraient naitre au titre de la présente Convention seront exclusivement tranchés par les cours et tribunaux compétents de Bruxelles ;
33. L’ensemble des exigences données dans le présent document représente la Convention de confidentialité étendue ;
34. Le Soumissionnaire par la signature de son offre s’engage à respecter strictement cette Convention de confidentialité étendue.