Identification et désignation des infrastructures critiques en Belgique

Infrastructure critique

Une infrastructure critique (IC) est une installation ou un système d'intérêt fédéral, qui est « indispensable au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social des citoyens, et dont l'interruption du fonctionnement ou la destruction aurait une incidence significative du fait de la défaillance de ces fonctions ». Elle peut être nationale, c’est-à-dire basée sur le territoire belge, ou européenne, lorsque l'interruption de son fonctionnement ou sa destruction aurait une incidence significative sur deux Etats membres de l'Union européenne au moins.

La loi du 1er juillet 2011 établit une hiérarchie des infrastructures à protéger. Les « points d’intérêt fédéral » sont les plus importants, et regroupent les infrastructures critiques proprement dites ainsi que les « autres points d’intérêt fédéral ». Ces derniers ne sont pas désignés comme IC mais présentent un intérêt particulier pour l'ordre public, pour la protection spéciale des personnes et des biens, pour la gestion de situations d'urgence ou pour les intérêts militaires.

Enfin, certains points n’entrent pas dans les missions fédérales susmentionnées mais doivent néanmoins pouvoir bénéficier d’une protection en raison de l’intérêt qu’ils présentent pour l’exécution des missions de police administrative au niveau local. Il s’agit de points qui ne sont pas d’intérêt fédéral mais bien d’intérêt local.

Secteurs concernés
Conformément à la directive 2008/114/CE, les secteurs dont les IC doivent être protégées sont le secteur des transports (route, rail, navigation intérieure, transport maritime hauturier et à courte distance) et le secteur de l'énergie (électricité, pétrole, gaz). Le transport aérien n’est donc pas concerné, ni les installations nucléaires, qui possèdent leur propre réglementation. L'Agence fédérale de Contrôle nucléaire est d’ailleurs spécifiquement chargée de contrôler l'application des dispositions de la nouvelle loi aux éléments d'une installation nucléaire destinée à la production industrielle d'électricité, qui servent au transport de l'électricité et qui ont été désignés comme infrastructure critique.

En outre, le législateur a considéré deux autres secteurs comme également indispensables au maintien des fonctions vitales et du bien-être économique ou social des citoyens. Ainsi, le secteur des finances et celui des communications électroniques sont eux aussi concernés par les mesures de protection.

Identification et désignation.

Pour chaque secteur, l’autorité sectorielle (c’est-à-dire les ministres ayant le transport, l’énergie, les finances ou les communications électroniques dans leurs attributions) est chargée d’identifier les IC nationales et européennes. A cet effet, la loi a établi une procédure particulière d’identification.

Deux types de critères sont utilisés :
• les critères sectoriels, déterminés par l’autorité sectorielle eu égard aux caractéristiques particulières du secteur concerné, tant pour les infrastructures critiques nationales qu’européennes ;
• les critères intersectoriels, eux aussi définis par l’autorité sectorielle, auxquels doivent répondre les IC nationales et européennes, à savoir :
- le nombre potentiel de victimes, notamment le nombre de morts ou de blessés, ou ;
- l'incidence potentielle économique, notamment l'ampleur des pertes économiques et/ou de la dégradation de produits ou de services, y compris l'incidence sur l'environnement, ou ;
- l'incidence potentielle sur la population, notamment l'incidence sur la confiance de la population, les souffrances physiques et la perturbation de la vie quotidienne, y compris la disparition de services essentiels.

L'autorité sectorielle communique la liste des IC nationales potentielles qu'elle a identifiées à la Direction générale Centre de Crise du SPF Intérieur (DGCC) et, le cas échéant, aux régions concernées. Après réception de l’avis de celles-ci et de la DGCC, l’autorité sectorielle procède ensuite à la désignation.

Pour les IC européennes, la DGCC doit en outre mener des discussions bilatérales ou multilatérales avec les Etats membres de l'Union européenne concernés, tant en ce qui concerne les IC européennes potentielles identifiées sur le territoire belge que celles identifiées par les autres Etats membres sur leur territoire. Lorsqu'un accord est intervenu sur les IC européennes sur le territoire belge, l'autorité sectorielle procède à la désignation de ces infrastructures.

La décision motivée de la désignation est notifiée à l'exploitant par porteur avec accusé de réception. L'autorité sectorielle est tenue d’assurer le suivi permanent du processus d'identification et de désignation des IC, et doit le renouveler à première demande de la DGCC.

Analyse de la menace
Dans un délai d'un an à compter de la notification de la désignation, la DGCC sollicite auprès de l'Organe de coordination pour l’analyse de la menace (OCAM, fondé en 2006) une analyse de la menace pour chaque infrastructure et pour le sous-secteur dont elle fait partie. L'analyse de la menace consiste en une évaluation qui doit permettre d'apprécier si des menaces concernant une IC ou un sous-secteur peuvent se manifester ou, si celles-ci ont déjà été détectées, comment elles évoluent et, le cas échéant, quelles mesures s'avèrent nécessaires.

Sur base de cette analyse, la DGCC peut prendre des mesures externes de protection, qui seront exécutées par les services de police. Si cela s'avère nécessaire au maintien de l'ordre public sur le territoire de sa commune, le bourgmestre peut également prendre de telles mesures.

En outre, afin de pouvoir assurer la protection des infrastructures critiques sur le territoire belge, il est nécessaire que l'exploitant, le point de contact pour la sécurité, l'autorité sectorielle, la DGCC, l'OCAM et les services de police collaborent en tout temps, par un échange adéquat d'informations concernant la sécurité et la protection de l’IC, afin de veiller à une concordance entre les mesures internes de sécurité et les mesures externes de protection. Ces échanges sont toutefois limités par le secret professionnel, et le cas échéant, ils peuvent être restreints aux personnes ayant besoin d'en connaître et d'y avoir accès pour l'exercice de leurs fonctions ou de leur mission.

Mesures internes de sécurité des IC
Les mesures internes sont celles qui sont prises directement par l’exploitant de l’IC, à côté des mesures externes de protection prises par l’autorité compétente.

L’exploitant est ainsi tenu de désigner un point de contact pour la sécurité et d’en communiquer les données de contact à l'autorité sectorielle dans un délai de six mois à dater de la notification de la désignation comme infrastructure critique, ainsi qu'après chaque mise à jour de ces données.

Il est également tenu d’élaborer, dans un délai d'un an à dater de la notification de la désignation, un « plan de sécurité de l'exploitant » (PSE), visant à prévenir, à atténuer et à neutraliser les risques d'interruption du fonctionnement ou de destruction de l’IC par la mise au point de mesures matérielles et organisationnelles internes. Le PSE comprend au minimum des mesures internes de sécurité permanentes, applicables en toutes circonstances ainsi que des mesures internes de sécurité graduelles à appliquer en fonction de la menace.

L’élaboration du PSE est tracée par la loi dans les grandes lignes. Elle comprend ainsi au moins les étapes suivantes :
• l'inventaire et la localisation des points de l'infrastructure qui, s'ils étaient touchés, pourraient causer l'interruption de son fonctionnement ou sa destruction ;
• une analyse des risques, consistant en une identification des principaux scénarios de menaces potentielles pertinents d'actes intentionnels visant à interrompre le fonctionnement de l’IC ou à la détruire ;
• une analyse des vulnérabilités de l’IC et des impacts potentiels de l'interruption de son fonctionnement ou de sa destruction en fonction des différents scénarios retenus ;
• pour chaque scénario de l'analyse des risques, l'identification, la sélection et la désignation par ordre de priorité des mesures de sécurité internes.

Enfin, lorsqu'un événement de nature à menacer la sécurité de l'infrastructure critique se produit, l'exploitant est tenu de prévenir immédiatement le Centre d’Information et de Communication (CIC), qui lui-même avertira la DGCC de tout événement semblable dont il a connaissance. Si l'événement est de nature à avoir pour conséquence l'interruption du fonctionnement ou la destruction de l’IC concernée, l’autorité sectorielle compétente doit en être avertie.

Contrôle et sanctions
Le contrôle du respect de la nouvelle loi est dévolu à un service d’inspection désigné par le Roi pour chaque secteur ou sous-secteur. Le Roi est également chargé de fixer les modalités du contrôle, ainsi que d’établir le modèle de la carte de légitimation que doivent porter les membres de ce service.

Afin de mener à bien leur mission de contrôle, la loi prévoit d’ores et déjà que ces agents pourront, à tout moment :
• pénétrer sans avertissement préalable, sur présentation de leur carte de légitimation, dans tous les lieux de l'infrastructure critique soumis à leur contrôle ;
ils n'ont cependant accès aux locaux habités que moyennant autorisation préalable délivrée par un juge du tribunal de police ;
• prendre connaissance sur place du PSE et de tout acte, tout document et toute autre source d'informations nécessaires à l'exercice de leur mission ;
• procéder à tout examen, contrôle et audition, et requérir toutes les informations qu'ils estiment nécessaires à l'exercice de leur mission.

Sur la base des constatations réalisées, le service d'inspection peut donner des recommandations, des instructions ou des avertissements à l'exploitant. Il peut également fixer un délai pour se mettre en règle et dresser des procès-verbaux.
La loi fixe en outre les sanctions qui peuvent être infligées aux contrevenants. Ainsi, l'exploitant qui ne respecte pas les obligations imposées par la nouvelle loi relatives aux mesures internes de sécurité et à l'échange d'informations, peut être puni d'une peine d'emprisonnement de huit jours à un an et d'une amende de 26 euros à 10.000 euros ou de l'une de ces peines seulement. En cas de récidive, l'amende est doublée et le contrevenant puni d'une peine d'emprisonnement de quinze jours à trois ans.

Par ailleurs, quiconque empêche ou entrave volontairement l'exécution du contrôle effectué par les membres du service d'inspection, refuse de communiquer les informations qui lui sont demandées à l'occasion de ce contrôle, ou communique sciemment des informations inexactes ou incomplètes, peut quant à lui être puni d'une peine d'emprisonnement de huit jours à un mois et d'une amende de 26 euros à 1.000 euros ou de l'une de ces peines seulement. En cas de récidive, l'amende est doublée et le contrevenant puni d'une peine d'emprisonnement de quinze jours à un an.

Autres points d'intérêt fédéral et points d'intérêt local
Le cas échéant, la DGCC peut prendre des mesures de protection externes pour les autres points d'intérêt fédéral, tandis que le bourgmestre peut prendre des mesures de protection externes pour les points d'intérêt local. Cependant, si cela s'avère nécessaire au maintien de l'ordre public sur le territoire de sa commune, le bourgmestre peut également prendre des mesures externes de protection pour les autres points d'intérêt fédéral, sans que ces mesures puissent être en contradiction avec les décisions de la DGCC.

Entrée en vigueur
La nouvelle loi du 1er juillet 2011 entre en vigueur le 15 juillet 2011, soit le jour de sa publication au Moniteur belge.
Source : Loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, M.B., 15 juillet 2011, p. 42.320

Voir également
Directive 2008/114/CE du Conseil concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l'évaluation de la nécessité d'améliorer leur protection, JO L 345 du 23 décembre 2008.
Benoît Lysy
Loi relative à la sécurité et la protection des infrastructures critiques
Date de promulgation : 01/07/2011
Date de publication : 15/07/2011

Source