Le plan d’assurance de la sécurité des informations (PASI) peut être exigé dans le cadre d’une licence lorsque celle-ci inclut un transfert de technologie ou une coopération industrielle comportant des échanges d’informations sensibles.

Le PASI est signé par la direction de la société. Il doit contenir :

• la présentation de l’organisation générale de la société en matière de protection des informations,

• la présentation de l’opération d’exportation envisagée et des acteurs français et étrangers impliqués,

• une identification systématique des risques associés à l’opération, en termes de transfert de technologies, de savoir faire ou d’informations sensibles, notamment par voie intangible,

• la description détaillée des moyens organisationnels, humains et techniques mis en œuvre pour parer à ces risques, notamment en matière de :

  • chaîne de responsabilités,

  • capacité d’audit interne,

  • sensibilisation et formation des personnels,

  • contrôle des accès,

  • sécurisation des communications,

  • sécurisation de la destination finale,

  • enregistrement, archivage et traçabilité des transferts.

La licence peut en outre imposer l’obligation de conserver pendant une durée déterminée et de tenir à la disposition de l’administration des comptes rendus, registres et enregistrements des transmissions d’informations effectués par voie tangible ou intangible, afin de justifier de la mise en œuvre du PASI.

Le contrôle de la mise en œuvre du PASI est fait dans le cadre du contrôle a posteriori.

Pour tout renseignement concernant les PASI, prendre contact avec le Bureau des licences globales et générales et du contrôle sur place (BLGC).