La direction, un membre du comité de direction ou le responsable d'établissement de santé selon le cas, arrête une politique de protection contre la malveillance et un système de management de la qualité intégrant les dispositions du présent chapitre. Cette politique est mise en œuvre par le responsable de l'activité nucléaire auquel sont déléguées l'autorité et les ressources nécessaires.

Le responsable de l'activité nucléaire informe par écrit le personnel affecté à l'établissement ou à la réalisation d'un convoyage :

- de la nécessité de signaler sans délai tout fait qui pourrait laisser suspecter un acte de malveillance ;
- des modalités de signalement associées.

Le responsable de l'activité nucléaire vérifie que les personnes auxquelles il envisage de délivrer l'autorisation mentionnée à l'article R. 1333-148 du code de la santé publique disposent des compétences et des informations en matière de prévention et de lutte contre la malveillance adaptées à leurs fonction et responsabilités et limitées à leurs besoins d'en connaître, notamment :

- les moyens et mesures de protection contre la malveillance qu'elles devront mettre en œuvre et respecter pendant leurs activités ;
- leurs responsabilités dans le système de protection contre la malveillance, le suivi des sources de rayonnements ionisants ou le management de la protection contre la malveillance ;
- la chaîne d'alerte et la conduite à tenir lors d'un événement de malveillance ;
- les dispositions retenues en matière de protection de l'information ;
- les consignes à suivre lors de l'accompagnement d'une personne dans les conditions prévues à l'article 16.

Le responsable de l'activité nucléaire s'assure, aussi souvent que nécessaire et au moins une fois tous les trois ans, que les personnes auxquelles il a délivré cette autorisation disposent des compétences et informations précitées à jour.

Le responsable de l'activité nucléaire limite aux besoins strictement nécessaires le nombre de personnes qu'il autorise en application de l'article R. 1333-148 du code de la santé publique.
Il tient à jour la liste nominative de ces personnes et, pour chacune d'elles, des sources de rayonnements ionisants ou informations auxquelles elle est autorisée à accéder.

Lorsqu'une ou des sources radioactives sont contenues dans un dispositif et que la mise en œuvre de ce dispositif implique l'usage d'une commande à distance, le responsable de l'activité prend des dispositions pour que seules les personnes qu'il a autorisées en application des articles R. 1333-148 à R. 1333-151 du code de la santé publique et formées à cet effet puissent utiliser la commande à distance.

En application du dernier alinéa du I de l'article R. 1333-148 du code de la santé publique, lorsque, pour accéder à une source de rayonnements ionisants ou lot de sources radioactives, une personne autorisée à cet effet accompagne une personne non autorisée, sont enregistrés :

- les nom, prénom et éventuel employeur de la personne accompagnée ;
- le motif de l'accès ou de la participation au transport ;
- les dates et heures de début et de fin d'accès ou de début et de fin de transport ;
- les nom et prénom de l'accompagnant, ainsi que sa signature ;
- les commentaires éventuels de l'accompagnant.

I. - Tout événement de malveillance est enregistré et fait l'objet d'une analyse dans des délais adaptés aux enjeux, qui ne dépassent pas deux mois. Le responsable de l'activité nucléaire s'assure que cet enregistrement et cette analyse sont réalisés et permettent :

- de décrire les circonstances détaillées de l'événement ;
- d'évaluer les conséquences réelles et potentielles de l'événement sur les intérêts mentionnés à l'article L. 1333-7 du code de la santé publique ;
- d'identifier les causes de l'événement, qu'elles soient de nature technique, organisationnelle ou humaine et les dispositions qui pourraient atténuer les conséquences réelles de l'événement ;
- de déterminer les dispositions à mettre en œuvre pour prévenir le renouvellement d'un tel événement ou d'un événement similaire ;
- de définir un calendrier pour la mise en œuvre, dans des délais adaptés aux enjeux et à la facilité de cette mise en œuvre, des dispositions identifiées.

L'analyse est documentée et les actions mises en œuvre à la suite d'un événement de malveillance sont enregistrées, avec leur date de mise en œuvre effective.
II. - Pour l'application de l'article R. 1333-22 du code de la santé publique, le responsable de l'activité nucléaire fournit toutes les informations utiles à une action rapide des services de l'Etat, notamment des forces de l'ordre, en particulier :

- la date et le lieu de la découverte de l'acte, tentative d'acte ou de la perte ;
- la date et le lieu, le cas échéant supposé, de l'acte, tentative d'acte ou de la perte ;
- la nature, la catégorie et l'activité de la source ou du lot de sources concerné ;
- tout élément pouvant permettre d'identifier les personnes à l'origine de l'acte ou de la tentative d'acte ;
- tout élément pouvant faciliter l'identification de la source ou du lot de sources ;
- tout élément pouvant faciliter la récupération de la source ou du lot de sources ;
- le point de contact pour les autorités, ses coordonnées et son numéro de téléphone ;
- toute autre information qui serait jugée pertinente.

Le responsable de l'activité nucléaire établit un plan de gestion des événements de malveillance qui décrit les actions à mettre en œuvre lors d'un événement de malveillance et identifie, le cas échéant de manière nominative, les personnes chargées de les mener.
Dans le cadre de l'élaboration de ce plan, le responsable de l'activité nucléaire prend en compte, le cas échéant, le plan d'urgence interne défini au II de l'article L. 1333-13 du code de la santé publique et les autres plans ou consignes d'urgence applicables dans l'installation ou durant le transport.

Le responsable de l'activité nucléaire formalise et regroupe dans un plan de protection contre la malveillance de l'installation ou du transport :
1° La politique de protection contre la malveillance mentionnée aux articles 2 et 11 ;
2° Une description, le cas échéant :
a. Des principales caractéristiques de l'installation, de son fonctionnement général, de ses conditions d'accès, de sa fréquentation, de son environnement et notamment de la localisation des forces de l'ordre les plus proches ;
b. Une description, le cas échéant, des principales caractéristiques des transports routiers impliquant des sources de rayonnements ionisants ou lots de sources radioactives ;
3° Une description des sources de rayonnements ionisants ou lots de sources radioactives et, selon le cas, de leurs conditions d'entreposage, d'utilisation ou de transport ;
4° La liste des personnes intervenant ou exerçant une fonction de protection contre la malveillance, en précisant leurs rôles et responsabilités ;
5° Une description précise du système de protection contre la malveillance et la justification des dispositions techniques et organisationnelles retenues au regard de la réglementation, en particulier du présent arrêté ;
6° Les modalités retenues pour assurer le suivi des sources de rayonnements ionisants ou des lots de sources radioactives prévu aux articles 9 et 10 du présent arrêté.
Ce plan est une information sensible protégée conformément à l'article 22.

Une vérification de bon fonctionnement est réalisée immédiatement après toute opération de maintenance ou modification d'un élément du système de protection ou toute suspicion de dégradation, défaillance ou indisponibilité non programmée. Ces vérifications de bon fonctionnement sont enregistrées selon les modalités prévues à l'article 24.

Le responsable de l'activité nucléaire s'assure, par des exercices réalisés périodiquement, de l'efficacité du plan de gestion des événements de malveillance établi en application de l'article 18. Ces exercices font l'objet d'un rapport analysant leur déroulement et présentant les enseignements tirés ainsi que les éventuelles actions correctives et d'amélioration identifiées.
Ces exercices sont réalisés :

- au moins une fois par an pour les sources de rayonnements ionisants ou lots de sources radioactives de catégorie A ;
- au moins une fois tous les deux ans pour ceux de catégorie B ;
- au moins une fois tous les trois ans pour ceux de catégorie C.

I. - Le responsable de l'activité nucléaire s'assure de la protection des informations sensibles et de leur diffusion uniquement à des personnes ayant le besoin d'en connaître.
II. - Ces informations sensibles, sous forme papier ou numérique, sont placées dans des meubles ou locaux verrouillés.
III. - Lorsqu'un envoi postal d'informations sensibles est nécessaire, la transmission se fait :

- par un moyen garantissant la bonne réception du document par le destinataire ;
- sous double enveloppe, l'enveloppe intérieure étant spécialement identifiée et l'enveloppe extérieure ne comportant aucune indication sur le contenu.

Les registres, programmes, enregistrements des mesures compensatoires, résultats des contrôles, plans, rapports, enregistrements, listes, vérifications et enregistrements du suivi des actions correctives, prévus par le présent arrêté sont conservés et tenus à disposition des agents chargés du contrôle de l'application des dispositions du présent arrêté pendant une durée minimum de cinq ans.

I. - Le responsable de l'activité nucléaire organise et met en œuvre une revue annuelle des exigences réglementaires pour ce qui concerne la protection des sources contre les actes de malveillance.
Cette revue porte également sur la mise à jour du plan de gestion des événements de malveillance prévu à l'article 18 et du plan de protection contre la malveillance prévu à l'article 19.
II. - Cette revue est enregistrée avec mention de :

- leur date ;
- leur nature ;
- les noms et qualités de la ou des personnes les ayant effectués ;
- les résultats obtenus et les éventuelles non-conformités relevées.

III. - Toute non-conformité mise en évidence fait l'objet d'un traitement formalisé destiné à la corriger dans des délais adaptés aux enjeux et, dans l'intervalle, à assurer la protection des sources de rayonnements ionisants ou lots de sources radioactive. A cette fin, les mesures conservatoires ou compensatoires à mettre immédiatement en œuvre sont identifiées puis mises en place, les actions correctives à mettre en œuvre, les échéances et modalités associées sont définies, puis leur mise en place effective est vérifiée.