Annexe C : Lignes directrices sur la protection des renseignements et des biens
Utilisez cette annexe conjointement avec le chapitre 6 : Manipulation et protection de renseignements et de biens du manuel de la sécurité des contrats (MSC).
Sur cette page
I. Environnement sécurisé
Les organisations doivent faire une utilisation efficace des zones restreintes dans un environnement de bureau, pour protéger les renseignements et les biens. Des renseignements sur les types de zones sécurisées figurent à l’Annexe B : Lignes directrices pour la protection des installations. Les procédures de sécurité appropriées comprennent les suivantes :
- respecter le principe du besoin de savoir, disposer de mécanismes permettant de s’assurer que les autorisations de sécurité appropriées sont en place pour le personnel et respecter les périmètres des zones
- accompagner les visiteurs
- sécuriser les renseignements et les biens lorsqu’on quitte le lieu de travail
- ne discuter des renseignements que lorsqu’on se trouve dans la zone adéquate et avec des personnes qui ont besoin de savoir et ont la cote de sécurité requise
- repérer l’emplacement du matériel, comme les broyeurs, qui peut être utilisé sans laisser les renseignements et les biens sans surveillance
- effectuer des vérifications de la sécurité régulièrement
- préparer et manipuler les renseignements et les biens Protégé C dans une zone de sécurité ou, si une analyse des menaces et des risques le recommande, dans une zone de sécurité plus élevée
- conserver les documents relatifs aux cotes de sécurité du personnel contenant des renseignements personnels dans un dossier de sécurité distinct en tant que renseignements protégés, et non dans les dossiers généraux du personnel de l’organisation
- protéger les questionnaires associés aux enquête de sécurité sur le personnel Protégé B qui sont remplis en attendant leur transmission aux responsables du Programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada (SPAC) et tout renseignement défavorable concernant une personne
Les contrats concernant des études statistiques ou des enquêtes requérant la confidentialité, ou les contrats visant la collecte de renseignements personnels, contiendront des dispositions supplémentaires en matière de protection.
II. Gestion des dossiers
Les organisations doivent disposer d’un lieu adéquat, comme un registre, pour recevoir, distribuer, archiver et conserver les renseignements et les biens protégés et classifiés.
Les organisations doivent tenir des registres des dates, des noms et des transactions associés à tous les renseignements et biens classifiés, indiquant la réception, la distribution, la création, la reproduction et la destruction au sein de l’installation. Les organisations peuvent tenir des registres de tous les renseignements et biens d’origine étrangère soumis à des restrictions si ce genre d’exigence est énoncée dans les clauses du contrat.
Tous les dossiers de renseignements et de biens classifiés et tous les renseignements et biens classifiés doivent être disponibles à des fins d’inspection par les agents locaux de la sécurité industrielle (ALSI) du PSC de SPAC.
A. Sécurité du bureau d’archivage
Pour les renseignements et les biens protégés et classifiés, les registres, ou des parties de ceux-ci, les procédures ci-dessous doivent être appliquées :
- les gérer selon la catégorie de sécurité la plus élevée des renseignements conservés
- s’assurer que les employés qui s’occupent des documents possèdent la cote ou l’autorisation de sécurité appropriée
- classer et faire circuler les renseignements dans des chemises qui indiquent le contenu et portent la mention correspondant à la catégorie de sécurité la plus élevée des renseignements qui s’y trouvent
- gérer les zones où le courrier est ouvert comme des zones de sécurité ou des zones de haute sécurité
- limiter la distribution des dossiers aux employés possédant la cote ou l’autorisation de sécurité appropriée et ayant besoin de savoir
- identifier le personnel ayant un accès autorisé sur une liste d’accès approuvée par le gestionnaire responsable (comme le chef de projet)
- livrer le courrier portant la mention « ne peut être ouvert que par le destinataire » directement au destinataire prévu
- veiller à ce que le courrier classifié ne soit ouvert que par le responsable désigné pour l’enregistrement de ce courrier dans l’installation
- protéger les renseignements classifiés d’origine étrangère de la même manière que les renseignements canadiens de classification équivalente et les conserver dans un contenant distinct. Veuillez s’adresser au personnel du PSC de SPAC par courriel au tpsgc.dgsssiprojetintl-dobissintlproject.pwgsc@tpsgc-pwgsc.gc.ca pour des conseils et une assistance complémentaires
- mettre en œuvre des mesures de précaution spéciales pour empêcher la divulgation ou l’accès non autorisé à des ressortissants non canadiens. Les renseignements classifiés d’origine étrangère et les renseignements portant des mentions restrictives comme « réservés aux Canadiens » ne peuvent être communiqués aux personnes n’ayant pas l’approbation des responsables du PSC de SPAC
- s’adresser au personnel du PSC de SPAC par courriel au tpsgc.dgsssiprojetintl-dobissintlproject.pwgsc@tpsgc-pwgsc.gc.ca pour obtenir de l’aide sur toute autre restriction concernant les contrats, programmes ou projets internationaux et multinationaux
III. Mentions de sécurité
Les renseignements protégés et classifiés doivent porter la mention appropriée conformément aux lignes directrices suivantes :
- les lettres utilisées dans la mention doivent être plus grosses que celles qui sont utilisées dans le texte du document
- tous les documents (renseignements de base) utilisés pour la préparation des documents doivent indiquer la catégorie
- les lettres d’accompagnement ou de transmission, les formulaires ou les bordereaux d’acheminement doivent indiquer le niveau de la catégorie ou de la désignation le plus élevé des pièces jointes
- la mention doit figurer sur chacune des pages, mais aussi les documents doivent porter la mention appropriée sur la première et la dernière page de couverture
- les documents en feuilles détachées doivent porter une mention sur chaque feuille
- les images comme les graphiques, les cartes, les dessins doivent porter une mention évidente près de la marge ou du titre; on doit pouvoir lire clairement cette mention lorsque le document est plié
- les mentions de sécurité devraient comprendre la désignation applicable et la date à laquelle la déclassification ou le déclassement doit avoir lieu, dans la mesure où c’est déterminé au moment où les renseignements sont créés ou recueillis
A. Renseignements protégés et classifiés
Les documents originaux et les copies doivent porter les mentions suivantes :
- la mention Protégé A, B ou C doit figurer dans le coin supérieur droit de la page couverture du document
- la mention Confidentiel doit figurer dans le coin supérieur droit de la page couverture du document. Numéroter chaque exemplaire, inscrire le numéro de l’exemplaire sur la couverture de chaque exemplaire et tenir une liste des destinataires
- la mention Secret doit figurer dans le coin supérieur droit de chaque page du document. Numéroter chaque exemplaire, inscrire le numéro de l’exemplaire sur la couverture de chaque exemplaire et tenir une liste des destinataires
- la mention Très secret doit figurer dans le coin supérieur droit de chaque page et le nombre total de pages doit être indiqué sur toutes les pages (par exemple, page 2 de 10). Assigner un nombre entier unique à chaque exemplaire, inscrire le numéro de l’exemplaire sur chaque page et tenir une liste de distribution
- Les renseignements classifiés d’un gouvernement étranger, de l’Union européenne (UE), de l’Agence spatiale européenne ou de l’Organisation du traité de l’Atlantique Nord (OTAN) doivent porter à la fois la mention de classification étrangère et l’annotation concernant leur traitement selon l’équivalent canadien. Pour obtenir de plus amples renseignements, on peut consulter le chapitre 9 : Sécurité internationale de ce manuel et s’adresser au personnel responsable du PSC de SPAC par courriel au dgsssiprojetintl-dobissintlproject@tpsgc-pwgsc.gc.ca
B. Microformulaires
Microformulaire est un terme générique désignant tout support de stockage qui contient des micro-images. Les organisations doivent appliquer les procédures suivantes :
- attribuer la désignation ou la catégorie la plus élevée des renseignements contenus dans le microformulaire
- inscrire la mention « protégé ou classifié » sur les microformulaires contenant des renseignements protégés ou classifiés sous une forme lisible, ainsi que le numéro du microformulaire et le nombre total de microformulaire
C. Support de stockage électronique
Le support de stockage électronique peut être un CD, une clé USB, un disque dur amovible, une carte SD, une carte microSD, un téléphone, une tablette, un ordinateur portable.
Les organisations doivent appliquer les procédures suivantes :
- attribuer la désignation ou la catégorie la plus élevée des renseignements contenus sur le support de stockage électronique
- dans la mesure du possible, la mention de sécurité doit être lisible à l’œil nu et par machine. Si ce n’est pas possible, la mention de sécurité doit être lisible par machine
- le support de stockage amovible doit porter des étiquettes standards. S’il est permis de ne pas procéder à l’étiquetage, des procédures s’imposent pour garantir que l’information appropriée est enregistrée dans l’ordinateur
- conserver le support de la même manière que les documents papier, lorsqu’il n’est pas utilisé
Pour de plus amples renseignements, consulter le chapitre 7 : Sécurité des technologies de l’information de ce manuel.
Le personnel du PSC de SPAC peut fournir des conseils précis sur la façon d’inscrire la mention sur les divers supports de stockage électronique par courriel au ssi-iss@tpsgc-pwgsc.gc.ca.
IV. Conservation
Les renseignements et les biens protégés A et B doivent être conservés, à tout le moins, dans un contenant verrouillé tel qu’un classeur, un coffre-fort, une chambre forte et/ou une salle sécurisée lorsqu’ils sont situés dans une zone d’opérations approuvée. Les renseignements et les biens protégés C et tous les renseignements classifiés doivent être conservés dans un contenant de sécurité approuvé, conforme au Guide d’équipement de sécurité de la Gendarmerie royale du Canada (GRC), lorsqu’ils sont situés dans une zone appropriée approuvée (zone de sécurité minimale secret, très secret, protégé C). Les renseignements et les biens protégés et classifiés peuvent être conservés sur des étagères libres dans une salle sécurisée, uniquement après une inspection et avec l’approbation des responsables du PSC de SPAC.
Les renseignements classifiés d’origine étrangère doivent être conservés séparément des autres formes de renseignements classifiés et protégés d’origine étrangère ou nationale. Les renseignements et les biens protégés et classifiés ne doivent pas être conservés dans la même armoire que les effets négociables ou des biens attrayants.
A. Clés pour les armoires
Les clés (et les dispositifs comme les cartes, les combinaisons et les numéros de code utilisés pour ouvrir ou fermer les armoires) doivent être protégées selon le niveau supérieur de confidentialité des renseignements ou des biens auxquels elles donnent accès. Ces modalités s’appliquent également aux renseignements enregistrés qui permettraient de produire des clés. L’agent de sécurité d'entreprise (ASE) doit contrôler l’accès aux clés, combinaisons et numéros de code, et tenir des registres de distribution.
Les clés attribuées doivent être changées au moins une fois tous les 12 mois et lorsque les employés ayant accès à l’armoire sont mutés, congédiés ou n’ont plus à y avoir accès. Le bureau de la sécurité de l’organisation doit tenir un registre des dates de changement de clé et des motifs expliquant ces changements.
Remarque
On doit changer immédiatement les clés lorsqu’on a tenté ou qu’on a pu essayer d’ouvrir une armoire.
B. Précautions
Lorsque des renseignements et des biens protégés et classifiés sont retirés de contenants de stockage approuvés, les organisations doivent s’assurer qu’ils ne sont pas laissés sans surveillance et qu’ils ne peuvent pas être vus, ou qu’une discussion à leur sujet ne peut pas être entendue par des personnes ne possédant pas le niveau d’autorisation de sécurité approprié ou qui n’ont pas besoin de savoir.
Pour des conseils et une assistance complémentaires, s’adresser au personnel du PSC de SPAC par courriel au tpsgc.ssidie-issiid.pwgsc@tpsgc-pwgsc.gc.ca.
C. Matériel
Les organisations devant conserver des renseignements et des biens protégés et classifiés peuvent se procurer le matériel de sécurité approuvé par l’entremise de SPAC. De concert avec les responsables du PSC de SPAC, l’ASE, ou l’agent de sécurité d'entreprise remplaçant (ASER) doit déterminer le matériel requis et soumettre le formulaire d’achat. Une fois que les responsables du PSC de SPAC ont approuvé la demande, celle-ci est traitée, mais la facturation et la livraison du matériel se font entre l’acheteur (l’ASE) et le fournisseur. Voici quelques exemples du matériel le plus fréquemment demandé dans le cadre de cette procédure :
1. Classeur de sécurité avec serrure à combinaison intégrée – latéral (2 tiroirs)
En acier, classeur de sécurité avec serrure à combinaison intégrée, latéral (2 tiroirs)
- Modèle
- modèle global FG36-2FCL
- Dimensions
- 36 pouces de large, 18 pouces de profondeur, 26,625 pouces de hauteur
- Numéro de nomenclature OTAN
- 7110-20-002-8735
2. Classeur de sécurité avec serrure à combinaison intégrée – latéral (4 tiroirs)
En acier, classeur de sécurité avec serrure à combinaison intégrée, latéral (4 tiroirs)
- Modèle
- modèle global FG36-4FCL
- Dimensions
- 36 pouces de large, 18 pouces de profondeur, 26,625 pouces de hauteur
- Numéro de nomenclature OTAN
- 7110-20-002-8736
3. Classeur de sécurité (2 tiroirs)
- Dimensions
- 19 pouces de large, 28 pouces de profondeur, 27,375 pouces de hauteur
- Poids
- 250 livres
- Numéro de nomenclature OTAN
- 7110-21-852-6693
4. Classeur de sécurité (4 tiroirs)
- Dimensions
- 19 pouces de large, 28 pouces de profondeur, 51,375 pouces de hauteur
- Poids
- 450 livres
- Numéro de nomenclature OTAN
- 7110-21-852-6695
5. Armoires de sécurité
- Dimensions
- 23,125 pouces de large, 32,5 pouces de profondeur, 51,625 pouces de hauteur
- Poids
- 400 livres (sans le classeur)
- Numéro de nomenclature OTAN
- 7110-21-108-0743
Remarque
Un classeur à 4 tiroirs pour une armoire de sécurité est aussi disponible.
V. Emballage et transmission
Lors de la transmission de renseignements et de biens protégés et classifiés, les organisations doivent en assurer la sécurité par un emballage approprié et tenir un registre de leur transport et de leur livraison. Communiquer avec les responsables du PSC de SPAC par courriel au tpsgc.ssidie-issiid.pwgsc@tpsgc-pwgsc.gc.ca pour obtenir des renseignements.
Les registres de distribution, de diffusion et de retour dans l’installation doivent comprendre la signature des responsables qui en accusent réception. Les personnes qui ont accès aux renseignements et aux biens classifiés doivent être informées de leurs responsabilités quant à la protection de ces renseignements et biens, ainsi que des restrictions particulières concernant leur utilisation ou leur diffusion.
Les renseignements et les biens protégés et classifiés doivent être emballés et transmis conformément aux normes de transport et de transmission des renseignements protégés et classifiés de la GRC. Cela inclut le transport en mains propres et/ou l’expédition en vrac de certains renseignements et biens protégés et classifiés. Les ALSI du PSC de SPAC peuvent fournir des instructions précises.
Pour tout transfert international de documents, y compris le transport manuel, vous devez vous adresser au personnel du PSC de SPAC par courriel au dgsssiprojetintl-dobissintlproject@tpsgc-pwgsc.gc.ca à des fins d’orientation et d’approbation.