Chapitre 3 : Attestations d'organisations, Partie II – Attestation de sécurité d'installations (classifié)

Sur cette page

350. Généralités

  1. L'attestation de sécurité d'installations (ASI) est une décision administrative selon laquelle l'organisation peut, au plan de la sécurité, avoir accès à des renseignements et à des biens protégés et classifiés à un niveau de classification égal ou inférieur à celui de l'attestation délivrée.

    Lorsqu'une organisation doit avoir accès uniquement à des renseignements et à des biens protégés, il faut consulter la Partie I – Attestation de sécurité d'installations (protégé) du présent chapitre.

  2. Avant qu'on puisse attribuer à l'organisation des contrats portant sur des renseignements ou des biens classifiés, elle doit justifier d'une ASI.

    Certains particuliers doivent justifier d'une ASI. On les appelle les cadres supérieurs clés (CSC). Il s'agit notamment de l'agent de la sécurité de l'entreprise (ASE), des propriétaires, des dirigeants, des administrateurs (du conseil d'administration), des cadres et des associés qui occupent des postes pouvant leur permettre d'exercer une influence sur les politiques ou les pratiques de l'organisation dans l'exécution des contrats classifiés.

    L'organisation doit désigner ses CSC et faire connaître leur nom à l'agent local de la sécurité industrielle compétent de la Direction de la sécurité industrielle canadienne (DSIC). La DSIC se réserve le droit de remettre en question la liste des CSC de l'organisation et d'exiger que cette dernière y apporte des modifications ou y exclut des noms.

    Veuillez consulter l'Annexe 3-A : Exigences relatives à la vérification d'organisation désignée (renseignements protégés) et l'Annexe 3-B : Exigences relatives à l'attestation de sécurité d'installation (renseignements classifiés) dans le présent chapitre pour connaître les niveaux précis d'attestations dont doivent justifier les CSC, l'ASE et les employés qui doivent avoir accès à des renseignements ou à des biens pour chaque niveau et chaque type d'ASI.

  3. Les organisations doivent obtenir à tout le moins, pour leurs CSC, une attestation de sécurité au niveau de classification exigé avant qu'on leur délivre une ASI.
  4. Normalement, l'organisation doit justifier d'une ASI avant de pouvoir obtenir des cotes de sécurité du personnel pour les employés autres que des CSC. Elle peut déposer parallèlement des demandes d'attestation pour d'autres employés. Toutefois, les employés ne seront autorisés à consulter les renseignements ou à utiliser les biens que lorsqu'ils justifieront de l'ASI.
  5. Pour l'établissement de l'ASI, le siège social au Canada sera inspecté; s'il faut conserver des documents classifiés à ce siège social, il sera inspecté, et l'ASI comprendra une attestation de sécurité d'emplacement pour ce siège social. En outre, il faudra procéder à une inspection distincte et délivrer une attestation de site différente pour chaque établissement supplémentaire dans lequel on conserve ou traite des renseignements ou des biens classifiés.
  6. L'ASI est délivrée d'après l'évaluation des éléments suivants :
    1. l'organisation n'est pas soumise à une influence étrangère
    2. on peut faire confiance aux propriétaires, ou dirigeants, aux administrateurs (du conseil d'administration), aux cadres supérieurs et aux associés de l'organisation pour qu'ils participent à des contrats classifiés
    3. l'organisation peut protéger les renseignements ou les biens classifiés dans ses installations (le cas échéant)
  7. Le directeur de la DSIC fera savoir par écrit à l'organisation si on lui a délivré une ASI.
  8. Lorsqu'une ASI lui est délivrée, l'organisation peut demander qu'on délivre cette attestation à ses employés n'importe où au Canada.

351. Cote de sécurité du personnel pour les cadres supérieurs clés

  1. L'ASE doit tenir à jour la liste de tous les CSC et en soumettre un exemplaire à la DSIC chaque fois qu'on la modifie. Cette liste doit comprendre le nom et le titre des CSC qui possèdent une cote de sécurité, de ceux qui ne la possèdent pas encore, mais dont la demande est en traitement et de ceux qui ont été exclus parce qu'ils ne peuvent avoir accès à des renseignements classifiés.
    1. Exclusion des CSC. Lorsque le gouvernement doit, de toute urgence, délivrer une ASI à une organisation, la DSIC peut temporairement renoncer à l'exigence selon laquelle tous les CSC doivent justifier d'une cote de sécurité avant qu'on leur délivre une ASI. On fait appel au processus d'exclusion de CSC pour permettre à l'organisation :
      1. de recevoir une demande de propositions (DDP) ou d'autres documents précontractuels renfermant des documents classifiés
      2. de se faire attribuer un contrat classifié
      3. de poursuivre l'exécution des contrats malgré une prise de contrôle de l'entreprise
    2. Il doit exister des procédures de sécurité au sein de l'organisation, pour s'assurer que les CSC exclus n'ont pas accès aux renseignements et aux biens classifiés. L'exclusion n'entre pas en vigueur tant qu'elle n'a pas été approuvée officiellement par le directeur de la DSIC, qui détermine également le nombre permis de CSC exclus dans chaque cas particulier. Si le poste ou les responsabilités du cadre exclu changent au sein de l'organisme, l'ASE doit prévenir la DSIC, qui revoit l'exclusion. Les exclusions ne sont normalement pas approuvées pour le président ou le chef de la direction de l'organisation.

352. Organisations parentes

  1. Lorsque l'organisation doit obtenir une autorisation de détenir des renseignements classifiés (c'est-à-dire l'autorisation pour une organisation de stocker et de traiter des renseignements et des biens protégés ou classifiés sur son lieu de travail), son organisation mère doit elle aussi (le cas échéant) justifier d'une ASI au même niveau ou se voir refuser l'accès aux renseignements et aux biens classifiés détenus par l'organisation filiale. Dans les cas où il faut exclure une organisation mère, l'organisation doit soumettre les formulaires suivants, qui doivent être remplis en bonne et due forme :
    1. Annexe 3-D : Formulaire de résolution en vue de l'exemption d'une organisation mère
    2. Annexe 3-E : Formulaire de certificat de non-divulgation
    3. Annexe 3-F : Formulaire de résolution du conseil d'administration d'une filiale constatant l'exclusion de l'organisation mère et résolution d'exclusion de l'organisation mère
  2. L'exclusion d'une organisation mère n'entre pas en vigueur tant qu'elle n'est pas approuvée officiellement par le directeur de la DSIC, qui décide si l'exclusion de l'organisation parente est justifiée par des motifs valables.

353. Propriété, contrôle et influence de l'étranger

  1. Dans certains cas, par exemple lorsqu'il faut participer à des contrats et à des programmes relatifs à la sécurité de l'information, de nature extrêmement délicate (INFOSEC), il faut évaluer plus en détail la propriété de l'organisation et l'importance de l'influence exercée par les propriétaires et la haute direction. Dans ces cas, l'organisation doit fournir des détails complets sur :
    1. sa structure institutionnelle, jusqu'au niveau de sa propriété ultime (directe ou indirecte)
    2. ses administrateurs ou dirigeants étrangers
    3. le contrôle ou l'influence effectif ou potentiel de l'étranger dans l'élection, la nomination ou la durée des fonctions des administrateurs ou des dirigeants
    4. la propriété des intérêts étrangers
    5. les contrats, accords, conventions ou ententes avec l'étranger
    6. la dette étrangère ou les sources de revenus étrangères
    7. les liens entre les administrateurs et les intérêts étrangers
  2. L'existence de la propriété, du contrôle ou de l'influence de l'étranger n'interdit pas en soi à l'organisation d'être titulaire d'une ASI. Chaque cas est évalué individuellement. Dans les cas où la propriété, le contrôle ou l'influence de l'étranger fait l'objet d'une évaluation défavorable, on discute des détails avec l'organisation pour savoir si on peut prendre certaines mesures afin de se prémunir contre les risques ou de les ramener à un niveau satisfaisant.

354. Conservation et garde des renseignements et des biens classifiés

Les installations de l'organisation doivent respecter les exigences relatives à la sécurité matérielle et administrative pour l'exécution des travaux classifiés à réaliser dans le cadre du contrat, avant qu'on délivre à l'organisation une ASI assortie de la cote de protection des documents.

Veuillez consulter le Chapitre 4 : Protection des installations et le Chapitre 5 : Manipulation et sauvegarde des renseignements et des biens classifiés et protégés du présent manuel. L'agent local de la sécurité industrielle de la DSIC donnera des lignes directrices précises à ce sujet.

355. Négociations précontractuelles

On ne peut pas amorcer avec l'organisation, avant de lui avoir délivré une ASI, de négociations précontractuelles dans le cas des contrats portant sur des renseignements et des biens classifiés. Cette condition s'applique également lorsque l'organisation cotée souhaite faire appel à une autre organisation non gouvernementale à titre de sous-traitant.

356. Accord de sécurité avec le gouvernement du Canada

Avant de se faire délivrer une ASI, l'organisation doit conclure un accord avec le gouvernement du Canada; en vertu de cet accord, l'organisation s'engage à :

  1. respecter les dispositions du présent manuel et toutes les autres exigences en matière de sécurité qui peuvent faire partie d'un contrat classifié attribué à l'organisation
  2. permettre à la DSIC ou à d'autres administrations gouvernementales, à la demande de la DSIC, d'avoir accès aux locaux de l'organisation n'importe quand pour procéder à des inspections de sécurité
  3. ne pas se faire rembourser par le gouvernement les frais de sécurité, sauf dans les cas prévus dans un contrat

Veuillez consulter l'Annexe 3-G : Services publics et Approvisionnement Canada – accord sur la sécurité dans le présent chapitre.

357. Types d'attestations de sécurité d'installations

  1. Il existe 3 types d'ASI :

    a. Personnel affecté (PA)
    Il s'agit du type d'ASI le plus élémentaire. Cette attestation est normalement délivrée aux organisations qui participent à des marchés de services plutôt qu'à des marchés de biens. L'attribution de l'ASI pour le PA donne lieu à une enquête de sécurité sur les CSC et les employés de l'organisation. Il n'est pas nécessaire d'évaluer la sécurité matérielle des installations de l'organisation. Une ASI pour le PA n'a pas pour effet d'autoriser l'organisation à posséder ou à archiver des renseignements et des biens classifiés dans ses installations.
    b. Autorisation de détenir des renseignements (ADR)
    Ce type d'ASI prévoit une enquête de sécurité sur les CSC et les employés de l'organisation. On évalue en outre la sécurité matérielle des installations de l'organisation pour s'assurer qu'elle respecte les exigences relatives à la protection des renseignements et des biens du gouvernement. L'ASI comportant une ADR autorise l'organisation à posséder et à archiver des renseignements et des biens classifiés dans ses installations.
    c. Production (PROD)
    Ce type d'ASI comprend tous les éléments de l'ASI pour l'ADR. En outre, on évalue la sécurité de la fabrication, de la réparation, de la modification des composants ou des articles classifiés ou des travaux effectués sur ces composants ou articles, afin de s'assurer qu'ils respectent les exigences relatives à la sécurité du gouvernement.
  2. Chaque type d'ASI peut être autorisé au niveau de Confidentiel, Secret ou Très secret, ou OTAN Confidentiel ou OTAN Secret.

358. État de l'attestation de sécurité d'installations

Les organisations doivent faire suivre à la DSIC les demandes adressées par d'autres organisations, des ministères ou des gouvernements pour confirmer leur ASI.

359. Période de validité

  1. L'ASI délivrée par la DSIC ne l'est pas en permanence. Cette attestation est délivrée pour l'exécution d'un contrat précis ou lorsque l'organisation est inscrite et qu'il semble qu'elle pourrait se faire attribuer un contrat. L'ASI prend fin au terme du dernier contrat classifié et/ou lorsque l'on confirme que l'inscription ne sera pas renouvelé. La DSIC doit faire connaître par écrit à l'organisation la date à laquelle l'ASI prendra fin et lui donner l'occasion de démontrer les raisons pour lesquelles cette attestation devrait être prorogée.
  2. La DSIC suspend ou révoque l'ASI si l'organisation ne respecte pas les normes de sécurité voulues. Les contrats en vigueur sont annulés et l'organisation ne pourra pas prétendre à d'autres contrats comportant des exigences en matière de sécurité lorsque son ASI est suspendue.

360. Attestations de site au sein d'une organisation ayant son siège au Canada

  1. Des attestations de site distinctes sont nécessaires pour chaque établissement dans lequel des renseignements ou des biens classifiés seront archivés ou traités.
  2. Dans les cas où il faut protéger des documents classifiés dans des établissements physiquement distincts du siège social au Canada, il faut respecter les conditions suivantes dans chaque établissement avant de délivrer à l'organisation une attestation de site :
    1. le siège social doit être titulaire d'une ASI
    2. le CSC de chaque établissement doit justifier d'une cote au niveau voulu
    3. au moins un autre employé doit justifier d'une cote au même niveau
      • dans le cas des entreprises individuelles, la DSIC peut éventuellement autoriser une exception dans chaque cas particulier
    4. au moins 2 agents de sécurité doivent être désignés
    5. chaque établissement doit respecter les exigences matérielles et administratives relatives à la sécurité

361. Succursale hors du Canada

  1. Pour les besoins du présent manuel, on ne considère pas une succursale comme une personne morale distincte à laquelle il faut attribuer une ASI différente.
  2. Lorsqu'il est nécessaire de protéger des renseignements et des biens classifiés dans une succursale hors du Canada, le siège social au Canada doit soumettre à la DSIC une demande écrite d'attestation, pour que cette dernière puisse prendre les mesures nécessaires avec l'administration de la sécurité industrielle désignée dans le pays visé. Selon le pays en cause, il se peut que la DSIC ne puisse pas toujours établir la cote de protection de la succursale.

362. Réciprocité des attestations de sécurité d'installations réciproques

  1. Pour les besoins du présent manuel, on considère qu'une filiale est une personne morale distincte, à laquelle il faut attribuer une ASI différente.
  2. En vertu d'un certain nombre d'accords sur la sécurité industrielle (par exemple entre les États-Unis et le Canada), la DSIC peut demander à un gouvernement étranger de délivrer une ASI réciproque à une filiale d'une entreprise canadienne ayant des bureaux dans un autre pays. Cette attestation est utile lorsque cette filiale veut participer, à titre de sous-traitant, à un contrat classifié au Canada.

    Nota : Il est toutefois important de noter que les ASI réciproques sont en quelque sorte restreintes. Essentiellement, l'ASI réciproque permet seulement à la filiale de participer à des travaux classifiés au Canada. Dans ce type d'ASI, il se pourrait qu'il ne soit pas permis de participer à des contrats classifiés avec le gouvernement du pays dans lequel la filiale a ses bureaux.

  3. Lorsqu'une filiale d'une entreprise canadienne doit justifier d'une ASI pour participer, actuellement ou éventuellement, à des travaux classifiés pour le gouvernement du pays dans lequel elle a des bureaux, elle peut être appelée à s'adresser directement à l'administration de la sécurité industrielle de ce pays pour lui demander une ASI normale. (La DSIC peut fournir les coordonnées des administrations de la sécurité industrielle dans les autres pays.) Dans la plupart des cas, cette filiale devra se constituer en société incorporée dans ce pays avant qu'on puisse lui délivrer une ASI.

Annexes

Date de modification :