Chapitre 3 : Enquête sur l’organisation

Navigation pour le document « Manuel de la sécurité des contrats »

Utilisez ce chapitre conjointement avec l’Annexe A : Lignes directrices sur les responsabilités des agents de sécurité d’entreprise et des agents de sécurité d'entreprise remplaçants.

Sur cette page

3.1 Aperçu

Pour faire l’objet d’une enquête de sécurité par le Programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada (SPAC), une organisation canadienne doit soit :

Cette source doit être l'un des éléments suivants :

En obtenant une attestation de sécurité du PSC, l’organisation s’engage auprès du gouvernement du Canada à :

Les négociations préalables à l’attribution du contrat qui nécessitent des renseignements et des biens protégés ou classifiés ne peuvent entamer avant que l’organisation ait fait l’objet d’une enquête de sécurité du PSC, sauf indication contraire de l’autorité contractante. Cela s’applique également lorsqu’une organisation ayant une attestation de sécurité souhaite attribuer un contrat de sous-traitance qui comporte des exigences de sécurité à une autre organisation.

3.2 Attestation de sécurité d’organisation

Il existe 3 types d’attestations de sécurité d’organisation :

Une attestation de sécurité provisoire est une attestation temporaire approuvée pour un processus de demande de soumissions particulier pour les organisations nécessitant un accès à des informations de nature délicate avant de répondre à un appel d’offres comportant des exigences de sécurité. Elle permet à une organisation d’obtenir une enquête de sécurité sur le personnel pour les personnes qui font partie de son équipe de préparation des soumissions.

Pour ce qui est d’une VOD ou d’une ASI, elle n’est pas accordée à perpétuité; elle est accordée aux organisations pour un contrat ou un contrat de sous-traitance particuliers, et aux organisations qui répondent aux appels d’offres du gouvernement fédéral qui comportent des exigences de sécurité en soumettant un formulaire de demande d’inscription complet. Une VOD ou une ASI permet à une organisation d’obtenir une enquête de sécurité sur le personnel pour ses employés au niveau requis, comme il est prévu au contrat ou au contrat de sous-traitance attribué.

Si une organisation doit posséder ou conserver des renseignements et des biens protégés ou classifiés, il lui faut une autorisation supplémentaire de détenir des renseignements. Veuillez consulter la sous-section 3.2.2 Mesures de sécurité.

Au cours du processus d’enquête sur l’organisation, certaines personnes au sein de l’organisation doivent faire l’objet d’une enquête de sécurité. Veuillez consulter le chapitre 4 : Enquête sur le personnel. Ces personnes s’agissent notamment de :

Les agents de sécurité doivent être employés par l’organisation ou un CSC, être physiquement situés au Canada et être de nationalité canadienne.Note de bas de page 1

L’ASE et l’AGSE doivent être soumis à une enquête de sécurité au moins au niveau de sécurité de l’organisation. L’ASER peut faire l’objet d’une enquête de sécurité au niveau de l’organisation ou à un niveau inférieur, en fonction de son emplacement et de ses rôles et responsabilités particuliers en ce qui concerne les autres agents de sécurité.

L’ASE et l’ASER doivent signer le formulaire de nomination de sécurité, d’accusé de réception et d’engagement dans lequel leurs responsabilités sont décrites. Vous trouverez également des renseignements sur ces responsabilités à l’Annexe A : Lignes directrices sur les responsabilités des agents de sécurité d’entreprise et des agents de sécurité d'entreprise remplaçants.

3.2.1 Types d’attestations de l’organisation

La demande d’enquête de sécurité sur une organisation indiquera le type d’attestation de l’organisation de sécurité requis pour la phase préalable à la demande de soumissions, le contrat ou le contrat de sous-traitance.

Une attestation de sécurité provisoire est temporaire. Elle est nécessaire pour accéder à des renseignements ou à des biens protégés ou classifiés pendant les phases de préqualification et/ou de préparation de la soumission d’un processus de demande de soumissions. Au minimum, l’ASE et les employés identifiés qui doivent avoir accès aux renseignements doivent subir une enquête de sécurité sur le personnel au niveau de l’attestation provisoire.

Une VOD est nécessaire pour accéder aux renseignements et aux biens Protégés A ou Protégés B. Une VOD est également nécessaire pour obtenir une cote d’accès aux sites. Veuillez consulter la section 4.3 Cote d’accès aux sites. Au minimum, l’ASE nécessitera une cote de fiabilité. Dans certains cas, les CSC sélectionnés peuvent également nécessiter une cote de fiabilité

Une ASI est nécessaire pour accéder à des renseignements ou des biens classifiés : Confidentiel, Secret ou Très secret, Organisation du traité de l’Atlantique Nord (OTAN) Confidentiel, OTAN Secret, et COSMIC Très secretNote de bas de page 2 ou autres niveaux équivalents de classification utilisés dans d’autres pays). Une ASI est également nécessaire pour obtenir une autorisation d'accès aux sites. Avant qu’une ASI soit accordée, l’ASE et les CSC identifiés par le PSC doivent au moins faire l’objet d’une enquête de sécurité.

Une filiale est considérée comme une entité juridique distincte qui nécessite une VOD ou une ASI distincte. Une évaluation plus approfondie de la propriété de l’organisation peut aussi être requise. Veuillez consulter la section 3.3 Participation, contrôle et influence étrangers.

Le PSC peut nécessiter des enquêtes de sécurité sur tous les propriétaires, administrateurs, partenaires et dirigeants en position d’influence d’organisations ayant fait l’objet d’une enquête de sécurité auprès du PSC, quel que soit le niveau de sécurité requis.

Une attestation de sécurité provisoire est valide pour la durée du processus de demande de soumissions seulement. Au cours de la phase d’évaluation des offres, les soumissionnaires confirmés sont invités à suivre le processus d’enquête de sécurité pour obtenir une VOD ou une ASI.

Une fois que l’attestation est accordée, une VOD peut être valide jusqu’à 2 ans et une ASI peut être valide jusqu’à 1 an tant que l’organisation conforme aux exigences du PSC. À la fin de cette période, la VOD ou l’ASI sera soit résiliée administrativement, si elle n’est plus nécessaire, ou si elle sera maintenue et renouvelée par le PSC. Une VOD ou une ASI est valide si l’organisation :

  • exécutera un contrat ou un contrat de sous-traitance en cours comportant des exigences de sécurité
  • participera à un programme international comportant des exigences de sécurité
  • détiendra une offre à commandes ou un arrangement en matière d’approvisionnement émis par SPAC comportant des exigences de sécurité
  • soumissionnera à des appels d’offres du gouvernement fédéral ou étranger ou d’organisations internationales comportant des exigences de sécurité avec un formulaire de demande d’inscription complet

Il incombe à l’organisation de tenir le PSC informé de tout changement à la suite du processus d’enquête de sécurité. SPAC se réserve également le droit de demander une mise à jour ou un renouvellement à tout moment après le processus d’enquête de sécurité.

Remarque

L’accès aux renseignements et aux biens Protégés C exige une enquête approfondie. Veuillez communiquer avec le Programme de sécurité des contrats pour obtenir des renseignements si vous avez besoin d’accéder à des renseignements et à des biens Protégés C.

Le PSC de SPAC suspendra ou, selon le cas, révoquera une VOD ou une ASI si l’organisation ne parvient pas à maintenir les normes de sécurité requises par le PSC, conformément aux exigences de l’accord de sécurité et du présent manuel. La suspension ou la révocation d’une VOD ou d’une ASI par le PSC pourrait conduire à une décision de l’autorité contractante d’annuler les contrats existants.

3.2.2 Mesures de sécurité

Il existe différents types de mesures de sécurité accordés dans le cadre d’une VOD ou d’une ASI.

L’autorisation de détenir des renseignements (ADR) permet à une organisation de visualiser, de posséder et de conserver des renseignements et des biens protégés et/ou classifiés dans ses installations dans le cadre d’un contrat ou d’un contrat de sous-traitance particulier. Dans des cas exceptionnels uniquement, elle peut être gardée pour un processus d’appel d’offres.

Le PSC inspecte et évalue la sécurité physique des installations de l’organisation. Tous les sites soumis à une exigence relative à la détention des documents doivent être enquêtés.

Les mesures de sécurité supplémentaires énoncées ci-dessous peuvent être requises en fonction des exigences du contrat ou du contrat de sous-traitance. Celles-ci ne sont autorisées qu’après qu’une organisation ait reçu une ADR. Il s'agit notamment :

  • une autorisation de production est requise si l’organisation construit, fabrique, répare ou modifie des produits de nature délicate, ou travaille sur de tels produits, sur un lieu de travail dans un même temps que l’ADR
  • une autorisation de déchiquetage permet à une organisation de détruire des renseignements et des biens de nature délicate
  • une autorisation de stockage de masse permet à une organisation de stocker de grandes quantités de renseignements et de biens sur son lieu de travail, au niveau autorisé
  • une autorisation de traiter les technologies de l’information (TI) permet à une organisation de stocker, de traiter et de transmettre des renseignements de nature délicate par voie électronique
  • la sécurité des communications (COMSEC - Communication security) est l’ensemble des mesures visant à prévenir tout accès non autorisé à l’information de télécommunications sous forme lisible et à garantir la transmission de l’information aux destinataires prévus. COMSEC se divise en divers domaines de spécialité, notamment la sécurité cryptographique, la sécurité des émissions (EMSEC) et la sécurité des transmissions (TRANSEC), et la sécurité physique

Une ADR ne sera accordée qu’aux soumissionnaires retenus qu’après que les installations d’une organisation aient satisfait aux exigences de sécurité physique et administrative énoncées dans le contrat et aient été inspectées et approuvées par le PSC.

Dans le cas d’une ADR pour des renseignements et des biens classifiés, une organisation-satellite doit également posséder une ASI du même niveau sans quoi l’accès aux renseignements et aux biens classifiés détenus par la filiale doit leur être refusé. L’exclusion d’organisations-satellites peut être recommandée dans certains cas avec l’accord du PSC.

3.2.3 Attestations de sécurité d’installation réciproques

Aux termes d’un certain nombre d’instruments de sécurité bilatéraux internationaux (comme entre le Canada et les États-Unis), le PSC peut demander à un gouvernement étranger d’accorder une ASI réciproque à une organisation étrangère établie dans un autre pays pour un accès à de l’information classifiée du Canada, de l’OTAN ou d’un autre pays. Cela est utile si l’organisation devient un sous-traitant dans le cadre d’un contrat canadien classifié. Veuillez envoyer un courriel au PSC à tpsgc.dgsssiprojetintl-dobissintlproject.pwgsc@tpsgc-pwgsc.gc.ca pour toute information relative à la sous-traitance à des entreprises étrangères.

3.3 Participation, contrôle et influence étrangers

Le processus d’évaluation de la participation, du contrôle et de l’influence étrangers (PCIE) vise à évaluer la participation, le contrôle et l’influence que pourraient avoir des intérêts étrangers sur une organisation canadienne. Ceci permet de déterminer et d’atténuer le risque que des tiers non autorisés exercent une influence indue sur une organisation canadienne dans le but d’accéder à des renseignements et à des biens gouvernementaux classifiés.

L'ASI n’exempte pas une organisation de faire l’objet d’autres évaluations. En outre, le fait d’avoir une autorisation de niveau « Confidentiel », « Secret » ou « Très secret » n‘exempte pas une organisation d’une évaluation de la PCIE au besoin. Le déclenchement de l’évaluation de la PCIE généralement dépend du type de renseignements auxquels on a accès. Une évaluation de la PCIE doit être effectuée pour les contrats qui prévoient un accès à des renseignements ou à des biens classifiés de l’OTAN, à des renseignements ou à des biens classifiés étrangers ou à des renseignements ou à des biens classifiés pour des questions de COMSEC, ou à la demande du PSC.

La seule présence d’une participation, d’un contrôle ou d’une influence étrangers n’exclut pas la possibilité d’obtenir une ASI. Chaque cas est évalué individuellement en fonction du profil de risque particulier, associé aux biens ou aux services fournis au gouvernement ou au gouvernement étranger client. En cas d’évaluation négative, le PSC discutera avec l’organisation et le ministère client si certaines mesures peuvent ramener le risque à un niveau jugé acceptable par le PSC et le ministère client.

Une évaluation de la PCIE doit généralement être effectuée avant l’accès à des renseignements, à des biens ou à des sites sensibles. L’établissement des risques relatifs à la PCIE dépend du contrat et demeure valide durant le contrat, dans la mesure où le degré de contrôle ou d’influence potentiels de l’étranger exercés sur l’organisation ne change pas. Des réévaluations sont effectuées lorsqu’une nouvelle exigence de la PCIE est établie ou lorsque les facteurs au moment de l’évaluation, un changement (par exemple, une nouvelle propriété ou restructuration organisationnelle).

3.4 Inspections des lieux

Les inspections des lieux sont un élément clé du processus d’enquête de sécurité. Une organisation doit permettre à l’agent local de la sécurité industrielle (ALSI) du PSC d’inspecter tous les sites et les installations concernés pour s’assurer que les mesures de sécurité adéquates protègent les renseignements et les biens.

L’accès programmé et non programmé des inspecteurs de sécurité du PSC est une condition normale d’un contrat comportant des exigences de sécurité.

Au cours de l’inspection, l’ALSI évaluera aussi :

L’organisation ne peut détenir ou stocker des renseignements protégés ou classifiés qui sont associés au contrat tant que le processus d’inspection n’est pas terminé et que le PSC ne l’a pas informée par écrit que l’ADR a été accordée.

Les inspections peuvent être effectuées à tout moment pendant que l’organisation détient une attestation de sécurité du PSC. Les délais d’inspection varient en fonction :

En savoir plus sur les inspections sur place.

3.5 Accord de sécurité avec le gouvernement du Canada

Avant qu’une organisation reçoive une attestation de sécurité provisoire, une VOD ou une ASI, un CSC doit conclure et signer un accord de sécurité avec le gouvernement du Canada. L’accord de sécurité décrit les conditions générales de l’attestation de sécurité d’organisation ainsi que les motifs de suspension ou de révocation de l’attestation de sécurité d’organisation. En signant l’accord, l’organisation s’engage à respecter toutes les exigences de sécurité du PSC. L’accord est signé dans le cadre du processus d’enquête de sécurité.

3.6 Enquêtes

Le PSC peut mener des enquêtes visant les organisations pour des raisons valables et en cas de non-conformité et d’atteintes ou de manquements à la sécurité. Par exemple :

La non-conformité, les atteintes à la sécurité et les manquements à la sécurité peuvent entraîner la révocation des enquêtes personnelles et/ou organisationnelles.
Vous trouverez des renseignements sur les procédures d’enquête à l’Annexe A : VIII. Enquêtes.

Navigation pour le document « Manuel de la sécurité des contrats »

Date de modification :