Chapitre 3 : Enquête sur l’organisation

Navigation pour le document « Manuel de la sécurité des contrats »

Utilisez ce chapitre conjointement avec l’Annexe A : Lignes directrices sur les responsabilités des agents de sécurité d’entreprise et des agents de sécurité d'entreprise remplaçants.

Sur cette page

3.1 Aperçu

Pour faire l’objet d’une enquête de sécurité par le Programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada (SPAC), une organisation canadienne doit soit :

Cette source doit être l'un des éléments suivants :

En obtenant une attestation de sécurité du PSC, l’organisation s’engage auprès du gouvernement du Canada à :

Les négociations préalables à l’attribution du contrat qui nécessitent des renseignements et des biens protégés ou classifiés ne peuvent entamer avant que l’organisation ait fait l’objet d’une enquête de sécurité du PSC, sauf indication contraire de l’autorité contractante. Cela s’applique également lorsqu’une organisation ayant une attestation de sécurité souhaite attribuer un contrat de sous-traitance qui comporte des exigences de sécurité à une autre organisation.

3.2 Attestation de sécurité d’organisation

Il existe 3 types d’attestations de sécurité d’organisation :

Une attestation de sécurité provisoire est une attestation temporaire approuvée pour un processus de demande de soumissions particulier pour les organisations nécessitant un accès à des informations de nature délicate avant de répondre à un appel d’offres comportant des exigences de sécurité. Elle permet à une organisation d’obtenir une enquête de sécurité sur le personnel pour les personnes qui font partie de son équipe de préparation des soumissions.

Pour ce qui est d’une VOD ou d’une ASI, elle n’est pas accordée à perpétuité; elle est accordée aux organisations pour un contrat ou un contrat de sous-traitance particuliers, et aux organisations qui répondent aux appels d’offres du gouvernement fédéral qui comportent des exigences de sécurité en soumettant un formulaire de Demande d’inscription (DI) complet. Une VOD ou une ASI permet à une organisation d’obtenir une enquête de sécurité sur le personnel pour ses employés au niveau requis, comme il est prévu au contrat ou au contrat de sous-traitance attribué.

Si une organisation doit posséder ou conserver des renseignements et des biens protégés ou classifiés, il lui faut une autorisation supplémentaire de détenir des renseignements. Veuillez consulter la sous-section 3.2.2 Mesures de sécurité.

Au cours du processus d’enquête sur l’organisation, certaines personnes au sein de l’organisation doivent faire l’objet d’une enquête de sécurité. Veuillez consulter le chapitre 4 : Enquête sur le personnel. Ces personnes s’agissent notamment de :

Les agents de sécurité doivent être employés par l’organisation ou un CSC, être physiquement situés au Canada et être de nationalité canadienneNote de bas de page 1.

L’ASE et l’AGSE doivent être soumis à une enquête de sécurité au moins au niveau de sécurité de l’organisation. L’ASER peut faire l’objet d’une enquête de sécurité au niveau de l’organisation ou à un niveau inférieur, en fonction de son emplacement et de ses rôles et responsabilités particuliers en ce qui concerne les autres agents de sécurité.

L’AGSE, l’ASE et l’ASER doivent signer le formulaire de nomination de sécurité, d’accusé de réception et d’engagement dans lequel leurs responsabilités sont décrites. Vous trouverez également des renseignements sur ces responsabilités à l’Annexe A : Lignes directrices sur les responsabilités des agents de sécurité d’entreprise et des agents de sécurité d'entreprise remplaçants.

3.2.1 Types d’attestations de l’organisation

La demande d’enquête de sécurité sur une organisation indiquera le type d’attestation de l’organisation de sécurité requis pour la phase préalable à la demande de soumissions, le contrat ou le contrat de sous-traitance.

Une attestation de sécurité provisoire est temporaire. Elle est nécessaire pour accéder à des renseignements ou à des biens protégés ou classifiés pendant les phases de préqualification et/ou de préparation de la soumission d’un processus de demande de soumissions. Au minimum, l’ASE et les employés identifiés qui doivent avoir accès aux renseignements doivent subir une enquête de sécurité sur le personnel au niveau de l’attestation provisoire.

Une VOD est nécessaire pour accéder aux renseignements et aux biens Protégés A ou Protégés B. Une VOD est également nécessaire pour obtenir une cote d’accès aux sites. Veuillez consulter la section 4.3 Cote d’accès aux sites. Au minimum, l’ASE nécessitera une cote de fiabilité. Dans certains cas, les CSC sélectionnés peuvent également nécessiter une cote de fiabilité

Une ASI est nécessaire pour accéder à des renseignements ou des biens classifiés : Confidentiel, Secret ou Très secret, Organisation du traité de l’Atlantique Nord (OTAN) Confidentiel, OTAN Secret, et COSMIC Très secretNote de bas de page 2 ou autres informations de niveaux classifiées équivalentes à l’étranger. Une ASI est également nécessaire pour obtenir une autorisation d'accès aux sites. Avant qu’une ASI soit accordée, l’ASE et les CSC identifiés par le PSC doivent au moins faire l’objet d’une enquête de sécurité.

Une filiale est considérée comme une entité juridique distincte qui nécessite une VOD ou une ASI distincte. Une évaluation plus approfondie de la propriété de l’organisation peut aussi être requise. Veuillez consulter la section 3.3 Participation, contrôle et influence étrangers.

Le PSC peut nécessiter des enquêtes de sécurité sur tous les propriétaires, administrateurs, partenaires et dirigeants en position d’influence d’organisations ayant fait l’objet d’une enquête de sécurité auprès du PSC, quel que soit le niveau de sécurité requis.

Une attestation de sécurité provisoire est valide pour la durée du processus de demande de soumissions seulement. Au cours de la phase d’évaluation des offres, les soumissionnaires confirmés sont invités à suivre le processus d’enquête de sécurité pour obtenir une VOD ou une ASI.

Une fois que l’attestation est accordée, une VOD peut être valide jusqu’à 2 ans et une ASI peut être valide jusqu’à 1 an tant que l’organisation se conforme aux exigences du PSC. À la fin de cette période, la VOD ou l’ASI sera soit résiliée administrativement, si elle n’est plus nécessaire, ou si elle sera maintenue et renouvelée par le PSC. Une VOD ou une ASI est valide si l’organisation :

  • exécutera un contrat ou un contrat de sous-traitance en cours comportant des exigences de sécurité
  • participera à un programme international comportant des exigences de sécurité
  • détiendra une offre à commandes ou un arrangement en matière d’approvisionnement émis par SPAC comportant des exigences de sécurité
  • soumissionnera à des appels d’offres du gouvernement fédéral ou étranger ou d’organisations internationales comportant des exigences de sécurité avec un formulaire de DI complet

Il incombe à l’organisation de tenir le PSC informé de tout changement à la suite du processus d’enquête de sécurité. SPAC se réserve également le droit de demander une mise à jour ou un renouvellement à tout moment après le processus d’enquête de sécurité.

Remarque

L’accès aux renseignements et aux biens Protégés C exige une enquête approfondie. Veuillez communiquer avec le Programme de sécurité des contrats pour obtenir des renseignements si vous avez besoin d’accéder à des renseignements et à des biens Protégés C.

Le PSC de SPAC suspendra ou, selon le cas, révoquera une VOD ou une ASI si l’organisation ne parvient pas à maintenir les normes de sécurité requises par le PSC, conformément aux exigences de l’accord de sécurité et du présent manuel. La suspension ou la révocation d’une VOD ou d’une ASI par le PSC pourrait conduire à une décision de l’autorité contractante d’annuler les contrats existants.

3.2.2 Mesures de sécurité

Il existe différents types de mesures de sécurité accordés dans le cadre d’une VOD ou d’une ASI.

L’autorisation de détenir des renseignements (ADR) permet à une organisation de visualiser, de posséder et de conserver des renseignements et des biens protégés et/ou classifiés dans ses installations dans le cadre d’un contrat ou d’un contrat de sous-traitance particulier. Dans des cas exceptionnels uniquement, elle peut être gardée pour un processus d’appel d’offres.

Le PSC inspecte et évalue la sécurité physique des installations de l’organisation. Tous les sites soumis à une exigence relative à la détention des documents doivent être enquêtés.

Les mesures de sécurité supplémentaires énoncées ci-dessous peuvent être requises en fonction des exigences du contrat ou du contrat de sous-traitance. Celles-ci ne sont autorisées qu’après qu’une organisation ait reçu une ADR. Il s'agit notamment :

  • une autorisation de production permet à une organisation de construire, fabriquer, réparer ou modifier des produits de nature délicate, ou travailler sur de tels produits, sur un lieu de travail dans un même temps que l’ADR
  • une autorisation de déchiquetage permet à une organisation de détruire des renseignements et des biens de nature délicate
  • une autorisation de stockage de masse permet à une organisation de stocker de grandes quantités de renseignements ou de biens sur son lieu de travail, au niveau autorisé
  • une autorisation de traiter les technologies de l’information (TI) permet à une organisation de stocker, de traiter ou de transmettre des renseignements de nature délicate par voie électronique
  • la sécurité des communications (COMSEC – Communication security) est l’ensemble des mesures visant à prévenir tout accès non autorisé à l’information de télécommunications sous forme lisible et à garantir la transmission de l’information aux destinataires prévus.
    • COMSEC se divise en divers domaines de spécialité, notamment la sécurité cryptographique, la sécurité des émissions (EMSEC) et la sécurité des transmissions (TRANSEC), et la sécurité physique

Une ADR ne sera accordée qu’aux soumissionnaires retenus qu’après que les installations d’une organisation aient satisfait aux exigences de sécurité physique et administrative énoncées dans le contrat et aient été inspectées et approuvées par le PSC.

Dans le cas d’une ADR pour des renseignements et des biens classifiés, une organisation-satellite doit également posséder une ASI du même niveau sans quoi l’accès aux renseignements et aux biens classifiés détenus par la filiale doit leur être refusé. L’exclusion d’organisations-satellites peut être recommandée dans certains cas avec l’accord du PSC.

3.2.3 Attestations de sécurité d’installation réciproques

Aux termes d’un certain nombre d’instruments de sécurité bilatéraux internationaux (comme entre le Canada et les États-Unis), le PSC peut demander à un gouvernement étranger d’accorder une ASI réciproque à une organisation étrangère établie dans un autre pays pour un accès à de l’information classifiée du Canada, de l’OTAN et/ou d’un autre pays. Cela est utile si l’organisation devient un sous-traitant dans le cadre d’un contrat canadien classifié. Veuillez envoyer un courriel au PSC à tpsgc.dgsssiprojetintl-dobissintlproject.pwgsc@tpsgc-pwgsc.gc.ca pour toute information relative à la sous-traitance à des entreprises étrangères.

3.3 Participation, contrôle et influence étrangers

Le processus d’évaluation de la participation, du contrôle et de l’influence étrangers (PCIE) vise à évaluer le degré d'autorité, la participation, le contrôle et l’influence que pourraient avoir des intérêts étrangers sur une organisation canadienne. Ceci permet de déterminer et d’atténuer le risque que des tiers non autorisés exercent une influence indue sur une organisation canadienne dans le but d’accéder à des renseignements et à des biens gouvernementaux classifiés.

L'ASI n’exempte pas une organisation de faire l’objet d’autres évaluations. En outre, le fait d’avoir une autorisation de niveau « Confidentiel », « Secret » ou « Très secret » n‘exempte pas une organisation d’une évaluation de la PCIE au besoin. Le déclenchement de l’évaluation de la PCIE généralement dépend du type de renseignements auxquels on a accès. Une évaluation de la PCIE doit être effectuée pour les contrats qui prévoient un accès à des renseignements ou à des biens classifiés de l’OTAN, à des renseignements ou à des biens classifiés étrangers ou à des renseignements ou à des biens classifiés pour des questions de COMSEC, ou à la demande du PSC.

La seule présence d’une participation, d’un contrôle ou d’une influence étrangers n’exclut pas la possibilité d’obtenir une ASI. Chaque cas est évalué individuellement en fonction du profil de risque particulier, associé aux biens ou aux services fournis au gouvernement ou au gouvernement étranger client. En cas d’évaluation négative, le PSC discutera avec l’organisation et le ministère client si certaines mesures peuvent ramener le risque à un niveau jugé acceptable par le PSC et le ministère client.

Une évaluation de la PCIE doit généralement être effectuée avant l’accès à des renseignements, à des biens ou à des sites sensibles. L’établissement des risques relatifs à la PCIE dépend du contrat et demeure valide durant le contrat, dans la mesure où le degré de contrôle ou d’influence potentiels de l’étranger exercés sur l’organisation ne change pas. Des réévaluations sont effectuées lorsqu’une nouvelle exigence de la PCIE est établie ou lorsque les facteurs au moment de l’évaluation, un changement (par exemple, une nouvelle propriété ou restructuration organisationnelle).

3.4 Inspections des lieux

Les inspections des lieux sont un élément clé du processus d’enquête de sécurité. Une organisation doit permettre à l’agent local de la sécurité industrielle (ALSI) du PSC d’inspecter tous les sites et les installations concernés pour s’assurer que les mesures de sécurité adéquates protègent les renseignements et les biens.

L’accès programmé et non programmé des inspecteurs de sécurité du PSC est une condition normale d’un contrat comportant des exigences de sécurité.

Au cours de l’inspection, l’ALSI évaluera aussi :

L’organisation ne peut détenir ou stocker des renseignements protégés ou classifiés qui sont associés au contrat tant que le processus d’inspection n’est pas terminé et que le PSC ne l’a pas informée par écrit que l’ADR a été accordée.

Les inspections peuvent être effectuées à tout moment pendant que l’organisation détient une attestation de sécurité du PSC. Les délais d’inspection varient en fonction :

En savoir plus sur les inspections sur place.

3.5 Accord de sécurité avec le gouvernement du Canada

Avant qu’une organisation reçoive une attestation de sécurité provisoire, une VOD ou une ASI, un CSC doit conclure et signer un accord de sécurité avec le gouvernement du Canada. L’accord de sécurité décrit les conditions générales de l’attestation de sécurité d’organisation ainsi que les motifs de suspension ou de révocation de l’attestation de sécurité d’organisation. En signant l’accord, l’organisation s’engage à respecter toutes les exigences de sécurité du PSC. L’accord est signé dans le cadre du processus d’enquête de sécurité.

3.6 Conformité et application de la loi pour les organisations du secteur privé disposant d’une attestation de sécurité

Les organisations du secteur privé ont l’obligation de maintenir la conformité aux exigences du PSC tout au long de l’exécution des mécanismes d’approvisionnementNote de bas de page 3 qui renferment des exigences en matière de sécurité.

3.6.1 Conformité avec les exigences du Programme de sécurité des contrats

Les organisations doivent se conformer aux politiques et aux directives indiquées dans le Manuel de la sécurité des contrats (MSC), au accord de sécurité, et à toute autre politique du gouvernement du Canada relative au PSC. Le PSC abordera les pratiques commerciales contraires à l’éthiqueNote de bas de page 4 ainsi que le non-respect des exigences en matière de sécurité prévues pour les contrats du gouvernement du Canada.

Le PSC adoptera une approche systématique pour gérer les problèmes de non-conformité concernant les mécanismes d’approvisionnement, en plus des pratiques commerciales contraires à l'éthique, afin d’assurer une application équitable et uniforme à cet égard.

Une évaluation de la conformité peut notamment entraîner des résultats comme la suspension ou la révocation d’une attestation de sécurité d’une organisation. Les autorités contractantes (AC) et les ministères clients seront tenus au courant de tout changement apporté à l’état de l’autorisation de sécurité d’une organisation. Ces changements peuvent entraîner la cessation ou la modification d’un mécanisme d’approvisionnement existant par l’AC ou les ministères clients. De plus, chacune des enquêtes de sécurité sur le personnel dépend de l’état de l’organisation à laquelle les personnes appartiennent. Si l’attestation de sécurité d’une organisation est révoquée, alors toutes les enquêtes de sécurité sur le personnel associées à cette organisation devront être résiliées.

3.6.2 Processus du Programme de sécurité des contrats pour les organisations non conformes

Le PSC adoptera une approche en deux étapes dès qu’il détermine qu’une organisation :

  • a entrepris des pratiques opérationnelles contraires à l’éthique
  • n’a pas respecté les politiques et les directives indiquées dans le MSC, l’accord de sécurité ou toute autre politique du gouvernement du Canada relative au PSC, ou n’a pas mis en œuvre les mesures correctives recommandées par le PSC
  • Le CSC et l’ASE de l’organisation, et toute autre personne pouvant disposer de renseignements en lien avec la non-conformité peuvent être interrogés par les représentants du PSPSC

Étape 1 : Lettre de suspension – Envoyée par le directeur, Direction des services de sécurité industrielle des organisations

Dans les cas où la non-conformité ou une infraction est confirmée, le PSC envoie une lettre de suspension à l’ASE de l’organisation par courriel décrivant les raisons de la suspension de leur l’attestation de sécurité. À moins d’avis contraire du PSC, l’organisation aura 30 jours pour soumettre sa réponse par courriel, à cette lettre, afin d’indiquer les mesures correctives qu’elle mettra en place, ou répondre aux préoccupations qui ont mené à la suspension, pour respecter les exigences en matière de détention d’une attestation de sécurité valide. Si le PSC juge que l’organisation a clairement démontré qu’elle respecte ces exigences, et qu'il n'y a aucun problème de sécurité, l’attestation sera rétablie.

Si la réponse de l’organisation ne traite pas ou n'atténue pas les raisons de la suspension, et qu’aucune mesure d’atténuation sont fournis pour remédier à la situation, y compris une non-réponse à la lettre de suspension, le PSC enverra une lettre de révocation.

Il faut prendre note que, lorsque le PSC suspend l’attestation de sécurité d’une organisation, cette organisation peut conserver sa capacité à travailler dans le cadre des mécanismes d’approvisionnement existants qui lui ont été confiés avant la suspension. Cette décision est à la discrétion des AC et du ministère client, et non du PSC. L'autorisation de sécurité des employés des organisations reste active en attendant le résultat de l'évaluation, sauf avis contraire du PSC. Toutefois, la suspension de l’organisation peut entraîner des conséquences sur leur capacité à continuer de travailler sur les mécanismes d’approvisionnement existants, à obtenir de nouveaux mécanismes d’approvisionnement, ou à être pris en considération pour de nouvelles possibilités d’approvisionnement. Les organisations doivent valider leur états et leur capacité à travailler sur un contrat de nature délicate lorsqu'elles sont suspendues par le PSC.

Étape 2 : Lettre de révocation – Envoyée par le directeur général, Direction des services de sécurité industrielle des organisations

Si l’organisation ne traite pas ou n'atténue pas les raisons de la suspension, ou si aucune mesure d'atténuation n'est prévue pour remédier à la situation, le PSC enverra à l’organisation une lettre de révocation dans les situations où le PSC :

  • na pas reçu de réponse de la part de l’organisation dans les 30 jours, ou
  • détermine que l’organisation n’a pas mis en place les mesures correctives nécessaires, ou
  • détermine que l’organisation n’a pas fourni les preuves nécessaires pour justifier la réintégration de son attestation de sécurité

Le PSC fera part à l’organisation par écrit, et lui indiquera la justification et l’option pour les recoursNote de bas de page 5.

L’organisation peut décider d’adopter une méthode officielle pour examiner la décision du directeur général, Direction des services de sécurité industrielle des organisations, de révoquer son attestation de sécurité. Elle doit soumettre une demande par écrit à la boîte de réception de conformité PSCNote de bas de page 6, afin que la décision soit examinée par le sous-ministre adjoint de la Direction générale de la surveillance ministérielle de SPAC. La demande doit être présentée dans les 30 jours suivant la date de réception de la lettre de révocation. Une fois que le PSC reçoit une demande de réintégration, le dossier de l’organisation sera examiné. Le PSC se réserve le droit de vérifier, par le biais de processus d’évaluation, si les exigences minimales et toute condition supplémentaire sont respectées par l’organisation.

Lorsque l’attestation de sécurité d’une organisation est révoquée, le PSC recommande (aux AC et aux ministères clients) que tous les mécanismes d’approvisionnement attribués précédemment à l’organisation soient résiliés. De plus, toutes les enquêtes de sécurité sur le personnel détenues par l’organisation seront résiliés.

Avis aux autres parties

Tout changement apporté à l’état de l’organisation sera immédiatement partagé par courriel à l’ensemble des AC, des ministères clients et des intervenants concernés. Si l’organisation non conforme est un sous-traitant, les parties susmentionnées et l’entrepreneur principal seront avisés.

3.6.3 Suspension ou révocations d’une attestation de sécurité d’organisation

Les circonstances suivantes, non exhaustives, constituent des motifs qui peuvent conduire le PSC à la suspension ou à la révocation d’une attestation de sécurité organisation :

  1. L’incapacité de l’organisation à obtenir et à confirmer l’autorisation de sécurité ou la cote de fiabilité des ASE, ASER et des CSC
  2. L’incapacité du PSC à joindre l’organisation par courriel, par téléphone ou par le biais d’un site Web, car l’organisation n’a pas informé le PSC de la mise à jour de ses coordonnées
  3. L’accès donné aux membres du personnel de l’organisation à des renseignements, à des biens ou à des sites de niveau protégé ou classifié qui n’ont pas le niveau approprié de cote de fiabilité ou d’autorisation de sécurité, ou le besoin de savoir
  4. L’accès donné aux CSC de l’organisation, qui ont signé une attestation d’exclusion de CSC, à des renseignements, à des biens ou à des sites de niveau protégé ou classifié
  5. Les renseignements découverts par le PSC qui remettent en question l’intégrité et l’honnêteté de l’organisation
  6. L’incapacité du PSC à atténuer adéquatement les risques associés à la propriété, au contrôle et à l’influence de l’étranger sur l’organisation canadienne
  7. L’incapacité ou le refus de l’organisation de fournir au PSC de véritables renseignements concernant la participation, le contrôle et l’influence de l’étranger à des fins d’évaluation, alors que les exigences relatives à la sécurité du contrat requièrent ces renseignements
  8. L’incapacité ou le refus de l’organisation de fournir une preuve valide d’un emplacement physique permanent et un lieu d’affaires principal au Canada où le travail est exécuté et où l’entreprise fonctionne
  9. Le refus de l’organisation de donner au représentant autorisé du PSC un accès à son emplacement physique ou de lui permettre d’interroger le personnel clé identifié de l’organisation
  10. Le refus de l’organisation de divulguer les mécanismes d’approvisionnement qui lui ont été attribués par des gouvernements étrangers ou des organisations étrangères et qui impliquent des renseignements étrangers ou canadiens de niveau classifié
  11. Le refus de l’organisation de fournir les exigences relatives à la sécurité indiquées dans les mécanismes d’approvisionnement qui lui ont été attribués par des gouvernements étrangers ou des organisations étrangères
  12. Le non-respect des exigences relatives à la sécurité physique par l’organisation ou les changements non autorisés apportés aux zones de sécurité approuvées par le PSC
  13. Tout acte criminel commis par les ASE, les ASER ou les CSC en tant que représentants de l’organisation, tout en commettant l’acte au profit de l’organisation ou de leur statut au sein de l’organisation
  14. Tout acte d’agression ou de harcèlement à l’encontre de l’État, par les ASE, les ASER ou les CSC, qui pourrait être considéré comme une violation des dispositions anti-harcèlement figurant dans le Code de conduite pour l’approvisionnement
  15. Tout acte contre l’État, tout acte donnant lieu à une condamnation au criminel commis par l’organisation, ou tout acte mettant en cause la crédibilité ou la fiabilité de l’organisation ou de ses mécanismes d’approvisionnement
  16. Tout changement important concernant l’organisation mettant en cause la crédibilité ou la fiabilité de l’organisation ou de ses mécanismes d’approvisionnement, y compris notamment les changements concernant le lieu d’enregistrement, la propriété, les associés, la faillite, la dissolution ou les condamnations criminelles de l’organisation ou de ses CSC
  17. Toute suspension, résiliation ou révocation d’une cote de fiabilité/autorisation de sécurité d’un ASE, d’un ASER ou d’un CSC, qui peut influencer l’attestation de sécurité de l’organisation
  18. Toute tentative de fournir des renseignements faux ou trompeurs, y compris par omission, au PSC, à tout ministère du gouvernement du Canada ou à l’un de ses agents autorisés
  19. L’incapacité du PSC à interroger un ASE, un ASER ou un CSC de l’organisation dans le délai accordé

Pour plus de renseignements sur conformité et d’application de la loi, veuillez consulter l’Annexe A : VIII. Guide de conformité et d’application de la loi du Programme de sécurité des contrats.

Navigation pour le document « Manuel de la sécurité des contrats »

Date de modification :