Chapitre 6 : Manipulation et protection de renseignements et de biens

Utilisez ce chapitre conjointement avec l’Annexe C : Lignes directrices sur la protection des renseignements et des biens

Sur cette page

6.1 Aperçu

Lorsqu’une organisation est autorisée aux termes du programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada (SPAC) à posséder et à stocker des renseignements et des biens protégés ou classifiés (sous-section 3.2.2 : Mesures de sécurité), elle doit disposer d’un système de sécurité des biens qui va :

L’accès aux renseignements et aux biens protégés et classifiés doit être limité aux personnes qui ont la cote ou l’autorisation de sécurité approprié et qui ont besoin de savoir.

Ces exigences s’appliquent également à toute information étrangère classifiée et classifiée de l’Organisation du Traité de l’Atlantique Nord (OTAN), en plus des autres exigences de l’OTAN (chapitre 10.2 : Organisation du Traité de l’Atlantique Nord). Les principes de protection des renseignements classifiés énoncés dans ce chapitre s’appliquent aux renseignements gouvernementaux étrangers ou nationaux, ainsi qu’aux renseignements classifiés de l’OTAN, de l’Union européenne et de l’Agence spatiale européenne (ASE).

La manipulation et la protection inappropriées de renseignements et de biens protégés et classifiés pourraient entraîner la suspension ou la révocation de la vérification d’organisation désignée (VOD) ou d’une l’attestation de sécurité d’installation (ASI) d’une organisation, ou de la cote ou de l’autorisation de sécurité d’un employé, selon la situation. La révocation ou la suspension d’une VOD ou d’une ASI peut entraîner la perte de tout contrat gouvernemental exigeant que l’organisation détienne un statut de contrôle de sécurité.

Les sections suivantes donnent un aperçu de chaque exigence relative à la protection des renseignements et des biens protégés et classifiés. L’annexe C : Lignes directrices sur la protection des renseignements et des biens fournit des détails supplémentaires sur ces exigences et doit être lue conjointement avec le présent chapitre. Ces mesures s’appliquent à toute information qui est copiée ou traduite, qui conserve le niveau de catégorisation de sécurité de l’information originale. Des instructions précises sur la possibilité de copier ou de traduire les renseignements peuvent être fournies dans le contrat ou dans les instruments de sécurité bilatéraux.

6.2 Environnement sécurisé

Dans un environnement de bureau, les organisations doivent utiliser des zones restreintes pour protéger les renseignements et les biens. Des procédures de sécurité appropriées garantissent que les renseignements et les biens ne sont accessibles qu’aux personnes autorisées au niveau de sécurité approprié et ayant besoin de savoir, qu’ils ne sont pas laissés sans surveillance et qu’ils sont enregistrés, conservés et éliminés de manière appropriée. (Annexe C : I. Environnement sécurisé)

6.2.1 Exigences relatives au niveau de sécurité

Le niveau de sécurité détermine les exigences en matière de manipulation, de conservation, de marquage et d’élimination des renseignements et des biens protégés et classifiés. Des enseignements sur les types de zones de sécurité sont disponibles dans l’annexe B : Lignes directrices pour la protection des installations.

  1. Les renseignements et biens de niveau Secret et Très secret doivent être traités, conservés et détruits dans une zone de sécurité, à moins qu’une analyse des menaces et des risques ne recommande un niveau de sécurité plus élevé
  2. Les renseignements et les biens au niveau Protégé C doivent être traités, conservés et détruits dans une zone de sécurité, à moins qu’une analyse des menaces et des risques ne recommande une zone de sécurité plus élevée
  3. Les renseignements et les biens confidentiels doivent être traités, conservés et détruits dans une zone d’opérations ou une zone de sécurité plus élevée
  4. Les renseignements et biens aux niveaux Protégé A et Protégé B doivent être traités, conservés et détruits dans une zone d’opérations ou une zone de sécurité plus élevée

6.3 Gestion des documents

Les organisations doivent disposer d’un lieu approprié, appelé registre, pour recevoir, distribuer et conserver des renseignements et des biens protégés et classifiés.

Les organisations doivent tenir des registres des dates, des noms et des transactions de tous les renseignements et biens classifiés indiquant la réception, la distribution, la création, la reproduction et la destruction au sein de l’installation.

Tous les dossiers de renseignements et de biens classifiés et tous les renseignements et biens classifiés doivent être disponibles pour inspection par les agents locaux de la sécurité industrielle (ALSI) du PSC de SPAC. Sauf indication dans un contrat, les organisations ne sont pas tenues de tenir un registre des renseignements et des biens protégés, à l’exception de la classification Protégé C. Ces renseignements et biens doivent être enregistrés de la même manière que les renseignements et les biens classifiés.

L’utilisation de registres sécurisés et la mise en œuvre de procédures appropriées permettent de protéger tous les renseignements et tous les biens. Ces procédures comprennent le traitement du registre comme une zone de sécurité, la mise en œuvre de mesures qui empêchent l’accès non autorisé, et l’ouverture, la divulgation et le marquage des dossiers avec le niveau de sécurité approprié. (Annexe C : II. Gestion des dossiers)

Les organisations doivent tenir des registres des renseignements et des biens étrangers, sauf disposition contraire dans les clauses du contrat. 

6.3 1 Conservation des dossiers

Lorsqu’une offre n’est pas acceptée, ou lorsque le contrat est terminé ou résilié, le matériel et les biens protégés et classifiés doivent être retournés au ministère client, détruits en faisant appel à une entreprise de destruction tierce agréée, ou être détruits sur place si l’organisation dispose d’une déchiqueteuse approuvée, comme le précise le PSC de SPAC (chapitre 6.10 : Destruction des documents) ou comme le demandent les représentants du PSC de SPAC. Les organisations peuvent être autorisées à conserver certains documents, sur approbation de l’auteur, par l’entremise du PSC de SPAC

Les demandes d’autorisation de conservation doivent définir le matériel, la période et la justification.

Si l’organisation a été autorisée à conserver des renseignements protégés et classifiés pendant une période donnée après l’achèvement du contrat, la demande de conservation doit comprendre les détails de cette autorisation.

À moins que l’autorité de conservation ne soit reçue par écrit, les renseignements protégés et classifiés doivent être éliminés conformément au chapitre 6.10 : Destruction des documents et aux instructions relatives au PSC de SPAC.

6.4 Marquages de sécurité

Les renseignements protégés et classifiés doivent être marqués de manière appropriée au moyen de procédures et de marquages précis en fonction du niveau de sensibilité et du type de support, y compris les microformes et le matériel de stockage électronique.

Le marquage des documents internationaux est régi par des protocoles d’entente, des accords ou d’autres normes et directives internationales en matière de sécurité internationale (annexe C : III. Mentions de sécurité). Veuillez communiquer avec les représentants du PSC de SPAC par courriel au tpsgc.dgsssiprojetintl-dobissintlproject.pwgsc@tpsgc-pwgsc.gc.ca pour obtenir des conseils et une assistance.

6.5 Conservation

Au minimum, lorsqu’ils se trouvent dans une zone d’opérations approuvée, les renseignements et les biens protégés et restreints doivent être rangés dans des conteneurs fermés à clé, comme des armoires, des coffres-forts, des chambres fortes et des salles sécurisées, sauf disposition contraire dans les clauses contractuelles. Les renseignements et biens aux niveaux Protégé C, Secret et Très secret doivent être conservés dans un conteneur de sécurité approuvé dans une zone de sécurité (Chapitre 5.2 : Sécurité physique), conformément au Guide d’équipement de sécurité de la Gendarmerie royale du Canada (GRC). Les renseignements classifiés au niveau Confidentiel doivent être conservés dans un conteneur de la GRC, lorsqu’ils se trouvent dans une zone d’opérations approuvée. Lorsqu’ils sont élaborés selon les spécifications définies dans le Guide des salles d’entreposage sécurisées de la GRC et situés dans les zones appropriées, les renseignements et les biens protégés ou classifiés peuvent être rangés sur des étagères ouvertes dans une salle sécurisée. Les ALSI fourniront des conseils et devront inspecter et approuver les pièces avant leur utilisation.

Les renseignements classifiés étrangers doivent être conservés séparément de toutes les autres formes de renseignements classifiés et protégés étrangers ou nationaux. Les renseignements et les biens protégés et classifiés ne doivent pas être conservés dans la même armoire que les effets négociables ou des biens attrayants.

Les organisations sont autorisées à acheter des équipements de sécurité approuvés par l’intermédiaire de SPAC. L’ASE ou agent de sécurité d'entreprise remplaçant (ASER) doit consulter l’ALSI par courriel au tpsgc.ssidie-issiid.pwgsc@tpsgc-pwgsc.gc.ca pour déterminer l’équipement nécessaire. Une fois la demande approuvée par l’ALSI, SPAC traitera la demande. Toutefois, la facturation et la livraison du matériel incombent à l’acheteur (l’ASE) et au fournisseur. Des exemples d’équipements disponibles par l’intermédiaire de cette procédure sont énumérés à l’annexe C : IV. Conservation.

6.6 Utilisation des ordinateurs

Un ordinateur, y compris les ordinateurs portables, utilisé pour des renseignements protégés ou classifiés ne doit pas être retiré de l’organisation sans l’autorisation écrite de l’ASE ou de l’ASER. Les ordinateurs utilisés pour les renseignements protégés ou classifiés doivent suivre les procédures de sécurité pour l’entreposage établies par l’organisation, ainsi que les normes de transport et de transmission si elles sont retirées de l’organisation. De plus amples renseignements sur la sécurité des technologies de l’information sont disponibles au chapitre 7 : Sécurité des technologies de l’information.

6.7 Emballage et transmission

Lors de la transmission de renseignements et de biens classifiés et protégés, les organisations doivent en protéger la sécurité par un emballage approprié, tenir un registre pendant le transit et la livraison. Communiquez avec les représentants du PSC de SPAC par courriel au tpsgc.ssidie-issiid.pwgsc@tpsgc-pwgsc.gc.ca pour obtenir des renseignements.

Les registres de distribution, de diffusion et de retour dans l’installation doivent comprendre la signature des représentants qui en accusent réception. Les personnes qui ont accès aux renseignements et aux biens classifiés doivent être informées de leurs responsabilités quant à la protection de ces renseignements et biens, ainsi que des restrictions particulières concernant leur utilisation ou leur diffusion.

Les renseignements et les biens protégés et classifiés doivent être emballés et transmis conformément aux normes de la GRC sur le transport et la transmission de renseignements protégés et classifiés et approuvés par les représentants du PSC de SPAC pour la transmission internationale. Le transport en mains propres et l’expédition en vrac de renseignements et de biens protégés et classifiés précis doivent suivre des procédures précises; l’ALSI fournira des conseils et une assistance.

Les organisations peuvent soumettre leurs formulaires de sélection aux représentants du PSC de SPAC par courrier électronique puisqu’il s’agit de renseignements protégés de l’organisation, mais si les renseignements sont protégés en relation avec des contrats, les renseignements protégés doivent être chiffrés avant d’être envoyés par courrier électronique.

Les organisations doivent obtenir l’approbation préalable de l’administration canadienne désignée en matière de sécurité avant de transmettre à l’étranger des renseignements ou des biens protégés ou classifiés. Pour plus de renseignements, communiquez avec les représentants du Programme de sécurité des contrats de SPAC par courriel au tpsgc.dgsssiprojetintl-dobissintlproject.pwgsc@tpsgc-pwgsc.gc.ca.

6.8 Transfert de renseignements et de biens

Au Canada, à l’exception des documents aux niveaux Très secret, Protégé C et sécurité des communications (COMSEC – Communications security), ainsi que de tous les renseignements classifiés de l’OTAN et de l’étranger, les renseignements et biens protégés et classifiés peuvent être transférés d’un site autorisé d’une organisation à un autre site uniquement si ce site a obtenu une autorisation de détenir des renseignements (ADR) au niveau requis. Les ASE et les ASER des deux organisations doivent donner une autorisation écrite et utiliser le mode de transport approuvé dans le cadre du PSC pour échanger des renseignements protégés et classifiés. Les ASE et les ASER des deux organisations doivent également comptabiliser et enregistrer le changement dans le registre des documents.

Les représentants du PSC de SPAC doivent approuver le retrait et le transport de renseignements et de biens aux niveaux Protégé C et COMSEC, ainsi que de tous les renseignements classifiés de l’OTAN, étrangers et canadiens au niveau Confidentiel ou supérieur. Pour plus de renseignements, communiquez avec les représentants du PSC de SPAC par courriel au tpsgc.dgsssiprojetintl-dobissintlproject.pwgsc@tpsgc-pwgsc.gc.ca.

6.9 Communication verbale et par messages

Les téléphones ou télécopieurs non protégés ne peuvent pas être utilisés pour communiquer des renseignements classifiés au-dessus de la catégorie Restreint ou Protégé A. Le Centre de la sécurité des télécommunications (CST) fournira une assistance pour coordonner les téléphones ou télécopieurs sécurisés..

On ne peut discuter des renseignements classifiés que dans une salle qui a été construite de manière à ce que rien ne soit entendu. Toute salle de conférence utilisée pour discuter de questions classifiées doit :

6.10 Destruction des documents

Comme il est indiqué dans les clauses du contrat, les renseignements et les biens protégés et classifiés peuvent être soit retournés au ministère client, soit détruits en faisant appel à une entreprise de destruction tierce agréée, soit l’organisation peut procéder au déchiquetage sur place si elle dispose d’une déchiqueteuse approuvée. La déchiqueteuse d’une organisation sera inspectée par l’ALSI lors de l’inspection liée à l’ADR si une entreprise indique qu’elle effectuera le déchiquetage sur place. Un certificat de destruction est requis pour les renseignements classifiés.

Normalement, les renseignements protégés ou classifiés ne sont pas récupérés dans le cadre du PSC de SPAC, sauf si cela est stipulé dans le contrat, si on le lui demande ou dans certains cas où l’ADR est révoquée.

Tous les renseignements classifiés étrangers doivent être détruits conformément aux clauses contractuelles. Il faut toujours valider avec les représentants du PSC de SPAC avant de détruire des renseignements classifiés étrangers. Les renseignements et les biens étrangers au niveau Restreint doivent également être détruits conformément aux exigences établies dans les clauses contractuelles.

Les renseignements et les biens protégés et classifiés dont la destruction a été autorisée doivent être éliminés conformément aux exigences suivantes :

Remarque

La destruction des renseignements et des biens classifiés doit être consignée dans un certificat de destruction, dont une copie doit être transmise au PSC de SPAC par courriel au tpsgc.dgsssiprojetintl-dobissintlproject.pwgsc@tpsgc-pwgsc.gc.ca.

Date de modification :