Chapitre 6 : Manipulation et protection de renseignements et de biens
Utilisez ce chapitre conjointement avec l'Annexe C : Lignes directrices sur la protection des renseignements et des biens
Sur cette page
6.1 Aperçu
Lorsqu'une organisation est autorisée aux termes du programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada à posséder et à stocker des renseignements et des biens protégés ou classifiés (sous-section 3.2.2 : Mesures de sécurité), elle doit disposer d'un système de sécurité des biens qui va :
- définir les responsabilités de la direction et du personnel
- déterminer les biens nécessitant des mesures de protection
- établir un registre de documents, qui comprend la tenue d'un inventaire, la notification et le traitement des incidents de sécurité, ainsi que la tenue d'une évaluation des menaces et des risques
- préciser les mesures adéquates pour la sécurité du personnel et des biens matériels
L'accès aux renseignements et aux biens protégés et classifiés doit être limité aux personnes disposant du niveau de sécurité approprié et qui ont besoin de savoir.
Ces exigences s'appliquent également à toute information étrangère classifiée et classifiée de l'Organisation du Traité de l'Atlantique Nord (OTAN), en plus des autres exigences de l'OTAN (chapitre 10.2 : Organisation du Traité de l'Atlantique Nord). Les principes de protection des renseignements classifiés énoncés dans ce chapitre s'appliquent aux renseignements gouvernementaux étrangers ou nationaux, ainsi qu'aux renseignements classifiés de l'OTAN, de l'Union européenne et de l'Agence spatiale européenne.
La manipulation et la protection inappropriées de renseignements et de biens protégés et classifiés pourraient entraîner la suspension ou la révocation de la vérification d'organisation désignée (VOD) ou d'une l'attestation de sécurité d'installation (ASI) d'une organisation, ou de la cote de fiabilité ou de l'autorisation de sécurité d'un employé, selon la situation. La révocation ou la suspension d'une VOD ou d'une ASI peut entraîner la perte de tout contrat gouvernemental exigeant que l'organisation détienne un statut de contrôle de sécurité.
Les sections suivantes donnent un aperçu de chaque exigence relative à la protection des renseignements et des biens protégés et classifiés. L'annexe C : Lignes directrices sur la protection des renseignements et des biens fournit des détails supplémentaires sur ces exigences et doit être lue conjointement avec le présent chapitre. Ces mesures s'appliquent à toute information qui est copiée ou traduite, qui conserve le niveau de catégorisation de sécurité de l'information originale. Des instructions précises sur la possibilité de copier ou de traduire les renseignements peuvent être fournies dans le contrat ou dans les instruments de sécurité bilatéraux.
6.2 Environnement sécurisé
Dans un environnement de bureau, les organisations doivent utiliser des zones restreintes pour protéger les renseignements et les biens. Des procédures de sécurité appropriées garantissent que les renseignements et les biens ne sont accessibles qu'aux personnes autorisées au niveau de sécurité approprié et ayant besoin de savoir, qu'ils ne sont pas laissés sans surveillance et qu'ils sont enregistrés, conservés et éliminés de manière appropriée. (Annexe C : I. Environnement sécurisé)
6.2.1 Exigences relatives au niveau de sécurité
Le niveau de sécurité détermine les exigences en matière de manipulation, de conservation, de marquage et d'élimination des renseignements et des biens protégés et classifiés. Des enseignements sur les types de zones de sécurité sont disponibles dans l'annexe B : Lignes directrices pour la protection des installations.
- Les renseignements et biens de niveau Secret et Très secret doivent être traités, conservés et détruits dans une zone de sécurité, à moins qu'une analyse des menaces et des risques ne recommande un niveau de sécurité plus élevé
- Les renseignements et les biens au niveau Protégé C doivent être traités, conservés et détruits dans une zone de sécurité, à moins qu'une analyse des menaces et des risques ne recommande une zone de sécurité plus élevée
- Les renseignements et les biens confidentiels doivent être traités, conservés et détruits dans une zone de travail ou une zone de sécurité plus élevée
- Les renseignements et biens aux niveaux Protégé A et Protégé B doivent être traités, conservés et détruits dans une zone de travail ou une zone de sécurité plus élevée
6.3 Gestion des documents
Les organisations doivent disposer d'un lieu approprié, appelé registre, pour recevoir, distribuer et conserver des renseignements et des biens protégés et classifiés.
Les organisations doivent tenir des registres des dates, des noms et des transactions de tous les renseignements et biens classifiés indiquant la réception, la distribution, la création, la reproduction et la destruction au sein de l'installation.
Tous les dossiers de renseignements et de biens protégés/classifiés et tous les renseignements et biens protégés/classifiés doivent être disponibles pour inspection par les agents locaux de la sécurité industrielle (ALSI) du PSC.
L'utilisation de registres sécurisés et la mise en œuvre de procédures appropriées permettent de protéger tous les renseignements et tous les biens. Ces procédures comprennent le traitement du registre comme une zone de sécurité, la mise en œuvre de mesures qui empêchent l'accès non autorisé, et l'ouverture, la divulgation et le marquage des dossiers avec le niveau de sécurité approprié. (Annexe C : II. Gestion des dossiers)
Les organisations doivent tenir des registres des renseignements et des biens étrangers, sauf disposition contraire dans les clauses du contrat.
6.3.1 Conservation des dossiers
Lorsqu'une offre n'est pas acceptée, ou lorsque le contrat est terminé ou résilié, le matériel et les biens protégés et classifiés doivent être retournés au ministère client, détruits en faisant appel à une entreprise de destruction tierce agréée, ou être détruits sur place si l'organisation dispose d'une déchiqueteuse approuvée, comme le précise le PSC (chapitre 6.10 : Destruction des documents) ou comme le demandent les représentants du PSC. Les organisations peuvent être autorisées à conserver certains documents, sur approbation de l'auteur, par l'entremise du PSC.
Les demandes d'autorisation de conservation doivent définir le matériel, la période et la justification.
Si l'organisation a été autorisée à conserver des renseignements protégés et classifiés pendant une période donnée après l'achèvement du contrat, la demande de conservation doit comprendre les détails de cette autorisation.
À moins que l'autorité de conservation ne soit reçue par écrit, les renseignements protégés et classifiés doivent être éliminés conformément au chapitre 6.10 : Destruction des documents et aux instructions relatives au PSC.
6.4 Marquages de sécurité
Les renseignements protégés et classifiés doivent être marqués de manière appropriée au moyen de procédures et de marquages précis en fonction du niveau de sensibilité et du type de support, y compris les microformes et le matériel de stockage électronique.
Le marquage des documents internationaux est régi par des protocoles d'entente, des accords ou d'autres normes et directives internationales en matière de sécurité internationale (annexe C : III. Mentions de sécurité). Veuillez communiquer avec les représentants du PSC par courriel au tpsgc.dgsssiprojetintl-dobissintlproject.pwgsc@tpsgc-pwgsc.gc.ca pour obtenir des conseils et une assistance.
6.5 Conservation
Au minimum, lorsqu'ils se trouvent dans une zone de travail approuvée, les renseignements et les biens protégés et restreints doivent être rangés dans des conteneurs fermés à clé, comme des armoires, des coffres-forts, des chambres fortes et des salles sécurisées, sauf disposition contraire dans les clauses contractuelles. Les renseignements et biens aux niveaux Protégé C, Secret et Très secret doivent être conservés dans un conteneur de sécurité approuvé dans une zone de sécurité (Chapitre 5.2 : Sécurité physique), conformément au Guide d'équipement de sécurité de la Gendarmerie royale du Canada (GRC). Les renseignements classifiés au niveau Confidentiel doivent être conservés dans un conteneur de la GRC, lorsqu'ils se trouvent dans une zone de travail approuvée. Lorsqu'ils sont élaborés selon les spécifications définies dans le Guide des salles d'entreposage sécurisées de la GRC et situés dans les zones appropriées, les renseignements et les biens protégés ou classifiés peuvent être rangés sur des étagères ouvertes dans une salle sécurisée. Les ALSI fourniront des conseils et devront inspecter et approuver les pièces avant leur utilisation.
Les renseignements classifiés étrangers doivent être conservés séparément de toutes les autres formes de renseignements classifiés et protégés étrangers ou nationaux. Les renseignements et les biens protégés et classifiés ne doivent pas être conservés dans la même armoire que les effets négociables ou des biens attrayants.
Les organisations sont autorisées à acheter des équipements de sécurité approuvés par l'intermédiaire de PSC. L'agent de sécurité d'entreprise (ASE) ou agent de sécurité d'entreprise remplaçant (ASER) doit consulter l'ALSI par courriel au tpsgc.ssidie-issiid.pwgsc@tpsgc-pwgsc.gc.ca pour déterminer l'équipement nécessaire. Une fois la demande approuvée par l'ALSI, le PSC traitera la demande. Toutefois, la facturation et la livraison du matériel incombent à l'acheteur (l'ASE) et au fournisseur. Des exemples d'équipements disponibles par l'intermédiaire de cette procédure sont énumérés à l'annexe C : IV. Conservation.
6.6 Utilisation des ordinateurs
Un ordinateur, y compris les ordinateurs portables, utilisé pour des renseignements protégés ou classifiés ne doit pas être retiré de l'organisation sans l'autorisation écrite de l'ASE ou de l'ASER. Les ordinateurs utilisés pour les renseignements protégés ou classifiés doivent suivre les procédures de sécurité pour l'entreposage établies par l'organisation, ainsi que les normes de transport et de transmission si elles sont retirées de l'organisation. De plus amples renseignements sur la sécurité des technologies de l'information sont disponibles au chapitre 7 : Sécurité des technologies de l'information.
6.7 Emballage et transmission
Lors de la transmission de renseignements et de biens classifiés et protégés, les organisations doivent en protéger la sécurité par un emballage approprié, tenir un registre pendant le transit et la livraison. Communiquez avec les représentants du PSC par courriel au tpsgc.ssidie-issiid.pwgsc@tpsgc-pwgsc.gc.ca pour obtenir des renseignements.
Les registres de distribution, de diffusion et de retour dans l'installation doivent comprendre la signature des représentants qui en accusent réception. Les personnes qui ont accès aux renseignements et aux biens classifiés doivent être informées de leurs responsabilités quant à la protection de ces renseignements et biens, ainsi que des restrictions particulières concernant leur utilisation ou leur diffusion.
Les renseignements et les biens protégés et classifiés doivent être emballés et transmis conformément aux normes de la GRC sur le transport et la transmission de renseignements protégés et classifiés et approuvés par les représentants du PSC pour la transmission internationale. Le transport en mains propres et l'expédition en vrac de renseignements et de biens protégés et classifiés précis doivent suivre des procédures précises; l'ALSI fournira des conseils et une assistance.
Les organisations peuvent soumettre leurs formulaires de sélection aux représentants du PSC par courriel puisqu'il s'agit de renseignements protégés de l'organisation, mais si les renseignements sont protégés en relation avec des contrats, les renseignements protégés doivent être chiffrés avant d'être envoyés par courriel.
Les organisations doivent obtenir l'approbation préalable de l'administration canadienne désignée en matière de sécurité avant de transmettre à l'étranger des renseignements ou des biens protégés ou classifiés. Pour plus de renseignements, communiquez avec les représentants du PSC par courriel au tpsgc.dgsssiprojetintl-dobissintlproject.pwgsc@tpsgc-pwgsc.gc.ca.
6.8 Transfert de renseignements et de biens
Si une organisation prévoit de transférer des renseignements ou des biens protégés et/ou classifiés d'un site à un autre, l'organisation doit s'assurer que les sites sont dotés de l'autorisation de détenir des renseignements (ADR) et de la technologie de l’information (le cas échéant) pour ce contrat précis avant le transfert. Il convient de noter que ce transfert ne peut avoir lieu qu'au Canada et qu'il ne concerne pas les documents Très secret, Protégé C, le matériel de sécurité des communications (COMSEC) ni les renseignements/biens classifiés de l'OTAN ou d'un autre pays. L'ASE et les ASER de l'organisation doivent utiliser une méthode de transport approuvée par le PSC pour l'échange, ainsi que rendre compte du changement et le consigner dans le registre des documents.
Les représentants du PSC doivent approuver le retrait et le transport de renseignements et de biens aux niveaux Protégé C et COMSEC, ainsi que de tous les renseignements classifiés de l'OTAN, étrangers et canadiens au niveau Confidentiel ou supérieur. Pour plus de renseignements, communiquez avec les représentants du PSC par courriel au tpsgc.dgsssiprojetintl-dobissintlproject.pwgsc@tpsgc-pwgsc.gc.ca.
6.9 Communication verbale et par messages
Les téléphones ou télécopieurs non protégés ne peuvent pas être utilisés pour communiquer des renseignements classifiés au-dessus de la catégorie Restreint ou Protégé A. Le Centre de la sécurité des télécommunications fournira une assistance pour coordonner les téléphones ou télécopieurs sécurisés.
On ne peut discuter des renseignements classifiés que dans une salle qui a été construite de manière à ce que rien ne soit entendu. Toute salle de conférence utilisée pour discuter de questions classifiées doit :
- être construite comme une aire insonorisée, comme indiqué dans le contrat
- avoir des zones sensibles situées dans une zone de sécurité ou de haute sécurité (annexe B : Lignes directrices pour la protection des installations)
- être protégée contre les écoutes acoustiques ou électroniques et ne doivent pas contenir de dispositifs électroniques non approuvés tels que des téléphones, des interphones, des radios ou des magnétophones
6.10 Destruction des documents
Comme il est indiqué dans les clauses du contrat, les renseignements et les biens protégés et classifiés peuvent être soit retournés au ministère client, soit détruits en faisant appel à une entreprise de destruction tierce agréée, soit l'organisation peut procéder au déchiquetage sur place si elle dispose d'une déchiqueteuse approuvée. La déchiqueteuse d'une organisation sera inspectée par l'ALSI lors de l'inspection liée à l'ADR si une entreprise indique qu'elle effectuera le déchiquetage sur place. Un certificat de destruction est requis pour les renseignements classifiés.
Normalement, les renseignements protégés ou classifiés ne sont pas récupérés dans le cadre du PSC, sauf si cela est stipulé dans le contrat, si on le lui demande ou dans certains cas où l'ADR est révoquée.
Tous les renseignements classifiés étrangers doivent être détruits conformément aux clauses contractuelles. Il faut toujours valider avec les représentants du PSC avant de détruire des renseignements classifiés étrangers. Les renseignements et les biens étrangers au niveau Restreint doivent également être détruits conformément aux exigences établies dans les clauses contractuelles.
Les renseignements et les biens protégés et classifiés dont la destruction a été autorisée doivent être éliminés conformément aux exigences suivantes :
- destruction par de l'équipement de destruction agréé, ou dans une installation avec une ADR autorisée dans le cadre du PSC
- protection en fonction du niveau le plus élevé des biens concernés en attendant leur destruction ou en transit vers celle-ci
- séparation des autres renseignements et des biens en attente de destruction
- contrôle par un employé ayant une cote de fiabilité ou une autorisation de sécurité appropriée, selon le cas
- les copies excédentaires et les déchets qui pourraient comprendre des renseignements protégés ou classifiés doivent être protégés selon le niveau adéquat et être détruits rapidement
Remarque
La destruction des renseignements et des biens classifiés doit être consignée dans un certificat de destruction, dont une copie doit être transmise au PSC par courriel au tpsgc.dgsssiprojetintl-dobissintlproject.pwgsc@tpsgc-pwgsc.gc.ca.
- Date de modification :