Chapitre 5 : Manipulation et sauvegarde des renseignements et des biens classifiés et protégés

Sur cette page

500. Généralités

  1. Le gouvernement du Canada est chargé d'attribuer les cotes de sécurité appropriées à ses renseignements et à ses biens; il doit également faire en sorte que ces cotes soient respectées. Les cotes en usage au gouvernement sont : Protégé A, B et C, ainsi que Confidentiel, Secret et Très secret.

    Lorsqu'on attribue à l'entreprise privée un contrat comprenant la protection de données ou de biens selon une de ces cotes de sécurité, il incombe à l'agent de sécurité d'entreprise (ASE) de consulter le ministère compétent afin de savoir quelle cote de sécurité a été attribuée aux documents internes à l'appui de ce contrat. Leur auteur doit alors veiller à ce que cette cote soit clairement indiquée et à ce que les documents soient protégés comme il se doit.

  2. Les carences dans la manipulation et la protection des renseignements et biens protégés et classifiés sont la principale cause des difficultés qui entraînent la suspension ou la révocation d'une vérification d'organisation désignée (VOD) ou d'une attestation de sécurité d'installation (ASI). En adoptant les procédures décrites dans le présent chapitre, on pourra réduire les risques d'infraction ou de contravention aux règles de la sécurité.
  3. Seules les personnes qui ont passé l'enquête de fiabilité ou ont obtenu une cote de sécurité et qui ont le besoin de connaître peuvent avoir accès à ces renseignements et à ces biens. Il faut prendre des précautions pour s'assurer que les personnes qui n'ont pas d'attestation et qui peuvent se trouver à proximité des renseignements ou des biens visés n'y auront pas accès.
  4. Il faut porter une attention particulière aux exigences relatives au contrôle et à l'enregistrement des renseignements et des biens et aux procédures à appliquer pour les emballer et les transmettre, conformément à la Politique sur la sécurité du gouvernement.
  5. Il existe d'autres exigences pour la manipulation des renseignements et des biens de sécurité des communications (COMSEC), en plus des mesures de protection exposées dans le présent chapitre

    Veuillez consulter le Support COMSEC au secteur privé – Guide de référence pour le gestionnaire de projet. Pour obtenir une copie de ce guide, veuillez communiquer avec le Programme de sécurité des contrats.

501. Mise en garde sur la sécurité pour les publications produites par les entrepreneurs

  1. Lorsque l'entrepreneur produit, pour le compte du gouvernement du Canada, une publication renfermant des renseignements protégés, il faut reproduire la mise en garde suivante sur la page de couverture et la page de titre :

    « Cette publication renferme des renseignements PROTÉGÉS, dont il faut assurer la protection en vertu des dispositions de la Politique sur la sécurité du gouvernement. Elle a été produite par (nom de l'entrepreneur) en vertu des dispositions (du contrat ou de l'autorisation portant le numéro) pour le compte du (gouvernement du Canada ou du ministère, selon le cas). Il est interdit de remettre ou de transmettre cette publication ou les renseignements qu'elle renferme à toute personne qui n'est pas autorisée par l'organisation émettrice. »

  2. Sauf indication contraire du contrat, toutes les publications et brochures et tous les guides classifiés produits par un entrepreneur pour le gouvernement du Canada doivent comprendre, en plus des indicateurs normaux de classification de la sécurité prescrits dans le présent chapitre, la mise en garde suivante, sur la page couverture et la page de titre :

    « Cette publication renferme des renseignements CLASSIFIÉS touchant l'intérêt national du Canada. Elle a été produite par (nom de l'entrepreneur) en vertu des dispositions (du contrat ou de l'autorisation portant le numéro) pour le compte du (gouvernement du Canada ou ministère, le cas échéant) et doit être protégée, manipulée et transportée conformément à la Politique sur la sécurité du gouvernement. La Loi sur la protection de l'information interdit de remettre ou de transmettre cette publication ou les renseignements CLASSIFIÉS qui y sont reproduits à toute personne qui n'est pas autorisée à les recevoir. »

  3. Lorsqu'un entrepreneur produit des publications classifiées pour le compte d'un ministère ou d'une organisation d'un gouvernement étranger, cette mise en garde doit être formulée conformément aux modalités précisées dans les documents contractuels.

    Communiquez avec sécurité des contrats internationaux pour des conseils ou de l'aide.

Pour obtenir de plus renseignements, consulter la Loi sur la protection de l'information.

502. Annotation des renseignements protégés et classifiés

Généralités

Les renseignements protégés et classifiés doivent au moins être annotés conformément aux normes précisées dans le présent manuel.

Annotation

Les organisations doivent appliquer les procédures suivantes pour annoter l'information :

  1. pour les renseignements protégés, inscrire la mention « PROTÉGÉ » dans le coin supérieur droit de la page de couverture du document et, au besoin, les lettres « A », « B » ou « C » pour indiquer le niveau de la cote de protection
  2. pour les renseignements Confidentiels, inscrire la mention « CONFIDENTIEL » dans le coin supérieur droit de chaque page du document
  3. pour les renseignements Secrets, inscrire la mention « SECRET » dans le coin supérieur droit de chaque page du document
  4. pour les renseignements Très secrets, inscrire la mention « TRES SECRET » dans le coin supérieur droit de chaque page du document et indiquer le nombre total de pages sur chaque page de ce document (par exemple, « page 2 de 10 »)
  5. annoter les lettres ou les formulaires d'accompagnement ou de transmission ou les bordereaux de transmission pour indiquer le niveau plus élevé de classification ou de protection des pièces jointes
  6. annoter tous les documents utilisés dans la préparation des renseignements protégés et classifiés, par exemple les notes, les ébauches, les copies conformes et les photocopies
  7. les lettres utilisées dans l'annotation doivent être plus grosses que celles qui dont utilisées dans le texte du document
  8. les formulaires imprimés qui ne deviennent protégés et classifiés que lorsqu'ils sont remplis doivent être annotés comme suit :

    « CONFIDENTIEL »
    (une fois rempli)

  9. en plus d'annoter les différentes pages conformément aux modalités précisées ci-dessus, les documents doivent porter la mention appropriée sur la première et sur la dernière de couverture
  10. les documents en feuilles détachées doivent porter une mention sur chaque feuille
  11. les graphiques, les plans et les dessins, entre autres, doivent porter une mention évidente près de la marge ou du titre; on doit pouvoir lire clairement cette mention lorsque le document est plié
  12. les mentions de sécurité doivent comprendre la cote de classification ou de protection applicable et la date ou l'activité donnant lieu à la déclassification ou la décote du document, s'il est possible de le déterminer à la date à laquelle l'information est créée ou réunie

Annotation des exemplaires

Les organisations doivent appliquer les procédures suivantes pour le contrôle des exemplaires des documents classifiés :

  1. contrôler les exemplaires des documents Confidentiels comme s'il s'agissait de documents Secrets, dans les cas où une évaluation des menaces et des risques le justifie
  2. pour les renseignements Secrets, numéroter chaque exemplaire, inscrire le numéro de l'exemplaire sur la couverture de chaque exemplaire et tenir une liste des destinataires
  3. pour les documents Très secrets, attribuer un numéro entier et unique à chaque exemplaire, en inscrivant ce numéro sur chaque page, et tenir une liste des destinataires. Les destinataires des documents Très secrets ne doivent pas les copier sans l'autorisation expresse de la Direction de la sécurité industrielle canadienne (DSIC)

Annotation des microformulaires

  1. Le terme générique microformulaire désigne tous les supports d'archivage renfermant des micro-images.
  2. Les organisations doivent appliquer les procédures suivantes pour l'annotation des microformulaires :
    1. attribuer une classification de sécurité ou une cote de protection correspondant au niveau supérieur de classification ou de protection des renseignements reproduits dans le microformulaire
    2. annoter les microformulaires comprenant des renseignements protégés en y indiquant la mention « PROTÉGÉ » pour qu'elle soit lisible, de même qu'en rappelant le numéro de chaque microformulaire et le nombre total de microformulaires
    3. annoter les microformulaires comportant des renseignements classifiés en y indiquant la cote de classification adéquate sous une forme lisible, en y indiquant le numéro de chaque microformulaire et le nombre total de microformulaires

Annotation du matériel d'archivage électronique

  1. Il faut attribuer une classification de sécurité et de cote de protection correspondant au niveau supérieur de classification ou de protection des renseignements au matériel électronique sur lequel sont archivés des renseignements protégés et classifiés.
  2. Dans toute la mesure du possible, la mention de sécurité doit être lisible par les personnes comme par les machines. Si cela n'est pas possible, par exemple pour certains types de disques durs, la mention de sécurité doit être lisible à la machine.
  3. Le matériel d'archivage électronique comprend les disquettes, les disques durs (amovibles et permanents), les cartouches d'archivage, les imprimés d'ordinateur, les terminaux à écran, les bandes et les cassettes magnétiques, de même que les cartes et les bandes perforées.
  4. Le matériel d'archivage amovible devrait porter des étiquettes normalisées. Si on autorise l'invalidation de l'étiquetage, il faut appliquer des procédures pour s'assurer qu'on archive les bons renseignements sur l'ordinateur.

    Consulter le Chapitre 8 : Sécurité de la technologie de l'information du présent manuel.

  5. La DSIC peut donner certains conseils sur la manière d'annoter les différents formulaires d'archivage électronique.

Documentation internationale

Les documents doivent être annotés conformément aux protocoles d'entente, aux accords ou autres normes et lignes directrices internationales sur la sécurité.

Communiquez avec sécurité des contrats internationaux pour des conseils ou de l'aide.

503. Gestion des dossiers

Généralités

Les organisations doivent conserver les dossiers en se dotant d'installations adéquates, par exemple un bureau d'archivage, pour recevoir, distribuer et archiver ou conserver les renseignements et les biens protégés et classifiés.

Enregistrement des renseignements et des biens protégés

Sauf indication expresse dans un contrat, il n'est pas nécessaire de tenir des registres de renseignements et de biens protégés, à l'exception des renseignements et des biens Protégé C, qui doivent être enregistrés comme des renseignements et des biens classifiés. Les personnes qui reçoivent des renseignements et des biens protégés ou qui y ont accès doivent participer à une séance d'information sur leurs responsabilités en ce qui concerne la protection de ces renseignements et de ces biens.

Enregistrement des renseignements et des biens classifiés

On doit tenir le registre des dates, des noms et des opérations pour tous les renseignements et les biens classifiés; ce registre doit indiquer :

  1. réception dans les installations
  2. distribution dans les installations
  3. création dans les installations
  4. reproduction dans les installations
  5. destruction dans les installations
  6. transmission en dehors des installations
    • Lorsqu'on transmet des renseignements et des biens en dehors des installations, il faut respecter les modalités de la section 506. Emballage et transmission des renseignements et des biens classifiés et protégés du présent chapitre. Les registres faisant état de la distribution, de la diffusion et du retour dans les installations doivent comprendre la signature des responsables qui en accusent réception. Les personnes qui ont accès à des renseignements et à des biens classifiés doivent participer à une séance d'information sur leurs responsabilités en ce qui concerne la protection de ces renseignements et de ces biens et toutes les restrictions particulières concernant leur utilisation ou leur diffusion
  7. Tous les registres de renseignements et de biens classifiés et tous les renseignements et biens classifiés doivent pouvoir être inspectés par les agents locaux de la sécurité industrielle de la DSIC

Sécurité du bureau d'archivage

Dans la gestion des bureaux d'archivage ou de certaines parties de ces bureaux, dans lesquels on conserve ou traite des renseignements protégés, on doit veiller à appliquer les procédures suivantes :

  1. ces bureaux doivent être gérés, à tout le moins, comme des zones de sécurité
  2. les employés des bureaux d'archivage qui ont accès à des renseignements protégés et classifiés doivent être titulaires d'une attestation de sécurité au niveau de fiabilité ou d'une attestation de sécurité du personnel au niveau supérieur exigé
  3. les documents protégés et classifiés doivent être classés et diffusés dans des chemises annotées et indiquant clairement qu'elles renferment ce type de documents
  4. on doit indiquer sur les dossiers la cote de sécurité la plus élevée des documents qui y sont conservés
  5. les zones où l'on dépouille le courrier doivent être gérées conformément aux normes de sécurité sur les salles de courrier. Consulter la section sur la Sécurité des zones dans lesquelles on dépouille le courrier ci-dessous
  6. seuls les employés qui justifient de l'attestation de sécurité au niveau de fiabilité et le besoin connaître peuvent emporter des dossiers protégés hors des bureaux d'archivage
  7. seuls les employés titulaires de la cote de sécurité voulue et le besoin de connaître peuvent emporter des dossiers Confidentiels hors des bureaux d'archivage
  8. seuls les employés justifiant des cotes de sécurité voulues et le besoin de connaître peuvent emporter les dossiers Très secrets et Secrets hors des bureaux d'archivage. Les membres du personnel titulaires de ces droits d'accès doivent être inscrits dans une liste approuvée par le gestionnaire compétent (par exemple, le gestionnaire du projet)
  9. les renseignements classifiés d'origine étrangère doivent faire l'objet des mêmes mesures de protection que les renseignements canadiens de classification équivalente. En cas de doute, communiquez avec sécurité des contrats internationaux pour des conseils ou de l'aide
  10. il faut prendre des précautions particulières pour éviter de diffuser sans autorisation, auprès de citoyens étrangers, des renseignements et des biens classifiés ou pour empêcher qu'ils y aient accès :
    • ces citoyens ne doivent pas avoir accès à des renseignements portant des mentions restrictives comme « RÉSERVÉS AUX CANADIENS » sans l'approbation préalable de la DSIC
    • d'autres restrictions peuvent s'appliquer aux contrats, aux programmes ou aux projets bilatéraux et/ou multinationaux. En cas de doute, veuillez contacter la DSIC

Sécurité des zones dans lesquelles on dépouille le courrier

Les zones dans lesquelles on dépouille le courrier doivent être gérées comme des zones de sécurité ou des zones de haute sécurité. Le courrier portant la mention « Ne doit être ouvert que par le destinataire » doit être livré directement à ce destinataire. Le courrier classifié ne doit être ouvert que par le responsable désigné pour l'enregistrement de ce courrier dans les installations.

504. Protection des renseignements et des biens

Archivage

  1. Les renseignements protégés et les biens protégés doivent être conservés, à tout le moins, dans un contenant fermant à clé. Les renseignements et les biens Protégé C et tous les renseignements classifiés doivent être conservés dans une armoire de sécurité approuvée et conforme au Guide d'équipement de sécurité (G1-001) émis par la sous-direction de la sécurité technique de la Gendarmerie Royale du Canada. Les renseignements et les biens protégés ou classifiés peuvent être conservés sur des étagères libres dans une salle protégée, uniquement après une inspection et avec l'approbation de la DSIC et seulement au niveau approuvé par cette dernière.
  2. Les renseignements et les biens protégés et classifiés ne doivent pas être conservés dans la même armoire que des effets négociables ou des biens attrayants.
  3. Les organisations qui doivent conserver des renseignements et des biens protégés et classifiés peuvent acheter l'équipement de sécurité approuvé par l'entremise de Services publics et Approvisionnement Canada. En collaboration avec l'agent local de la sécurité industrielle, l'ASE ou son substitut doit déterminer l'équipement permettant de répondre aux exigences précisées et soumettre une demande à l'agent local de la sécurité industrielle à l'aide de l'Annexe 5-A : Formulaire de document de demande d'inscription pour l'achat d'équipement du présent chapitre. Lorsque l'agent local de la sécurité industrielle a donné son accord, Services publics et Approvisionnement Canada traite la demande, toutefois, en ce qui concerne le paiement et consigne pour la livraison de l'équipement, ceci tombe sous la responsabilité de l'entreprise (l'ASE) et du fournisseur. Le lecteur trouvera, dans l'Annexe 5-B : Matériel de sécurité approuvé offert en vente aux organismes de ce chapitre, des exemples de biens d'équipement qu'on peut acheter conformément à cette procédure.

Clés pour les armoires

  1. Les clés (et les dispositifs comme les instruments, les cartes, les combinaisons et les numéros de code utilisés pour ouvrir et fermer les armoires) doivent être protégées selon le niveau supérieur de confidentialité des renseignements ou des biens auxquels elles donnent accès. Ces modalités s'appliquent également aux renseignements enregistrés qui permettraient de produire des clés.
  2. Lorsqu'on remet des clés, on doit demander à la personne qui les reçoit d'apposer sa signature dans un registre. On doit noter dans ce registre, que l'ASE doit conserver, le numéro des clés, les coordonnées des armoires qu'elles permettent d'ouvrir et les noms des destinataires de ces clés.
  3. Le bureau de sécurité de l'organisation doit conserver un registre des dates de changement de clé et des motifs expliquant ces changements.
  4. Il faut changer les clés confiées à des employés :
    1. au moins une fois tous les 12 mois
    2. lorsque les employés qui ont accès aux armoires sont mutés, congédiés ou n'ont plus à y avoir accès

    On doit en changer immédiatement les clés lorsqu'on a tenté ou qu'on a pu essayer d'ouvrir une armoire.

Précautions à prendre pendant l'utilisation

Il faut prendre des mesures particulières pour protéger les renseignements et les biens protégés et classifiés contre la divulgation et l'accès sans autorisation lorsqu'on les sort des armoires ou des contenants approuvés. Voici les points particuliers à observer :

  1. on ne doit pas laisser sans surveillance des renseignements et des biens protégés et classifiés
  2. on doit s'assurer que les personnes qui ne sont pas titulaires de l'attestation de sécurité ou de la cote de fiabilité voulue ou qui n'ont pas le besoin de connaître ne peuvent pas consulter les renseignements et les biens protégés et classifiés ou entendre des discussions à ce sujet

505. Utilisation des ordinateurs portatifs

  1. Dans l'éventualité où il faut utiliser des ordinateurs portatifs pour traiter des renseignements protégés ou classifiés, ces ordinateurs ne doivent pas être enlevés de l'organisation qui possède l'attestation de sécurité d'installation (ASI) ou la vérification de l'organisation désignée (VOD). Dans l'éventualité où il serait nécessaire de transporter ces mêmes ordinateurs portatifs, il faut obtenir une permission écrite de l'ASE ou d'un agent de sécurité d'entreprise remplaçant (ASER) par le biais de l'Annexe 5-D : Appendice A-1 – Formulaire d'ordre de mission du messager.
  2. L'entreposage des ordinateurs portatifs qui traitent des renseignements protégés ou classifiés doit être conforme aux procédures de sécurité mises en œuvre par l'organisation pour le niveau de sensibilité des renseignements.

506. Emballage et transmission des renseignements et des biens classifiés et protégés

  1. La sécurité des renseignements et des biens protégés et classifiés pendant la transmission dépend :
    1. de la qualité de l'emballage
    2. du relevé en cours de transport
    3. du relevé de livraison
    4. de la transmission par un service postal approuvé ou par un messager titulaire d'une attestation de sécurité. Veuillez contacter la Direction de la sécurité industrielle internationale en ce qui concerne les services postaux approuvés et les messagers titulaires d'une attestation de sécurité
  2. Les renseignements et les biens protégés et classifiés doivent être emballés et transmis conformément aux normes exposées dans l'Annexe 5-C : Normes applicables à la transmission de renseignements et de biens protégés et classifiés.
  3. En outre, il faut prendre des procédures particulières pour le transport en mains propres et/ou l'expédition en vrac de certains renseignements et biens protégés et classifiés. Ces procédures sont précisées dans les annexes et les appendices suivantes :

507. Enlèvement temporaire de renseignements et de biens classifiés et protégés

  1. On ne peut emporter, hors des établissements d'une organisation, pour les transporter ou s'en servir hors du Canada, des renseignements ou des biens protégés et classifiés sans l'approbation préalable de la Direction de la Sécurité Industrielle Canadienne (DSIC).
  2. Au Canada, à l'exception du matériel Très secret, Protégé C et COMSEC, on peut emporter temporairement, en dehors des établissements d'une organisation, des renseignements et des biens protégés et classifiés. Il faut demander l'autorisation écrite de l'ASE ou de l'ASER autorisé par le biais de l'Annexe 5-D : Appendice A-1 – Formulaire d'ordre de mission du messager.
  3. L'ASE ou l'ASER enregistre les renseignements et les biens à emporter et se font délivrer un accusé de réception.
  4. Si on autorise l'enlèvement, du jour au lendemain, de renseignements et de biens protégés et classifiés, il faut faire savoir à l'employé qu'il ne s'agit pas d'une autorisation permanente et que les renseignements et les biens visés doivent rester en sa possession en permanence.
  5. L'ASE ou l'ASER doit justifier et enregistrer le matériel lorsqu'il est retourné et remettre à l'employé un accusé de réception du matériel retourné.

508. Reproduction

  1. Les reproductions de documents protégés doivent être annotées selon les mêmes modalités que des originaux. Les renseignements classifiés ne doivent être reproduits qu'avec l'autorisation de l'ASE ou d'un ASER autorisé. Les documents reproduits doivent être annotés, enregistrés et justifiés selon les mêmes modalités que les originaux.
  2. Certains documents classifiés portent une mise en garde qui en interdit ou en restreint la reproduction. Il faut alors demander l'autorisation de l'auteur avant de les reproduire. On ne doit jamais reproduire, sans l'autorisation écrite de la DSIC, des documents Très secrets, Protégé C et COMSEC.
  3. Il faut prendre des précautions particulières lorsqu'on se sert de photocopieurs. On doit apposer bien en vue, près de chaque photocopieur, les avis portant sur la marche à suivre pour la reproduction des documents. Il faut veiller à s'assurer qu'on ne laisse pas de documents originaux sur les photocopieurs et qu'on enlève toutes les copies, y compris les documents à jeter.
  4. Les contrats d'impression et/ou de microfichage des documents protégés et classifiés ne doivent être attribués qu'à des entreprises commerciales titulaires de l'ASI ou de la VOD voulue.

509. Reclassification et déclassification

  1. Les documents dont les mentions de classification prévoient un calendrier de déclassification ou de décote peuvent être déclassifiés ou décotés selon ce calendrier, sauf si on a reçu un avis produisant l'effet contraire. Les documents qui ne comportent pas ces mentions ne peuvent être déclassifiés ou décotés qu'après avoir reçu l'autorisation écrite de l'auteur par l'entremise de la DSIC.
  2. Lorsqu'une organisation considère que des documents étrangers ou Organisation du traité de l'Atlantique nord (OTAN) classifiés devraient être déclassifiés ou décotés, elle doit soumettre à la Direction de la sécurité industrielle internationale une demande écrite comportant des détails complets, y compris une justification.
  3. Lorsque la DSIC transmet un avis officiel autorisant la reclassification d'un document, tous les exemplaires doivent être annotés de nouveau et porter la nouvelle mention de classification, à savoir:

    Document déclassifié
    ou
    Document décoté au niveau (insérer la nouvelle classification)
    ou
    Document surcoté au niveau (insérer la nouvelle classification)
    en vertu des pouvoirs de la lettre de Services publics et Approvisionnement Canada en date du (insérer la date)
    ou
    en vertu des pouvoirs de la Liste de vérification des exigences relatives à la sécurité en date du (insérer la date)
    ou
    en vertu des pouvoirs du contrat en date du (insérer la date)

510. Conservation

  1. Les documents et les biens protégés et classifiés doivent, lorsqu'une proposition n'est pas acceptée ou à la fin d'un contrat, être rendus à la DSIC pour élimination, ou encore, avec l'accord écrit de la DSIC, être détruits par l'organisation ou être retournés à l'auteur. Sur demande, les organisations peuvent être autorisées à conserver ces documents avec l'approbation de l'auteur, et livrée par l'entremise de la DSIC.
  2. Les demandes d'autorisation de conservation doivent faire état :
    • des documents visés
    • de la période pendant laquelle ils seront conservés
    • de la raison justifiant leur conservation

    Si l'organisation a été autorisée à conserver des documents protégés et classifiés pour une durée précise après la fin du contrat, la demande de conservation doit comprendre des détails sur cette autorisation.

  3. À moins de recevoir par écrit l'autorisation permettant de les conserver, les documents protégés et classifiés doivent être éliminés conformément aux dispositions du présent manuel et aux instructions de la DSIC.

511. Destruction

  1. Sauf indication contraire, il faut retourner à la DSIC, pour élimination, les renseignements et les biens Protégé C, Très secret, COMSEC et les renseignements et les biens étrangers classifiés.
  2. Sauf indication contraire, l'organisation peut, avec l'approbation de la DSIC, détruire les renseignements et les biens Protégés A et B, Secrets, et Confidentiels d'origine canadienne.

    Nota : il faut noter la destruction des renseignements et des biens classifiés dans un certificat de destruction, dont un exemplaire doit être transmis à la Section du contrôle des documents de la DSIC.

  3. Il faut éliminer conformément aux dispositions suivantes les renseignements et les biens protégés et classifiés dont on a autorisé la destruction :
    1. on ne doit les détruire qu'à l'aide de biens d'équipement de destruction approuvés ou dans un établissement autorisé par la DSIC
    2. les renseignements qui attendent d'être détruits ou qu'on achemine à l'établissement où ils seront détruits doivent être protégés selon les modalités prescrites pour les renseignements et les biens comportant la plus haute de protection et de classification
    3. les renseignements et les biens protégés et classifiés qu'on attend de détruire doivent être conservés à part des autres renseignements et biens à détruire
    4. un employé possédant l'attestation de sécurité ou de fiabilité voulue, selon le cas, doit surveiller la destruction des renseignements protégés ou classifiés, respectivement
    5. les exemplaires excédentaires et les documents à jeter qui pourraient comprendre des renseignements protégés et classifiés doivent être protégés selon le niveau de classification voulu et être détruits rapidement

512. Règles de sécurité : contraventions, violations et compromissions

  1. Les organisations doivent instituer une procédure pour s'assurer d'enregistrer les cas présumés ou réels de contraventions à la sécurité, de violations et de compromissions relativement aux règles de sécurité et les signaler immédiatement à l'ASE. Elles doivent conserver les dossiers pendant 2 ans suivant les incidents; ces dossiers doivent pouvoir être inspectés par l'agent local de la sécurité industrielle.
  2. Lorsqu'on lui signale ces cas, l'ASE doit immédiatement procéder à une enquête préalable sur l'incident afin de connaître toutes les circonstances et de répondre aux questions suivantes :
    1. Quelle est la nature de l'incident et quand et où s'est-il produit?
    2. Qui l'a signalé et à qui et quand l'a-t-il fait?
    3. Quels sont les renseignements ou les biens visés (dans les détails)?
    4. Quel est la mention de sécurité et quelle est la description des renseignements ou des biens visés?
    5. Qui est l'auteur des documents ou l'émetteur des biens?
    6. Quand, pendant combien de temps et dans quels cas les renseignements et les biens ont-ils été vulnérables à la divulgation sans autorisation et à qui ont-ils été communiqués ou transmis?
    7. Quelles mesures a-t-on prises pour protéger les renseignements ou les biens et limiter les dégâts?
    8. A-t-on perdu des renseignements ou des biens ou a-t-il été impossible de les justifier?
  3. Lorsque les résultats de l'enquête préliminaire révèlent une violation ou une compromission présumée ou réelle relativement aux renseignements et aux biens, l'ASE doit prévenir immédiatement la DSIC. Il doit lui transmettre, le plus rapidement possible, un rapport complet sur l'enquête préalable, de même que tous les résultats de l'enquête ultérieure.

513. Communication de vive voix et transmission des messages

  1. Il en faut pas se servir de téléphones ou de télécopieurs non protégés pour transmettre des renseignements classifiés ou de nature délicate. Il faut coordonner par l'entremise du Centre de la sécurité des télécommunications (CST) les besoins en téléphones et en télécopieurs protégés.
  2. Toutes les salles de conférence utilisées pour discuter de renseignements classifiés doivent être :
    1. des locaux de réunion sécurisés, aménagés dans une zone de sécurité ou à haute sécurité
    2. protégées contre l'écoute acoustique ou électronique et ne pas comprendre d'appareils comme :
      1. des téléphones
      2. des intercoms
      3. des radios
      4. des magnétoscopes à cassettes

Annexes

Date de modification :