Exigences de sécurité relatives aux lieux de travail

Voici comment le Programme de sécurité des contrats aidera votre organisation à respecter les exigences de sécurité visant votre lieu de travail et à obtenir une autorisation de détenir des renseignements.

Sur cette page

Pourquoi devez-vous sécuriser votre lieu de travail

Un lieu de travail sécurisé est conçu pour empêcher ou retarder l'accès non autorisé aux aires de travail, aux renseignements et aux biens de nature délicate, et pour permettre une intervention en cas d'accès non autorisé.

Si un contrat exige que votre organisation entrepose des renseignements et des biens de nature délicate du gouvernement, vous devez obtenir une autorisation de détenir des renseignements délivrée par l'intermédiaire du Programme de sécurité des contrats.

Inspections sur place

Le personnel du Programme réalisera une inspection du lieu de travail avant d'accorder une autorisation de détenir des renseignements. Cette inspection permettra de déterminer les mesures à prendre pour sécuriser votre lieu de travail ainsi que les renseignements et les biens.

Avant l'inspection : à quoi s'attendre

Pour se préparer à l'inspection, l'agent régional de la sécurité industrielle relevant du Programme examinera :

On vous demandera d'examiner un ensemble de directives sur la sécurité et de remplir les formulaires nécessaires de même qu'un questionnaire préalable à l'inspection. L'agent régional de la sécurité industrielle vous demandera également un plan d'étage détaillé pour effectuer l'inspection de sécurité.

Consulter le diagramme du plan d'étage et de la hiérarchie des zones

Pendant l'inspection : à quoi s'attendre

L'inspection est gratuite; cependant, les organisations doivent assumer les coûts associés à tout équipement ou travail de construction requis pour protéger les renseignements et les biens sur leurs lieux de travail.

L'agent régional de la sécurité industrielle doit prendre connaissance de ce qui suit :

Photographies

Pendant l'inspection, l'agent régional de la sécurité industrielle aura besoin de l'autorisation de votre organisation pour accéder à ce qui suit et photographier :

Après l'inspection : à quoi s'attendre

Les inspections peuvent être réalisées à n'importe quel moment pendant la durée du contrat. Si votre organisation ne respecte pas les exigences du contrat, l'attestation de sécurité peut être refusée ou résiliée.

Votre organisation peut commencer le travail prévu au contrat :

Consignes de sécurité pour le personnel

Les consignes de sécurité sont requises pour les organisations ayant obtenu une autorisation de détenir des renseignements. Ces consignes doivent être portées à l'attention de l'agent régional de la sécurité industrielle avant que l'organisation puisse se voir accorder une attestation de sécurité.

Les consignes de sécurité doivent prendre la forme d'un document que votre organisation créera et utilisera pour :

Elles doivent stipuler que les employés :

Tous les employés de l'organisation doivent lire attentivement les consignes de sécurité avant de signer l'attestation à la fin du document.

Renseignements sur les consignes de sécurité dans le Manuel de la sécurité industrielle

Mécanismes de contrôle de l'accès

Les mécanismes de contrôle de l'accès sont un type de dispositifs de sécurité matérielle utilisé pour protéger les renseignements et les biens. Le Programme offre des directives et des conseils sur les types de mécanismes de contrôle de l'accès nécessaires dans des lieux de travail donnés.

Voici certains mécanismes de contrôle de l'accès :

Les organisations doivent veiller à ce que tous les employés, les entrepreneurs et les sous-traitants (par exemple le personnel chargé du nettoyage et de l'entretien) détiennent une attestation de sécurité de niveau approprié et à ce qu'ils soient accompagnés en tout temps lorsqu'ils accèdent aux zones de sécurité.

Entreposage et armoires d'entreposage

Un agent régional de la sécurité industrielle du Programme formulera des recommandations en matière d'entreposage. Au besoin, votre agent régional de la sécurité industrielle vous aidera à commander des armoires approuvées par la Gendarmerie royale du Canada (GRC). De telles armoires sont requises pour l'entreposage des renseignements et des biens classifiés et désignés « Protégé C » du gouvernement fédéral.

Plan d'étage et hiérarchie des zones

Il faut dresser un plan d'étage détaillé avant la tenue d'une inspection.

Votre plan d'étage détaillé doit comprendre ce qui suit :

Vous devez créer une hiérarchie des zones pour établir qui peut et qui ne peut pas accéder aux renseignements et aux biens de nature délicate sur votre lieu de travail. Ces zones doivent être illustrées sur votre plan d'étage, comme on peut le voir dans les images ci-dessous.

Organisation des zones et exemple de plan d'étage

Organisation des zones et exemple de plan d'étage – La description de l'image se trouve dans le texte qui suit l'image.

Description de l'organisation des zones et de l'exemple de plan d'étage

L'organisation des zones est illustrée par des cercles. Le cercle extérieur est le plus grand et englobe les autres cercles. Plus un cercle est petit, plus les exigences de sécurité qui s'appliquent à la zone en cause sont élevées.

Le cercle extérieur représente la zone d'accès public. Il s'agit des zones où l'accès du public n'est pas restreint, comme le terrain qui entoure l'immeuble ou les corridors publics.

Le deuxième cercle représente la zone d'accueil. Il s'agit d'une zone où la transition d'une zone d'accès public à une zone d'accès restreint est délimitée et contrôlée.

Le troisième cercle représente la zone de travail. Cette zone est réservée aux employés et aux visiteurs dûment accompagnés; il peut notamment s'agir d'un espace de bureaux à aire ouverte type ou d'un local électrique.

Le quatrième cercle à partir de l'extérieur est aussi le deuxième cercle à partir de l'intérieur. Il représente la zone de sécurité. Il s'agit d'une zone réservée aux employés autorisés et aux visiteurs autorisés qui sont dûment accompagnés (par exemple un lieu où des renseignements « Secret » sont traités ou entreposés).

Le cercle le plus petit représente la zone de haute sécurité. Il s'agit d'une zone réservée aux employés autorisés détenant une attestation de sécurité de niveau approprié et aux visiteurs autorisés dûment accompagnés, comme une zone où des biens de grande valeur sont manipulés par des employés désignés.

L'exemple de plan d'étage est présenté sous la forme d'une pièce rectangulaire vue du dessus. La pièce comprend les zones suivantes :

L'accès à la zone de sécurité est réservé au personnel se trouvant dans la zone de travail. La zone de haute sécurité se trouve dans la zone de sécurité. L'accès à la zone de haute sécurité est réservé au personnel se trouvant dans la zone de sécurité.

On entre dans la pièce et l'on en sort par les points d'accès suivants :

Renseignements supplémentaires sur les zones de sécurité

Apprenez-en davantage sur :

Mentions de sécurité

Les renseignements, qu'ils soient en format papier ou électronique, doivent porter une mention indiquant qu'ils sont protégés ou classifiés, le cas échéant. Les organisations doivent respecter les normes du gouvernement sur l'annotation des renseignements protégés et classifiés.

Renseignements sur l'annotation des renseignements protégés et classifiés dans le Manuel de la sécurité industrielle

Destruction et déchiquetage

Les renseignements et les biens de nature délicate sont détruits à la fin de leur cycle de vie, et ce, afin d'en préserver la confidentialité. Cette pratique est requise pour les documents originaux, les copies, les versions provisoires et les notes – soit tous les documents qui comprennent des renseignements protégés et classifiés.

Déchiquetage

Capacité de déchiquetage de documents contenant des renseignements protégés

Les organisations peuvent déchiqueter les documents contenant des renseignements protégés sur leur lieu de travail à l'aide d'équipement acheté dans un magasin de fournitures de bureau

Capacité de déchiquetage de documents contenant des renseignements « Secret »

Capacité de déchiquetage de documents contenant des renseignements classifiés

Les organisations doivent faire appel aux services d'une entreprise titulaire d'une approbation de déchiquetage de documents contenant des renseignements classifiés et obtenir un certificat de destruction une fois le déchiquetage effectué

Renseignements et biens de niveaux « Protégé C », « Très secret » et « SECOM » ainsi que renseignements et biens classifiés de l'OTAN et de pays étrangers

Il faut retourner les renseignements et les biens de ces catégories au personnel du Programme à des fins de destruction ou de déchiquetage

Installations de déchiquetage

Le personnel du Programme de sécurité des contrats mène annuellement une inspection auprès des entreprises de déchiquetage. Ces entreprises doivent obtenir une approbation de déchiquetage correspondant au niveau des documents qu'elles traitent.

Déchiquetage mobile

Les camions de déchiquetage mobile peuvent déchiqueter des documents protégés ou d'un niveau supérieur, dans la mesure où ils respectent les normes de la GRC. De plus, un employé autorisé de l'organisation doit être sur place pour :

L'agent de sécurité d'entreprise doit s'assurer que l'entreprise de déchiquetage détient l'attestation de sécurité requise en vérifiant auprès du personnel du Programme.

L'entreprise de déchiquetage doit remettre un certificat de destruction une fois que les documents ont été détruits.

Incinération

Le processus de destruction par incinération doit se faire dans un incinérateur approuvé par la GRC. Le simple fait de brûler des renseignements n'est pas une méthode approuvée de destruction par incinération.

Normes minimales d'entreposage, de transmission et de destruction

Renseignements « Protégé A »

Entreposage

Transmission

Destruction

Renseignements « Protégé B »

Entreposage

Transmission

Destruction

Renseignements « Protégé C »

Entreposage

Transmission

Destruction

Renseignements « Confidentiel »

Entreposage

Transmission

Destruction

Renseignements « Secret »

Entreposage

Transmission

Destruction

Renseignements « Très secret »

Entreposage

Transmission

Destruction

Fiche de référence : Lieux de travail sécurisés

Fiche de référence : Lieux de travail sécurisés - longue description ci-dessous
Description de la fiche de référence : Lieux de travail sécurisés

Le titre de l'image est « Programme de sécurité des contrats : Lieux de travail sécurisés – Fiche de référence. » La signature de Services publics et Approvisionnement Canada apparaît en haut de l'image. Un avis mentionnant « Remarque : Le présent document peut faire l'objet de modifications en fonction des mises à jour du programme » apparaît en haut de l'image.

Protection des documents

Lorsque votre organisation doit stocker des renseignements et des biens de nature délicate du gouvernement du Canada, elle doit obtenir une autorisation de détenir des renseignements (ADR) par l'intermédiaire du Programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada (SPAC).

Avant qu'une organisation puisse obtenir une ADR, elle doit posséder l'une des 2 attestations suivantes (valides) : 

Remarque : Le niveau de l'ADR ne peut dépasser celui de l'attestation de l'organisation.

L'ADR est propre au site et peut donner lieu à une inspection physique effectuée par un agent régional de la sécurité industrielle (ARSI).

Il n'y a aucun coût pour les inspections, mais les organisations doivent payer les coûts du matériel ou des travaux de construction nécessaires pour protéger les renseignements et les biens sur leur lieu de travail conformément au PSC et aux exigences de sécurité du contrat.

Les organisations doivent établir des consignes de sécurité avec l'aide de l'ARSI. Ces consignes doivent être transmises à l'ARSI nommé pour leur organisation.

Sous-ensembles relatifs à l'autorisation de détenir des renseignements

Technologies de l'information (TI) : L'autorisation de produire, de traiter et de stocker par voie électronique des renseignements protégés ou classifiés est assujettie à l'approbation de SPAC.

Pour obtenir de plus amples renseignements, consulter la fiche de référence : Sécurité des technologies de l'information.

En ce qui concerne les organisations possédant une ADR, il faut un minimum de 2 agents de sécurité à chacun des lieux de travail sécurisés détenant une ADR.

Production : Le terme production est un terme général pouvant englober les organisations nécessaires à la création, à la fabrication, à la réparation, à la mise à niveau ou à la reproduction de matériel ou de produits de nature délicate aux lieux de travail concernés.

SECOM : L'acronyme SECOM signifie « sécurité des communications ». Le matériel de SECOM est conçu pour sécuriser et authentifier les renseignements sur les télécommunications.

Au Canada, le Centre de la sécurité des télécommunications est le responsable de la SECOM à l'échelle nationale. Il participe à l'octroi des cotes de SECOM.

La sécurité des TI, la production et la SECOM sont propres à chaque contrat et ne sont valides que pour la durée du contrat.

Processus d'inspection

Avant l'inspection

Un ARSI de SPAC examinera les documents suivants :

Pendant l'inspection

L'ARSI déterminera ce qui suit :

L'ARSI prendra ou demandera des photographies des éléments suivants :

Après l'inspection

L'organisation peut entreprendre les travaux prévus au contrat une fois que le processus d'inspection est terminé et que SPAC l'a avisée par écrit qu'elle possède le niveau de sécurité requis.

Des inspections peuvent être effectuées à tout moment pendant la durée du contrat.

Le calendrier des inspections varie en fonction des niveaux de sécurité et de la capacité de l'organisation à se conformer aux recommandations de SPAC.

Pour nous joindre

Région de la capitale nationale :
613-948-4176
Numéro sans frais :
1-866-368-4646
Courriel :
ssi-iss@tpsgc-pwgsc.gc.ca
Site Web :
Exigences de sécurité des contrats du gouvernement du Canada

Au bas de l'image, il y a un lien qui indique « prochaine étape : sécurité en matière de technologie de l'information », qui mène à la fiche de référence : Sécurité des technologies de l'information.

Renseignements supplémentaires

Date de modification :