Obligation des fournisseurs de services infonuagiques d’être inscrits au Programme des marchandises contrôlées

Communiqué : le 9 avril 2021

Les personnes et organisations inscrites au Programme des marchandises contrôlées de Services publics et Approvisionnement Canada doivent assurer la protection de leurs marchandises contrôlées (ainsi que des données techniques qui y sont associées) contre les examens, les transferts et les prises de possession non autorisés, conformément à la Loi sur la production de défense et les Règlement sur les marchandises contrôlées.

Pour pouvoir stocker des données associées à des marchandises contrôlées, les fournisseurs de services infonuagiques doivent être inscrits au Programme des marchandises contrôlées. Cette inscription est obligatoire, peu importe le type ou le niveau de chiffrement utilisé. Lorsqu’ils ont recours à des services infonuagiques, les personnes et organisations inscrites au Programme doivent s’assurer que le fournisseur de ces services est lui aussi inscrit au Programme et autorisé à stocker des données associées à des marchandises contrôlées sur ses serveurs situés au Canada, et peuvent consulter la liste des personnes et organisations inscrites au Programme.

Si les serveurs du fournisseur de services infonuagiques se situent à l’étranger, les personnes et organisations inscrites au Programme doivent communiquer avec Affaires mondiales Canada, car les services sont alors considérés comme une exportation, et ce ministère en est donc responsable.

Le transfert ou le stockage de données associées à des marchandises contrôlées (y compris les sauvegardes de données techniques) auprès d’un fournisseur de services infonuagiques non inscrit au Programme constituent une infraction en vertu des articles 37 et 44 de la Loi sur la production de défense. Si une telle situation se produit, il faut appliquer la mesure corrective suivante :

• Les personnes et organisations inscrites au Programme doivent retirer immédiatement toutes leurs données associées à des marchandises contrôlées qui se trouvent sur des serveurs de fournisseurs non autorisés de services infonuagiques et les stocker exclusivement sur leurs serveurs locaux sécurisés, ou auprès d’un fournisseur inscrit au Programme.

Rappels utiles :

• Le plan de sûreté des personnes et organisations inscrites au Programme doit toujours comprendre les procédures d’accès et de protection des données associées à des marchandises contrôlées, qu’elles soient stockées sur des réseaux locaux, des ordinateurs de bureau ou portatifs autonomes, des clés USB ou des appareils de stockage portatifs, ou lorsqu’elles ne sont pas sauvegardées localement ou lorsqu’elles sont accessibles à distance par les employés de l’entreprise.
• Pour obtenir de l’information sur les exigences et les plans de sûreté, veuillez consulter les lignes directrices concernant les plans de sûreté sur le site Web du Programme.

Pour nous joindre

Si vous avez des questions concernant la présente obligation, veuillez communiquer avec le personnel du Programme des marchandises contrôlées.