Orientation relative à la résidence des données électroniques
Note aux lecteurs
Cette page a été archivée dans le Web et remplacée par la section 4.4.3.14 de la Directive sur les services et le numérique. Section 4.4 de la Ligne directrice sur les services et le numérique donne de plus amples détails.
Avis de mise en œuvre de la Politique sur la TI (AMPTI)
- Numéro d’AMPTI :
- 2017-02
- Date :
- Le
- Mise à jour :
- Le
Le présent AMPTI vise à orienter les ministères et les organismes en ce qui a trait au contrôle, à l’accès et à la propriété des données électroniques du gouvernement du Canada (GC).
Cet AMPTI entre en vigueur à partir du et l’ensemble des initiatives, des approvisionnements, des projets et des services nécessitant le stockage et/ou la transmission de données électroniques du GC des catégories « Protégé B », « Protégé C » et « Classifiées » doivent être entièrement conformes au présent AMPTI à compter de la date d’entrée en vigueur. L’ensemble des initiatives, des approvisionnements, des projets et des services existants nécessitant le stockage ou la transmission de données électroniques protégées du GC des catégories « Protégé B », « Protégé C » et « Classifiées » qui ne sont pas totalement conformes au présent AMPTI à compter de la date d’entrée en vigueur doivent être signalés immédiatement au Secrétariat du Conseil du Trésor du Canada, à la Direction du dirigeant principal de l’information, ainsi qu’un plan visant à assurer la pleine conformité de l’initiative, de l’approvisionnement, du projet ou du service à cet AMPTI. Le dirigeant principal de l’information du gouvernement du Canada est la seule personne habilitée à accorder des exemptions à cet AMPTI.
Le présent AMPTI s’applique aux ministères au sens de l’article 2 de la Loi sur la gestion des finances publiques, sauf si des lois, des règlements ou des décrets les en excluent.
Les administrateurs généraux des organisations suivantes sont les seuls responsables de surveiller la conformité à cet AMPTI et de veiller à son respect au sein de leurs organisations :
- Le Bureau du vérificateur général
- Le Bureau du directeur général des élections
- Le Commissariat au lobbying du Canada
- Le Commissariat aux langues officielles
- Le Commissariat à l’intégrité du secteur public du Canada
- Le Commissariat à l’information du Canada et le Commissariat à la protection de la vie privée du Canada
Contexte
Le GC stocke et déplace ses données électroniques au moyen des réseaux informatiques répartis et des installations informatiques approuvées par le GC qui se trouvent au Canada et à l’étranger. L’emplacement et la migration des données sont assujettis aux diverses lois et règlements internationaux, nationaux ou locaux.
La résidence des données fait référence à l’emplacement physique ou géographique des données pendant qu’elles sont stockées et en transit.
Comme il en a été question dans la Stratégie d’adoption de l’informatique en nuage du gouvernement du Canada, l’utilisation croissante par le GC des services d’informatique en nuage continue et continuera d’amplifier les problèmes liés à l’applicabilité des lois étrangères aux données du Canada ainsi que les problèmes relatifs à la capacité du Canada de maintenir un accès continu à ses données.
Dans le contexte de l’informatique en nuage, la conservation des données au Canada vise à maintenir, dans la mesure du possible, l’accès continu du GC aux données des catégories « Protégé B », « Protégé C » et « Classifiées » qui sont essentielles à la continuité des activités du GC, notamment la prestation de services clés aux Canadiens, comme le paiement des prestations d’assurance-emploi et du Régime de pensions du Canada, la circulation des marchandises à la frontière du Canada et le contrôle de sécurité des passagers aux aéroports, y compris le contrôle des personnes qui arrivent au Canada. Plus précisément, lorsque les données se trouvent physiquement au Canada, elles sont assujetties aux protections prévues par les lois canadiennes sur la protection des renseignements personnels; le Canada est ainsi mieux placé pour prendre des mesures rapides, par exemple, si l’accès aux données est compromis. Il est également important de garder les données au Canada pour protéger les renseignements de nature délicate dans l’intérêt de la sécurité nationale.
Directive
Toutes les données électroniques de nature délicate sous contrôle gouvernemental, qui ont été classées dans la catégorie « Protégé B », « Protégé C » ou « Classifiées », seront stockées dans une installation informatique approuvée par le GC située dans les frontières géographiques du Canada ou dans les locaux d’un ministère du GC situé à l’étranger, comme une mission diplomatique ou consulaire. Cela ne signifie pas que le pays d’origine des fournisseurs de services de la TI doit être le Canada, à condition que ces fournisseurs de services puissent assurer le stockage des données à l’intérieur des limites ou des locaux décrits ci-dessus.
Toutes les données électroniques du GC des catégories « Protégé B », « Protégé C » et « Classifiées » en transit doivent être chiffrées lorsqu’elles sont transmises hors des zones de travail et des zones de sécurité contrôlées par le GC au Canada ou à l’étranger.
Les ministères doivent veiller à ce qu’une approche fondée sur le risque soit utilisée pour vérifier et surveiller la conformité de l’entité qui fournit le service aux exigences en matière de sécurité du GC, tel qu’il est indiqué dans les politiques, les normes, et exprimé dans la documentation sur la passation des marchés avant d’obtenir l’autorisation pour que ces installations traitent, stockent ou transmettent des données électroniques du GC de catégorie « Protégé B », « Protégé C » et « Classifiées ».
En fonction du niveau de sensibilité des renseignements, les ministères peuvent devoir mettre en œuvre des mesures supplémentaires visant à protéger les renseignements sur des supports électroniques et les appareils de stockage électroniques immobiles, en plus des exigences en matière de résidence indiquées dans le présent AMPTI.
L’Orientation relative à la résidence des données électroniques, AMPTI no : 2017-02, doit être utilisée pour la mise en œuvre des mesures de protection de la résidence des données électroniques du GC. L’AMPTI appuie la Politique sur la gestion de la technologie de l’information, 2007.
Les demandes d’exemption au présent AMPTI doivent être présentées à la Direction du dirigeant principal de l’information du Secrétariat du Conseil du Trésor (boîte aux lettres de la DDPI-DTI) et accompagnées d’arguments justifiant la demande.
Définitions
Une installation informatique approuvée par le GC se trouve dans les frontières géographiques du Canada ou dans les locaux d’un ministère du GC situé à l’étranger, comme une mission diplomatique ou consulaire, et fournit au GC un libre accès et un contrôle sur ses données électroniques. Une telle installation peut appartenir et/ou être gérée par le GC ou une entité autre que le GC.
Les données électroniques classifiées sont des données qui, lorsqu’elles sont compromises, devraient raisonnablement entraîner un préjudice à l’intérêt national. Cela comprend toutes les données qui répondent aux critères d’exemption ou d’exclusion en vertu de la Loi sur l’accès à l’information et de la Loi sur la protection des renseignements personnels. Les données décrites dans les critères d’exclusion sont jugées importantes pour préserver l’intérêt national ou pour protéger d’autres intérêts pour lesquels le gouvernement assume une obligation. Cela comprend également les données qui ont des interdictions et des contrôles réglementaires ou légaux.
Les données électroniques des catégories « Protégé B » et « Protégé C » sont des données qui, lorsqu’elles sont compromises, pourraient entraîner un préjudice grave ou extrêmement grave à une personne, à une organisation ou au gouvernement.
Il est également important de reconnaître que les grands ensembles de renseignements exigent des mesures de sécurité plus strictes que les documents uniques classés à un niveau donné. Pour obtenir de plus amples précisions, veuillez consulter les niveaux de sécurité.
Références
- Loi sur l’accès à l’information, 1985
- Loi sur la protection des renseignements personnels, 1985
- Politique sur l’accès à l’information,
- Politique sur la sécurité du gouvernement,
- Politique sur la gestion de la technologie de l’information,
- Politique sur la protection de la vie privée,
- Plan stratégique de la technologie de l’information du gouvernement du Canada 2016-2020,
- Stratégie d’adoption de l’informatique en nuage du gouvernement du Canada,
- Manuel de gestion de l’information du Commissariat à l’information du Canada (PDF, 192 KO), 2010
- Directive sur la gestion de la sécurité ministérielle, 2009
Veuillez transmettre vos demandes de renseignements par courriel à la Division de la TI de la DDPI.
Marc Brouillard
Dirigeant principal de la technologie du gouvernement du Canada
Direction du dirigeant principal de l’information
Secrétariat du Conseil du Trésor du Canada
© Sa Majesté la Reine du chef du Canada, représentée par le président du Conseil du Trésor, 2018,
ISBN : 978-0-660-26559-9
Détails de la page
- Date de modification :