Orientation sur la catégorisation de la sécurité des renseignements personnels dans l’ensemble
Objectif
Le présent Avis de mise en œuvre de la Politique sur la sécurité a pour objet :
- d’épauler les institutions à comprendre les exigences de la Politique sur la sécurité du SCT en vigueur concernant la catégorisation de la sécurité lorsqu’il s’agit de regrouper des renseignements personnels ;
- de conseiller les institutions afin de protéger les renseignements personnels, tout en facilitant la prestation de services numériques dignes de confiance.
Portée
Le présent Avis s’applique aux renseignements personnels gérés par le gouvernement du Canada (GC) dans le but exprès de fournir des programmes et des services gouvernementaux à des particuliers. Il peut s’agir, par exemple, de programmes et d’activités qui servent à fournir des prestations, des renseignements sur la santé, des renseignements fiscaux et financiers ou des demandes de service. Les institutions dotées de tels systèmes sont directement concernées par le présent Avis.
Définitions
Le présent Avis doit être consulté en parallèle avec la Directive sur la gestion de la sécurité - Annexe J : Norme sur la catégorisation de sécurité et :
- On entend par « regroupement » un groupe de ressources documentaires ou de biens.
- Par « Protégé B », on entend des renseignements pour lesquels la divulgation non autorisée pourrait raisonnablement avoir un préjudice sérieux à des intérêts autres que l’intérêt national.
Date d’entrée en vigueur
Le présent Avis entre en vigueur le 1er juin 2023.
Application
Le présent Avis s’applique aux institutions définies à l’article 2 et aux entités indiquées dans les annexes IV et V de la Loi sur la gestion des finances publiques, sauf s’ils en sont exclus par des lois, des règlements ou des décrets particuliers.
Contexte
Afin d’améliorer les services du GC offerts aux particuliers, certaines institutions modernisent leurs dépôts d’information. De nouvelles solutions peuvent offrir d’importantes occasions propices à assurer la transformation numérique en cours au GC, d’où le regroupement possible de renseignements personnels qui étaient auparavant gérés dans des dépôts d’information distincts.
Au moment d’élaborer de nouveaux dépôts d’information, l’évaluation de la sécurité de l’information sous l’angle du préjudice en raison de la divulgation ou de la déduction de façon globale peut amener les institutions à envisager des mesures de sécurité renforcées pour résoudre ces problèmes.
Les institutions doivent veiller à protéger de manière appropriée les renseignements personnels des particuliers tout en fournissant des services conformes aux principes du gouvernement numérique.
Orientation
Les renseignements personnels des particuliers qui servent à fournir des services et des prestations du GC devraient être classifiés à un niveau pas plus élevé que Protégé B. Cette mesure est conforme à l’utilisation de tels renseignements pour offrir des services numériques à des particuliers. La catégorisation n’est pas touchée par le niveau de regroupement ou par l’endroit où les renseignements sont stockés, y compris dans le nuage. Les institutions qui cherchent à obtenir des exceptions devraient se tourner vers le Comité d’examen de l’architecture intégrée pour obtenir son approbation.
Le présent Avis ne doit pas être interprété comme signifiant que tous les systèmes contenant des renseignements de niveau Protégé B sont confrontés aux mêmes menaces de sécurité ou peuvent être protégés par des mesures de sécurité identiques. Les jeux de données regroupés peuvent constituer une cible plus intéressante pour les acteurs malveillants et peuvent donc justifier des niveaux de protection et d’assurance plus élevés. Dans le cas des systèmes de la TI qui assurent la prestation de services et contiennent des renseignements personnels sur les bénéficiaires de ces services, le profil de sécurité informatique standard devrait être examiné par les autorités ministérielles chargées de la sécurité de la TI afin de déterminer si ces systèmes nécessitent des mesures de protection additionnelles.
Les institutions doivent consulter l’Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) pour obtenir des précisions. Elles doivent également demander conseil au Centre canadien pour la cybersécurité pour bien combiner les mesures de sécurité informatique afin d’optimiser la résilience de ces systèmes.
Considérations relatives à la conception du système
Les institutions ne sont pas tenues de mettre à niveau ou de réduire les systèmes informatiques existants dans le cadre du présent Avis même si les évaluations des risques ont été mises à jour ou si de nouvelles exigences ont été imposées. Au moment de remplacer ou de mettre à niveau des systèmes informatiques existants, il est fortement recommandé aux institutions d’envisager l’interopérabilité future entre les systèmes de prestation de services. Il peut être avantageux de normaliser un niveau de protection donné pour permettre la connectivité croisée à l’avenir.
Il convient également de tenir compte du cycle de vie complet de la gestion de l’information à même un système et de la manière dont cela peut influencer les préoccupations en matière de regroupement et de sécurité. Il convient d’envisager des options comme le stockage des données transactionnelles sur un système de support pour permettre d’offrir un service aux particuliers, tout en stockant les archives à long terme séparément ou hors ligne pour atténuer le risque lié au regroupement des données. Les responsables des systèmes doivent consulter les spécialistes de la sécurité informatique et les responsables de la protection des renseignements personnels dès le début du processus de conception de l’architecture de l’information et de développement du système.
Enfin, le regroupement peut également modifier les incidences sur les particuliers si le système renfermant les renseignements regroupés devient inaccessible ou compromis. Il faut bien comprendre cette incidence dans la conception et la prestation des services, ainsi que dans la gestion de la continuité des activités. Les institutions doivent consulter la Ligne directrice sur les services et le numérique et l’annexe D : Procédures obligatoires relatives aux mesures de sécurité en matière de gestion de la continuité des activités de la Directive sur la gestion de la sécurité.
Considérations relatives à la protection de la vie privée
Dans certaines situations, les données regroupées dans des systèmes peuvent nécessiter une évaluation des facteurs relatifs à la vie privée (ÉFVP). Comme on le précise dans la Directive sur l’évaluation des facteurs relatifs à la vie privée, ces analyses évaluent les risques relatifs à la vie privée et les mesures d’atténuation s’y rattachant. Les responsables de la protection des renseignements personnels peuvent contribuer à déterminer si une ÉFVP s’impose. Le Guide sur les pratiques relatives à la vie privée numérique est un outil interactif contenant des listes de contrôle et des liens vers des produits visant à épauler les institutions à intégrer au moment opportun des pratiques appropriées relatives à la vie privée.
L’Avis de mise en œuvre de la protection des renseignements personnels : Dépersonnalisation explique les méthodes de dépersonnalisation qui peuvent contribuer à atténuer l’impact sur les personnes en cas de violation d’un système. En cas d’atteinte à la vie privée, les institutions doivent consulter la trousse d’outils de Gestion des atteintes à la vie privée et l’Avis de mise en œuvre de la protection des renseignements personnels 2022-01 : Incidents de cybersécurité mettant en cause des renseignements personnels.
Demandes de renseignements
Le personnel des institutions doit communiquer avec le groupe responsable de la sécurité de son ministère, les responsables de la protection des renseignements personnels et l’organisation du dirigeant principal de l’information (DPI) pour obtenir des renseignements sur le présent Avis.
Les membres d’un groupe de sécurité ministériel peuvent communiquer avec la Division de la Politique sur la sécurité du SCT par courriel à SEC@tbs-sct.gc.ca pour obtenir une interprétation de tout aspect du présent Avis.
Références
Législation
- Loi sur l’accès à l’information
- Loi canadienne sur l’accessibilité
- Loi sur la gestion des finances publiques
- Loi sur la protection des renseignements personnels
Instruments de politique connexes
- Politique sur la sécurité du gouvernement
- Politique sur la protection des renseignements personnels
- Politique sur les services et le numérique
- Directive sur les pratiques relatives à la protection de la vie privée
- Directive sur l’évaluation des facteurs relatifs à la vie privée
- Directive sur la gestion de la sécurité
- Directive sur les services et le numérique
Détails de la page
- Date de modification :