Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

DOAD 6500-1, Accès aux données

Table des matières

  1. Introduction
  2. Définitions
  3. Aperçu
  4. Gestion
  5. Conformité et conséquences
  6. Responsabilités
  7. Références

1. Introduction

Date de publication : 2023-01-26

Application : La présente DOAD est une directive qui s’applique aux employés du ministère de la Défense nationale, ci-après nommés « employés du MDN », et une ordonnance qui s’applique aux officiers et aux militaires du rang des Forces armées canadiennes (FAC), ci-après nommés « militaires ».

Autorité approbatrice : Sous-ministre adjoint (Données, innovation et analytique) (SMA[DIA])

Demandes de renseignements : Directeur, Politique des données et de l’innovation digitale (DPDID)

2. Définitions

accès par défaut (access by default)

Principe selon lequel l’accès aux données ou à l’information est rendu disponible à moins qu’un risque important associé à cet accès puisse être démontré. (Banque de terminologie de la défense, fiche numéro 696966)

données (data)

Ensemble de valeurs liées à des sujets concernant des variables qualitatives ou quantitatives qui représente de façon officielle des faits, des statistiques ou des éléments d’information et qui est propice à la communication, à la réinterprétation ou au traitement. (Politique sur les services et le numérique, Conseil du Trésor)

Note : Au MDN et dans les FAC, les données sont créées, recueillies et utilisées dans les opérations et les exercices militaires, ainsi que dans les processus administratifs ministériels. 

données de référence (reference data)

Données qui définissent l'ensemble des valeurs admissibles qui sont utilisées pour d'autres champs de données et qui ne changent généralement pas, par exemple, les unités de mesure et les codes de pays. (Banque de terminologie de la défense, fiche numéro 696420)

domaine (domain)

Ensemble de connaissances et de compétences relatives à une spécialité. (Banque de terminologie de la défense, fiche numéro 21857)

domaine des données (data domain)

Regroupement fonctionnel des ressources de données régi par un ensemble commun de principes, de processus, de normes et de pratiques exemplaires.

Notes :

  1. Il existe trois catégories de domaines de données au sein du MDN et des FAC : ministériel, commun et opérationnel.
  2. Un domaine de données peut avoir une incidence sur plusieurs organisations de conseillers de niveau 1. (Banque de terminologie de la défense, fiche numéro 696956)

gestion des données (data management)

Élaboration, exécution et supervision des plans, des politiques, des programmes et des pratiques qui fournissent, contrôlent, protègent et améliorent la valeur des données et de l'information tout au long de leur cycle de vie. (Banque de terminologie de la défense, fiche numéro 27521)

gouvernance des données (data governance)

Système de droits et de responsabilités applicable aux processus liés aux données.

Note : Ce système décrit quelles mesures peuvent être prises au sujet de quelles données, par qui, dans quelles circonstances et selon quelles méthodes. (Banque de terminologie de la défense, fiche numéro 695865)

information (information)

Représentation qu'un être humain ou une machine attribue à des données, des faits ou des connaissances au moyen de conventions connues telle que des rapports, des événements, des processus, des décisions, des idées ou des opinions, sous quelque support ou forme que ce soit. (Banque de terminologie de la défense, fiche numéro 696374)

interopérabilité (interoperability)

Capacité pour divers types de dispositifs électroniques, de réseaux, de systèmes d’exploitation et d’applications de fonctionner ensemble efficacement, sans communication préalable, pour échanger de l’information de manière utile et significative. (Politique sur les services et le numérique, Conseil du Trésor)

mégadonnées (big data)

Données qui décrivent les données, les concepts que représentent les données et les liens entre les données et les concepts. (Banque de terminologie de la défense, fiche numéro 695863)

qualité des données (data quality)

Degré ou niveau de confiance avec lequel les données répondent aux exigences de l'utilisateur en matière d'exactitude, d'intégralité et de fiabilité. (Banque de terminologie de la défense, fiche numéro 33436)

responsable des normes de données (data steward)

Personne responsable du cycle de vie des données d'un secteur fonctionnel ou d'un système en particulier. (Banque de terminologie de la défense, fiche numéro 33440)

ressource des données (data asset)

Entité composée de données provenant de n'importe quelle source qui peut être régie et gérée et qui a le potentiel de fournir une valeur ajoutée ou présenter des avantages. Cela peut inclure des ensembles de données, des bases de données, des mégadonnées et des fichiers de sortie de système et d'application. (Banque de terminologie de la défense, fiche numéro 696417)

technologie de l’information (information technology)

Concerne à la fois l'infrastructure technologique et les applications de la technologie de l'information. L'infrastructure technologique comprend tout équipement ou système utilisé pour l'acquisition, le stockage, la manipulation, la gestion, le déplacement, le contrôle, l'affichage, la commutation, l'échange, la transmission ou la réception automatiques de données ou d'information. Les applications de la technologie de l'information comprennent tous les éléments concernant la conception, l'élaboration, l'installation et la mise en œuvre des systèmes d'information et des applications pour répondre aux exigences des activités. (Banque de terminologie de la défense, fiche numéro 3161)

3. Aperçu

Contexte

3.1 La Directive conjointe sur la gestion des données du CEMD et du SM (la Directive conjointe) :

  1. prévoit qu’assurer l’accès aux données pour accroître l’efficacité opérationnelle est un objectif stratégique pour la gestion des données de la défense;
  2. ordonne au SMA(DIA), en tant qu’autorité fonctionnelle pour la gestion et la gouvernance des données, d’introduire de nouveaux instruments de politique, de nouvelles normes et de nouvelles directives pour faire progresser les objectifs stratégiques de la Directive conjointe;
  3. prévoit que les organisations de niveau un (N1) sont censé adopter une position d’accès par défaut aux données au sein du MDN et des FAC, en retenant les données uniquement si elles peuvent démontrer un risque opérationnel précis découlant de la divulgation;
  4. prévoit que, compte tenu de l’accès accru aux données au sein du MDN et des FAC, on s’attend à une vigilance et une surveillance accrues pour l’accès ou la divulgation non autorisés;
  5. ordonne que le sous-ministre adjoint (gestion de l’information) (SMA(GI)) collaborera avec le SMA(DIA) pour élaborer et mettre en œuvre un plan de sécurité des données axé sur le risque afin d’assurer que les données soient facilement accessibles.

3.2 Politique sur les services et le numérique du Conseil du Trésor :

  1. souligne la responsabilité des ministères visant à maximiser la diffusion de leurs informations et données en tant que ressources ouvertes, tout en respectant des exigences de sécurité de l’information, de protection des renseignements personnels et des considérations juridiques;
  2. s’applique à toutes les données créées, recueillies, détenues, utilisées, partagées ou gérées dans n’importe quel référentiel ou système, dans n’importe quel format et à n’importe quel moment du cycle de vie des données, quelle que soit leur origine.

Objectif

3.3 L’objectif de la présente DOAD est d’établir les rôles, les responsabilités et les processus pour faciliter l’accès en temps opportun aux données pour la planification, les opérations, l’aide à la décision ainsi que la recherche et le développement, au sein du MDN et des FAC.

Résultats attendus

3.4 Les résultats attendus de la présente DOAD au sein du MDN et des FAC sont les suivants :

  1. l’amélioration de la gouvernance et de la gestion des données en tant que ressource partagée et stratégique grâce à un modèle d’intendance des données;
  2. la mise en œuvre d’une approche d’accès par défaut aux données;
  3. la mise en œuvre d’un plan de sécurité flexible et axé sur le risque pour protéger les données contre l’accès, l’utilisation, le partage, la divulgation, la modification ou la suppression non autorisés.

4. Gestion

Généralités

4.1 Le MDN et les FAC doivent établir des données exactes, cohérentes, intégrées et faisant autorité, qui sont gérées comme une ressource partagée et stratégique pour appuyer le mandat du MDN et des FAC.

Processus

4.2 Les N1 doivent s’assurer que les données du MDN et des FAC dans leurs organisations sont :

  1. consultables et trouvables sur l’ensemble des plateformes du MDN et des FAC, grâce à des identificateurs uniques, des index accessibles, des catalogues, des outils, des connaissances et du soutien, afin de permettre aux utilisateurs de données de les localiser;
  2. interopérables entre les différents domaines et systèmes de données utilisant une terminologie, des métadonnées et des données de référence partagées qui permettent de préserver le contenu, le contexte et la signification des données;
  3. accessibles aux utilisateurs autorisés grâce à des processus normalisés d’authentification et d’autorisation;
  4. fiables grâce à l’utilisation de la qualité des données à l’échelle de l’entreprise ainsi que de cadres, de normes, de plateformes et d’outils et de gouvernance des données;
  5. capables d’être partagés en toute sécurité pour renforcer les opérations et améliorer les performances;
  6. utilisables aux fins pour lesquelles elles sont recueillies et en mesure d’être réutilisées ultérieurement dans d’autres contextes;
  7. protégées contre les risques et les menaces tels que l’accès, l’utilisation, le partage, la divulgation, la modification ou la suppression non autorisés, en utilisant un plan flexible axé sur les risques;
  8. aliénés conformément aux périodes de conservation établies applicables aux données du MDN et des FAC.

Accès aux données

4.3 Le MDN et les FAC doivent promouvoir l’accès et le partage des données en temps opportun par l’élaboration de politiques, de directives, d’instructions et de normes.

4.4 Le MDN et les FAC doivent protéger la sécurité et les renseignements personnels, selon les besoins, par un accès aux données fondé sur les rôles, une authentification, une autorisation, un chiffrement et une piste de vérification appropriés.

4.5 Les décisions relatives à l’accès aux données doivent être prises par le biais de la structure de gouvernance des données établie dans le Cadre de gouvernance des données.

4.6 Les décisions concernant l’accès aux données doivent être prises en temps opportun et doivent être transparentes, documentées et vérifiables.

Surveillance

4.7 Le SMA(DIA) doit surveiller l’efficacité de la présente DOAD.

Différends et conflits

4.8 Tout différend concernant l’accès aux données, ou tout conflit entre les instructions de la présente DOAD et celles d’autres instruments, doit être soumis au dirigeant principal des données qui déterminera un processus de résolution. Le Conseil de gestion des données de la Défense (CGDD) a le pouvoir décisionnel final en ce qui concerne l’accès aux données.

4.9 Les responsables des données en vertu du Cadre de gouvernance des données peuvent refuser l’accès uniquement si un risque opérationnel précis, tel qu’une préoccupation en matière de sécurité, de protection des renseignements personnels, de confidentialité et de propriété intellectuelle, peut être exprimé.

5. Conformité et conséquences

Conformité

5.1 Les employés du MDN et les militaires doivent se conformer à la présente DOAD. Si des éclaircissements aux politiques ou aux instructions énoncées dans la présente DOAD sont nécessaires, les employés du MDN et les militaires peuvent demander des directives par l’entremise de leur voie de communication ou leur chaîne de commandement, selon le cas. Les gestionnaires et les supérieurs militaires sont les principaux responsables, et détiennent les principaux moyens, d’assurer que les employés du MDN et les militaires qui relèvent d’eux se conforment à la présente DOAD.

Conséquences d’une non-conformité

5.2 Les employés du MDN et les militaires sont tenus de rendre compte respectivement à leur gestionnaire ou à leur supérieur militaire de tout cas de non-conformité aux directives énoncées dans la présente DOAD. La non-conformité à la présente DOAD peut entraîner des mesures administratives, incluant l’imposition de mesures disciplinaires, à l’endroit d’un employé du MDN, ou des mesures administratives ou disciplinaires, ou les deux, à l’endroit d’un militaire. La non-conformité peut aussi entraîner l’imposition de la responsabilité de Sa Majesté du chef du Canada, des employés du MDN ou des militaires.

Note – En ce qui concerne la conformité des employés du MDN, voir le Cadre stratégique sur la gestion de la conformité, du Conseil du Trésor, pour de plus amples informations.

6. Responsabilités

Tableau des responsabilités

6.1 Le tableau suivant énonce les responsabilités relatives à la présente DOAD :

Le ou les… est chargé ou sont chargés de ou d’…
SMA(GI)
  • fournir un environnement de technologie de l’information propice à l’accès, à l’utilisation et au partage des données en tant que ressource stratégique;
  • sélectionner, en collaboration avec le SMA(DIA), les classifications de sécurité appropriées pour les données afin de faciliter leur accès, leur utilisation et leur partage;
  • élaborer des exigences techniques pour la conception, l’approvisionnement et le fonctionnement de technologies de l’information permettant le partage de données;
  • élaborer et mettre en œuvre, en collaboration avec le SMA(DIA), une approche de sécurité des données axé sur le risque afin de maximiser l’accès aux données tout en maintenant des mesures de protection appropriées contre l’accès, l’utilisation ou la divulgation non autorisés des données;
  • valider les approches du MDN et des FAC en ce qui concerne l’assurance de l’identité et accepter les identités numériques fiables pour appuyer l’accès aux données et l’interopérabilité en utilisant des cadres approuvés.
sous-ministre adjoint (Recherche et développement pour la défense Canada)
  • fournir des conseils sur les exigences relatives à la conception, à l’approvisionnement et au fonctionnement de la technologie nécessaire au partage des données scientifiques.
SMA(DIA)
  • promouvoir une culture d’accès par défaut aux données par le biais de formations, d’instructions et d’autres initiatives pour augmenter la capacité d’accès et de partage sécurisés des données;
  • développer une source de données faisant autorité pour soutenir l’interopérabilité et l’échange de données;
  • soutenir les N1 en s’assurant que les données, et les produits dérivés des données, sont accessibles, partagées et gérées comme des ressources stratégiques;
  • élaborer des protocoles et des normes de service pour les demandes d’accès aux données et les décisions;
  • élaborer la qualité des données, ainsi que des cadres de sécurité des données et de protection des renseignements personnels pour le MDN et les FAC;
  • fournir des conseils au MDN et aux FAC sur les ententes de partage de données et sur les autres dispositions;
  • fournir des conseils au SMA(GI) sur l’élaboration et la mise en œuvre d’une approche de sécurité des données axé sur le risque afin de maximiser l’accès aux données tout en maintenant des mesures de protection contre l’accès, l’utilisation ou la divulgation non autorisés des données;
  • soutenir le SMA(GI) avec les classifications de sécurité appropriées pour les données afin d’en faciliter l’accès, l’utilisation et le partage;
  • aider le SMA(GI) avec les exigences relatives à la conception, l’approvisionnement et le fonctionnement des technologies de l’information permettant le partage de données;
  • s’assurer que des mécanismes, des processus et des procédures soient en place pour résoudre les différends concernant l’accès aux données;
  • élaborer des indicateurs de rendement clés pour l’accès et le partage des données pour le MDN et les FAC;
  • déterminer des processus pour résoudre tout différend concernant l’accès aux données ou tout conflit entre les instructions de la présente DOAD et celles d’autres instruments.
N1
  • mettre en œuvre une position d’accès par défaut aux données et retenir les données uniquement si la divulgation ou l’agrégation posent un risque opérationnel précis;
  • s’assurer que des méthodes, des mécanismes et des outils sont mis en œuvre pour soutenir l’accès aux données;
  • développer des processus pour les demandes et décisions en matière d’accès aux données pour les ressources de données dont ils sont chargés;
  • protéger les données avec des contrôles d’accès adaptés au niveau de sensibilité, et surveiller tout accès ou toute divulgation de données non autorisés;
  • protéger les renseignements personnels lors de l’accès et du partage des données conformément aux lois, aux règlements, aux politiques, aux directives, aux instructions, aux normes et aux ententes applicables, et s’assurer que le consentement approprié est obtenu lorsque requis en vertu de la Loi sur la protection des renseignements personnels pour l’utilisation, la divulgation ou les deux, de toutes données constituant des renseignements personnels en vertu de cette loi;
  • évaluer tout service tiers envisagé pour la collecte, le stockage ou le traitement des données afin d’assurer leur conformité aux exigences établies par le SMA(GI) et le SMA(DIA), et documenter cette évaluation à des fins de vérification;
  • s’assurer que l’accès et le partage des données appuient les objectifs stratégiques et sont conformes à toutes les normes d’éthique, de transparence, d’excellence et de conduite applicables à ces activités;
  • s’assurer que les activités liées aux données sont transparentes, explicables, documentées et disponibles pour vérification;
  • communiquer aux employés du MDN et aux militaires les décisions et les activités qui ont une incidence sur les pratiques de gestion des données du MDN et des FAC.
utilisateurs de données
  • respecter toutes les lois, les règlements, les politiques, les directives, les instructions, les normes et les ententes applicables, y compris les exigences de sécurité de l’information, de protection des renseignements personnels et des considérations juridiques applicables, pour l’accès aux données et leur partage;
  • comprendre leurs rôles tels que décrits dans le Cadre de gouvernance des données;
  • s’assurer que leur accès et leur partage de données appuient les objectifs stratégiques;
  • signaler tout incident lié à la sécurité des données par l’entremise de leur voie de communication ou de leur chaîne de commandement, selon le cas.
employés du MDN et militaires
  • comprendre et respecter la gestion, l’intendance, l’accès, la sécurité et l’utilisation éthique des données sous leur contrôle.

7. Références

Lois, règlements, politiques d’organismes centraux et DOAD – politique

Autres références

Détails de la page

Date de modification :