Manuel de la sécurité des contrats version entrée en vigueur le 13  août 2020

Sur cette page

• Chapitre 1 : Introduction générale
  • 1.1 Aperçu
  • 1.2 Administration de la sécurité des contrats
  • 1.3 Autres éléments de sécurité
  • 1.4 Publicité des renseignements relatifs à la sécurité
  • 1.5 Coût
  • 1.6 Renseignements supplémentaires
• Chapitre 2 : Contrats comportant des exigences de sécurité
  • 2.1 Aperçu
  • 2.2 Liste de vérification des exigences de sécurité
  • 2.3 Préalable à l'attribution d'un contrat
  • 2.4 Sous-traitance
    • 2.4.1 Options de simplification de la sous-traitance
    • 2.4.2 Contrats de sous-traitance attribués à des organisations établies à l'étranger
• Chapitre 3 : Enquête sur l'organisation
  • 3.1 Aperçu
  • 3.2 Attestation de sécurité d'organisation
    • 3.2.1 Types d'attestations de l'organisation
    • 3.2.2 Mesures de sécurité
    • 3.2.3 Attestations de sécurité d'installation réciproques
  • 3.3 Participation, contrôle et influence étrangers
  • 3.4 Inspections des lieux
  • 3.5 Accord de sécurité avec le gouvernement du Canada
  • 3.6 Conformité et application de la loi pour les organisations du secteur privé disposant d'une attestation de sécurité
    • 3.6.1 Conformité avec les exigences du Programme de sécurité des contrats
    • 3.6.2 Processus du programme de sécurité des contrats pour les organisations non conformes
    • 3.6.3 Suspension ou révocations d'une attestation de sécurité d'organisation
• Chapitre 4 : Enquête sur le personnel
  • 4.1 Aperçu
  • 4.2 Enquête de sécurité sur le personnel
  • 4.3 Cote d'accès aux sites
• Chapitre 5 : Protection des installations
  • 5.1 Aperçu
  • 5.2 Sécurité physique
  • 5.3 Zones et périmètres extérieurs
  • 5.4 Contrôle de l'accès aux zones d'accès réservé
• Chapitre 6 : Manipulation et protection de renseignements et de biens
  • 6.1 Aperçu
  • 6.2 Environnement sécurisé
    • 6.2.1 Exigences relatives au niveau de sécurité
  • 6.3 Gestion des documents
    • 6.3.1 Conservation des dossiers
  • 6.4 Marquages de sécurité
  • 6.5 Conservation
  • 6.6 Utilisation des ordinateurs
  • 6.7 Emballage et transmission
  • 6.8 Transfert de renseignements et de biens
  • 6.9 Communication verbale et par messages
  • 6.10 Destruction des documents
• Chapitre 7 : Sécurité des technologies de l'information
  • 7.1 Aperçu
  • 7.2 Planification
    • 7.2.1 Sécurité physique
    • 7.2.2 Sécurité des renseignements électroniques
  • 7.3 Inspections
• Chapitre 8 : Visites de lieux sécurisés
  • 8.1 Aperçu
  • 8.2 Types de demandes de visite
  • 8.3 Conditions préalables obligatoires
  • 8.4 Visites internationales
  • 8.5 Registres des visites
  • 8.6 Demandes urgentes
  • 8.7 Modifications
  • 8.8 Visites non classifiées
  • 8.9 Visites nécessitant l'accès à des renseignements étrangers au niveau Restreint
• Chapitre 9 : Sécurité internationale
  • 9.1 Aperçu
    • 9.1.1 Administration canadienne désignée en matière de sécurité
  • 9.2 Instruments de sécurité bilatéraux
  • 9.3 Divulgation à l'étranger
  • 9.4 Renseignements protégés
  • 9.5 Solutions de rechange à l'échelle internationale
  • 9.6 Renseignements et biens étrangers classifiés
  • 9.7 Renseignements étrangers au niveau Restreint
  • 9.8 Exigences de sécurité pour les contrats attribués à des organisations étrangères
  • 9.9 Instructions de sécurité d'un programme ou d'un projet
• Chapitre 10 : Organisations internationales
  • 10.1 Aperçu
  • 10.2 Organisation du Traité de l'Atlantique Nord
    • 10.2.1 Programme de coopération de l'Organisation du Traité de l'Atlantique Nord avec les alliés non membres de l'Organisation du Traité de l'Atlantique Nord
    • 10.2.2 Autorisations de sécurité sur le personnel de l'Organisation du Traité de l'Atlantique Nord
    • 10.2.3 Attestations de sécurité d'installations
    • 10.2.4 Traitement des renseignements classifiés de l'Organisation du Traité de l'Atlantique Nord
    • 10.2.5 Contrats
    • 10.2.6 Communication de renseignements classifiés de l'Organisation du Traité de l'Atlantique Nord à des entrepreneurs de pays non membres de l'Organisation du Traité de l'Atlantique Nord
  • 10.3 Union européenne
  • 10.4 Agence spatiale européenne
• Chapitre 11 : Programme mixte d'agrément
  • 11.1 Aperçu
  • 11.2 Processus d'agrément commun
  • 11.3 Visites non classifiées
• Annexe A : Lignes directrices sur les responsabilités des agents de sécurité d'entreprise et des agents de sécurité d'entreprise remplaçants
  1. Responsabilités générales des agents de sécurité d'entreprise et des agents de sécurité d'entreprise remplaçants
  2. Responsabilités liées à l'autorisation de détenir des renseignements
  3. Contact officiel avec Services publics et Approvisionnement Canada
  4. Séances d'information sur la sécurité
  5. Contenu de la sensibilisation à la sécurité
  6. Manquements, atteintes et compromissions touchant la sécurité
     1. Incidents de sécurité
     2. Atteintes à la sécurité
     3. Changements de comportement
     4. Changement dans la situation personnelle
     5. Contacts suspects et incidents de sécurité
     6. Changements organisationnels
     7. Contrats classifiés d'entités étrangères
  7. Production de rapports
  8. Guide de conformité et d'application de la loi du Programme de sécurité des contrats
• Annexe B : Lignes directrices pour la protection des installations
  1. Sécurité matérielle
  2. Types de zones d'accès réservé
     1. Zone d'accès public
     2. Zone d'accueil
     3. Zone de travail
     4. Zone de sécurité
     5. Zone de haute sécurité
  3. Éléments des zones d'accès réservé
  4. Zones et périmètres extérieurs
     1. Périmètre extérieur
     2. Aménagement paysager
     3. Terrains de stationnement
     4. Éclairage de sécurité
     5. Portes, fenêtres et autres ouvertures
     6. Sorties de secours
  5. Centres de contrôle de la sécurité
  6. Contrôle de l'accès aux zones d'accès réservé
     1. Réception
     2. Identification du personnel
     3. Les organismes doivent
     4. Gardiens
     5. Contrôle électronique de l'accès
     6. Détection électronique d'intrusion
     7. Télévision en circuit fermé
     8. Contrôles exercés sur l'accès à l'intérieur des locaux
     9. Locaux de service
• Annexe C : Lignes directrices sur la protection des renseignements et des biens
  1. Environnement sécurisé
  2. Gestion des dossiers
     1. Sécurité du bureau d'archivage
  3. Mentions de sécurité
     1. Renseignements protégés et classifiés
     2. Microformes
     3. Support de stockage électronique
  4. Conservation
     1. Clés pour les armoires
     2. Précautions
     3. Matériel
  5. Emballage et transmission
• Annexe D : Processus d'inspection de la sécurité de la technologie de l'information
  1. Lancement
  2. L'inspection sur place
  3. Inspections hors site
     1. Inspections par téléphone
     2. Processus d'attestation
  4. Après l'inspection
     1. Lettre de recommandation
  5. Approbation
  6. Modifications des systèmes de technologie de l'information après une inspection de la sécurité de la technologie de l'information
• Annexe E : Lignes directrices sur les demandes de visites
  1. Exigences associées aux demandes de visites
     1. Visites au Canada
        1. Visites d'une organisation du secteur privé auprès d'une autre organisation du secteur privé au Canada
        2. Visites d'organisations canadiennes du secteur privé auprès du gouvernement canadien
        3. Visites de personnel du gouvernement du Canada auprès d'organisations canadiennes du secteur privé
     2. Visites internationales
  2. Types de visites
  3. Responsabilités
     1. Responsabilités de l'organisation d'accueil
     2. Responsabilités de l'organisation visiteuse

1.1 Aperçu

Le présent manuel est fourni à titre de référence pour que les organisations puissent comprendre les normes de sécurité, les procédures et les engagements internationaux du gouvernement du Canada en ce qui concerne les contrats, les projets et les exigences de sécurité.

On y décrit en détail les exigences que les organisations doivent respecter pour protéger les renseignements et les biens gouvernementaux fournis aux organisations inscrites au PSC ou produits par celles-ci, ainsi que les exigences applicables à tous les contrats, canadiens ou autres, dont SPAC est responsable. Des procédures sont également prévues pour ces activités pour les gouvernements alliés qui passent des contrats par l'entremise de SPAC, comme des entreprises multinationales dont le Canada est partenaire.

Les organisations qui se voient attribuer un contrat gouvernemental comportant des exigences de sécurité ou qui ont légitimement besoin d'accéder à des renseignements protégés ou classifiés doivent être inscrites et se soumettre à une enquête de sécurité du niveau approprié du PSC. Une fois inscrites, les organisations doivent se conformer aux exigences de sécurité définies dans le présent manuel et à toutes les autres politiques, normes et directives de sécurité applicables, dont les suivantes :

1.2 Administration de la sécurité des contrats

SPAC est autorisé à administrer des services de sécurité des contrats en vertu de la Loi sur le ministère des Travaux publics et des Services gouvernementaux et de la Politique sur la sécurité du gouvernement (PSG) du Conseil du Trésor, qui comprend la norme sur le filtrage de sécurité ainsi que la Politique sur le PSC. Ces services aident à protéger les renseignements et les biens protégés et classifiés et autres renseignements et biens sensibles du gouvernement du Canada et de gouvernements étrangers. La PSG comprend la directive sur la gestion de la sécurité, dans laquelle on décrit en détail les contrôles de sécurité obligatoires, ainsi que la directive sur la gestion de l'identité, dans laquelle on explique en détail ce qu'il faut faire pour gérer l'identité de manière à atténuer les risques pour la sécurité personnelle, organisationnelle et nationale. Conformément à la politique de l'Organisation du traité de l'Atlantique (OTAN) et aux instruments de sécurité bilatéraux, le PSC est également chargé de superviser la protection des renseignements classifiés étrangers dans le cadre des contrats.

1.3 Autres éléments de sécurité

L'octroi d'une cote de fiabilité ou une autorisation de sécurité (ci-après « cote de sécurité » et « autorisation de sécurité ») à une organisation ou à une personne confirme que ces dernières ont accès à un niveau d'information ou de biens si elles ont un besoin de connaître (le bénéficiaire doit avoir accès à exercer ses fonctions officielles), et qu'elles doivent les protéger. Cela signifie que les organisations doivent se conformer aux exigences de la Loi sur la protection de l'information, ainsi qu'aux dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques.

1.4 Publicité des renseignements relatifs à la sécurité

Les critères de sécurité suivants s'appliquent aux organisations inscrites au PSC et à tous les contrats, projets et programmes gouvernementaux, canadiens ou étrangers, dont SPAC est responsable.

Bien que le fait de détenir une cote ou une autorisation de sécurité ne soit pas un secret en soi, on s'attend à ce que les personnes fassent preuve de jugement en ce qui a trait à la diffusion de renseignements connexes. Les renseignements relatifs aux cotes et aux autorisations de sécurité doivent être protégés de manière adéquate afin de réduire les risques que les organisations ayant reçu une attestation de sécurité ne deviennent la cible d'infiltration ou d'activité terroriste.

• Les organisations ne doivent pas rendre publics des renseignements relatifs à leurs cotes et autorisations de sécurité dans le cadre d'activités publicitaires ou promotionnelles (par exemple, site web de l'organisation, vidéos, médias sociaux et photos)
• Les employés des organisations ne doivent pas rendre public le niveau de leur cote ou de leur autorisation de sécurité sur leurs cartes professionnelles, dans leurs curriculums vitæ ou sur Internet, ce qui comprend les médias sociaux, car cela pourrait attirer l'attention sur la cote de fiabilité de l'organisation pour laquelle ils travaillent
• Toute demande de renseignements reçue par les organisations concernant leur cote de sécurité doit être adressée à communiquer avec le centre de service à la clientèle du Programme de sécurité des contrats

Il est permis de diffuser des renseignements généraux concernant un contrat, puisqu'ils sont déjà du domaine public. Les organisations doivent toutefois :

• obtenir des précisions et/ou l'approbation écrite de l'autorité contractante avant de diffuser des renseignements relatifs à un contrat
• veiller à ne pas rendre publique toute information précise concernant les exigences relatives à la sécurité d'un contrat gouvernemental

Les renseignements classifiés ou protégés ne peuvent être rendus publics ou annoncés de quelque manière que ce soit.

1.5. Coût

SPAC ne facture pas de frais aux requérants pour le traitement des demandes d'enquête de sécurité d'organisation et de personnel. Par conséquent, il est interdit aux organisations inscrites au PSC de facturer des frais à leurs sous-traitants et employés pour l'obtention d'autorisation de sécurité.

1.6 Renseignements supplémentaires

Les organisations peuvent savoir comment satisfaire aux exigences du présent manuel en consultant le site web des Exigences de sécurité des contrats du gouvernement du Canada de SPAC.

2.1 Aperçu

Un contrat contient des exigences de sécurité si l'accès à l'un des éléments suivants est nécessaire :

• des renseignements, des biens ou des sites protégés ou classifiés canadiens
• des renseignements, des biens ou des sites protégés ou classifiés de l'OTAN ou étrangers

Les exigences peuvent également s'appliquer à la promotion du contrat, aux demandes de renseignements préalables et aux négociations. Des clauses contenant les exigences de sécurité sont inscrites dans les contrats du gouvernement fédéral. Toute modification ou prolongation apportée à un contrat de SPAC comportant des exigences de sécurité doit être communiquée au PSC par courriel au tpsgc.ssicontrats-isscontracts.pwgsc@tpsgc-pwgsc.gc.ca.

Le PSC doit également recevoir les éléments suivants par courriel au tpsgc.dgsssiprojetintl-dobissintlproject.pwgsc@tpsgc-pwgsc.gc.ca :

• toute attribution de contrat ou contrat de sous-traitance comportant des exigences de sécurité de la part de l'OTAN ou d'entités étrangères
• toute modification ou prolongation d'un contrat comportant des exigences de sécurité engageant l'OTAN ou des entités étrangères

2.2 Liste de vérification des exigences de sécurité

Au début du processus d'approvisionnement, le chargé de projet complète un formulaire de la Liste de vérification des exigences relatives à la sécurité (SCT/TBS 350-103) dans laquelle sont décrites les exigences de sécurité du contrat. Cela fait partie des documents de demande de soumissions. L'autorité contractante veille à ce que les exigences, clauses relatives à la sécurité ayant été autorisées et remarques supplémentaires soient incluses dans les documents contractuels. Ceux-ci sont juridiquement contraignants.

Les organisations ne devraient pas signer de contrat avant d'avoir compris les implications et le coût potentiels des exigences de sécurité. Une fois le contrat signé, l'organisation doit remettre une copie des exigences de sécurité du contrat et du formulaire de la liste de vérification des exigences relatives à la sécurité (LVERS) à l'agent de sécurité d'entreprise (ASE). Veuillez consulter la section 3.2 Attestation de sécurité d'organisation. L'ASE doit veiller à ce que toutes les exigences de sécurité soient respectées tout au long du cycle de vie du contrat et avant l'accès à des renseignements classifiés ou protégés.

2.3 Préalable à l'attribution d'un contrat

Le PSC commencera le processus d'enquête de sécurité sur l'organisation dès qu'il recevra une demande complète et valide de l'autorité contractante. Avant l'attribution du contrat, certaines étapes du processus d'enquête doivent être franchies, comme la vérification d'organisation désignée et l'attestation de sécurité d'installation. Autres exigences, comme la sécurité des technologies de l'information, l'attestation de production et la sécurité des communications (COMSEC) sont habituellement remplies après l'attribution du contrat mais avant le début des travaux.

Si le contrat exige une autorisation de détenir des renseignements (ADR), il faut d'abord que le processus d'inspection soit dûment terminé avant d'entamer l'exécution du contrat sur le site du fournisseur. Veuillez consulter la section 3.4 Inspections des lieux.

2.4 Sous-traitance

L'entrepreneur principal est l'organisation qui, dans le cadre d'une demande de soumissions, se voit attribuer un contrat afin de travailler pour le gouvernement du Canada ou un gouvernement étranger ou une organisation internationale. L'entrepreneur principal embauche le sous-traitant pour travailler sur une partie donnée du contrat. Le sous-traitant n'est pas un employé de l'organisation de l'entrepreneur principal et doit faire l'objet d'une enquête de sécurité du PSC. L'entrepreneur principal doit communiquez avec le Programme de sécurité des contrats pour obtenir l'approbation avant d'attribuer un contrat de sous-traitance avec des exigences de sécurité à un sous-traitant et l'approbation du PSC est requise à chaque niveau subalterne de sous-traitance.

Pour demander l'approbation, l'entrepreneur principal doit soumettre une LVERS dûment remplie pour obtenir les clauses de sécurité pour le contrat de sous-traitance. Si le sous-traitant n'a pas d'attestation de sécurité, l'entrepreneur principal doit également soumettre le formulaire de Demande d'enquête de sécurité sur une organisation du secteur privé au PSC afin de parrainer l'organisation. Le PSC et l'entrepreneur principal vont s'assurer que le sous-traitant satisfait aux exigences de sécurité du contrat de sous-traitance prévu et/ou est soumis à l'enquête enquête de sécurité approprié. Le contrat de sous-traitance peut être attribué dès que le PSC fourni à l'entrepreneur principal :

• la lettre d'approbation
• une copie signée de la LVERS
• les clauses de sécurité qui doivent être insérées dans le contrat de sous-traitance

L'entrepreneur principal doit fournir une copie du contrat de sous-traitance au PSC une fois celui-ci attribué. Le sous-traitant ne peut pas commencer tant que le contrat de sous-traitance n'a pas été attribué et que son organisation n'a pas obtenu la cote de fiabilité ou l'autorisation de sécurité requise.

En savoir plus sur les exigences de sécurité des sous-contrats.

3.1 Aperçu

Pour faire l'objet d'une enquête de sécurité par le PSC, une organisation canadienne doit soit :

• répondre aux critères d'admissibilité des enquêtes sur l'organisation
• être parrainée par une source approuvée par le gouvernement du Canada

Cette source doit être l'un des éléments suivants :

• un agent d'approvisionnement, de sécurité ou de projet du gouvernement fédéral
• une organisation admissible qui :
  • a déjà fait l'objet d'une enquête auprès du PSC
  • travaille sur un contrat actif
  • doit recourir à la sous-traitance
• une administration étrangère nationale ou désignée en matière de sécurité

En obtenant une attestation de sécurité du PSC, l'organisation s'engage auprès du gouvernement du Canada à :

• respecter les exigences de sécurité du présent manuel et toute autre exigence de sécurité dans le cadre d'un contrat du gouvernement fédéral qui lui est attribué
• permettre à SPAC, ou à toute autre autorité gouvernementale désignée par SPAC d'effectuer des inspections de sécurité à tout moment
  • veuillez consulter la section 3.4 Inspections des lieux
• assumer tous les coûts liés à la sécurité

Les négociations préalables à l'attribution du contrat qui nécessitent des renseignements et des biens protégés ou classifiés ne peuvent entamer avant que l'organisation ait fait l'objet d'une enquête de sécurité du PSC, sauf indication contraire de l'autorité contractante. Cela s'applique également lorsqu'une organisation ayant une attestation de sécurité souhaite attribuer un contrat de sous-traitance qui comporte des exigences de sécurité à une autre organisation.

3.2 Attestation de sécurité d'organisation

Il existe 3 types d'attestations de sécurité d'organisation :

• attestation de sécurité provisoire
• vérification d'organisation désignée (VOD)
• attestation de sécurité d'installation (ASI)

Une attestation de sécurité provisoire est une attestation temporaire approuvée pour un processus de demande de soumissions particulier pour les organisations nécessitant un accès à des informations de nature délicate avant de répondre à un appel d'offres comportant des exigences de sécurité. Elle permet à une organisation d'obtenir une enquête de sécurité sur le personnel pour les personnes qui font partie de son équipe de préparation des soumissions.

Pour ce qui est d'une VOD ou d'une ASI, elle n'est pas accordée à perpétuité; elle est accordée aux organisations pour un contrat ou un contrat de sous-traitance particuliers, et aux organisations qui répondent aux appels d'offres du gouvernement fédéral qui comportent des exigences de sécurité en soumettant un formulaire de Demande d'inscription (DI) complet. Une VOD ou une ASI permet à une organisation d'obtenir une enquête de sécurité sur le personnel pour ses employés au niveau requis, comme il est prévu au contrat ou au contrat de sous-traitance attribué.

Si une organisation doit posséder ou conserver des renseignements et des biens protégés ou classifiés, il lui faut une autorisation supplémentaire de détenir des renseignements. Veuillez consulter la sous-section 3.2.2 Mesures de sécurité.

Au cours du processus d'enquête sur l'organisation, certaines personnes au sein de l'organisation doivent faire l'objet d'une enquête de sécurité. Veuillez consulter le chapitre 4 : Enquête sur le personnel. Ces personnes s'agissent notamment de :

• cadres supérieurs clés (CSC)
  • un propriétaire individuel ainsi que tout autre dirigeant, administrateur (du conseil d'administration), cadre et/ou partenaire
  • un poste de contrôle ou d'influence sur une organisation
• agent de sécurité d'entreprise (ASE)
  • nommé par le chef de la direction ou le CSC désigné
  • rend compte aux CSC sur les questions de sécurité
• agent de sécurité d'entreprise remplaçant (ASER)
  • nommé par l'ASE pour être le remplaçant
  • assume toute tâche particulière requise par l'ASE
• agent général de sécurité d'entreprise (AGSE)
  • nommé par le chef de la direction ou le CSC désigné lorsqu'une organisation possède une ou plusieurs filiales soumises à une évaluation de sécurité au Canada
  • doit superviser les questions de sécurité des contrats gouvernementaux pour l'ensemble de l'entreprise
  • ne remplace pas l'obligation d'avoir un ASE dans chaque filiale soumise à une évaluation de sécurité

Les agents de sécurité doivent être employés par l'organisation ou un CSC, être physiquement situés au Canada et être de nationalité canadienne^{Note de bas de page 1}.

L'ASE et l'AGSE doivent être soumis à une enquête de sécurité au moins au niveau de sécurité de l'organisation. L'ASER peut faire l'objet d'une enquête de sécurité au niveau de l'organisation ou à un niveau inférieur, en fonction de son emplacement et de ses rôles et responsabilités particuliers en ce qui concerne les autres agents de sécurité.

L'AGSE, l'ASE et l'ASER doivent signer le formulaire de nomination de sécurité, d'accusé de réception et d'engagement dans lequel leurs responsabilités sont décrites. Vous trouverez également des renseignements sur ces responsabilités à l'Annexe A : Lignes directrices sur les responsabilités des agents de sécurité d'entreprise et des agents de sécurité d'entreprise remplaçants.

3.3 Participation, contrôle et influence étrangers

Le processus d'évaluation de la participation, du contrôle et de l'influence étrangers (PCIE) vise à évaluer le degré d'autorité, la participation, le contrôle et l'influence que pourraient avoir des intérêts étrangers sur une organisation canadienne. Ceci permet de déterminer et d'atténuer le risque que des tiers non autorisés exercent une influence indue sur une organisation canadienne dans le but d'accéder à des renseignements et à des biens gouvernementaux classifiés.

L'ASI n'exempte pas une organisation de faire l'objet d'autres évaluations. En outre, le fait d'avoir une autorisation de niveau « Confidentiel », « Secret » ou « Très secret » n‘exempte pas une organisation d'une évaluation de la PCIE au besoin. Le déclenchement de l'évaluation de la PCIE généralement dépend du type de renseignements auxquels on a accès. Une évaluation de la PCIE doit être effectuée pour les contrats qui prévoient un accès à des renseignements ou à des biens classifiés de l'OTAN, à des renseignements ou à des biens classifiés étrangers ou à des renseignements ou à des biens classifiés pour des questions de COMSEC, ou à la demande du PSC.

La seule présence d'une participation, d'un contrôle ou d'une influence étrangers n'exclut pas la possibilité d'obtenir une ASI. Chaque cas est évalué individuellement en fonction du profil de risque particulier, associé aux biens ou aux services fournis au gouvernement ou au gouvernement étranger client. En cas d'évaluation négative, le PSC discutera avec l'organisation et le ministère client si certaines mesures peuvent ramener le risque à un niveau jugé acceptable par le PSC et le ministère client.

Une évaluation de la PCIE doit généralement être effectuée avant l'accès à des renseignements, à des biens ou à des sites sensibles. L'établissement des risques relatifs à la PCIE dépend du contrat et demeure valide durant le contrat, dans la mesure où le degré de contrôle ou d'influence potentiels de l'étranger exercés sur l'organisation ne change pas. Des réévaluations sont effectuées lorsqu'une nouvelle exigence de la PCIE est établie ou lorsque les facteurs au moment de l'évaluation, un changement (par exemple, une nouvelle propriété ou restructuration organisationnelle).

3.4 Inspections des lieux

Les inspections des lieux sont un élément clé du processus d'enquête de sécurité. Une organisation doit permettre à l'agent local de la sécurité industrielle (ALSI) du PSC d'inspecter tous les sites et les installations concernés pour s'assurer que les mesures de sécurité adéquates protègent les renseignements et les biens.

L'accès programmé et non programmé des inspecteurs de sécurité du PSC est une condition normale d'un contrat comportant des exigences de sécurité.

Au cours de l'inspection, l'ALSI évaluera aussi :

• les cibles et risques potentiels pour ce qui est des attaques physiques
• les systèmes de détection des intrusions
• les zones de sécurité physique
• le traitement de l'information et des biens

L'organisation ne peut détenir ou stocker des renseignements protégés ou classifiés qui sont associés au contrat tant que le processus d'inspection n'est pas terminé et que le PSC ne l'a pas informée par écrit que l'ADR a été accordée.

Les inspections peuvent être effectuées à tout moment pendant que l'organisation détient une attestation de sécurité du PSC. Les délais d'inspection varient en fonction :

• des contrats
• des niveaux de sécurité
• du temps dont l'organisation a besoin pour se conformer aux exigences de sécurité de PSC
• de l'historique de conformité de l'organisation au PSC

En savoir plus sur les inspections sur place.

3.5 Accord de sécurité avec le gouvernement du Canada

Avant qu'une organisation reçoive une attestation de sécurité provisoire, une VOD ou une ASI, un CSC doit conclure et signer un accord de sécurité avec le gouvernement du Canada. L'accord de sécurité décrit les conditions générales de l'attestation de sécurité d'organisation ainsi que les motifs de suspension ou de révocation de l'attestation de sécurité d'organisation. En signant l'accord, l'organisation s'engage à respecter toutes les exigences de sécurité du PSC. L'accord est signé dans le cadre du processus d'enquête de sécurité.

3.6 Conformité et application de la loi pour les organisations du secteur privé disposant d'une attestation de sécurité

Les organisations du secteur privé ont l'obligation de maintenir la conformité aux exigences du PSC tout au long de l'exécution des mécanismes d'approvisionnement^{Note de bas de page 3} qui renferment des exigences en matière de sécurité.

4.1 Aperçu

Pour obtenir une attestation de sécurité auprès du PSC, une organisation doit faire soumettre son personnel. Cela commence par :

• ses cadres supérieurs clés (s'il y a lieu)
• ses agents général de sécurité d'entreprise (s'il y a lieu)
• ses agents de sécurité d'entreprise (ASE)
• ses agents de sécurité d'entreprise remplaçant (ASER), à une enquête de sécurité

Une fois que l'enquête de sécurité sur l'organisation est terminée, l'attestation de sécurité provisoire, la vérification d'organisation désignée ou l'attestation de sécurité d'installation est accordée. Veuillez consulter la sous-section 3.2.1 Types d'attestations de l'organisation. Les ASE et les ASER peuvent soumettre des demandes d'enquête sur les membres du personnel de leur organisation qui ont un besoin légitime d'accéder à des renseignements, à des biens et des lieux de travail protégés ou classifiés dans le cadre d'un processus d'appel d'offres, d'un contrat, d'un contrat de sous-traitance ou d'un bail en vigueur.

En savoir plus sur qui est admissible à une enquête de sécurité sur le personnel.

Un employé est une personne employée par l'entreprise, qui lui paye un salaire. Toutefois, sous certaines conditions, un employé peut être une ressource de sous-traitance. Ces ressources sont assujetties à la première option de sous-traitance. Veuillez consulter la sous-section 2.4.1 Options de simplification de la sous-traitance. On doit effectuer l'enquête de sécurité avant d'accorder l'accès à des renseignements, à des biens ou à des lieux de travail protégés ou classifiés.

4.2 Enquête de sécurité sur le personnel

Il existe différents niveaux d'enquête de sécurité sur le personnel. Ceux-ci dépendent des exigences de sécurité prévues dans un contrat ou sous-contrat. Les organisations doivent veiller à ce que les membres de leur personnel qui ont besoin d'un accès à des renseignements, à des biens ou à des lieux de travail protégés ou classifiés fassent l'objet d'une enquête de sécurité. Une personne ne peut pas accéder à des renseignements ou à des biens protégés ou classifiés tant qu'elle n'a pas obtenu la cote de fiabilité requise ou une autorisation de sécurité de niveau « Secret » ou « Très secret ».

4.3 Cote d'accès aux sites

La cote d'accès aux sites est un autre type d'enquête. Elle peut être effectuée à l'égard des personnes de l'extérieur du gouvernement qui n'ont pas accès à des renseignements de nature délicate, mais à des installations du gouvernement à accès réglementé ou contrôlé d'une partie de ces installations.

Il existe 2 types de cotes d'accès aux sites :

• l'enquête aux fins d'attribution d'une cote d'accès aux sites consiste à évaluer l'honnêteté et la fiabilité d'une personne, elle nécessite la vérification de
  • l'identité de la personne
  • la réalisation d'une enquête par un organisme d'application de la loi
• l'enquête de sécurité aux fins d'obtention d'une autorisation d'accès aux sites consiste à évaluer la loyauté d'une personne envers le Canada et sa fiabilité en ce qui a trait à cette loyauté, elle nécessite la vérification de
  • l'identité de la personne
  • la réalisation d'une enquête par un organisme d'application de la loi
  • une évaluation de sécurité

Les personnes ne peuvent pas accéder aux sites ou aux installations de nature délicate sans la cote ou une autorisation d'accès aux sites.

5.1 Aperçu

Pour protéger adéquatement une installation, il faut disposer d'un système de sécurité physique capable de détecter un accès ou une tentative d'accès non autorisé au moyen de barrières physiques, procédurales et psychologiques.

Au fil du temps, presque toutes les mesures de sécurité physique peuvent être compromises. Par conséquent, les mesures de protection doivent être fondées sur le temps dont une unité d'intervention ou une personne a besoin pour accourir sur les lieux. Le PSC peut aider à l'élaboration d'un plan de protection des installations qui fera partie d'un programme efficace de sécurité globale.

Une organisation qui dispose d'une VOD ou d'une l'ASI, et d'une autorisation supplémentaire, comme une autorisation de détenir des renseignements (sous-section 3.2.2 Mesures de sécurité), doit protéger ses installations contre la compromission et l'accès non autorisé.

Les organisations doivent utiliser efficacement les zones à accès réglementé en mettant en œuvre des procédures de sécurité appropriées comme :

• le stockage et le traitement des renseignements et des biens dans les zones de sécurité appropriées
• le contrôle de l'accès aux renseignements classifiés dans un registre de documents
• des mesures permettant de s'assurer que toutes les personnes qui travaillent dans les zones de sécurité seront soumises à une évaluation de sécurité au niveau approprié
• la séparation suffisante des renseignements de manière à ce que seules les personnes qui ont besoin de savoir puissent y accéder
• l'accompagnement des visiteurs
• la protection des renseignements et des biens lorsqu'on quitte le lieu de travail
• la prise de précautions lorsqu'on discute de renseignements classifiés ou protégés
• l'installation de l'équipement comme des conteneurs et des déchiqueteuses là où l'on pourra s'en servir sans laisser sans surveillance des renseignements et des biens protégés et classifiés
• la préparation et l'utilisation des renseignements et des biens Protégé C dans une zone de sécurité ou, s'il y a lieu, dans une zone de haute sécurité
• l'établissement des zones de sécurité physique conformément à la directive fédérale sur la gestion de la sécurité

5.2 Sécurité physique

Les organisations devraient rapidement consulter les représentants du PSC lorsqu'elles construisent, achètent, louent ou rénovent des installations pour lesquelles une attestation d'accès sera nécessaire. Les systèmes de sécurité physique doivent être conformes aux règlements et aux codes provinciaux et municipaux, notamment en ce qui concerne les incendies, la construction et l'électricité.

5.3 Zones et périmètres extérieurs

Les représentants du PSC aideront également à répondre aux exigences relatives aux zones et aux périmètres extérieurs, ce qui comprend :

• les clôtures et les murs autoportants
• l'aménagement paysager et les stationnements
• l'éclairage de sécurité extérieur
• les portes d'accès, les fenêtres et autres ouvertures du périmètre
• les sorties de secours

Les organisations qui possèdent une autorisation de détenir des renseignements peuvent avoir besoin d'un centre de surveillance à chaque site pour surveiller et contrôler les équipements et les systèmes de sécurité. Le centre peut être administré par l'installation, une entreprise sous-traitante ou une combinaison des deux pour assurer une surveillance continuelle. Le système de surveillance de la sécurité doit pouvoir fonctionner indépendamment des autres systèmes de surveillance de l'installation.

5.4 Contrôle de l'accès aux zones d'accès réservé

Les organisations doivent utiliser des points d'entrée établis pour acheminer les employés et les visiteurs, vérifier l'identité des gens et empêcher les visiteurs d'entrer tant qu'ils ne sont pas correctement enregistrés et escortés par un employé. Un certain nombre de mesures doivent être prises pour contrôler l'accès aux zones d'accès réservé, ce qui comprend :

• l'identification du personnel
• des gardiens
• le contrôle électronique de l'accès
• la détection électronique des intrusions
• la télévision en circuit fermé
• des contrôles exercés sur l'accès à l'intérieur des locaux
• des locaux de service

L'organisation ne peut pas accéder à des renseignements classifiés ou protégés, ou encore en posséder, manipuler ou en stocker au site jusqu'à les représentants du PSC a avisé par écrit que le niveau de sécurité requis lui a été accordé.

Vous trouverez de plus amples renseignements sur ces exigences et sur ce que l'ALSI examinera dans le cadre de l'inspection du site à l'annexe B : Lignes directrices pour la protection des installations.

6.1 Aperçu

Lorsqu'une organisation est autorisée aux termes du PSC à posséder et à stocker des renseignements et des biens protégés ou classifiés (sous-section 3.2.2 Mesures de sécurité), elle doit disposer d'un système de sécurité des biens qui va :

• définir les responsabilités de la direction et du personnel
• déterminer les biens nécessitant des mesures de protection
• établir un registre de documents, qui comprend la tenue d'un inventaire, la notification et le traitement des incidents de sécurité, ainsi que la tenue d'une évaluation des menaces et des risques
• préciser les mesures adéquates pour la sécurité du personnel et des biens matériels

L'accès aux renseignements et aux biens protégés et classifiés doit être limité aux personnes disposant du niveau de sécurité approprié et qui ont besoin de savoir.

Ces exigences s'appliquent également à toute information étrangère classifiée et classifiée de l'OTAN, en plus des autres exigences de l'OTAN (chapitre 10.2 : Organisation du Traité de l'Atlantique Nord). Les principes de protection des renseignements classifiés énoncés dans ce chapitre s'appliquent aux renseignements gouvernementaux étrangers ou nationaux, ainsi qu'aux renseignements classifiés de l'OTAN, de l'Union européenne et de l'Agence spatiale européenne.

La manipulation et la protection inappropriées de renseignements et de biens protégés et classifiés pourraient entraîner la suspension ou la révocation de la VOD ou d'une l'attestation de sécurité d'installation (ASI) d'une organisation, ou de la cote de fiabilité ou de l'autorisation de sécurité d'un employé, selon la situation. La révocation ou la suspension d'une VOD ou d'une ASI peut entraîner la perte de tout contrat gouvernemental exigeant que l'organisation détienne un statut de contrôle de sécurité.

Les sections suivantes donnent un aperçu de chaque exigence relative à la protection des renseignements et des biens protégés et classifiés. L'annexe C : Lignes directrices sur la protection des renseignements et des biens fournit des détails supplémentaires sur ces exigences et doit être lue conjointement avec le présent chapitre. Ces mesures s'appliquent à toute information qui est copiée ou traduite, qui conserve le niveau de catégorisation de sécurité de l'information originale. Des instructions précises sur la possibilité de copier ou de traduire les renseignements peuvent être fournies dans le contrat ou dans les instruments de sécurité bilatéraux.

6.2 Environnement sécurisé

Dans un environnement de bureau, les organisations doivent utiliser des zones restreintes pour protéger les renseignements et les biens. Des procédures de sécurité appropriées garantissent que les renseignements et les biens ne sont accessibles qu'aux personnes autorisées au niveau de sécurité approprié et ayant besoin de savoir, qu'ils ne sont pas laissés sans surveillance et qu'ils sont enregistrés, conservés et éliminés de manière appropriée. (Annexe C : I. Environnement sécurisé)

6.3 Gestion des documents

Les organisations doivent disposer d'un lieu approprié, appelé registre, pour recevoir, distribuer et conserver des renseignements et des biens protégés et classifiés.

Les organisations doivent tenir des registres des dates, des noms et des transactions de tous les renseignements et biens classifiés indiquant la réception, la distribution, la création, la reproduction et la destruction au sein de l'installation.

Tous les dossiers de renseignements et de biens protégés/classifiés et tous les renseignements et biens protégés/classifiés doivent être disponibles pour inspection par les ALSI du PSC.

L'utilisation de registres sécurisés et la mise en œuvre de procédures appropriées permettent de protéger tous les renseignements et tous les biens. Ces procédures comprennent le traitement du registre comme une zone de sécurité, la mise en œuvre de mesures qui empêchent l'accès non autorisé, et l'ouverture, la divulgation et le marquage des dossiers avec le niveau de sécurité approprié. (Annexe C : II. Gestion des dossiers)

Les organisations doivent tenir des registres des renseignements et des biens étrangers, sauf disposition contraire dans les clauses du contrat.

6.4 Marquages de sécurité

Les renseignements protégés et classifiés doivent être marqués de manière appropriée au moyen de procédures et de marquages précis en fonction du niveau de sensibilité et du type de support, y compris les microformes et le matériel de stockage électronique.

Le marquage des documents internationaux est régi par des protocoles d'entente, des accords ou d'autres normes et directives internationales en matière de sécurité internationale (annexe C : III. Mentions de sécurité). Veuillez communiquer avec les représentants du PSC par courriel au tpsgc.dgsssiprojetintl-dobissintlproject.pwgsc@tpsgc-pwgsc.gc.ca pour obtenir des conseils et une assistance.

6.5 Conservation

Au minimum, lorsqu'ils se trouvent dans une zone de travail approuvée, les renseignements et les biens protégés et restreints doivent être rangés dans des conteneurs fermés à clé, comme des armoires, des coffres-forts, des chambres fortes et des salles sécurisées, sauf disposition contraire dans les clauses contractuelles. Les renseignements et biens aux niveaux Protégé C, Secret et Très secret doivent être conservés dans un conteneur de sécurité approuvé dans une zone de sécurité (Chapitre 5.2 : Sécurité physique), conformément au Guide d'équipement de sécurité de la Gendarmerie royale du Canada (GRC). Les renseignements classifiés au niveau Confidentiel doivent être conservés dans un conteneur de la GRC, lorsqu'ils se trouvent dans une zone de travail approuvée. Lorsqu'ils sont élaborés selon les spécifications définies dans le Guide des salles d'entreposage sécurisées de la GRC et situés dans les zones appropriées, les renseignements et les biens protégés ou classifiés peuvent être rangés sur des étagères ouvertes dans une salle sécurisée. Les ALSI fourniront des conseils et devront inspecter et approuver les pièces avant leur utilisation.

Les renseignements classifiés étrangers doivent être conservés séparément de toutes les autres formes de renseignements classifiés et protégés étrangers ou nationaux. Les renseignements et les biens protégés et classifiés ne doivent pas être conservés dans la même armoire que les effets négociables ou des biens attrayants.

Les organisations sont autorisées à acheter des équipements de sécurité approuvés par l'intermédiaire de PSC. L'ASE ou l'ASER doit consulter l'ALSI par courriel au tpsgc.ssidie-issiid.pwgsc@tpsgc-pwgsc.gc.ca pour déterminer l'équipement nécessaire. Une fois la demande approuvée par l'ALSI, le PSC traitera la demande. Toutefois, la facturation et la livraison du matériel incombent à l'acheteur (l'Agence spatiale européenne) et au fournisseur. Des exemples d'équipements disponibles par l'intermédiaire de cette procédure sont énumérés à l'annexe C : IV. Conservation.

6.6 Utilisation des ordinateurs

Un ordinateur, y compris les ordinateurs portables, utilisé pour des renseignements protégés ou classifiés ne doit pas être retiré de l'organisation sans l'autorisation écrite de l'Agence spatiale européenne ou de l'ASER. Les ordinateurs utilisés pour les renseignements protégés ou classifiés doivent suivre les procédures de sécurité pour l'entreposage établies par l'organisation, ainsi que les normes de transport et de transmission si elles sont retirées de l'organisation. De plus amples renseignements sur la sécurité des technologies de l'information sont disponibles au chapitre 7 : Sécurité des technologies de l'information.

6.7 Emballage et transmission

Lors de la transmission de renseignements et de biens classifiés et protégés, les organisations doivent en protéger la sécurité par un emballage approprié, tenir un registre pendant le transit et la livraison. Communiquez avec les représentants du PSC par courriel au tpsgc.ssidie-issiid.pwgsc@tpsgc-pwgsc.gc.ca pour obtenir des renseignements.

Les registres de distribution, de diffusion et de retour dans l'installation doivent comprendre la signature des représentants qui en accusent réception. Les personnes qui ont accès aux renseignements et aux biens classifiés doivent être informées de leurs responsabilités quant à la protection de ces renseignements et biens, ainsi que des restrictions particulières concernant leur utilisation ou leur diffusion.

Les renseignements et les biens protégés et classifiés doivent être emballés et transmis conformément aux normes de la GRC sur le transport et la transmission de renseignements protégés et classifiés et approuvés par les représentants du PSC pour la transmission internationale. Le transport en mains propres et l'expédition en vrac de renseignements et de biens protégés et classifiés précis doivent suivre des procédures précises; l'ALSI fournira des conseils et une assistance.

Les organisations peuvent soumettre leurs formulaires de sélection aux représentants du PSC par courriel puisqu'il s'agit de renseignements protégés de l'organisation, mais si les renseignements sont protégés en relation avec des contrats, les renseignements protégés doivent être chiffrés avant d'être envoyés par courriel.

Les organisations doivent obtenir l'approbation préalable de l'administration canadienne désignée en matière de sécurité avant de transmettre à l'étranger des renseignements ou des biens protégés ou classifiés. Pour plus de renseignements, communiquez avec les représentants du PSC par courriel au tpsgc.dgsssiprojetintl-dobissintlproject.pwgsc@tpsgc-pwgsc.gc.ca.

6.8 Transfert de renseignements et de biens

Si une organisation prévoit de transférer des renseignements ou des biens protégés et/ou classifiés d'un site à un autre, l'organisation doit s'assurer que les sites sont dotés de l'ADR et de la technologie de l'information (le cas échéant) pour ce contrat précis avant le transfert. Il convient de noter que ce transfert ne peut avoir lieu qu'au Canada et qu'il ne concerne pas les documents Très secret, Protégé C, le COMSEC ni les renseignements/biens classifiés de l'OTAN ou d'un autre pays. L'Agence spatiale européenne et les ASER de l'organisation doivent utiliser une méthode de transport approuvée par le PSC pour l'échange, ainsi que rendre compte du changement et le consigner dans le registre des documents.

Les représentants du PSC doivent approuver le retrait et le transport de renseignements et de biens aux niveaux Protégé C et COMSEC, ainsi que de tous les renseignements classifiés de l'OTAN, étrangers et canadiens au niveau Confidentiel ou supérieur. Pour plus de renseignements, communiquez avec les représentants du PSC par courriel au tpsgc.dgsssiprojetintl-dobissintlproject.pwgsc@tpsgc-pwgsc.gc.ca.

6.9 Communication verbale et par messages

Les téléphones ou télécopieurs non protégés ne peuvent pas être utilisés pour communiquer des renseignements classifiés au-dessus de la catégorie Restreint ou Protégé A. Le Centre de la sécurité des télécommunications (CST) fournira une assistance pour coordonner les téléphones ou télécopieurs sécurisés.

6.10 Destruction des documents

Comme il est indiqué dans les clauses du contrat, les renseignements et les biens protégés et classifiés peuvent être soit retournés au ministère client, soit détruits en faisant appel à une entreprise de destruction tierce agréée, soit l'organisation peut procéder au déchiquetage sur place si elle dispose d'une déchiqueteuse approuvée. La déchiqueteuse d'une organisation sera inspectée par l'ALSI lors de l'inspection liée à l'ADR si une entreprise indique qu'elle effectuera le déchiquetage sur place. Un certificat de destruction est requis pour les renseignements classifiés.

Normalement, les renseignements protégés ou classifiés ne sont pas récupérés dans le cadre du PSC, sauf si cela est stipulé dans le contrat, si on le lui demande ou dans certains cas où l'ADR est révoquée.

Tous les renseignements classifiés étrangers doivent être détruits conformément aux clauses contractuelles. Il faut toujours valider avec les représentants du PSC avant de détruire des renseignements classifiés étrangers. Les renseignements et les biens étrangers au niveau Restreint doivent également être détruits conformément aux exigences établies dans les clauses contractuelles.

Les renseignements et les biens protégés et classifiés dont la destruction a été autorisée doivent être éliminés conformément aux exigences suivantes :

• destruction par de l'équipement de destruction agréé, ou dans une installation avec une ADR autorisée dans le cadre du PSC
• protection en fonction du niveau le plus élevé des biens concernés en attendant leur destruction ou en transit vers celle-ci
• séparation des autres renseignements et des biens en attente de destruction
• contrôle par un employé ayant une cote de fiabilité ou une autorisation de sécurité appropriée, selon le cas
• les copies excédentaires et les déchets qui pourraient comprendre des renseignements protégés ou classifiés doivent être protégés selon le niveau adéquat et être détruits rapidement

7.1 Aperçu

Lorsque des organisations se voient attribuer des contrats du gouvernement du Canada (contrats principaux et contrats de sous-traitance) qui les obligent à utiliser leurs propres systèmes informatiques pour conserver/traiter/créer des renseignements protégés ou classifiés comme indiqué dans la liste de vérification des exigences relatives à la sécurité des contrats (LVERS) (section C.11.D et section C.11.E), elles doivent d'abord obtenir l'autorisation dans le cadre du PSC.

L'organisation ne peut pas utiliser son système informatique pour conserver/traiter/créer des renseignements protégés ou classifiés tant que le processus d'inspection de la sécurité informatique, mené par un inspecteur de la sécurité informatique du PSC, n'est pas terminé et officialisé dans une lettre d'approbation écrite de la technologie de la TI du PSC.

Les organisations ne doivent pas utiliser un système informatique à l'appui d'un contrat pour conserver/traiter/créer des renseignements protégés ou classifiés avant d'avoir reçu l'autorisation dans le cadre du PSC; cela constituera une violation d'une ou de plusieurs des clauses contractuelles.

7.2 Planification

Un plan de sécurité informatique est une étape importante pour la protection et le contrôle du système d'information d'une organisation.

Les organisations doivent maintenir une posture de sécurité informatique qui respecte et maintient la confidentialité, l'intégrité et la disponibilité des renseignements électroniques protégés ou classifiés pendant toute la durée de leur détention.

Les inspections de sécurité informatique du PSC sont basées sur les politiques et les lignes directrices de la Politique sur la sécurité du gouvernement, la Politique sur les services et le numérique, la Directive sur les services et le numérique, la Politique de sécurité de l'Organisation du traité de l'Atlantique Nord (PDF) (en anglais seulement), le cas échéant, et d'autres lignes directrices publiées par le gouvernement du Canada, ainsi que sur les concepts de meilleures pratiques commerciales.

7.3 Inspections

Les inspections de sécurité informatique du PSC ont lieu après l'attribution d'un contrat comportant une exigence informatique. L'organisation doit d'abord répondre aux exigences de sécurité physique (chapitre 5 : Protection des installations) et avoir reçu une ADR des renseignements au niveau du contrat ou à un niveau supérieur.

Les organisations ne doivent pas conserver, traiter ni créer des renseignements protégés ou classifiés sur leurs systèmes informatiques avant que les représentants du PSC n'aient délivré une lettre d'approbation écrite de la TI.

Les inspections de sécurité informatique du PSC sont effectuées pour s'assurer que le risque résiduel pour les renseignements protégés ou classifiés du gouvernement du Canada est faible. Les ministères et organisations gouvernementaux ont autorisé les représentants du PSC, par des protocoles d'entente et d'autres moyens, à approuver des systèmes informatiques pour la conservation, le traitement et la création de renseignements protégés ou classifiés lorsque le risque résiduel, tel qu'évalué par l'inspecteur de la sécurité informatique, est faible.

Les inspections de sécurité informatique sont propres à un contrat particulier, et uniquement pour les niveaux définis dans la LVERS du contrat. La lettre d'approbation écrite de la TI n'est valable que pour le ou les contrats inspectés et uniquement pour la durée du ou des contrats en question.

Dans le cadre du processus d'inspection, les organisations peuvent recevoir des recommandations et des suggestions pour améliorer leur attitude globale en matière de sécurité informatique qui, une fois mises en œuvre, donneront aux inspecteurs de la sécurité informatique un niveau de confiance dans le fait que le risque résiduel est faible.

Pour plus de renseignements sur la manière dont une inspection de sécurité informatique est effectuée, consultez l'annexe D : Processus d'inspection de sécurité des technologies de l'information.

De plus amples renseignements sur la sécurité de la technologie de l'information sont disponibles sur la page web consacrée aux Exigences de sécurité relatives à la technologie de l'information.

8.1 Aperçu

Aux fins d'un appel d'offres, ou pendant la durée d'un contrat, les personnes ayant une autorisation de sécurité peuvent être tenues de se rendre dans une organisation gouvernementale ou privée au Canada ou à l'étranger, ou une organisation peut être tenue d'accueillir des visiteurs dans ses installations. Dans ces cas, une demande de visite (DV) doit être soumise et approuvée dans le cadre du PSC.

Au Canada, les représentants du PSC vérifient que l'organisation qui demande la visite a le niveau requis d'une ASI; que chacun des visiteurs proposés possède le niveau requis d'habilitation de sécurité; et que les éventuelles restrictions de divulgation à l'étranger (chapitre 9.3 : Divulgation à l'étranger) sont définies et strictement respectées conformément aux instruments internationaux de sécurité.

Une DV approuvée n'autorise l'accès aux renseignements classifiés que sur une base orale et visuelle; elle n'autorise pas le retrait de matériel classifié du site. Les organisations et les personnes doivent respecter strictement les limites d'accès ou de divulgation prescrites dans l'autorisation de visite.

Le niveau d'autorisation de sécurité sur le personnel des visiteurs et son besoin de savoir doivent être vérifiés par l'entremise d'un protocole de visite officiel avant que l'organisation d'accueil autorise l'accès à des renseignements classifiés ou l'accès à un site contrôlé.

Les représentants de SPAC détenant le niveau approprié d'autorisation de sécurité sur le personnel peuvent rendre visite à des organisations à titre officiel sans en avertir l'organisation. L'organisation doit vérifier les qualifications et le niveau d'autorisation sur le personnel de SPAC en communiquant avec le centre de service à la clientèle du Programme de sécurité des contrats avant de lui accorder l'accès à des renseignements classifiés. Le personnel du CST se verra également accorder le même accès afin de procéder à une inspection des systèmes de technologie de l'information.

Les procédures de traitement des DV sont disponibles sur la page web de SPAC d'Approbation des visites de lieux sécurisés.

8.2 Types de demandes de visite

Il existe différents types de DV:

• une visite unique est effectuée pour une période déterminée et continue pouvant aller jusqu'à un an, et elle n'est pas renouvelable. Si le besoin d'accès est permanent, une nouvelle demande doit être soumise à la fin de l'année pour approbation
• une visite répétitive est une série de visites qui se déroulent pendant une durée prolongée pouvant atteindre un an, en temps normal. Il est renouvelable chaque année, sauf autorisation contraire des représentants du PSC, c'est-à-dire pour un contrat pluriannuel ou un grand projet de l'État
• une visite d'urgence est réservée aux événements de nature urgente
• une visite propre aux instructions de sécurité d'un projet/programme. Ces visites sont déterminées au cas par cas

8.3 Conditions préalables obligatoires

Toutes les organisations qui soumettent une demande d'accès à des renseignements classifiés doivent être titulaires d'une ASI valide d'un niveau égal ou supérieur à celui du niveau de catégorisation de la visite demandée. De plus, chaque personne impliquée doit détenir une autorisation de sécurité sur le personnel d'un niveau égal ou supérieur au niveau de catégorisation de la visite demandée.

Les ressortissants étrangers, résidant au Canada et employés par une organisation canadienne habilitée, doivent détenir autorisation de sécurité sur le personnel canadien avant que le PSC n'approuve une visite dans d'autres pays ou dans d'autres organisations canadiennes en tant que représentant ou en tant qu'expert-conseil d'une organisation canadienne.

Les ressortissants étrangers qui visitent une organisation canadienne dans le cadre d'une DV internationale approuvée ne peuvent pas être inclus dans une DV canadienne dans une autre organisation canadienne.

Les lignes directrices pour le traitement des visites et les responsabilités des organisations en visite et d'accueil sont disponibles dans l'annexe E : Lignes directrices sur les demandes de visites.

8.4 Visites internationales

Toutes les visites internationales doivent être autorisées par l'administration canadienne désignée en matière de sécurité (chapitre 9.1.1 : Administration canadienne désignée en matière de sécurité) au moyen du formulaire de DV du Groupe de travail multinational en matière de sécurité industrielle. De même, l'autorité de sécurité désignée (ASD) canadienne traitera les DV d'organisations canadiennes auprès des commandements et agences de l'OTAN en utilisant les procédures de contrôle des visites internationales de l'OTAN.

Les exigences relatives au traitement des visites internationales varient en fonction de l'instrument de sécurité bilatéral précis. Les représentants du PSC font connaître aux organisations canadiennes les procédures à appliquer, le cas échéant.

8.5 Registres des visites

Les organisations doivent tenir un registre de tous les visiteurs de leurs installations qui ont accès à des renseignements classifiés. Un registre des visiteurs distinct doit être tenu à jour pour les visites de l'OTAN; il devra indiquer le nom complet du visiteur et de son organisation, la personne à qui l'on rend visite, ainsi que les dates d'arrivée et de départ. Les représentants du PSC ne sont pas considérés comme des visiteurs et ne sont pas tenus d'inscrire leur nom dans le registre des visites.

Les registres des visites autorisées qui ont eu lieu doivent être conservés par l'organisation d'accueil pendant une période minimale de deux ans et peuvent être inspectés au hasard par les représentants du PSC pendant cette période.

8.6 Demandes urgentes

Il existe des procédures spéciales pour le traitement des DV urgentes par l'entremise des voies officielles de SPAC, sur invitation d'une organisation d'accueil. L'ASE ou l'ASER de l'organisation requérante doit justifier de manière adéquate le besoin urgent et fournir tous les détails (par exemple, besoin urgent de réparer un équipement dont la panne empêche la poursuite des essais, et affecte ainsi le déroulement global d'un programme ou d'un contrat).

Communiquez avec les représentants du programme de sécurité des contrats par courriel au ssi-iss@tpsgc-pwgsc.gc.ca pour obtenir des renseignements sur la soumission d'une demande urgente.

8.7 Modifications

Lorsqu'elle soumet des ajouts ou des suppressions de visiteurs aux DV approuvées, l'organisation doit inclure le numéro d'identification de la visite approuvé à l'origine par le PSC.

En général, on ne peut modifier l'objet ou la durée d'une visite en présentant une demande de modification. Il pourrait donc falloir présenter une nouvelle demande de visite. L'ASE ou l'ASER doit communiquer avec les représentants de PSC avant de soumettre ces types de modifications.

8.8 Visites non classifiées

Pour les visites non classifiées dans les installations du ministère américain de la Défense (DOD), une autorisation de visite utilisant le processus de visite arrangée directement (VAD) dans le cadre du Programme mixte d'agrément (PMA) États-Unis (É.U.)/Canada peut être exigée par les organisations canadiennes pour l'accès à certains établissements (chapitre 11 : Programme mixte d'agrément).

De plus amples renseignements sur les DV sont disponibles sur la page web d'Approbation des visites de lieux sécurisés

8.9 Visites nécessitant l'accès à des renseignements étrangers au niveau Restreint

Les demandes de visites impliquant l'accès à des renseignements ou à des biens étrangers au niveau Restreint doivent être faites conformément aux procédures établies dans les clauses contractuelles. Communiquez avec l'ASD canadienne par courriel au dgsssiprojetintl-dobissintlproject@tpsgc-pwgsc.gc.ca pour en savoir plus au sujet de ces types de visites.

9.1 Aperçu

Le gouvernement du Canada doit parfois faire appel à des entrepreneurs étrangers et à des chaînes d'approvisionnement de plus en plus complexes pour accéder à des compétences et à des technologies spécialisées. De même, les entrepreneurs canadiens peuvent être des fournisseurs d'un gouvernement étranger allié ou d'une organisation internationale. Le gouvernement du Canada, les gouvernements alliés et les organisations internationales doivent veiller à ce que leurs renseignements respectifs de nature délicate soient traités et protégés de manière adéquate en utilisant des normes internationales communes lorsqu'ils les échangent entre eux.

9.2 Instruments de sécurité bilatéraux

L'ASD canadienne négocie un certain nombre d'instruments de sécurité bilatéraux (arrangements, protocoles d'entente, accords) pour faciliter l'échange et la protection des renseignements et des biens protégés et classifiés qui ont été fournis aux entrepreneurs. Par conséquent, l'ASD canadienne définit les exigences de sécurité pour protéger les renseignements protégés et classifiés qu'une organisation canadienne ou étrangère doit respecter lorsqu'elle intervient à n'importe quelle étape d'un contrat couvert par un instrument de sécurité bilatéral.

Au Canada, l'ASD est chargée de négocier des instruments de sécurité bilatéraux qui :

• permettent à l'industrie canadienne d'accéder à des contrats classifiés avec des gouvernements étrangers et des organisations internationales
• permettent à l'industrie canadienne d'être concurrentielle à l'échelle internationale et d'encourager les investissements étrangers
• administrent les mesures de protection pour toutes les phases précédant la passation de marchés, ainsi que les projets, programmes, contrats et contrats de sous-traitance avec des pays étrangers et des organisations internationales liés à l'échange de renseignements protégés ou classifiés
• comprennent des dispositions visant à définir le champ d'application; à désigner la ou les administrations de la sécurité chargées de gérer et de mettre en œuvre l'instrument; à définir les équivalences des niveaux de classification de sécurité des renseignements classifiés et protégés; à définir la protection et le traitement des renseignements classifiés et protégés; à définir le processus d'échange des assurances de sécurité; à définir la manière dont les exigences de sécurité des contrats sont transmises; à définir le processus de visite du personnel et de transport des documents et du fret; à définir la perte ou la compromission de renseignements classifiés et protégés; et à définir des stratégies d'atténuation supplémentaires

9.3 Divulgation à l'étranger

Les organisations doivent obtenir l'approbation de l'ASD canadienne pour échanger ou transférer des renseignements et des biens protégés et classifiés avec une entité étrangère ou pour recevoir des renseignements classifiés d'un gouvernement étranger ou d'une organisation internationale. Une garantie de sécurité étrangère est la confirmation qu'une organisation étrangère et son personnel respectent les exigences de sécurité d'un appel d'offres, d'un contrat ou d'un contrat de sous-traitance. Pour obtenir une garantie de sécurité étrangère, les organisations doivent communiquer avec l'ASD canadienne, qui déterminera si les renseignements peuvent être communiqués à l'organisation ou au gouvernement étranger et protégés par ce dernier. Veuillez noter que les examens des divulgations à l'étranger peuvent prendre plusieurs mois en fonction des renseignements à divulguer.

L'industrie canadienne qui transfère des renseignements et des biens nationaux ou internationaux à une entité étrangère (gouvernement ou secteur privé) doit passer par l'ASD canadienne, sauf approbation contraire. La plupart des échanges de renseignements et de biens de gouvernement à gouvernement utilisent des services de messagerie agréés. Par conséquent, les organisations qui ont des expéditions doivent communiquer avec l'ASD canadienne par courriel au dgsssiprojetintl-dobissintlproject@tpsgc-pwgsc.gc.ca pour l'approbation de l'expédition. Lorsque ces méthodes de transport entraîneraient des retards inacceptables pour un contrat, un programme ou un projet, l'ASE ou l'ASER peut demander à l'ASD canadienne d'utiliser une autre méthode de transmission, comme le transport en mains propres par un employé de l'organisation.

Les renseignements appartenant à une tierce nation ne peuvent être communiqués à des personnes détenant des autorisations étrangères sans l'approbation écrite préalable de la nation d'origine par l'entremise de l'ASD canadienne. Par conséquent, la divulgation de renseignements nationaux ou internationaux à une personne étrangère employée par une organisation canadienne doit être préalablement approuvée par l'ASD canadienne et strictement contrôlée par l'ASE ou l'ASER.

La divulgation de renseignements aux visiteurs étrangers est interdite, sauf si l'autorisation de divulgation a été obtenue auprès du PSC par l'entremise d'un permis de visite approuvé (chapitre 8 : Visites de lieux sécurisés) ou d'un autre document d'autorisation.

La communication de renseignements ou de biens protégés et classifiés à des pays étrangers et à des organisations internationales doit être conforme aux instruments internationaux bilatéraux de sécurité du Canada et à la législation étrangère, et doit être approuvée par l'ASD canadienne.

Pour demander l'approbation de l'un des échanges de renseignements ci-dessus ou pour plus de renseignements, veuillez communiquer avec l'ASD canadienne par courriel au dgsssiprojetintl-dobissintlproject@tpsgc-pwgsc.gc.ca.

9.4 Renseignements protégés

Les organisations doivent obtenir une autorisation écrite de l'ASD canadienne avant de communiquer à d'autres pays des renseignements et des biens canadiens protégés. L'ASD canadienne assurera le niveau de protection requis pour les renseignements et les biens protégés par l'entremise de clauses de sécurité contractuelles ou d'instructions écrites.

9.5 Solutions de rechange à l'échelle internationale

Dans certains cas, lorsqu'il n'existe pas d'instrument de sécurité bilatéral couvrant les renseignements protégés, des solutions de rechange internationales personnalisées peuvent être utilisées pour aider à protéger les renseignements protégés canadiens traités à l'étranger lors de contrats du gouvernement du Canada.

Avec les solutions de rechange à l'échelle internationale, le gouvernement du Canada peut attribuer des contrats et des contrats de sous-traitance de niveau Protégé A ou Protégé B à des fournisseurs situés dans un nombre limité de pays ayant une législation et un cadre appropriés en matière de sécurité et de protection des renseignements personnels; de même, les organisations canadiennes peuvent tenir compte de certains fournisseurs étrangers dans leurs soumissions et leurs contrats de sous-traitance. La pertinence d'une approche de solutions de rechange est toujours examinée au cas par cas et est à la discrétion exclusive des représentants du PSC.

Pour savoir si des solutions de rechange internationales sont possibles, consultez la page web Solutions de rechange à l'échelle internationale.

9.6 Renseignements et biens étrangers classifiés

Les renseignements ou biens classifiés d'un gouvernement étranger ou d'une organisation internationale qui sont de niveau Confidentiel, Secret ou Très secret doivent être protégés de la même manière que les renseignements et biens classifiés canadiens de niveau équivalent tels que définis dans l'instrument de sécurité bilatéral respectif, sauf avis contraire de l'ASD canadienne (chapitre 6 : Manipulation et protection de renseignements et de biens). Les mesures de sécurité pour traiter et protéger les renseignements classifiés étrangers sont stipulées dans les clauses contractuelles.

9.7 Renseignements étrangers au niveau Restreint

La classification Restreinte n'existe plus au Canada, mais de nombreux gouvernements alliés et organisations internationales utilisent toujours cette classification, et le Canada est tenu de la protéger conformément aux instruments de sécurité bilatéraux. Les industries qui se voient attribuer un contrat gouvernemental étranger avec la classification Restreinte doivent communiquer avec l'ASD canadienne par courriel au dgsssiprojetintl-dobissintlproject@tpsgc-pwgsc.gc.ca pour obtenir des conseils supplémentaires, car les mesures de sécurité seront normalement incluses dans les clauses contractuelles de l'ASD étrangère. Les organisations doivent également se conformer aux procédures de protection supplémentaires suivantes :

• l'ASD canadienne doit approuver la divulgation de renseignements étrangers de niveau Restreint à tout gouvernement, personne ou institution d'un autre pays
• l'accès aux renseignements de niveau Restreint ne doit être accordé qu'aux personnes qui en ont besoin dans le cadre d'un programme/projet/contrat gouvernemental ou multinational
• l'ASE ou l'ASER doit informer tous les destinataires de renseignements et de biens étrangers de niveau Restreint de leur responsabilité en matière de protection de ces renseignements et biens
• pour éviter la confusion, les organisations doivent indiquer le pays d'origine des renseignements et des biens étrangers de niveau Restreint, ainsi que la classification, par exemple, Restreint (Italie)

9.8 Exigences de sécurité pour les contrats attribués à des organisations étrangères

En plus des exigences précisées au chapitre 2 : Contrats comportant des exigences de sécurité, les organisations sont tenues, lorsqu'elles attribuent des contrats, y compris des contrats de sous-traitance, à des organisations situées à l'étranger et détenant une ASI valide dans leur pays (entrepreneur étranger), de respecter les exigences suivantes :

• obtenir l'approbation de l'ASD canadienne pour le contrat ou le contrat de sous-traitance
• inclure des clauses relatives aux exigences de sécurité dans le contrat et des indications sur la classification de sécurité des renseignements canadiens, fournies par le PSC

9.9 Instructions de sécurité d'un programme ou d'un projet

Pour permettre l'échange de renseignements et de biens requis par les gouvernements et l'industrie dans le cadre de programmes de coopération multinationaux, les nations participant au programme ou au projet peuvent convenir d'utiliser des pratiques et des procédures qui diffèrent des exigences du présent manuel et des instruments de sécurité bilatéraux. Dans ce cas, ces exigences, pratiques et procédures seront détaillées dans une instruction de sécurité du programme/projet approuvée par tous les participants. Pour le Canada, c'est l'ASD canadienne qui l'approuvera.

10.1 Aperçu

Les organisations canadiennes travaillant sur des contrats nécessitant l'accès à des renseignements et des biens classifiés appartenant à des organisations internationales doivent protéger ces renseignements au niveau de sécurité canadien équivalent précisé dans l'instrument de sécurité bilatéral respectif, y compris les exigences supplémentaires inscrites dans le contrat.

L'ASD canadienne aidera une organisation canadienne sous contrat avec un gouvernement étranger ou une organisation internationale en définissant les exigences détaillées qui doivent être respectées.

10.2 Organisation du Traité de l'Atlantique Nord

Le Canada est membre de l'OTAN, qui est une alliance de 31 pays membres.

En tant que membre de l'OTAN, le Canada suit les règlements de sécurité relatifs aux renseignements classifiés de l'OTAN, qui sont diffusés au sein de l'OTAN et par l'OTAN. Cela comprend les renseignements publiés par les pays membres de l'alliance de l'OTAN, ainsi que les renseignements provenant de l'organisation elle-même.

10.3 Union européenne

Conformément à l'instrument de sécurité bilatéral entre le Canada et l'Union européenne (UE), les entrepreneurs canadiens peuvent avoir accès aux renseignements classifiés de l'UE, par l'entremise de contrats attribués par les États membres de l'UE ou la Commission de l'UE. Les entrepreneurs canadiens doivent informer l'ASD canadienne s'ils reçoivent un contrat portant sur des renseignements et des biens classifiés de l'UE. L'ASD canadienne est chargée de superviser la conformité de l'organisation aux exigences de sécurité pour tous les renseignements classifiés de l'UE relevés dans le contrat. Pour obtenir des conseils sur la protection des renseignements classifiés de l'UE, les entrepreneurs doivent communiquer avec l'ASD canadienne par courriel au dgsssiprojetintl-dobissintlproject@tpsgc-pwgsc.gc.ca.

10.4 Agence spatiale européenne

Conformément à l'instrument de sécurité bilatéral entre le Canada et l'Agence spatiale européenne, les entrepreneurs canadiens peuvent avoir accès aux renseignements classifiés de l'Agence spatiale européenne, par l'entremise de contrats attribués par les États membres de celle-ci ou par l'Agence spatiale européenne. Les entrepreneurs canadiens doivent informer l'ASD canadienne s'ils reçoivent un contrat portant sur des renseignements et des biens classifiés de l'Agence spatiale européenne. L'ASD canadienne est chargée de superviser la conformité de l'organisation aux exigences de sécurité pour tous les renseignements classifiés de l'Agence spatiale européenne relevés dans le contrat. Les contrats comprenant des renseignements restreints par l'Agence spatiale européenne contiendront des clauses détaillées pour la protection appropriée de ces renseignements. Pour obtenir des conseils sur la protection des renseignements classifiés de l'Agence spatiale européenne, les entrepreneurs doivent communiquer avec l'ASD canadienne par courriel au dgsssiprojetintl-dobissintlproject@tpsgc-pwgsc.gc.ca.

11.1 Aperçu

Le PMA É.U./Canada a été établi en 1985 pour permettre aux entrepreneurs de chaque pays de demander l'accès aux données techniques militaires critiques non classifiées du DOD/ministère de la Défense nationale (MDN), sur une base également favorable, conformément à la directive 5320.25 du DOD des É.U., intitulée « Withholding of Unclassified Technical Data and Technology from Public Disclosure » (rétention de données techniques et de technologies non classifiées de la divulgation publique), et au Règlement sur le contrôle des données techniques (RCDT) du Canada en vertu de la Loi sur la production de défense.

Pour avoir le droit de soumissionner ou d'obtenir un contrat comprenant l'accès à des données techniques critiques sur le plan militaire non classifiées sous le contrôle du MDN ou du DOD, un entrepreneur doit être agréé aux termes du PMA É.U./Canada. La participation au PMA est limitée aux entrepreneurs dont l'entreprise est située aux É.U. ou au Canada.

Le PMA est géré par le Bureau du programme mixte d'agrément (BPMA) É.U./Canada situé à Battle Creek (Michigan), sous l'administration de la Defense Logistics Agency (disponible en anglais seulement). L'agrément du PMA atteste l'admissibilité des entrepreneurs canadiens et américains à ce qui suit :

• recevoir des données techniques critiques sur le plan militaire non classifiées sous le contrôle du DOD ou du MDN
• soumissionner des offres de contrats liées à la défense dont les particularités concernent des données techniques critiques sur le plan militaire ne pouvant être divulguées qu'à des organisations agréées
• participer à des rassemblements réservés aux entrepreneurs agréés par le PMA, notamment des :
  • symposiums
  • séances d'information sur des programmes
  • réunions visant à annoncer les exigences préalables d'organisations contractantes
  • conférences et des ateliers préalables à des demandes de soumissions, à des présentations de soumissions, à des présentations de propositions et à l'attribution de contrats
• organiser des visites non classifiées directement avec :
  • d'autres entrepreneurs canadiens et américains agréés par le PMA
  • les installations militaires du DOD et MDN

11.2 Processus d'agrément commun

Pour devenir un entrepreneur agréé, une organisation doit accepter de respecter les conditions énumérées dans l'entente concernant les données techniques critiques sur le plan militaire « militarily critical technical data agreement – DD form 2345 (PDF, disponible en anglais seulement) », remplir et soumettre le formulaire DD 2345 ainsi que toutes les pièces justificatives au BPMA É.U./Canada pour vérification.

Une fois accepté par le BPMA, le formulaire DD 2345 constitue un accord avec l'organisation et le PMA selon lequel les données techniques critiques sur le plan militaire non classifiées ne seront plus distribuées à des personnes non autorisées. Si un entrepreneur enfreint les dispositions de cette entente, son agrément lui permettant d'avoir accès aux données techniques critiques sur le plan militaire non classifiées pourrait être révoqué.

11.3 Visites non classifiées

Une fois agréés par l'entremise du PMA, les entrepreneurs canadiens peuvent demander des visites non classifiées directement organisées avec d'autres entrepreneurs du secteur de la défense ou installations militaires agréés au Canada et aux É.U. Ils doivent prendre des dispositions directement avec le point de contact de l'installation industrielle ou de l'installation militaire en cours d'agrément. Le responsable de la sécurité ou le commandant de l'installation conserve le pouvoir final d'approuver toute visite et peut refuser la permission pour des raisons de sécurité ou opérationnelles.

De plus amples renseignements sur la manière de demander une visite directement organisée sont disponibles sur le site web du Programme mixte d'agrément.

Vous trouverez de plus amples renseignements soit sur le site web du Programme mixte d'agrément du Gouvernement du Canada ou en communiquant avec le U.S./Canada Programme mixte d'agrément.

I. Responsabilités générales des agents de sécurité d'entreprise et des agents de sécurité d'entreprise remplaçants

Lorsque l'organisation est titulaire d'une VOD ou d'une ASI, les ASE et les ASER signent un formulaire d'accusé de réception et d'engagement qui dresse la liste de leurs obligations. Sauf indication contraire, voici les responsabilités des ASE et des ASER :

1. nommer tous les ASER, leur donner des instructions et les former (responsabilité des ASE)
2. désigner un ASER nommé qui assumera le rôle d'ASE en leur absence (responsabilité des ASE)
3. réviser les exigences relatives à la sécurité de la LVERS ou des clauses de sécurité des contrats, puis s'assurer qu'elles sont toutes respectées
4. obtenir l'approbation des représentants du PSC avant d'octroyer un contrat de sous-traitance comportant des exigences relatives à la sécurité
5. transmettre les demandes d'enquête de sécurité sur le personnel de tous les ASER et les CSC au plus haut niveau d'accès requis
6. transmettre les demandes d'enquête de sécurité sur le personnel des employés de leur organisation qui ont besoin d'accéder à des renseignements, à des biens ou à des lieux de travail protégés et classifiés
7. vérifier l'identité des employés au moyen de preuves d'identité et valider les renseignements relatifs à la date de naissance, à l'adresse, aux études, aux qualifications professionnelles, aux antécédents professionnels, aux voyages et aux références personnelles
8. coordonner les entrevues individuelles avec les employés, au besoin
9. transmettre des demandes de mise à jour et de mise à niveau des d'enquête de sécurité sur le personnel, au besoin
10. mener Séances d'information sur la sécurité aux employés après la réception de leur autorisation de sécurité ou cote de fiabilité, puis remplir le formulaire Certificat d'enquête de sécurité et profil de sécurité
11. informer les employés sur leur responsabilité à l'égard de la protection des renseignements classifiés de l'OTAN, leur faire signer le formulaire d'accusé de réception fourni par les représentants du PSC et retourner le formulaire signé par courriel
12. conserver les formulaires d'information signés dans le dossier des employés
13. Limiter l'accès aux informations, aux biens ou aux lieux de travail protégés et classifiés seulement au personnel qui dispose de l'enquête de sécurité approprié et qui a un besoin de savoir
14. tenir à jour une liste des ASE, des ASER, des CSC et des employés détenant une enquête de sécurité
15. garder en lieu sûr les dossiers d'enquête de sécurité sur le personnel
16. transmettre un formulaire Certificat d'enquête de sécurité et profil de sécurité pour révoquer la cote de fiabilité ou d'enquête de sécurité des employés qui n'ont plus besoin d'accéder à des renseignements, à des biens ou à des lieux de travail protégés et classifiés
17. assurer la coordination avec le représentant de la sécurité du client pour informer les employés travaillant sur les sites du client de toute exigence relative à la sécurité applicable
18. remplir les formulaires de demande de visite
19. informer les représentants PSC de tout changement concernant la situation juridique de l'organisation, sa structure organisationnelle, la propriété et la liste des CSC
20. aviser rapidement les représentants du PSC avant tout déménagement ou toute nouvelle construction
21. documenter tous les changements de la situation ou du comportement des employés détenant une d'enquête de sécurité et des ASER (Chapitre 4 : Enquête sur le personnel) et les signaler au PSC
22. documenter les contacts persistants ou inhabituels et les tentatives par une autre personne d'accéder à des renseignements, à des biens ou à une installation de nature délicate, sans qu'elle ait reçu l'autorisation appropriée, puis les signaler au PSC
23. veiller à ce que les visites approuvées soient bien notées dans le registre
24. informer rapidement les représentants du PSC de tous les contrats et contrats de sous-traitance classifiés octroyés à des entités étrangères ou par celles-ci
25. informer rapidement les représentants du PSC suite à des dommages à des renseignements et à des biens classifiés
26. compléter la formation essentielle offerte par le PSC, ce qui comprend la formation en salle de classe virtuelles, des vidéos en ligne et des webinaires pré-enregistrée

II. Responsabilités liées à l'autorisation de détenir des renseignements

Si l'organisation dispose d'une ADR, voici d'autres responsabilités des ASE et des ASER :

1. préparer les directives sur la sécurité et informer tout le personnel ayant accès à des renseignements et à des biens protégés et classifiés de ses responsabilités à l'égard de la sécurité en mettant en place un programme efficace de sensibilisation à la sécurité
2. nommer, au besoin, un coordonnateur de la sécurité informatique d'entreprise
3. assurer la coordination avec le CST pour nommer, au besoin, les gardiens et gardiens remplaçants de la COMSEC
4. veiller à ce que tous les renseignements et biens protégés et classifiés soient sauvegardés et gérés conformément aux dispositions du MSC (chapitre 6 : Manipulation et protection de renseignements et de biens de ce manuel) et aux clauses propres aux contrats
5. mettre à jour le répertoire des renseignements et des biens protégés et classifiés chaque année
6. informer les représentants du PSC de toutes les infractions à la sécurité pour obtenir ses directives avant d'enquêter
7. informer immédiatement les représentants du PSC de tout incident ou de toute compromission d'importance et remettre un rapport écrit. Les enquêtes sur les violations ou les compromissions seront coordonnées par les représentants du PSC
8. mettre sur pied un registre pour consigner et contrôler l'accès aux renseignements classifiés
9. donner des directives aux messagers selon les certificats de services de messagerie fournis par les représentants du PSC

III. Contact officiel avec Services publics et Approvisionnement Canada

Le ASE est le contact officiel avec les représentants du PSC pour traiter et coordonner les questions de sécurité. Les communications avec les représentants du PSC, qu'elles soient écrites ou orales, ne devraient être faites que par l'entremise des ASE, des ASER ou du chef de la direction de l'organisation.

IV. Séances d'information sur la sécurité

Pour veiller à une bonne sécurité dans l'organisation, les ASE travaillent en étroite collaboration avec la direction, du haut vers le bas, pour mettre en œuvre un programme de formation sur la sécurité et de suivi. Une sécurité insuffisante peut entraîner la perte de la VOD ou de l'ASI de l'organisation et l'annulation de contrats mettant en cause des renseignements et des biens protégés ou classifiés.

Les ASE et le personnel de la sécurité ne sont pas les seuls responsables de la sécurité d'une organisation. Les gestionnaires et superviseurs, à tous les échelons, et les CSC sont responsables de leurs propres mesures de sécurité, en plus de s'assurer que les procédures de sécurité applicables sont suivies par tous les employés de l'organisation. Le PSC recommande que les évaluations des performances comprennent une mesure de l'efficacité des employé en matière de sécurité, au même titre que d'autres évaluations organisationnelles.

Pour maintenir l'efficacité du programme de sécurité, il est indispensable de tenir une première séance d'information sur la sécurité, renforcée par un programme continu de formation et de sensibilisation à la sécurité. Au bout du compte, l'efficacité d'un programme de sécurité dépend des employés de l'organisation. Les procédures, règlements et mesures de protection matérielles sont plus efficaces si les employés sont pleinement conscients de leurs responsabilités individuelles, de l'importance des exigences relatives à la sécurité, ainsi que de la nécessité de ces exigences.

En lisant et en signant le formulaire Certificat d'enquête de sécurité et profil de sécurité à la réception de sa cote de fiabilité ou de son autorisation de sécurité, chaque personne prend connaissance de ses responsabilités. La signature du formulaire doit être suivie d'une séance d'information d'un ASE détaillant les responsabilités et devoirs propres à la personne relatifs la sécurité dans l'établissement visé par une VOD ou une ASI. Le formulaire rempli et signé doit être conservé dans le dossier personnel de l'employé.

Les nouveaux employés, même s'ils ne détiennent pas d'enquête de sécurité et qu'il leur est donc interdit de connaître ou d'accéder à des renseignements, à des biens et à des sites protégés et classifiés, doivent assister à une séance d'information sur la sécurité adaptée à leurs fonctions. La sécurité dans le secteur privé comprend les exigences relatives à la sécurité d'entreprise, ainsi que la protection des renseignements et des biens protégés et classifiés du gouvernement.

V. Contenu de la sensibilisation à la sécurité

Le programme de formation et de sensibilisation concernant la sécurité de chaque organisation doit être adapté à la situation et aux besoins de l'installation en question visée par une VOD ou une ASI avec une ADR. L'organisation est tenue de préparer un document qui guide et oriente les employés sur les mesures de sécurité à appliquer dans l'organisation. Elle doit s'appuyer sur le MSC, sans le reprendre dans son intégralité. Des ordres de sécurité doivent être élaborés pour l'installation spécifique qui détient la VOD ou l'ASI.

VI. Manquements, atteintes et compromissions touchant la sécurité

Les organisations doivent établir une procédure pour détecter les incidents de sécurité, atteintes à la sécurité et compromissions soupçonnés ou confirmés et enquêter sur eux. Tout incident doit être consigné dans un le formulaire Rapport d'incident de sécurité pour les agents de sécurité dûment rempli, en veillant à ce qu'aucun renseignement classifié ne soit inclus et envoyé par courriel au PSC : ssidsicdieenquetes-isscisdiidinvestigations@tpsgc-pwgsc.gc.ca.

Les ASE sont également responsables de consigner tout changement de comportement ou de situation concernant les employés individuellement et tout contact suspect par une autre personne. Ces cas doivent être bien consignés et signalés aux représentants du PSC. Tout changement de comportement chez votre personnel ayant une enquête de sécurité doit être rapidement signalé par courriel : spac.dgsssidessn-dobissnssid.pspc@tpsgc-pwgsc.gc.ca. Pour en savoir plus, consulter le signalement des incidents de sécurité et des changements de la situation personnelle et du comportement.

• rappeler aux employés leurs responsabilités sur le plan de la sécurité et de les rendre au courant des préoccupations, des menaces et des risques liés à la sécurité
• effectuant des vérifications régulières pour veiller à ce que les employés respectent les procédures et les pratiques de sécurité
• accroissant la sensibilisation des employés grâce à des séances d'orientation et de formation sur la sécurité
• communiquant de l'information sur les procédures relatives à la sécurité de votre organisation et sur les pratiques exemplaires en ce sens

VII. Production de rapports

Tous les titulaires d'une enquête de sécurité doivent signaler à leur ASE les incidents de sécurité confirmés ou soupçonnés. Si l'ASE estime qu'une infraction à la sécurité est survenue, il doit :

• la signaler au programme
• rédiger un rapport écrit sur la préoccupation au chapitre de la sécurité, en veillant à ce qu'aucun renseignement classifié ne soit inclus
• suspendre l'accès aux renseignements et aux biens de nature délicate jusqu'à ce que le programme ait terminé l'enquête

Dès réception d'un rapport d'incident, l'ASE doit immédiatement mener une enquête préliminaire pour déterminer toutes les circonstances et signaler l'incident aux représentants du PSC dans un délai 24 heures. Si les résultats de l'enquête préliminaire confirment ou laissent croire qu'il y a eu atteinte à la sécurité des renseignements et des biens, l'ASE doit immédiatement en informer les représentants du PSC. Les représentants du PSC mèneront une enquête sur l'incident afin d'en déterminer la cause et de recommander des correctifs et des mesures de contrôle à mettre en place par l'ASE pour prévenir ou minimiser le risque de futurs incidents similaires.

L'organisation devrait conserver les dossiers pendant deux ans suivant les incidents; ces dossiers pourraient être examinés par ALSI du PSC.

En savoir plus sur les Signalement des incidents de sécurité et des changements de la situation personnelle et du comportement.

Les ASE et ASER doivent, à tout le moins, signaler les situations suivantes au PSC :

• contact persistent ou inhabituel d'une personne que l'on connaît peu afin d'avoir accès à des renseignements, à des biens ou à des installations
• contact prévu ou imprévu avec des représentants d'une ambassade ou de gouvernements étrangers, des dignitaires étrangers ou des ressortissants étrangers, au Canada ou à l'extérieur du Canada, lorsqu'un tel contact se produit à l'extérieur du cadre des fonctions habituelles
• préoccupations ou atteintes réelles ou potentielles liées à la sécurité

VIII. Guide de conformité et d'application de la loi du Programme de sécurité des contrat

Les représentants du PSC mèneront des évaluations sur les organisations en cas de non-conformité et sur les infractions de sécurité ou atteintes à la sécurité comme indiqué ci-dessus.

I. Sécurité matérielle

Les organisations qui possèdent une ADR doivent établir un nombre adéquat de zones d'accès à restriction progressive pour contrôler l'accès aux renseignements et aux biens protégés et classifiés.

II. Types de zones d'accès réservé

On ne considère pas que les zones des deux premiers types ci-après (zone d'accès public et zone d'accueil) sont sécuritaires pour la conservation des renseignements et des biens protégés et classifiés. L'objectif consiste essentiellement à établir un point de départ, à partir duquel on pourra élaborer d'autres zones d'accès réservé.

III. Éléments des zones d'accès réservé

• Des panneaux peuvent être utilisés pour définir les zones de sécurité et doivent inclure le terme de zone de travail, zone de sécurité ou zone de haute sécurité. Dans certains cas, il faut veiller à ce que la signalisation n'attire pas une attention non désirée sur une zone ou un endroit précis
• Les éléments matériels d'une zone d'accès réservé peuvent varier. Une zone de sécurité pourrait également être un bureau fermé pour empêcher la consultation ou l'écoute de renseignements non autorisés
• La définition des zones d'accès réservé peut varier en fonction de la période d'utilisation au cours de la journée ou de la semaine. Par exemple, une zone d'accueil pendant les heures d'accès au public peut être définie comme une zone de travail pendant les heures d'accès restreint, comme les fins de semaine et la nuit
• La sécurité matérielle est plus efficace si les mesures, telles que les barrières, sont adaptées autant que possible aux activités normales. Le choix d'un emplacement adéquat et la délimitation des zones d'accès réservé facilitent leur utilisation fonctionnelle ainsi que le contrôle de l'accès à celles-ci
• L'accès aux zones d'accès réservé doit être limité aux employés qui détiennent une autorisation de sécurité au niveau approprié, et aux visiteurs dûment accompagnés

IV. Zones et périmètres extérieurs

V. Centres de contrôle de la sécurité

Les organisations qui disposent VOD ou d'une ASI, et d'une ADR peuvent avoir besoin d'un centre de contrôle de la sécurité à chaque site autorisé pour surveiller et contrôler l'état de l'équipement et des systèmes de sécurité, comme :

• les contrôles électroniques de l'accès
• les systèmes de détection des intrusions
• les avertisseurs de contrainte
• les systèmes de télévision en circuit fermé
• les systèmes de communication d'urgence
• les systèmes d'alarme incendie
• les ascenseurs

Un centre de contrôle de la sécurité peut être administré par l'installation, une entreprise sous-traitante ou une combinaison des deux pour assurer une surveillance continue. Le système de surveillance de la sécurité doit pouvoir fonctionner indépendamment des autres systèmes de surveillance de l'installation.

VI. Contrôle de l'accès aux zones d'accès réservé

I. Environnement sécurisé

Les organisations doivent faire une utilisation efficace des zones restreintes dans un environnement de bureau, pour protéger les renseignements et les biens. Des renseignements sur les types de zones sécurisées figurent à l'Annexe B : Lignes directrices pour la protection des installations. Les procédures de sécurité appropriées comprennent les suivantes :

• respecter le principe du besoin de savoir, disposer de mécanismes permettant de s'assurer que les autorisations de sécurité appropriées sont en place pour le personnel et respecter les périmètres des zones
• accompagner les visiteurs
• sécuriser les renseignements et les biens lorsqu'on quitte le lieu de travail
• ne discuter des renseignements que lorsqu'on se trouve dans la zone adéquate et avec des personnes qui ont besoin de savoir et ont la cote de sécurité requise
• repérer l'emplacement du matériel, comme les broyeurs, qui peut être utilisé sans laisser les renseignements et les biens sans surveillance
• effectuer des vérifications de la sécurité régulièrement
• préparer et manipuler les renseignements et les biens Protégé C dans une zone de sécurité ou, si une analyse des menaces et des risques le recommande, dans une zone de sécurité plus élevée
• conserver les documents relatifs aux cotes de sécurité du personnel contenant des renseignements personnels dans un dossier de sécurité distinct en tant que renseignements protégés, et non dans les dossiers généraux du personnel de l'organisation
• protéger les questionnaires associés aux enquête de sécurité sur le personnel Protégé B qui sont remplis en attendant leur transmission aux responsables du Programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada (SPAC) et tout renseignement défavorable concernant une personne

Les contrats concernant des études statistiques ou des enquêtes requérant la confidentialité, ou les contrats visant la collecte de renseignements personnels, contiendront des dispositions supplémentaires en matière de protection.

II. Gestion des dossiers

Les organisations doivent disposer d'un lieu adéquat, comme un registre, pour recevoir, distribuer, archiver et conserver les renseignements et les biens protégés et classifiés.

Les organisations doivent tenir des registres des dates, des noms et des transactions associés à tous les renseignements et biens classifiés, indiquant la réception, la distribution, la création, la reproduction et la destruction au sein de l'installation. Les organisations peuvent tenir des registres de tous les renseignements et biens d'origine étrangère soumis à des restrictions si ce genre d'exigence est énoncée dans les clauses du contrat.

Tous les dossiers de renseignements et de biens classifiés et tous les renseignements et biens classifiés doivent être disponibles à des fins d'inspection par les ALSI du PSC.

III. Mentions de sécurité

Les renseignements protégés et classifiés doivent porter la mention appropriée conformément aux lignes directrices suivantes :

• les lettres utilisées dans la mention doivent être plus grosses que celles qui sont utilisées dans le texte du document
• tous les documents (renseignements de base) utilisés pour la préparation des documents doivent indiquer la catégorie
• les lettres d'accompagnement ou de transmission, les formulaires ou les bordereaux d'acheminement doivent indiquer le niveau de la catégorie ou de la désignation le plus élevé des pièces jointes
• la mention doit figurer sur chacune des pages, mais aussi les documents doivent porter la mention appropriée sur la première et la dernière page de couverture
• les documents en feuilles détachées doivent porter une mention sur chaque feuille
• les images comme les graphiques, les cartes, les dessins doivent porter une mention évidente près de la marge ou du titre; on doit pouvoir lire clairement cette mention lorsque le document est plié
• les mentions de sécurité devraient comprendre la désignation applicable et la date à laquelle la déclassification ou le déclassement doit avoir lieu, dans la mesure où c'est déterminé au moment où les renseignements sont créés ou recueillis

IV. Conservation

Les renseignements et les biens protégés A et B doivent être conservés, à tout le moins, dans un contenant verrouillé tel qu'un classeur, un coffre-fort, une chambre forte et/ou une salle sécurisée lorsqu'ils sont situés dans une zone d'opérations approuvée. Les renseignements et les biens protégés C et tous les renseignements classifiés doivent être conservés dans un contenant de sécurité approuvé, conforme au Guide d'équipement de sécurité de la GRC, lorsqu'ils sont situés dans une zone appropriée approuvée (zone de sécurité minimale secret, très secret, protégé C). Les renseignements et les biens protégés et classifiés peuvent être conservés sur des étagères libres dans une salle sécurisée, uniquement après une inspection et avec l'approbation des responsables du PSC.

Les renseignements classifiés d'origine étrangère doivent être conservés séparément des autres formes de renseignements classifiés et protégés d'origine étrangère ou nationale. Les renseignements et les biens protégés et classifiés ne doivent pas être conservés dans la même armoire que les effets négociables ou des biens attrayants.

V. Emballage et transmission

Lors de la transmission de renseignements et de biens protégés et classifiés, les organisations doivent en assurer la sécurité par un emballage approprié et tenir un registre de leur transport et de leur livraison. Communiquer avec les responsables du PSC par courriel au tpsgc.ssidie-issiid.pwgsc@tpsgc-pwgsc.gc.ca pour obtenir des renseignements.

Les registres de distribution, de diffusion et de retour dans l'installation doivent comprendre la signature des responsables qui en accusent réception. Les personnes qui ont accès aux renseignements et aux biens classifiés doivent être informées de leurs responsabilités quant à la protection de ces renseignements et biens, ainsi que des restrictions particulières concernant leur utilisation ou leur diffusion.

Les renseignements et les biens protégés et classifiés doivent être emballés et transmis conformément aux normes de transport et de transmission des renseignements protégés et classifiés de la GRC. Cela inclut le transport en mains propres et/ou l'expédition en vrac de certains renseignements et biens protégés et classifiés. Les ALSI du PSC peuvent fournir des instructions précises.

Pour tout transfert international de documents, y compris le transport manuel, vous devez vous adresser au personnel du PSC par courriel au dgsssiprojetintl-dobissintlproject@tpsgc-pwgsc.gc.ca à des fins d'orientation et d'approbation.

I. Lancement

Lors de la phase de lancement d'une inspection de la sécurité de la TI, l'inspecteur de la sécurité de la TI du PSC communiquera avec ASE de l'organisation pour discuter de l'inspection à venir.

Dans le cadre de la phase de lancement, l'organisation devra remplir une liste de vérification de l'inspection de la sécurité de la TI qui décrit les systèmes de TI qu'elle a l'intention d'utiliser pour stocker, traiter et créer les renseignements protégés et/ou classifiés associés aux contrats. Cette liste de vérification n'est pas un exercice de réussite ou d'échec; elle sert plutôt d'outil de discussion essentiel pour la partie de l'inspection qui se déroule sur place. Ce document est d'une portée qui doit se limiter à une description des systèmes de TI à utiliser pour stocker, traiter ou créer des renseignements protégés ou classifiés associés aux contrats. L'ASE est censé fournir la liste de vérification de la sécurité de la TI remplie et toute pièce justificative à l'inspecteur de la sécurité de la TI dans les 30 jours suivant sa réception.

En outre, si pendant la phase de lancement de l'inspection, une inspection sur place doit avoir lieu, l'inspecteur de la sécurité de la TI en fixera la date et l'heure avec l'ASE.

II. L'inspection sur place

Pendant la partie de l'inspection qui se déroule sur place, l'inspecteur de la sécurité de la TI aura un entretien avec l'organisation et évaluera la situation de celle-ci en matière de sécurité de la TI pour le stockage, le traitement et la création de renseignements protégés ou classifiés à l'appui des contrats visés par une inspection.

L'ASE ou l'ASER doit assister à l'inspection de la sécurité de la TI sur place. Si l'ASE ou l'ASER n'est pas l'administrateur de TI pour les systèmes de TI inspectés, les responsables du PSC recommandent vivement à l'organisation de faire en sorte qu'un administrateur de TI qui connaît bien le ou les systèmes assiste à l'inspection. En outre, il peut être bénéfique tant pour l'organisation que pour l'inspecteur de pouvoir compter sur un spécialiste des processus opérationnels qui connaît les fonctions exercées à l'appui du contrat, pour répondre aux questions.

Lors de l'inspection sur place, l'inspecteur de la sécurité de la TI :

• examinera les questions et les réponses fournies sur la liste de vérification de la sécurité de la TI et tout document justificatif
• certifiera que toutes les exigences du contrat décrites dans un document faisant état des exigences techniques en matière de TI (le cas échéant) ont été respectées
• passera en revue les systèmes de TI en place pour stocker, traiter ou créer des renseignements protégés ou classifiés
• demandera à parler au personnel associé aux activités contractuelles s'il y a lieu

Au cours de cette inspection, l'inspecteur de la sécurité de la TI prend note de toute constatation de la non-conformité possible de l'organisation aux exigences du contrat, au PSC ou aux meilleures pratiques opérationnelles. Pour chaque constatation, l'inspecteur formulera une ou plusieurs recommandations visant à améliorer la situation en matière de sécurité de la TI. Ces recommandations sont faites à l'ASE pendant l'inspection et énoncées dans une lettre de recommandation à la suite de l'inspection (Section IV. A : Lettre de recommandation).

III. Inspections hors site

Lorsque l'historique des inspections et les exigences contractuelles le permettent, les inspecteurs de la sécurité de la TI du PSC peuvent effectuer des inspections hors site. Ces inspections se déroulent de deux façons :

• par téléphone, avec un suivi sur place obligatoire
• au moyen d'un processus d'attestation

IV. Après l'inspection

Une inspection de la sécurité de la TI peut mener à deux conclusions :

• l'organisation est pleinement conforme aux exigences du contrat et du PSC, ce qui donne lieu à une lettre d'approbation (Section V. Approbation)
• l'organisation n'est pas entièrement conforme et des recommandations sont formulées. Les recommandations sont faites verbalement à l'ASE pendant l'inspection et sont suivies d'une lettre de recommandation

V. Approbation

Lorsqu'une inspection ne donne lieu à aucune constatation et donc à aucune recommandation, ou lorsqu'une organisation répond à la lettre de recommandation en indiquant que sa situation en matière de sécurité de la TI a été mise à niveau en fonction des exigences du contrat en matière de sécurité, le PSC adresse une lettre d'approbation de la TI à l'organisation et au ministère/organisation client. La lettre d'approbation de la TI n'est valable que pour le ou les contrats inspectés et uniquement pour la durée du ou des contrats en question.

La lettre d'approbation de la TI n'autorise pas l'organisation à utiliser ses systèmes de TI pour stocker, traiter ou créer des renseignements protégés ou classifiés pour tout autre contrat.

Une organisation ne doit pas utiliser un système de TI pour stocker, traiter ou créer des renseignements protégés ou classifiés avant d'avoir reçu l'autorisation des responsables du PSC, sous peine d'enfreindre une ou plusieurs clauses du contrat.

VI. Modifications des systèmes de technologie de l'information après une inspection de la sécurité de la technologie de l'information

Comme il est indiqué dans la lettre d'approbation des systèmes de TI, si une organisation apporte des modifications importantes aux systèmes de TI inspectés, les responsables du PSC peuvent suspendre l'approbation de ces systèmes jusqu'à leur prochaine inspection.

Les organisations doivent aviser les responsables du PSC si elles ont l'intention d'apporter d'importantes modifications aux systèmes de TI inspectés au cours d'un contrat. Les responsables du PSC évalueront les modifications et détermineront s'il y a lieu de procéder à une inspection du ou des systèmes modifiés.

I. Exigences associées aux demandes de visites

Différentes exigences se rattachent à l'obtention d'une approbation de demande de visite (DV) selon la catégorie.

II. Types de visites

III. Responsabilités