Manuel de la sécurité industrielle (pour les contrats datés avant 12 août 2020)
Pour les contrats conclus avant le 12 août 2020
Cette information a été remplacée par le Manuel de la sécurité des contrats. Pour les contrats conclus avant 12 août 2020, cette ancienne version du manuel s’applique toujours.
Le manuel de la sécurité industrielle est un guide pour les organisations du secteur privé qui soumissionnent et travaillent sur des contrats de nature délicate du gouvernement du Canada. Les organisations inscrites au Programme de la sécurité des contrats doivent se conformer aux critères de sécurité contenus dans ce guide.
Le présent manuel est publié en vertu des pouvoirs conférés par la Loi sur le ministère des Travaux publics et des Services gouvernementaux et par la Politique sur la sécurité du gouvernement du Canada (publiée par le Conseil du Trésor). Ce manuel porte sur tous les aspects des exigences du Programme de la sécurité des contrats de Services publics et Approvisionnement Canada. Le programme vise à s'assurer que les organisations du secteur privé qui ont accès à des renseignements et à des biens gouvernementaux classifiés ou protégés au Canada et à l'étranger, dans le cadre de contrats avec le gouvernement du Canada, adoptent et respectent des pratiques en matière de sécurité.
Dans le cadre du Programme de la sécurité des contrats, toutes les organisations et tous les particuliers qui justifient d'une attestation de sécurité doivent prendre connaissance de la Loi sur la protection de l'information. Cette loi fait état des sanctions prévues lorsqu'on ne protège pas l'information classifiée ou qu'on transmet des renseignements classifiés à des personnes non autorisées.
En outre, dans l'application des exigences du Programme de la sécurité des contrats, il faut toujours respecter les renseignements personnels sur les particuliers au sens défini dans la Loi sur la protection des renseignements personnels et les droits d'accès à l'information dans les dossiers au sens défini dans la Loi sur l'accès à l'information.
Sur cette page
- Chapitre 1 : Introduction générale
- 100. Manuel de la sécurité industrielle
- 101. Politique du gouvernement du Canada sur la sécurité
- 102. Programme de la sécurité industrielle
- 103. Nomination d'agents de sécurité d'entreprise et de remplaçants
- 104. Attributions de l'agent de sécurité d'entreprise
- 105. Agent général de sécurité d'entreprise
- Chapitre 1 : Annexes
- Chapitre 2 : Attestations de sécurité de personnel, Partie I : Cote de fiabilité
- 200. Généralités
- 201. Cote de fiabilité
- 202. Accès aux renseignements et biens protégés ou aux établissements dont l'accès est réglementé
- 203. Exigences préalables à l'enquête
- 204. Procédures pour demander une cote de fiabilité
- 205. Certificat d'enquête de sécurité et profil de sécurité
- 206. Transfert et processus de duplication de la cote de fiabilité entre deux organismes
- 207. Incapacité d'attribuer une cote de fiabilité ou dénégation de cette cote
- 208. Documents portant sur la cote de fiabilité du personnel
- 209. Rapports
- Chapitre 2 : Attestations de sécurité de personnel, Partie II : Cotes de sécurité
- 250. Généralités
- 251. Responsabilités de l'entreprise en ce qui concerne les cotes de sécurité
- 252. Exigences préalables à l'enquête
- 253. Procédures pour demander une cote de sécurité
- 254. Cas particuliers
- 255. Certificat d'enquête de sécurité et profil de sécurité
- 256. Transfert et processus de duplication de la cote de fiabilité entre deux organismes
- 257. Incapacité d'attribuer une cote de sécurité ou dénégation de cette cote
- 258. Documents portant sur la cote de sécurité du personnel
- 259. Rapports
- Chapitre 3 : Attestations d'organisations, Partie I – Attestation d'organisation désignée (protégé)
- 300. Généralités
- 301. Protection et garde des renseignements et des biens protégés
- 302. Négociations précontractuelles
- 303. Accord de sécurité avec le gouvernement du Canada
- 304. Types de vérification d'organisation désignée
- 305. État de la vérification d'organisation désignée
- 306. Période de validité
- 307. Attestation de sécurité d'emplacement d'une organisation
- Chapitre 3 : Annexes
- Chapitre 3 : Attestations d'organisations, Partie II – Attestation de sécurité d'installations (classifié)
- 350. Généralités
- 351. Cote de sécurité du personnel pour les cadres supérieurs clés
- 352. Organisations parentes
- 353. Propriété, contrôle et Influence de l'étranger
- 354. Conservation et garde et des renseignements et des biens classifiés
- 355. Négociations précontractuelles
- 356. Accord de sécurité avec le gouvernement du Canada
- 357. Types d'attestation de sécurité d'installations
- 358. État de l'attestation de sécurité d'installations
- 359. Période de validité
- 360. Attestations du site au sien d'une organisation ayant son siège au Canada
- 361. Succursale hors du Canada
- 362. Réciprocité des attestations de sécurité d'installations réciproques
- Chapitre 3 : Annexes
- Chapitre 4 : Protection des installations
- Chapitre 5 : Manipulation et sauvegarde des renseignements et des biens classifiés et protégés
- 500. Généralités
- 501. Mise en garde pour la sécurité sur les publications produites par les entrepreneurs
- 502. Annotation des renseignements protégés et classifiés
- 503. Gestion des dossiers
- 504. Protection des renseignements et des biens
- 505. Utilisation des ordinateurs portatifs
- 506. Emballage et transmission de renseignements ou de biens protégés et classifiés
- 507. Enlèvement temporaire de renseignements ou de biens protégés et classifiés
- 508. Reproduction
- 509. Reclassification et déclassification
- 510. Conservation
- 511. Destruction
- 512. Règles de sécurité : contraventions, violations et compromissions
- 513. Communication de vive voix et transmission des messages
- Chapitre 5 : Annexes
- Chapitre 6 : Protocole de demande de visite de niveau classifié pour les entreprises canadiennes
- 600. Généralités
- 601. Types de demandes de visite
- 602. Exigences préalables obligatoires
- 603. Catégories de demandes de visite
- 604. Information nécessaire pour présenter les demandes de visite (par catégorie)
- 605. Délais à respecter
- 606. Procédures pour les visites urgentes sur invitation
- 607. Modifications
- 608. Obligation de prévenir l'organisation hôte
- 609. Responsabilités de l'organisation hôte
- 610. Responsabilités des organisations visiteuses
- 611. Listes de projets
- 612. Visites non classifiées
- Chapitre 6 : Annexes
- Chapitre 7 : Contrats protégés et classifiés
- Chapitre 8 : Sécurité de la technologie de l'information
- Chapitre 9 : Exigences relatives à la sécurité pour l'Organisation du Traité de l'Atlantique Nord
- Chapitre 10 : Programme mixte d'agrément
- Chapitre 11 : Questions relatives à la sécurité internationale
- 1100. Généralités
- 1101. Fonctions et attributions
- 1102. Politique relative à la divulgation des renseignements à l'étranger
- 1103. Accords de sécurité bilatéraux
- 1104. Programmes de coopération multinationaux en matière d'armements avec les pays alliés membres de l'Organisation du traité de l'Atlantique nord
- 1105. Traitement et protection des renseignements et de biens classifiés étrangers
- 1106. Renseignements protégés
- 1107. Renseignements à diffusion restreinte
- 1108. Exigences relatives à la sécurité des contrats attribués à des intérêts étrangers
- Chapitre 12 : Éducation en matière de sécurité
- Ressources du Manuel de la sécurité industrielle
Chapitre 1 : Introduction générale
100. Manuel de la sécurité industrielle
1. Généralités
Le Manuel de la sécurité industrielle (MSI) est publié à l'intention de l'industrie par le Secteur de la Sécurité Industrielle (SSI) de Services publics et Approvisionnement Canada (SPAC).
2. Portée
Le présent manuel est un ouvrage de référence simple qui renseigne les agents de sécurité d'entreprise (ASE) sur les normes et les mesures de sécurité adoptées par le gouvernement canadien et sur la manière de s'assurer que leur organisation se conforme à ces normes et mesures.
3. Application
Le présent manuel prescrit les mesures que doivent prendre les organisations établies au Canada pour la protection des renseignements et des biens du gouvernement, qui leur sont fournis ou qui sont produits par des organisations privées, et dans les cas où la sécurité est administrée par le Programme de sécurité des contrats (PSC) de SPAC. Les procédures s'appliquent également aux activités semblables des ministères ou organismes de gouvernements étrangers alliés concluant des marchés par l'intermédiaire de SPAC, comme c'est le cas des initiatives multinationales où le Canada est un partenaire.
4. Contenu
Le présent manuel est constitué de 12 chapitres, chacun étant immédiatement suivi, s'il y a lieu, des annexes qui s'y rapportent. Après le chapitre 12, une section intitulée ressources a été ajoutée pour améliorer la compréhension du manuel. La section contient un glossaire des termes de même qu'une courte liste d'abréviations et d'acronymes.
5. Présentation
Dans la mesure du possible, chaque chapitre traite distinctement des renseignements et des biens protégés et classifiés. En conséquence, le lecteur n'a à se préoccuper que de l'information qui relève clairement de la catégorie de sécurité qui l'intéresse.
101. Politique sur la sécurité du gouvernement
Généralités
-
La Politique sur la sécurité du gouvernement est publiée par le Conseil du Trésor en application d'une décision prise par le gouvernement et de l'article 7 de la Loi sur la gestion des finances publiques.
Cette politique vise à « veiller à ce que les administrateurs généraux gèrent efficacement les activités de sécurité au sein des ministères et contribuent à la gestion efficace de la sécurité à l'échelle du gouvernement ».
Les contrats fédéraux sont assujettis à cette politique. SPAC est le ministère chef de file désigné pour donner des conseils et des indications sur les exigences en matière de sécurité applicables aux contrats fédéraux de biens et de services.
Le PSC de SPAC permet d'appliquer dans le secteur privé les exigences de sécurité à respecter. De façon plus précise, le PSC de SPAC est chargé de la mise en œuvre et de l'examen ultérieur de toutes les mesures de sécurité qui intéressent les entreprises établies au Canada (ou les autres organisations ne faisant pas partie du gouvernement fédéral), dans les cas où des renseignements ou des biens de nature délicate, qu'ils soient d'origine canadienne ou étrangère, sont transmis à une entreprise privée, que ce soit aux termes d'un contrat, d'un accord ou d'une exigence précontractuelle d'un marché auquel participe SPAC.
-
Le PSC de SPAC est secondé dans cette tâche par de nombreux organismes fédéraux, et notamment par le Service canadien du renseignement de sécurité (SCRS), par la Gendarmerie royale du Canada (GRC), par le ministère de la Défense nationale (MDN) et par les organismes homologues dans les pays étrangers, ainsi que par le Centre de la sécurité des télécommunications (CST du MDN).
102. Programme de sécurité des contrats
But
- Le but d'un programme de sécurité est de prévenir la diffusion, la destruction, l'enlèvement, la modification ou l'arrêt de production, sans autorisation appropriée, de renseignements ou de biens protégés et classifiés. Pour atteindre ce but, il faut disposer d'une structure organisationnelle et de méthodes administratives appuyant 4 sous-systèmes, à savoir celui :
- de la sécurité matérielle (emplacement et conception des lieux et des moyens physiques destinés à prévenir, à déceler et à réprimer l'accès non autorisé)
- de la sécurité de la technologie de l'information (contrôle de l'accès aux renseignements de nature délicate utilisés dans les systèmes informatiques ou faisant l'objet de communications électroniques)
- de la sécurité du personnel (enquêtes de sécurité, formation et mesures disciplinaires)
- de la divulgation à l'étranger de renseignements ou de biens prescrits dans les protocoles d'ententes et les accords bilatéraux
- L'enquête de sécurité permet de déterminer la loyauté ou la fiabilité d'une personne aux fins de l'accès autorisé. Les sous-systèmes sont interdépendants, de sorte que l'efficacité d'un programme de sécurité dépend de la bonne marche de tous ses éléments
- PSC de SPAC est structuré pour fournir de manière coordonnée les détails de tous les éléments d'un programme de sécurité. Les organisations munies d'une vérification d'organisation désignée (VOD) ou d'une attestation de sécurité d'installations (ASI) dans le cadre du PSC de SPAC sont tenues de mettre en œuvre des programmes de sécurité dont l'envergure correspond à leur importance
Application
PSC de SPAC permet de renseigner l'industrie et d'autres organisations canadiennes sur la manière de protéger des renseignements et des biens protégés et classifiés confiés à la garde ou au contrôle d'entrepreneurs ou de particuliers du secteur privé, afin de prévenir :
- une atteinte à la sécurité ou une compromission se rapportant à ces renseignements et ces biens
- l'interruption ou l'élimination de services
- le vol, le détournement ou l'abus de biens, situations susceptibles d'entraver l'exécution d'un contrat et de diminuer l'intégrité de l'information
Portée
En ce qui concerne les entrepreneurs, PSC de SPAC prévoit des mesures de sécurité pour :
- leur organisation
- les renseignements et biens protégés et classifiés qui leur sont transmis
- les biens ou les objets qu'ils produisent aux termes d'un contrat
- les renseignements et biens protégés et classifiés pendant leur transmission
- les renseignements protégés et classifiés traités par moyen électronique dans leurs installations
- l'équivalent au sein d'organisations non commerciales comme les universités
103. Nomination d'agents de sécurité d'entreprise et de remplaçants
Toutes les organisations qui ont besoin d'une VOD ou d'une ASI doivent nommer un agent de sécurité d'entreprise (ASE).
Exigences minimales pour la nomination d'un agent de sécurité d'entreprise
Un ASE doit au moins :
- être un citoyen canadien ou un résident permanent ainsi qu'un employé de l'organisation
- avoir subi l'enquête de sécurité pour l'obtention d'une cote de fiabilité approfondie dans le cadre d'une VOD
- avoir subi une enquête de sécurité pour l'obtention de l'ASI. Cette exigence comporte des exceptions pour certaines ASI de niveau Très secret et installations de type Organisation du traité de l'Atlantique nord (OTAN). Veuillez consulter votre agent régional de la sécurité industrielle pour obtenir de plus amples informations
- relever de cadres supérieurs clés (CSC) désignés pour toutes les questions ayant trait à la sécurité et son bureau doit se trouver au siège social canadien de cette organisation, pour qu'il puisse communiquer en personne avec les CSC relativement aux questions de sécurité
Nomination d'un agent de sécurité d'entreprise
Le chef de la direction ou un CSC désigné de l'organisation procède à la nomination. Pour nominer un ASE, l'Annexe 1-A : Formulaire de nomination d'un agent général ou d'un agent de sécurité d'entreprise - accusé de réception et engagement de SPAC doit être soumis au PSC de SPAC pour approbation. PSC de SPAC ne discute pas des questions de sécurité ni ne remet quoi que ce soit à un ASE tant qu'elle n'a pas reçu et approuvé la nomination consignée sur le formulaire susmentionné. La nomination ne devient officielle que lorsqu'une copie remplie en bonne et due forme du formulaire a été retournée à l'organisation.
Agent de sécurité d'entreprise remplaçant (chargé d'exécuter les fonctions de l'agent de sécurité d'entreprise en son absence)
L'ASE doit désigner, parmi ses agents de sécurité d'entreprise remplaçants (ASER), un responsable qui sera chargé d'exercer ses fonctions en son absence, et en informer en conséquence le PSC de SPAC. Ce remplaçant doit être un citoyen canadien ainsi qu'un employé de l'organisation, et détenir une attestation de sécurité correspondant au niveau d'accès de l'ASE.
Dans l'éventualité où l'ASE cesserait d'être un employé de l'organisation, son remplaçant désigné assumerait toutes les responsabilités liées à la sécurité industrielle. L'organisation doit ensuite nommer un nouvel ASE dès que possible en remplissant l'Annexe 1-A : Formulaire de nomination d'un agent général ou d'un agent de sécurité d'entreprise - accusé de réception et engagement. Une organisation qui néglige de nommer un nouvel ASE détenant la cote de sécurité appropriée risque la suspension de sa VOD ou de son ASI.
Exigences minimales pour la nomination de remplaçants supplémentaires
À l'exception des organisations composées d'une seule personne, il est impératif de nommer au moins un remplaçant à l'installation de l'organisation où se trouve le bureau de l'ASE, et au moins 2 ASERs pour chaque installation supplémentaire de l'organisation où sont conservés des renseignements et des biens de nature délicate.
Un ASER doit au moins :
- être un citoyen canadien ou un résident permanent ainsi qu'un employé de l'organisation
- avoir subi l'enquête de sécurité pour l'obtention d'une cote de fiabilité approfondie dans le cadre d'une VOD
- avoir subi une enquête de sécurité pour l'obtention d'une cote de fiabilité approfondie dans le cadre d'une attestation de sécurité d'installation, sans autorisation de détenir des renseignements (ADR) classifiés
- avoir subi l'enquête de sécurité pour l'obtention d'une ASI, sans ADRs. Cette exigence comporte des exceptions pour certaines ASIs de niveau Très secret et installations de type OTAN. Veuillez consulter votre agent local de la sécurité industrielle (ALSI) pour de plus amples informations
- relever de l'ASE pour toutes les questions ayant trait à la sécurité
Nomination d'agents de sécurité d'entreprise remplaçants
L'ASE procède à la nomination des remplaçants de l'organisation. Pour nominer un ASER, l'Annexe 1-B : Formulaire de nomination d'un agent de sécurité d'entreprise remplaçant et accusé de réception et engagement de SPAC doit être soumis pour approbation. PSC de SPAC ne discute pas des questions de sécurité ni ne remet quoi que ce soit à un remplaçant tant qu'elle n'a pas reçu et approuvé la nomination consignée sur le formulaire susmentionné. La nomination ne devient officielle que lorsqu'une copie remplie en bonne et due forme du formulaire a été retournée à l'organisation.
104. Attributions de l'agent de sécurité d'entreprise
- Relativement à la VOD ou à de l'ASI, l'ASE est chargé :
- de réviser les exigences de sécurité définies dans la liste de vérification des exigences relatives à la sécurité (LVERS) ou dans les clauses de sécurité des contrats, et de s'assurer que toutes ces exigences sont respectées
- d'obtenir l'approbation du PSC de SPAC avant d'attribuer en sous-traitance des contrats comportant des exigences en matière de sécurité
- effectuer des mises à jour et des relèvements des attestations de sécurité conformément au format requis et aux délais établis
- de nommer tous ses remplaçants, de leur donner leurs instructions et d'assurer leur formation
- de nommer, parmi ses remplaçants nommés, celui qui exercera ses fonctions en son absence
- de déterminer les employés qui doivent avoir accès à des renseignements et à des biens classifiés et protégés ou à des établissements de travail protégés et classifiés et à veiller à ce qu'ils reçoivent de la documentation précise et complète sur l'enquête de sécurité
- pour les VOD, de s'assurer que tous les ASEs et les ASERs sont munis d'une attestation de sécurité au niveau de la fiabilité
- dans le cas des ASIs, de s'assurer que tous les CSCs de l'organisation, les ASE et les remplaçants sont munis de l'attestation de sécurité du plus haut niveau d'accès requis
- s'il y a lieu, de faire subir des entrevues préventives aux employés
- de s'assurer que le personnel assiste à une séance d'information sur la sécurité dès qu'il a été avisé de son habilitation sécuritaire ou de sa cote de fiabilité en remplissant le certificat d'enquête de sécurité et profil de sécurité
- de s'assurer que seul le personnel ayant fait l'objet d'une enquête de sécurité au niveau approprié et ayant des motifs valables d'en prendre connaissance (besoin de connaître) a accès à des renseignements et à des biens protégés et classifiés ou à des établissements de travail dont l'accès est contrôlé conformément aux exigences des contrats
- de tenir une liste à jour des employés titulaires d'une attestation de sécurité conformément au chapitre 2 du présent manuel
- de veiller à ce que les dossiers d'enquête de sécurité du personnel soient protégés comme il se doit
- de veiller à ce que le certificat d'enquête de sécurité et profil de sécurité, soit déposé pour mettre fin à la cote de fiabilité ou l'attestation de sécurité des employés qui n'ont plus besoin d'avoir accès à des renseignements et à des biens classifiés ou protégés ou à des établissements de travail dont l'accès est contrôlé conformément aux exigences des contrats
- de concert avec les représentants de la sécurité du client, s'assurer que le client donne, aux employés travaillant dans les établissements de ce client, de l'information sur toutes les exigences pertinentes en matière de sécurité
- de s'assurer que les formulaires de demande de visite sont remplis en bonne et due forme et présentés à qui de droit
- d'informer le PSC de SPAC de tout changement dans la situation juridique ou la propriété de l'organisation, et, dans le cas des ASI, de toute modification apportée à la liste des CSCs
- d'informer au préalable le PSC de SPAC de tout déplacement physique ou de toute nouvelle construction susceptible d'avoir des répercussions sur la protection des renseignements et des biens protégés et classifiés
- documenter et signaler les changements de la situation ou de comportement du personnel en ce qui a trait à l'état des attestations de sécurité selon les modalités exposées dans ce manuel
- documenter et signaler les contacts persistants ou inhabituels d'une autre personne, ou tentés par une autre personne, pour obtenir l'accès à des renseignements et à des biens de nature délicate, ou à des lieux de travail sécurisés sans autorisation
- Par rapport à une VOD ou à une ASI assortie d'une cote de protection de documents, l'ASE est également chargé :
- de rédiger des consignes de sécurité (consultez l'Annexe 1-C : Consignes de sécurité) et de s'assurer que tout le personnel ayant accès à des renseignements et à des biens protégés et classifiés a été renseigné sur ses responsabilités en matière de sécurité dans le cadre d'un programme de sensibilisation efficace
- de nommer, s'il y a lieu, un coordonnateur de la sécurité informatique d'entreprise et des remplaçants au besoin
- de nommer, s'il y a lieu, des responsables des ressources à la sécurité des communications (COMSEC – Communications security) et leurs remplaçants conformément aux dispositions du Manuel de contrôle du matériel industriel COMSEC
- de s'assurer que tous les renseignements et biens protégés et classifiés sont protégés et manipulés conformément aux dispositions du présent manuel
- de s'assurer que les ASEs procèdent à au moins une inspection annuelle de toutes les installations de l'organisation où sont gardés des renseignements et des biens protégés et classifiés et que les rapports consécutifs à ces inspections sont conservés pendant au moins 3 ans
- de produire au moins un répertoire annuel des renseignements et des biens classifiés et protégés
- de s'assurer que toutes les violations de la sécurité sont consignées et font l'objet d'une enquête ultérieure
- de s'assurer que le PSC de SPAC est immédiatement averti de toute atteinte à la sécurité ou de toute compromission de l'information et qu'un rapport écrit lui est présenté dans les meilleurs délais. Les enquêtes sur les atteintes à la sécurité ou sur les cas de compromission de l'information sont coordonnées par le PSC de SPAC
- Pour garantir que les questions de sécurité sont abordées de la bonne façon et font l'objet d'une coordination adéquate, il est nécessaire que l'ASE soit le contact officiel avec le PSC de SPAC. Dans la plupart des cas, celui-là communiquera avec celle-ci par l'entremise du gestionnaire de la Division des opérations de sécurité industrielle. Qu'elles soient écrites ou orales, les communications avec PSC de SPAC ne devraient être faites que par l'entremise de l'ASE, de son ou ses remplaçants ou du chef de la direction de l'organisation
105. Agent général de sécurité d'entreprise
- Lorsqu'une organisation mère canadienne dont les installations ont fait l'objet d'une attestation de sécurité possède une ou plusieurs filiales au Canada ayant également fait l'objet d'une attestation de sécurité, elle devrait nommer un agent général de sécurité d'entreprise (AGSE) qui sera chargé globalement des questions de sécurité industrielle propres à l'administration fédérale au nom de l'ensemble de l'organisation. L'agent général est un citoyen canadien et fait rapport à un CSC désigné de l'organisation relativement à toutes les questions de sécurité. La nomination d'un agent général ne remplace pas l'obligation de disposer d'un ASE à chaque filiale ayant fait l'objet d'une attestation de sécurité et qui détient des renseignements ou des biens protégés et classifiés, mais elle renforce la capacité de l'organisation mère de surveiller et d'uniformiser les mesures de sécurité dans l'ensemble de l'organisation
- L'AGSE est nommé par le chef de la direction ou le CSC désigné de l'organisation mère. Pour nominer un AGSE, l'Annexe 1-A : Formulaire de nomination d'un agent général ou d'un agent de sécurité d'entreprise - accusé de réception et engagement de SPAC doit être soumis pour approbation. Elle ne devient officielle que lorsqu'une copie remplie en bonne et due forme du formulaire a été retournée à l'organisation
- Sauf indication contraire de PSC de SPAC, pour le remplacer et exercer ses fonctions en cas d'absence, l'AGSE désigne un de ses collègues comme remplaçant officiel et en informe le PSC de SPAC
Chapitre 1 : Annexes
- Annexe 1-A : Formulaire de nomination d'un agent général ou d'un agent de sécurité d'entreprise - accusé de réception et engagement
- Annexe 1-B : Formulaire de nomination d'un agent de sécurité d'entreprise remplaçant et accusé de réception et engagement
- Annexe 1-C : Consignes de sécurité
Chapitre 2 : Attestations de sécurité de personnel, Partie I – Cote de fiabilité
200. Généralités
1. La Politique sur la sécurité du gouvernement sur la sécurité prescrit une cote de fiabilité pour les personnes qui doivent avoir accès aux renseignements ou aux biens protégés.
Lorsque les personnes doivent avoir accès aux renseignements, biens ou sites classifiés, référez-vous à la Partie 2 – Cotes de sécurité.
Remarque
- la vérification de la fiabilité est le processus qui doit être réalisé avant qu'on puisse attribuer à l'employé sa cote de fiabilité. La cote de fiabilité est le résultat du processus de la vérification de la fiabilité
- l'information sur la vérification de la fiabilité provient du Formulaire d'enquête de sécurité. Les instructions présentées dans le présent chapitre complètent les instructions génériques jointes au formulaire et l'emportent sur ces instructions
- toutes les vérifications de la fiabilité utilisent désormais les enquêtes sur l'exécution de la loi (vérification du casier judiciaire) qui exigent la prise électronique obligatoire des empreintes digitales. Pour de plus amples renseignements, veuillez consulter la prise électronique obligatoire des empreintes digitales
201. Cote de fiabilité
1. La cote de fiabilité est obligatoire lorsqu' à cause des fonctions de son poste ou en raison d'un marché, l'employé doit avoir accès à des renseignements et à des biens protégés, sans égard à la durée de son affectation.
Les employés qui sont titulaires d'une attestation de sécurité valable n'ont pas à se soumettre à une autre vérification de la fiabilité. Le lecteur trouvera des instructions détaillées dans la section 203. Exigences préalables à l'enquête.
2. La vérification de la fiabilité doit porter sur tous les éléments suivants :
- nom de famille (nom de jeune fille) et prénoms
- vérification de la date de naissance
- vérification de l'adresse au cours des cinq dernières années
- vérification des études et des compétences professionnelles ou de l'attestation ou de l'accréditation des compétences
- vérification des antécédents professionnels
- évaluation de la fiabilité du rendement en consultant les employeurs précédents et les personnes dont le nom est donné en référence
- déclaration écrite au sujet de toute condamnation pour une infraction criminelle pour laquelle le pardon n'a pas été accordé
- enquête sur l'exécution de la loi (vérification du casier judiciaire) incluant la prise électronique obligatoire des empreintes digitales
- enquête sur la situation financière personnelle (vérification de crédit) s'il y a lieu
- autres vérifications déterminées par Services publics et Approvisionnement Canada (SPAC), selon les exigences particulières du contrat
- entrevue préventive (s'il y a lieu) pour motif valable
Remarque
L'agent de sécurité d'entreprise (ASE) ou l'agent de sécurité d'entreprise remplaçant (ASER) est responsable des parties a. à f. (ci-dessus) et doit s'assurer que tous les renseignements déposés sont à la fois exacts et complets.
3. La documentation relative à la vérification de la fiabilité ne doit être présentée au Programme de sécurité des contrats (PSC) de SPAC que par l'agent de sécurité d'entreprise (ASE), l'agent de sécurité d'entreprise remplaçant (ASER).
4. Seules les entreprises possèdent la compétence et assument la responsabilité dans l'embauche des employés et la cessation de leur emploi. Elles doivent également déterminer et justifier les cas dans lesquels les employés doivent avoir accès à des renseignements ou à des biens protégés ou à des établissements dont l'accès est réglementé.
5. Une entreprise ne peut présenter de la documentation relative à la vérification de la fiabilité que pour des personnes qui ont commencé à travailler à son service ou qui ont un contrat avec elle pour commencer à travailler dans un délai de 60 jours.
6. Une cote de fiabilité est valable pour une durée de 10 ans à partir de la date à laquelle elle est délivrée, sauf si elle est annulée compromission valable; cette cote cesse d'être valable lorsque :
- 'employé quitte l'entreprise pour laquelle la cote de fiabilité a été délivrée
- il n'est plus nécessaire d'avoir accès à des renseignements ou à des biens protégés ou à des établissements de travail dont l'accès est réglementé
- la participation de l'entreprise au Programme de la sécurité industrielle canadienne prend fin ou est annulée
7. L'ASE ou l'ASER est chargé de remplir le Certificat d'enquête de sécurité et profil de sécurité, soit :
- après avoir informé le postulant auquel SPAC a attribué une cote de fiabilité
- lorsqu'on termine une demande d'enquête de sécurité ou qu'on met fin à une cote de fiabilité existante délivrée pour un postulant ou un employé
Remarque 2
- On peut reconnaître les renseignements protégés à la mention « PROTÉGÉ », qui doit figurer sur tous les documents renfermant ces renseignements
- La personne visée doit avoir l'âge de la majorité pour que sa demande de cote de fiabilité soit traitée; sinon, il faut obtenir la signature d'un parent ou d'un tuteur (l'âge de la majorité peut varier selon la province). Veuillez consulter les « Instructions » annexées au Formulaire d'enquête de sécurité sur le personnel pour connaître exactement l'âge de la majorité selon la province visée
- L'article 748 (3) du code criminel précise que nulle personne déclarée coupable d'un délit en vertu des articles 121 (fraude à l'égard du gouvernement), 124 (achat ou vente d'une fonction) ou 418 (vente des approvisionnements défectueux à Sa Majesté) n'a de qualité, après cette déclaration de culpabilité, pour passer un contrat avec Sa Majesté, pour recevoir un avantage en vertu d'un contrat entre Sa Majesté et tout autre personne ou pour occuper une fonction relevant de Sa Majesté, à moins qu'un pardon lui ait été accordé (cet article interdit l'attribution d'une cote de fiabilité à cette personne)
202. Accès aux renseignements et biens protégés ou aux établissements dont l'accès est réglementé
Une cote de fiabilité ne donne pas, en soi, le droit d'avoir accès à des renseignements ou à des biens protégés ou à des établissements dont l'accès est réglementé. Elle habilite toutefois l'entreprise à autoriser les personnes qui détiennent cette cote à avoir accès à des renseignements et à des biens protégés ou à des établissements dont l'accès est réglementé, selon le "besoin de connaître" et sous réserve de toutes les restrictions qui pourraient être imposées dans la documentation contractuelle et précontractuelle. Tant que la cote de fiabilité nécessaire n'est pas délivrée, on ne peut pas avoir accès à des renseignements ou à des biens protégés ou à des établissements dont l'accès est réglementé. Les personnes auxquelles on a attribué une attestation de sécurité peuvent avoir accès aux renseignements ou aux biens protégés ou aux établissements dont l'accès est réglementé selon des "besoin de connaître".
203. Exigences préalables à l'enquête
Vérification des antécédents
- L'ASE ou l'ASER s'assure que le postulant peut fournir suffisamment d'information pour permettre aux administrations gouvernementales de vérifier ses antécédents pour les 5 dernières années. Si l'on ne peut pas respecter cette exigence ou que le postulant a résidé à l'extérieur du Canada au cours des 5 dernières années, il faut consulter le PSC de SPAC pour lui demander de nouvelles instructions avant de déposer les formulaires
- L'ASE ou l'ASER est directement responsable de la vérification de l'identité du postulant à l'aide d'au moins 2 des documents officiels suivants. L'ASE ou l'ASER doit soit faire la vérification lui-même, soit veiller à s'assurer qu'un employé agréé de l'entreprise a fait cette vérification et s'est procuré des copies des documents suivants pour confirmer les antécédents et l'identité du postulant.
Remarque
Veuillez noter que la mise en œuvre des nouvelles exigences en matière de vérification de l'identité a été reportée à une date ultérieure. D'ici-là, nous fournirons des lignes directrices aux agents de sécurité d'entreprise afin de les aider avec cette nouvelle exigence.
Les documents officiels de l'employé sont :
- un passeport en cours de validité
- un certificat de naissance
- un certificat de baptême
- un certificat de citoyenneté, ou un visa d'immigrant et une fiche d'établissement
- un permis de travail ou un visa canadien
- un permis de conduire en cours de validité délivré au Canada et comprenant une photographie plastifiée
- L'ASE ou l'ASER doit être convaincu que les preuves d'identité ont été vérifiées physiquement, qu'elles correspondent à la personne visée, qu'elles ont été délivrées par une autorité pertinente au Canada, comme un bureau d'état civil, une autorité de l'immigration ou une autorité fédérale, provinciale ou territoriale, et qu'il s'agit des versions les plus récentes de ces preuves d'identité. L'ASE ou l'ASER doit aussi garder des copies de chaque pièce d'identité dans le dossier d'enquête de sécurité de l'employé à des fins de vérifications
- Lorsque l'ASE ou l'ASER dépose une demande de vérification de la fiabilité pour son propre compte, il doit présenter au PSC de SPAC des copies d'au moins 2 des documents officiels énumérés ci-dessus pour confirmer son identité, en les joignant à la demande de cote de fiabilité
Lignes directrices et instructions
La personne qui fait l'objet d'une vérification de la fiabilité doit être identifiée correctement au moyen d'une vérification préliminaire portant sur les éléments d'information suivants :
- Date de naissance : on peut vérifier la date de naissance du postulant en utilisant un ou plusieurs des documents ci-dessus
- Adresses : il faut obtenir les adresses de résidence du postulant pour les cinq dernières années. Ces adresses doivent comprendre le numéro de l'appartement et de la rue, le nom de la rue (ou le numéro municipal, s'il y a lieu), la ville, la province et/ou l'état, le code postal, le pays et les dates de début et de fin. Veuillez consulter les Instructions jointes au Formulaire d'enquête de sécurité sur le personnel pour des lignes directrices à ce sujet
- Études et compétences professionnelles : on peut les vérifier à l'aide de relevés de notes officiels, de diplômes, de certificats d'établissement d'enseignement général ou professionnel et/ou d'originaux d'attestation professionnelle d'organismes, d'associations ou d'établissements municipaux, provinciaux ou fédéraux responsables de la délivrance des permis
- Antécédents professionnels : on peut vérifier ces antécédents en se mettant en rapport avec d'anciens employeurs pour connaître les dates d'emploi, le rendement et les raisons pour lesquelles la personne visée a quitté son emploi
- Références morales et professionnelles personnelles : on peut les vérifier en se mettant en rapport avec les personnes dont les noms ont été fournis par le postulant
Remarque
ce n'est qu'après une vérification préalable rigoureuse, décrite et conservée par l'ASE ou l'ASER (sous réserve d'une vérification faite par le personnel du PSC de SPAC) que l'on peut déposer auprès Programme de sécurité des contrats de PSC de SPAC une demande de vérification de la fiabilité.
204. Procédures pour demander une cote de fiabilité
1. Il faut remplir les formulaires suivants et les soumettre PSC de SPAC pour traitement avant l'attribution d'une cote de fiabilité.
- Formulaire d'enquête de sécurité sur le personnel
- copie des empreintes digitales avec :
- l'original du reçu du fournisseur de services
- le formulaire de demande de prise d'empreintes digitales du demandeur (doit contenir les 20 chiffres du numéro de contrôle de document [NCD])
Pour plus de renseignements sur les empreintes digitales, référez-vous à la prise électronique obligatoire des empreintes digitales.
Afin de faciliter le traitement, on doit remplir tous les formulaires, et les déposer électroniquement. Si le système n'est pas disponible, on doit toutefois remplir tous les formulaires à la machine à écrire ou en caractères majuscules et à l'encre noire lorsqu'on les dépose manuellement. Les formulaires illisibles ou incomplets sont retournés à l'expéditeur.
2. Pour les entreprises qui appliquent un processus électronique, la documentation imprimée du postulant, portant les signatures originales, doit être transmise au PSC de SPAC le jour même où elle est déposée électroniquement. Les télécopies lisibles sont acceptables.
Pour plus de renseignements, référez-vous à Comment remplir le Formulaire de vérification de sécurité, de consentement et d'autorisation du personnel
Remarque
Les instructions reproduites dans cette partie du manuel complètent les instructions génériques jointes à chacun des formulaires.
205. Certificat d'enquête de sécurité et profil de sécurité
Le formulaire Certificat d'enquête de sécurité et profil de sécurité doit être rempli pour 2 raisons différentes.
- À des fins d'information et d'acceptation :
- lorsque SPAC a attribué une cote de fiabilité, l'ASE ou l'ASER doit :
- présenter à l'employé une séance d'information complète au sujet de ses responsabilités en matière de sécurité
- demander par écrit à l'employé l'accusé de réception pour respecter les exigences imposées
- lorsque SPAC a attribué une cote de fiabilité, l'ASE ou l'ASER doit :
- Cessation :
l'ASE ou l'ASER doit remplir et soumettre ce formulaire si :- si un demandeur a une cessation d'emploi avant l'obtention d'une cote de fiabilité
- si un employé qui a obtenu une cote de fiabilité avec une organisation a une cessation d'emploi
Pour plus de renseignements, référez-vous à Comment remplir le Certificat d'enquête de sécurité et profil de sécurité.
Remarque
L'ASE ou l'ASER doit verser un exemplaire final de ce formulaire au dossier de sécurité de l'employé pour fermer les registres.
206. Transfert et processus de duplication de la cote de fiabilité entre deux organismes
- La cote de fiabilité d'une personne peut être transférée entre 2 organismes, à la condition de respecter les critères suivants :
- la cote de fiabilité n'a pas été résiliée il y a plus de 2 ans
- elle n'a pas à être mise à jour incessamment
- l'employé affirme qu'il n'y a pas eu de changement dans son dossier personnel en ce qui concerne les condamnations criminelles
- On doit remplir le formulaire conformément à une nouvelle demande (référez-vous à la section 204. Procédures pour demander une cote de fiabilité. Procédures pour demander une cote de fiabilité), en tenant compte des différences suivantes :
- section A. Inscrivez un "X" dans la case Transfert
- section B. Assurez-vous de fournir tous les renseignements nécessaires dans la ligne "Avez-vous déjà rempli un formulaire d'enquête de sécurité du gouvernement du Canada? "
- section C. N'indiquez rien dans toutes les cases des lignes 1 à 5. L'employé doit cependant signer et dater le formulaire pour confirmer la validité des renseignements personnels reproduits dans la section B ci-dessus
- La cote de fiabilité d'une personne peut être dupliquée parmi plusieurs organisations, à condition que les critères suivants soient respectés :
- la cote de fiabilité est toujours valide
- la cote de fiabilité n'est pas sur le point de devoir être mise à jour
- l'organisation demandant le duplicata est inscrite et est membre en règle du Programme de sécurité des contrats
Pour plus de renseignements, référez-vous aux demandes de duplicata dans la section A – Renseignements administratifs de Comment remplir le Formulaire de vérification de sécurité, de consentement et d'autorisation du personnel.
207. Incapacité d'attribuer une cote de fiabilité ou dénégation de cette cote
S'il n'est pas possible d'obtenir des renseignements généraux pour les 5 dernières années ou qu'on prend connaissance de renseignements défavorables importants pendant la vérification de la fiabilité, on le fait savoir en personne au postulant (sauf si on ne peut divulguer ces renseignements en vertu de la Loi sur la protection des renseignements personnels), et on lui donne l'occasion d'expliquer les circonstances. Si SPAC décide, après avoir examiné tous les renseignements pertinents et les recommandations négatives, que le postulant ne répond pas aux exigences d'une cote de fiabilité, on lui fait connaître par écrit ses droits de recours à des mécanismes de révision et de redressement.
208. Documents portant sur la cote de fiabilité du personnel
Conservation en lieu sûr et élimination :
- en raison de leur caractère confidentiel, les documents de vérification de la fiabilité renfermant des renseignements personnels ne doivent pas être conservés dans les dossiers du personnel de l'organisme; il faut plutôt les verser dans un dossier de sécurité distinct et les garder en lieu sûr
- l'ASE ou l'ASER doit tenir à jour, pour les besoins du suivi et de la vérification, la liste de tous les employés auxquels on a attribué une cote de fiabilité
- conformément aux lignes directrices sur l'accès à l'information diffusées par le Secrétariat du Conseil du Trésor, les documents portant sur la cote de fiabilité du personnel doivent, conformément à la banque d'accès à l'information, être détruits 2 ans après le départ de l'employé pour lequel la vérification de la fiabilité a été effectuée
Présentation des formulaires de vérification de la fiabilité
Voici les documents nécessaires à l'exécution de ce processus :
- on a besoin d'une copie du Formulaire d'enquête de sécurité sur le personnel pour lancer le processus de vérification de la fiabilité. On peut se servir :
- de photocopies de ce formulaire portant les signatures originales;
- des télécopies claires et lisibles.
- une copie du reçu du fournisseur de services de prise électronique d'empreintes digitales ou une copie du formulaire de demande de prise d'empreintes digitales du demandeur, du moment que le numéro de contrôle de document (NCD) à 20 chiffres y est indiqué. Voir la prise obligatoire d'empreintes digitales pour de plus amples renseignements
- il faut également une copie du Certificat d'enquête de sécurité et profil de sécurité, à la fois lorsqu'une cote de fiabilité fut attribuée par SPAC et par la suite, à la date de la résiliation. On peut se servir de photocopies du formulaire portant les signatures originales
Remarque
Le formulaire doit être rempli exactement et porter tous les renseignements nécessaires, faute de quoi il sera retourné à son expéditeur.
Pour en savoir davantage, consulter comment soumettre les demandes, formulaires et autres documents pour la sécurité des contrats.
209. Rapports
Rapport sur un changement de situation ou de comportement
L'employeur ou l'employé qui constate ou qui a des motifs raisonnables et vraisemblables de croire que la situation qui existait lorsqu'on a attribué une cote de fiabilité au postulant a changé et que la nouvelle situation pourrait nuire à la fiabilité du postulant ou que, pour une raison ou une autre, on peut douter de la fiabilité de quelqu'un ou qui observe un changement au niveau du comportement (par exemple, consommation abusive de drogues et d'alcool, changements soudains dans une situation financière) :
- doit faire parvenir un rapport complet sur le changement de situation, par l'entremise de son gestionnaire, à l'ASE ou l'ASER, qui doit le faire suivre au PSC de SPAC
- peut refuser à cette personne l'accès aux renseignements et aux biens protégés jusqu'à ce que la situation soit éclaircie
Chapitre 2 : Attestations de sécurité de personnel, Partie II – Cote de sécurité
250. Généralités
La Politique sur la sécurité du gouvernement prescrit des cotes de sécurité dans le cas des employés qui peuvent avoir accès à des renseignements ou à des biens classifiés ou à des établissements de travail dont l'accès est réglementé.
Renseignements
- Services publics et Approvisionnement Canada (SPAC) doit s'assurer que tous les employés qui y sont tenus ou qui sont sélectionnés comme cadres supérieurs clés (CSC) d'entreprises canadiennes pour lesquelles SPAC Canada a lancé le processus de traitement ou délivré une attestation de sécurité d'installations (ASI) sont titulaires d'une cote de sécurité valable au niveau voulu
- Chapitre 2 – Attestations de sécurité de personnel – Partie I – Cotes de fiabilité précise la marche à suivre pour obtenir une cote de fiabilité, qui est exigée avant qu'on puisse avoir accès aux renseignements, aux biens ou aux établissements protégés. La Partie 2- Cotes de sécurité précise la marche à suivre pour l'enquête de sécurité à effectuer afin de donner aux employés des droits d'accès à des renseignements ou à des biens classifiés ou à des établissements dont l'accès est réglementé
- Toutes les vérifications de la fiabilité utilisent désormais les enquêtes sur l'exécution de la loi (vérification du casier judiciaire) qui exigent la prise électronique obligatoire des empreintes digitales. Pour de plus amples renseignements, veuillez consulter la prise électronique des empreintes digitales
Portée
La Politique sur la sécurité du gouvernement établit les normes pour les enquêtes de sécurité effectuées auprès du personnel pour s'assurer que seules les personnes dont la fiabilité a été établie et auxquelles on peut faire confiance peuvent avoir accès aux renseignements, aux biens ou aux établissements protégés. Cette politique garantit en outre que seules les personnes dont la fiabilité et la loyauté envers le Canada ont été établies peuvent avoir accès aux renseignements, aux biens ou aux établissements classifiés. En outre, ces normes définissent, pour les évaluations relatives aux enquêtes de sécurité, un cadre et un processus qui permettent de respecter les droits de la personne qui a consenti à se soumettre à une enquête de sécurité à quelque niveau que ce soit.
Application
- les cotes de sécurité sont délivrées selon le plus haut niveau de renseignements et de biens auxquels l'employé aura accès dans l'exercice normal des fonctions qui lui sont confiées ou dans le déroulement normal des contrats qui lui sont attribués; pour attribuer ces cotes, il faut procéder à une évaluation de la fiabilité et de la loyauté de l'employé et s'assurer qu'il est digne de confiance
- les cotes de sécurité sont réparties selon :
- les niveaux de cotes de sécurité
- Secret
- Très secret
- l'accès aux renseignements ou aux biens
- Confidentiel : cas dans lesquels l'accès aux renseignements ou aux biens sans autorisation pourrait normalement porter préjudice à l'intérêt national
- Secret : cas dans lesquels l'accès aux renseignements ou aux biens pourrait normalement porter un préjudice grave à l'intérêt national
- Très secret : cas dans lesquels l'accès aux renseignements ou aux biens pourrait normalement porter un préjudice exceptionnellement grave à l'intérêt national
- les niveaux de cotes de sécurité
Remarque
Le gouvernement du Canada n'utilise plus la classification diffusion restreinte. On peut toutefois la retrouver sous la forme « OTAN DIFFUSION RESTREINTE », de même que pour des renseignements ou des biens restreints de pays étrangers ou alliés.
Il importe de signaler que nul ne peut, du fait de son rang ou de son poste, avoir accès à des renseignements et à des biens classifiés, en prendre connaissance ou en assurer la garde. L'employé doit justifier d'une cote de sécurité au niveau voulu et le "besoin de connaître"(on entend également par « accès » la possibilité de prendre connaissance de renseignements par des moyens visuels ou sonores).
251. Responsabilités de l'entreprise en ce qui concerne les cotes de sécurité
- La cote de sécurité ne donne pas en soi le droit d'avoir accès à des renseignements ou à des biens classifiés ou à des établissements dont l'accès est réglementé; toutefois, elle autorise l'entreprise à donner à l'employé accès à des renseignements ou à des biens classifiés ou à des établissements dont l'accès est réglementé, jusqu'au niveau de classification indiqué dans l'autorisation de sécurité délivrée par SPAC, selon le "besoin de connaître" et sous réserve des restrictions qui pourraient être imposées dans les documents contractuels ou précontractuels. L'accès aux renseignements ou aux biens classifiés ou aux établissements dont l'accès est réglementé n'est pas autorisé tant que la cote de sécurité nécessaire n'a pas été délivrée
- Seul l'agent de sécurité d'entreprise (ASE) ou un agent de sécurité d'entreprise remplaçant (ASER) peut présenter au Programme de sécurité des contrats (PSC) de SPAC la documentation relative à l'enquête de sécurité
- Le citoyen d'un pays étranger auquel on a attribué une cote de sécurité canadienne comportant des « restrictions » peut avoir accès à des renseignements et à des biens classifiés provenant du pays dont il est citoyen, de même qu'à certains renseignements et biens au Canada. Cet employé doit avoir l'approbation de la DSIC pour avoir accès aux renseignements et aux biens d'un pays tiers. Il ne doit pas avoir accès à des renseignements et à des biens classifiés portant la mention « Réservé aux Canadiens ». Toutes les questions se rapportant aux privilèges d'accès doivent être adressées au PSC de SPAC
- Normalement, une entreprise ne peut pas demander pour un employé une cote de sécurité à un niveau supérieur à l'ASI. Certaines exceptions sont autorisées pour les cotes de l'Organisation du Traité de l'Amérique du Nord (OTAN). Il faut consulter l'agent local de la sécurité industrielle (ALSI) pour des lignes directrices précises à ce sujet
- L'embauche et la cessation d'emploi des employés sont du seul ressort des entreprises, qui doivent également déterminer et justifier les cas dans lesquels l'employé doit avoir accès à des renseignements ou à des biens classifiés ou à des établissements dont l'accès est réglementé
- L'entreprise ne peut présenter de documents relatifs à des enquêtes de sécurité que pour des personnes qui sont entrées à son service ou qui sont liées par un contrat pour commencer à travailler dans le délai de 60 jours
- La cote "control of secret material in an international command" (COSMIC) Très Secret de l'OTAN et la cote Très Secrète au Canada sont valables pour une durée de 5 ans seulement. Les cotes OTAN Secret, et Secrètes au Canada sont valables pour une durée de 10 ans à partir de la date à laquelle elles sont délivrées, sauf si elles sont annulées compromission valable, et arrivent à expiration lorsque :
- leur titulaire cesse de travailler au service de l'entreprise pour laquelle la cote de sécurité a été délivrée
- leur titulaire est muté dans un autre poste qui n'oblige pas à avoir accès à des renseignements ou à des biens classifiés ou à des établissements dont l'accès est réglementé
- l'attestation de sécurité d'installations de l'entreprise est périmée ou annulée
- L'ASE ou l'ASER doit lancer le renouvellement et la résiliation des cotes de sécurité.
Remarque
- la personne visée doit avoir l'âge de la majorité pour que sa demande de cote de sécurité soit traitée; sinon, il faut obtenir la signature d'un parent ou d'un tuteur (l'âge de la majorité peut varier selon la province). Veuillez consulter les « Instructions » annexées au Formulaire d'enquête de sécurité sur le personnel
- l'article 748 (3) du code criminel précise que nulle personne déclarée coupable d'un délit en vertu des articles 121 (fraude à l'égard du gouvernement), 124 (achat ou vente d'une fonction) ou 418 (vente des approvisionnements défectueux à Sa Majesté) n'a de qualité, après cette déclaration de culpabilité, pour passer un contrat avec Sa Majesté, pour recevoir un avantage en vertu d'un contrat entre Sa Majesté et toute autre personne ou pour occuper une fonction relevant de Sa Majesté, à moins qu'un pardon lui ait été accordé (cet article interdit en fait l'attribution d'une cote de sécurité à cette personne)
252. Exigences préalables à l'enquête
- Lorsqu'on envisage de confier à quelqu'un un poste dans lequel il devra avoir accès à des renseignements ou à des biens classifiés ou à des établissements dont l'accès est réglementé, l'ASE ou l'ASER doit d'abord établir la fiabilité de cette personne et savoir si on doit lui faire confiance. Le lecteur trouvera ci-après des instructions détaillées à ce sujet
- En outre, l'ASE ou l'ASER doit s'assurer que cette personne peut fournir suffisamment des renseignements pour permettre aux administrations gouvernementales de procéder à une enquête sur ses antécédents au cours des 10 dernières années. Les enquêtes ne peuvent se dérouler que dans les pays qui ont conclu des accords de réciprocité avec les administrations canadiennes d'enquête
- Si on ne peut pas faire enquête sur les antécédents des 10 dernières années ou que la personne visée n'est pas citoyen canadien, ou encore si elle a résidé hors du Canada pendant plus d'un an au cours des 10 années précédentes, il faut demander au PSC de SPAC des lignes directrices avant de présenter la demande d'enquête. Ces modalités s'appliquent en particulier aux ressortissants des pays auprès desquels on ne peut pas obtenir de renseignements fiables sur les antécédents
- Lorsque les conclusions sont favorables, on peut présenter au PSC de SPAC une demande de cote de sécurité.
Remarque
Veuillez noter que la mise en œuvre des nouvelles exigences en matière de vérification de l'identité a été reportée à une date ultérieure. D'ici-là, nous fournirons des lignes directrices aux agents de sécurité d'entreprise afin de les aider avec cette nouvelle exigence.
- L'ASE ou l'ASER doit lui-même vérifier l'identité du postulant à l'aide d'au moins 2 des documents officiels énumérés ci-après. Il doit faire lui-même la vérification ou s'assurer qu'un employé agréé de l'entreprise a procédé à cette vérification et a obtenu des copies des documents pour confirmer les antécédents et l'identité du postulant.
Les documents officiels pour fin de vérification d'identité sont :- un passeport en cours de validité
- un certificat de naissance
- un certificat de baptême
- un certificat de citoyenneté, ou un visa d'immigrant et une fiche d'établissement
- un permis de travail ou un visa canadien
- un permis de conduire en cours de validité délivré au Canada et comprenant une photographie plastifiée
- Il est de la responsabilité directe de l'agent de sécurité d'entreprise (ASE) ou de l'agent de sécurité d'entreprise remplaçant (ASER) de vérifier l'identité du demandeur au moyen de 2 des preuves d'identité énumérées ci-dessous. L'ASE ou l'ASER doit procéder à la vérification en personne ou s'assurer qu'un employé autorisé de l'organisation s'en est chargé et a obtenu des copies des documents qui ont servi à vérifier les antécédents et l'identité du demandeur.
L'ASE ou l'ASER doit être convaincu que les preuves d'identité ont été vérifiées physiquement, qu'elles correspondent à la personne visée, qu'elles ont été délivrées par une autorité pertinente au Canada, comme un bureau d'état civil, une autorité de l'immigration ou une autorité fédérale, provinciale ou territoriale, et qu'il s'agit des versions les plus récentes de ces preuves d'identité. L'ASE ou l'ASER doit aussi garder des copies de chaque pièce d'identité dans le dossier d'enquête de sécurité de l'employé à des fins de vérifications.
- Lorsque l'ASE/ASER présente une demande d'enquête de sécurité pour son propre compte, il faut présenter au PSC de SPAC au moins 2 des documents officiels énumérés ci-dessus, pour confirmer son identité, en les joignant à la demande de cote de sécurité
- Lignes directrices et instructions – la personne qui fait l'objet d'une enquête de sécurité doit être identifiée correctement au moyen d'une vérification préliminaire portant sur les éléments d'information suivants :
- nom de famille (nom de jeune fille à la naissance) et prénom(s)
- date de naissance : on peut vérifier la date de naissance du postulant en utilisant un ou plusieurs des documents précisés ci-dessus dans la section 252. Exigences préalables à l'enquête, article 5 de ce chapitre
- adresses : il faut obtenir les adresses du postulant pour les dix dernières années. Seule l'adresse actuelle doit être indiquée dans le Formulaire d'enquête de sécurité sur le personnel. L'adresse indiquée dans le formulaire doit comprendre le numéro de l'appartement et de la rue, le nom de la rue (ou le numéro municipal, s'il y a lieu), la ville, la province et/ou l'état, le code postal, le pays et les dates de début et de fin. Il faut faire état des adresses détaillées pour les 10 dernières années complètes
- études et compétences professionnelles : on peut les vérifier à l'aide de relevés de notes officiels, de diplômes, de certificats d'établissement d'enseignement général ou professionnel et/ou d'originaux d'attestation professionnel d'organismes, d'associations ou d'établissements municipaux, provinciaux ou fédéraux responsables de la délivrance des permis
- antécédents professionnels : on peut vérifier ces antécédents en se mettant en rapport avec d'anciens employeurs pour connaître les dates d'emploi, le rendement et les raisons pour lesquelles la personne visée a quitté son emploi
- références morales et professionnelles personnelles : on peut les vérifier en se mettant en rapport avec les personnes dont les noms ont été fournis par le postulant
Remarque
Ce n'est qu'après une vérification préalable rigoureuse, décrite et conservée par l'ASE ou l'ASER (sous réserve d'une vérification faite par le personnel de SPAC) que l'on peut déposer auprès du PSC de SPAC une demande de vérification de la fiabilité.
253. Procédures pour demander une cote de sécurité
- Il faut remplir et soumettre les formulaires suivants avant qu'une cote de sécurité soit attribuée :
- Formulaire d'enquête de sécurité sur le personnel
- Formulaire d'autorisation de sécurité
- Les empreintes digitales avec soit
- une copie du reçu du fournisseur de services de prise électronique d'empreintes digitales
- une copie du formulaire de demande de prise d'empreintes digitales du demandeur, en s'assurant que le numéro de contrôle de document (NCD) à 20 chiffres y est indiqué
Voir la prise obligatoire d'empreintes digitales pour de plus amples renseignements.
Afin de faciliter le traitement, on doit remplir tous les formulaires, et les déposer électroniquement. Si le système n'est pas disponible, on doit toutefois remplir tous les formulaires à la machine à écrire ou en caractères majuscules et à l'encre noire lorsqu'on les dépose manuellement. Les formulaires illisibles ou incomplets sont retournés à l'expéditeur.
- Pour les entreprises qui appliquent un processus électronique, la documentation imprimée du postulant, portant les signatures originales, doit être transmise au PSC de SPAC le jour même où elle est déposée électroniquement
Pour plus de renseignements, veuillez consulter Comment remplir le Formulaire d'autorisation de sécurité (SCT/TBS 330-60F).
Remarque 2
- Les demandes au niveau Secret (ainsi qu'OTAN) doivent être complétées tous les 10 ans, à moins d'être requises plus tôt lorsque justifié
- Les demande au niveau Très secret ou COSMIC Très secret doivent être complétées tous les 5 ans, a moins d'être requises plus tôt lorsque justifié
- Le Formulaire d'enquête de sécurité, doit être complété et accompagné le Formulaire d'autorisation de sécurité, lorsque le processus cyclique de renouvellement le requière
254. Cas particuliers
- Dans certains cas, il faut réunir des renseignements particuliers, qui ne figurent pas dans le Formulaire d'autorisation de sécurité ni dans les instructions qui y sont jointes. Dans ces cas, le PSC de SPAC demande les renseignements nécessaires par la poste ou par courriel. Ces cas peuvent se produire lorsque des ressortissants de pays utilisant d'autres alphabets, par exemple les alphabets arabe, hébreu, japonais et coréen, doivent fournir des renseignements supplémentaires ou remplir des formulaires spéciaux
- Les postulants d'origine chinoise doivent utiliser, directement dans le formulaire, les caractères chinois correspondant à leur origine. Lorsqu'ils ne peuvent transcrire ces caractères, ils doivent joindre une lettre d'explication au formulaire
- Cotes de sécurité de l'OTAN
Veuillez noter que :
- pour les ressortissants canadiens pour lesquels on demande une cote de l'OTAN, on attribue parallèlement une cote nationale du Canada sans qu'il soit nécessaire de déposer une autre demande
- dans le cas des citoyens étrangers, la cote de l'OTAN ne donne pas le droit d'avoir accès à des renseignements et à des biens classifiés au Canada; ce droit doit faire l'objet d'une demande distincte. L'ASE/ASER doit indiquer les cas dans lesquels ces 2 cotes sont nécessaires, le cas échéant, dans le Formulaire d'enquête de sécurité sur le personnel
- une cote de sécurité de l'OTAN ne peut être attribuée à un ressortissant d'un autre pays membre de l'OTAN que par ce pays, sans égard à la durée de résidence de cette personne au Canada. Lorsqu'elle est utilisée pour justifier une demande de visite (DV) dans un pays membre distinct du Canada et du pays d'origine de la personne visée, l'attribution de cette cote dépend des pouvoirs discrétionnaires de divulgation du pays membre à visiter
- sont membres de l'OTAN à l'heure actuelle les pays suivants: Albanie, Allemagne, Belgique, Bulgarie, Canada, Croatie, Danemark, Espagne, Estonie, États-Unis, France, Grèce, Hongrie, Islande, Italie, Lettonie, Lituanie, Luxembourg, Norvège, Pays-Bas, Pologne, Portugal, Roumanie, Royaume-Uni, Slovaquie, Slovénie, République Tchèque, et Turquie
255. Certificat d'enquête de sécurité et profil de sécurité
Le Certificat d'enquête de sécurité et profil de sécurité, est requis d'être compléter pour accomplir 2 différentes fins :
- à des fins d'information et d'acceptation
- lorsque SPAC a attribué une cote de sécurité, l'ASE ou ASER doit :
- présenter à l'employé une séance d'information complète au sujet de ses responsabilités en matière de sécurité
- demander par écrit à l'employé l'accusé de réception pour respecter les exigences imposées
- lorsque SPAC a attribué une cote de sécurité, l'ASE ou ASER doit :
- à des fins de cessation d'emploi:
- l'ASE ou l'ASER doit remplir et présenter ce formulaire si:
- le postulant quitte son emploi avant de recevoir une cote de fiabilité
- l'employé auquel on a attribué une cote de fiabilité cesse de travailler auprès de l'organisme
- l'ASE ou l'ASER doit remplir et présenter ce formulaire si:
Pour plus de renseignements, veuillez consulter Comment remplir le Certificat d'enquête de sécurité et profil de sécurité (SCT/TBS 330-60F).
Remarque
L'ASE ou l'ASER doit verser un exemplaire final de ce formulaire au dossier de sécurité de l'employé pour fermer les registres.
256. Transfert et processus de duplication de la cote de sécurité entre 2 organismes
La cote de sécurité d'une personne peut être transférée entre 2 organismes, à la condition de respecter les critères suivants :
- la cote de sécurité n'a pas été résiliée il y a plus de 2 ans
- elle n'a pas à être mise à jour incessamment
- l'employé affirme qu'il n'y a pas eu de changement dans son dossier personnel en ce qui concerne les condamnations criminelles, la situation familiale ou la cohabitation
Voici les formulaires à remplir pour transférer une cote de sécurité :
- Formulaire d'enquête de sécurité sur le personnel
- au besoin ou sur demande, soit :
- fournir une copie du reçu du fournisseur de services de prise électronique d'empreintes digitales
- une copie du formulaire de demande de prise d'empreintes digitales du demandeur, en s'assurant que le numéro de contrôle de document (NCD) à 20 chiffres y est indiqué
- au besoin ou sur demande, soit :
Voir la prise obligatoire d'empreintes digitales pour de plus amples renseignements
On doit remplir le formulaire conformément à une nouvelle demande (référez-vous à la section 253. Procédures pour demander une cote de sécurité de ce chapitre), en tenant compte des différences suivantes :
- section A. Inscrivez un "X" dans la case Mutation
- section B. Assurez-vous de fournir tous les renseignements nécessaires dans la ligne « Avez-vous déjà rempli auparavant un formulaire de vérification de sécurité du gouvernement du Canada? »
- section C. N'indiquez rien dans toutes les cases des lignes 1 à 5. L'employé doit cependant signer et dater le formulaire pour confirmer la validité des renseignements personnels reproduits dans la section B ci-dessus
Remarque
Lorsqu'il faut transférer une cote de sécurité du Ministère de la Défense Nationale (MDN) à SPAC pour donner suite à la demande d'une entreprise, il faut soumettre un nouvel ensemble d'empreintes digitales au PSC de SPAC au moment où on lui présente la demande de transfert; en effet, le MDN ne transfère pas les relevés d'empreintes digitales.
La cote de fiabilité d'une personne peut être dupliquée parmi plusieurs organisations, à condition que les critères suivants soient respectés :
- la cote de fiabilité est toujours valide
- la cote de fiabilité n'est pas sur le point de devoir être mise à jour
- l'organisation demandant le duplicata est inscrite et est membre en règle du Programme de sécurité des contrats
Consultez la section sur comment remplir le Formulaire de vérification de sécurité, de consentement et d'autorisation du personnel (SCT/TBS 330-60F) dans la section sur les duplications.
Remarque 2
Les entrepreneurs garderont leur cote de sécurité de niveau plus élevé, même lorsque l'attestation est dupliquée pour une organisation exigeant une cote de sécurité moins élevée, jusqu'au prochain cycle de mise à jour. Lorsque l'attestation doit être mise à jour, la cote de sécurité de la personne sera réévaluée en fonction de ses besoins actuels.
257. Incapacité d'attribuer une cote de sécurité ou dénégation de cette cote
S'il n'est pas possible d'obtenir des renseignements généraux pour les 10 dernières années ou qu'on prend connaissance de renseignements défavorables importants pendant le processus d'autorisation de la cote de sécurité, on le fait savoir en personne au postulant (sauf si on ne peut divulguer ces renseignements en vertu de la Loi sur la protection des renseignements personnels), et on lui donne l'occasion d'expliquer les circonstances.
Si le sous-ministre de SPAC décide, après avoir examiné l'évaluation de la sécurité, refuse d'attribuer la cote de sécurité, le PSC de SPAC doit :
- faire connaître par écrit au requérant ses droits de recours à des mécanismes de révision et de redressement, en plus de lui donner de l'information sur son droit d'appel
- faire également connaître la décision du sous-ministre au président ou au président-directeur général de l'entreprise du postulant
258. Documents portant sur la cote de sécurité du personnel
Conservation en lieu sûr et élimination
- En raison de leur caractère confidentiel, les documents d'enquête de sécurité renfermant des renseignements personnels ne doivent pas être conservés dans les dossiers du personnel de l'organisme; il faut plutôt les verser dans un dossier de sécurité distinct et les garder en lieu sûr
- L'ASE ou l'ASER doit tenir à jour, pour les besoins du suivi et de la vérification, la liste de tous les employés auxquels on a attribué une cote de sécurité
- Conformément aux lignes directrices sur l'accès à l'information diffusées par le Secrétariat du Conseil du Trésor, les autorisations de sécurité délivrées en vertu de la banque d'accès à l'information doivent être détruites 2 ans après le départ de l'employé pour lequel la cote de sécurité a été délivrée
Présentation des Formulaires de vérification de sécurité, de consentement et d'autorisation du personnel
Il faut soumettre :
- 1 exemplaire du Formulaire d'enquête de sécurité sur le personnel pour lancer le processus de délivrance des cotes de sécurité ou pour faire connaître un « changement dans la situation familiale »
- 1 exemplaire du Formulaire d'autorisation de sécurité pour les demandes de cote sécurité classifiés (Secret, Très secret, ou COSMIC Très secret)
- Soit :
- 1 copie du reçu du fournisseur de services de prise électronique d'empreintes digitales
- 1 copie du formulaire de demande de prise d'empreintes digitales du demandeur, en s'assurant que le numéro de contrôle de document (NCD) à 20 chiffres y est indiqué
Voir la prise obligatoire d'empreintes digitales pour de plus amples renseignements.
Remarque
On peut utiliser, au besoin, des photocopies des formulaires précisés ci-dessus avec les signatures originales. Les télécopies claires et lisibles sont acceptables.
Apprenez comment soumettre les demandes, formulaires et autres documents pour la sécurité des contrats.
259. Rapports
Rapport sur un changement de situation ou de comportement
L'employeur ou l'employé qui constate ou qui a des motifs raisonnables et vraisemblables de croire que la situation qui existait lorsqu'on a attribué une cote de sécurité à une personne a changé et que la nouvelle situation pourrait nuire à la fiabilité du postulant ou que, pour une raison ou une autre, on peut douter de la fiabilité de quelqu'un ou qui observe un changement au niveau du comportement (par exemple, consommation abusive de drogues et d'alcool, changements soudains dans une situation financière) :
- doit faire parvenir un rapport complet sur le changement de situation, par l'entremise de son gestionnaire, à l'ASE ou l'ASER, qui doit le faire suivre au PSC de SPAC
- peut refuser à cette personne l'accès aux renseignements et aux biens sensibles jusqu'à ce que la situation soit éclaircie
Chapitre 3 : Attestations d'organisations, Partie I – Attestation d'organisation désignée (protégé)
300. Généralités
1. Une vérification d'organisation désignée (VOD) est une décision administrative selon laquelle l'organisation peut, au plan de la sécurité, avoir accès à des renseignements et à des biens protégés à un niveau identique ou inférieur à celui de l'attestation délivrée.
Lorsqu'une organisation doit avoir accès à des renseignements et à des biens classifiés, il faut consulter la Partie II – Attestation de sécurité d'installations (classifié) du présent chapitre.
2. L'organisation doit justifier d'une VOD avant de pouvoir se faire attribuer des contrats portant sur des renseignements ou des biens protégés.
- L'agent de sécurité de l'entreprise (ASE) et son remplaçant doivent justifier d'une cote de fiabilité délivrée dans le cadre de la VOD
- Pour les renseignements ou les biens Protégés C, on pourrait appliquer les exigences supplémentaires suivantes en matière de sécurité :
- certains employés peuvent être cotés au niveau Protégé C relativement à la VOD. Il s'agit des cadres supérieurs clés (CSC). Parmi ces cadres, certains peuvent inclure l'ASE, les propriétaires, les dirigeants, les administrateurs (du conseil d'administration), les cadres et les associés qui occupent des postes leur permettant d'influencer les politiques ou les pratiques de l'organisation dans l'exécution des contrats protégés
- veuillez consulter l'Annexe 3-A : Exigences relatives à la vérification d'organisation désignée (renseignements protégés) du présent chapitre
- l'organisation doit désigner ses CSC et faire connaître leurs noms à l'agent local de la sécurité industrielle (ALSI) du Programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada (SPAC)
- SPAC se réserve le droit de remettre en question la liste des CSC de l'organisation et d'exiger que l'on modifie cette liste ou qu'on en exclut des noms
- veuillez consulter l'Annexe 3-B : Exigences relatives à l'attestation de sécurité d'installation (renseignements classifiés) et l'Annexe 3-C : Exigences relatives à l'attestation de sécurité d'installation (renseignement classifiés Organisation du Traité de l'Atlantique Nord) du présent chapitre pour connaître les niveaux précis d'attestation dont doivent justifier les CSC, l'ASE et les employés qui doivent avoir accès aux renseignements et aux biens pour chaque niveau et chaque type de VOD
- certains employés peuvent être cotés au niveau Protégé C relativement à la VOD. Il s'agit des cadres supérieurs clés (CSC). Parmi ces cadres, certains peuvent inclure l'ASE, les propriétaires, les dirigeants, les administrateurs (du conseil d'administration), les cadres et les associés qui occupent des postes leur permettant d'influencer les politiques ou les pratiques de l'organisation dans l'exécution des contrats protégés
- On pourrait procéder à l'évaluation des propriétaires lorsque l'organisation doit justifier l'autorisation de détenir des renseignements (ADR) de niveau Protégé C. L'ADR permet à une organisation de stocker et de traiter des renseignements et des biens protégés sur son lieu de travail. L'organisation parente (le cas échéant) doit également être titulaire d'une VOD au même niveau ou peut être exclues des droits d'accès donnés à l'organisation filiale pour ce qui est des renseignements ou des biens Protégés C.
- veuillez consulter la section 352.1. Organisations parentes pour de plus amples renseignements
3. On peut déposer les demandes d'attestations de fiabilité pour les autres employés en même temps que celles des CSC. Toutefois, ces autres employés ne seront pas autorisés à avoir accès aux renseignements et aux biens tant qu'on n'aura pas délivré la VOD.
4. La VOD est délivrée d'après l'évaluation des éléments suivants :
- l'organisation n'est pas soumise à une influence étrangère (le cas échéant)
- il faut procéder à des vérifications de la fiabilité, au besoin
- SPAC doit examiner les mesures de sécurité adoptées pour la protection et la garde des renseignements et des biens protégés (s'il y a lieu)
5. SPAC fait savoir par écrit à l'organisation si on lui a délivré la VOD.
6. Dans les cas où les CSC doivent justifier d'une attestation de sécurité, l'ASE doit tenir à jour la liste de ces CSC et en soumettre un exemplaire au PSC de SPAC chaque fois qu'on la modifie. Cette liste doit faire état du nom et du titre des CSC titulaires d'une attestation de fiabilité et des cadres soumis à une enquête de sécurité pour cette attestation.
301. Protection et garde des renseignements et des biens protégés
Les installations de l'entrepreneur doivent respecter les exigences relatives à la sécurité matérielle et administrative pour l'exécution des travaux faisant l'objet du contrat, avant qu'on lui délivre une VOD et une cote de protection des documents.
Veuillez consulter le Chapitre 4 : Protection des installations et le Chapitre 5 : Manipulation et sauvegarde des renseignements et des biens classifiés et protégés du présent manuel. L'ALSI ou l'agent du PSC de SPAC donneront également des lignes directrices précises à ce sujet.
302. Négociations précontractuelles
On ne peut pas amorcer avec l'organisation, avant de lui avoir délivré une VOD, de négociations précontractuelles dans le cas des contrats portant sur des renseignements et des biens protégés. Cette condition s'applique également lorsque l'organisation cotée souhaite faire appel à une autre organisation non gouvernementale à titre de sous-traitant.
303. Accord de sécurité avec le gouvernement du Canada
Avant de se faire délivrer une VOD, l'organisation doit conclure un accord avec le gouvernement du Canada. En vertu de cet accord, l'organisation s'engage à :
- respecter les dispositions du présent manuel et toutes les autres exigences en matière de sécurité qui peuvent faire partie d'un contrat attribué à l'organisation
- permettre au PSC de SPAC ou à d'autres administrations gouvernementales à la demande de SPAC d'avoir accès aux locaux de l'organisation n'importe quand pour procéder à des inspections de sécurité
- ne pas se faire rembourser par le gouvernement les frais de sécurité, sauf dans les cas prévus dans un contrat
Veuillez consulter l'Annexe 3-G : Services publics et Approvisionnement Canada – accord sur la sécurité de ce chapitre.
304. Types de vérification d'organisation désignée
1. Il existe 3 types de VOD :
- a. Personnel affecté (PA)
- Il s'agit du type de VOD le plus élémentaire. Cette attestation est normalement délivrée aux organisations qui participent à des marchés de services plutôt qu'à des marchés de biens. L'attribution de la VOD pour le PA donne lieu à une vérification de la fiabilité de l'ASE et des employés de l'organisation et, dans certains cas, de ses CSC. Il n'est pas nécessaire d'évaluer la sécurité matérielle des installations de l'organisation. Une VOD pour le PA n'a pas pour effet d'autoriser l'organisation à posséder ou à archiver des renseignements et des biens protégés dans ses installations.
- b. Autorisation de détenir des renseignements (ADR)
- Ce type de VOD prévoit une enquête de sécurité sur l'ASE et les employés de l'organisation et, dans certains cas, sur ses CSC. On évalue en outre la sécurité matérielle des installations de l'organisation pour s'assurer qu'elle respecte les exigences relatives à la protection des renseignements et des biens protégés du gouvernement. La VOD comportant une ADR autorise l'organisation à posséder et à archiver des renseignements et des biens protégés dans ses installations.
- c. Production (PROD)
- Ce type de VOD comprend tous les éléments de la VOD pour l'ADR. En outre, on évalue la sécurité de la fabrication, de la réparation, de la modification des composants ou des articles protégés ou des travaux effectués sur ces composants ou articles, afin de s'assurer qu'ils respectent les exigences relatives à la sécurité du gouvernement.
2. Chaque type de VOD peut être autorisé au niveau de classification Protégé A, Protégé B ou Protégé C.
305. État de la vérification d'organisation désignée
Les organisations doivent faire suivre au PSC de SPAC a les demandes adressées par d'autres organisations, des ministères ou des gouvernements pour confirmer leur VOD.
306. Période de validité
1. La VOD délivrée par SPAC ne l'est pas en permanence. Cette attestation est délivrée pour l'exécution d'un contrat précis ou lorsque l'organisation est inscrit et qu'il semble qu'elle pourrait se faire attribuer un contrat. La VOD prend fin au terme du dernier contrat protégé et/ou lorsque l'on confirme que la demande d'inscription ne sera pas renouvelé. SPAC doit faire connaître par écrit à l'organisation la date à laquelle la VOD prendra fin et lui donner l'occasion de démontrer les raisons pour lesquelles cette attestation devrait être prorogée.
2. SPAC pourrait suspendre ou révoquer la VOD si l'organisation ne respecte pas les normes de sécurité voulues.
307. Attestation de sécurité d'emplacement d'une organisation
1. Une VOD n'est pas propre à un site. On accorde à l'administration centrale d'une organisation le numéro « 00 ». Les autres sites ne sont enregistrés que s'ils sont utilisés pour la protection de documents. Si d'autres sites relevant de la même organisation doivent également obtenir une VOD pour la protection de documents, on leur accorde des numéros consécutifs (par exemple, « 01 », « 02 », « 03 », et ainsi de suite).
2. L'ASE de l'administration centrale de l'organisation peut présenter des demandes d'enquête de sécurité sur le personnel pour les employés de tous les sites se trouvant au Canada.
Nota : Dans les cas où la seule exigence de l'organisation est de sauvegarder exclusivement des dossiers protégés d'attestations de sécurité du personnel pour répondre aux conditions de la section 208. Documents portant sur la cote de fiabilité du personnel ou de la section 258. Documents portant sur la cote de sécurité du personnel du chapitre 2 du présent manuel, il n'est pas nécessaire de délivrer des attestations de sécurité d'emplacement dans les établissements où ces documents sont conservés. Les organisations doivent s'assurer que ces documents sont conservés dans des armoires adéquates pour les renseignements protégés. Ces armoires peuvent être soumises aux inspections des agents locaux de la sécurité industrielle de SPAC.
Chapitre 3 : Annexes
- Annexe 3-A : Exigences relatives à la vérification d'organisation désignée (renseignements protégés)
- Annexe 3-B : Exigences relatives à l'attestation de sécurité d'installation (renseignements classifiés)
- Annexe 3-C : Exigences relatives à l'attestation de sécurité d'installation (renseignement classifiés Organisation du Traité de l'Atlantique Nord)
- Annexe 3-D : Formulaire de résolution en vue de l'exemption d'une organisation mère
- Annexe 3-E : Formulaire de certificat de non-divulgation
- Annexe 3-F : Formulaire de résolution du conseil d'administration d'une filiale constatant l'exclusion de l'organisation mère et résolution d'exclusion de l'organisation mère
Chapitre 3 : Attestations d'organisations, Partie II – Attestation de sécurité d'installations (classifié)
350. Généralités
1. L'attestation de sécurité d'installations (ASI) est une décision administrative selon laquelle l'organisation peut, au plan de la sécurité, avoir accès à des renseignements et à des biens protégés et classifiés à un niveau de classification égal ou inférieur à celui de l'attestation délivrée.
Lorsqu'une organisation doit avoir accès uniquement à des renseignements et à des biens protégés, il faut consulter la Partie I – Attestation de sécurité d'installations (protégé) du présent chapitre.
2. Avant qu'on puisse attribuer à l'organisation des contrats portant sur des renseignements ou des biens classifiés, elle doit justifier d'une ASI.
Certains particuliers doivent justifier d'une ASI. On les appelle les cadres supérieurs clés (CSC). Il s'agit notamment de l'agent de sécurité d'entreprise (ASE), des propriétaires, des dirigeants, des administrateurs (du conseil d'administration), des cadres et des associés qui occupent des postes pouvant leur permettre d'exercer une influence sur les politiques ou les pratiques de l'organisation dans l'exécution des contrats classifiés.
L'organisation doit désigner ses CSC et faire connaître leur nom à l'agent régional de la sécurité industrielle (ARSI) compétent du Programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada (SPAC). SPAC se réserve le droit de remettre en question la liste des CSC de l'organisation et d'exiger que cette dernière y apporte des modifications ou y exclut des noms.
Veuillez consulter l'Annexe 3-A : Exigences relatives à la vérification d'organisation désignée (renseignements protégés) et l'Annexe 3-B : Exigences relatives à l'attestation de sécurité d'installation (renseignements classifiés) dans le présent chapitre pour connaître les niveaux précis d'attestations dont doivent justifier les CSC, l'ASE et les employés qui doivent avoir accès à des renseignements ou à des biens pour chaque niveau et chaque type d'ASI.
3. Les organisations doivent obtenir à tout le moins, pour leurs CSC, une attestation de sécurité au niveau de classification exigé avant qu'on leur délivre une ASI
4. Normalement, l'organisation doit justifier d'une ASI avant de pouvoir obtenir des cotes de sécurité du personnel pour les employés autres que des CSC. Elle peut déposer parallèlement des demandes d'attestation pour d'autres employés. Toutefois, les employés ne seront autorisés à consulter les renseignements ou à utiliser les biens que lorsqu'ils justifieront de l'ASI
5. Pour l'établissement de l'ASI, le siège social au Canada sera inspecté; s'il faut conserver des documents classifiés à ce siège social, il sera inspecté, et l'ASI comprendra une attestation de sécurité d'emplacement pour ce siège social. En outre, il faudra procéder à une inspection distincte et délivrer une attestation de site différente pour chaque établissement supplémentaire dans lequel on conserve ou traite des renseignements ou des biens classifiés
6. L'ASI est délivré d'après l'évaluation des éléments suivants :
- l'organisation n'est pas soumise à une influence étrangère
- on peut faire confiance aux propriétaires, ou dirigeants, aux administrateurs (du conseil d'administration), aux cadres supérieurs et aux associés de l'organisation pour qu'ils participent à des contrats classifiés
- l'organisation peut protéger les renseignements ou les biens classifiés dans ses installations (le cas échéant)
7. SPAC fera savoir par écrit à l'organisation si on lui a délivré une ASI
8. Lorsqu'une ASI lui est délivré, l'organisation peut demander qu'on délivre cette attestation à ses employés n'importe où au Canada
351. Cote de sécurité du personnel pour les cadres supérieurs clés
- L'ASE doit tenir à jour la liste de tous les CSC et en soumettre un exemplaire au PSC de SPAC chaque fois qu'on la modifie. Cette liste doit comprendre le nom et le titre des CSC qui possèdent une cote de sécurité, de ceux qui ne la possèdent pas encore, mais dont la demande est en traitement et de ceux qui ont été exclus parce qu'ils ne peuvent avoir accès à des renseignements classifiés.
- Exclusion des CSC. Lorsque le gouvernement doit, de toute urgence, délivrer une ASI à une organisation, SPAC peut temporairement renoncer à l'exigence selon laquelle tous les CSC doivent justifier d'une cote de sécurité avant qu'on leur délivre une ASI. On fait appel au processus d'exclusion de CSC pour permettre à l'organisation :
- de recevoir une demande de propositions (DDP) ou d'autres documents précontractuels renfermant des documents classifiés
- de se faire attribuer un contrat classifié
- de poursuivre l'exécution des contrats malgré une prise de contrôle de l'entreprise
- Il doit exister des procédures de sécurité au sein de l'organisation, pour s'assurer que les CSC exclus n'ont pas accès aux renseignements et aux biens classifiés. L'exclusion n'entre pas en vigueur tant qu'elle n'a pas été approuvée officiellement par SPAC, qui détermine également le nombre permis de CSC exclus dans chaque cas particulier. Si le poste ou les responsabilités du cadre exclu changent au sein de l'organisme, l'ASE doit prévenir PSC de SPAC, qui revoit l'exclusion. Les exclusions ne sont normalement pas approuvées pour le président ou le chef de la direction de l'organisation
- Exclusion des CSC. Lorsque le gouvernement doit, de toute urgence, délivrer une ASI à une organisation, SPAC peut temporairement renoncer à l'exigence selon laquelle tous les CSC doivent justifier d'une cote de sécurité avant qu'on leur délivre une ASI. On fait appel au processus d'exclusion de CSC pour permettre à l'organisation :
352. Organisations parentes
1. Lorsque l'organisation doit obtenir une autorisation de détenir des renseignements (ADR) classifiés (c'est-à-dire l'autorisation pour une organisation de stocker et de traiter des renseignements et des biens protégés ou classifiés sur son lieu de travail), son organisation mère doit elle aussi (le cas échéant) justifier d'une ASI au même niveau ou se voir refuser l'accès aux renseignements et aux biens classifiés détenus par l'organisation filiale. Dans les cas où il faut exclure une organisation mère, l'organisation doit soumettre les formulaires suivants, qui doivent être remplis en bonne et due forme :
- Annexe 3-D : Formulaire de résolution en vue de l'exemption d'une organisation mère
- Annexe 3-E : Formulaire de certificat de non-divulgation
- Annexe 3-F : Formulaire de résolution du conseil d'administration d'une filiale constatant l'exclusion de l'organisation mère et résolution d'exclusion de l'organisation mère
2. L'exclusion d'une organisation mère n'entre pas en vigueur tant qu'elle n'est pas approuvée officiellement par SPAC, qui décide si l'exclusion de l'organisation parente est justifiée par des motifs valables.
353. Propriété, contrôle et influence de l'étranger
1. Dans certains cas, par exemple lorsqu'il faut participer à des contrats et à des programmes relatifs à la sécurité de l'information, de nature extrêmement délicate (INFOSEC), il faut évaluer plus en détail la propriété de l'organisation et l'importance de l'influence exercée par les propriétaires et la haute direction. Dans ces cas, l'organisation doit fournir des détails complets sur :
- sa structure institutionnelle, jusqu'au niveau de sa propriété ultime (directe ou indirecte)
- ses administrateurs ou dirigeants étrangers
- le contrôle ou l'influence effectif ou potentiel de l'étranger dans l'élection, la nomination ou la durée des fonctions des administrateurs ou des dirigeants
- la propriété des intérêts étrangers
- les contrats, accords, conventions ou ententes avec l'étranger
- la dette étrangère ou les sources de revenus étrangères
- les liens entre les administrateurs et les intérêts étrangers
2. L'existence de la propriété, du contrôle ou de l'influence de l'étranger (PCIE) n'interdit pas en soi à l'organisation d'être titulaire d'une ASI. Chaque cas est évalué individuellement. Dans les cas où la PCIE fait l'objet d'une évaluation défavorable, on discute des détails avec l'organisation pour savoir si on peut prendre certaines mesures afin de se prémunir contre les risques ou de les ramener à un niveau satisfaisant.
354. Conservation et garde des renseignements et des biens classifiés
Les installations de l'organisation doivent respecter les exigences relatives à la sécurité matérielle et administrative pour l'exécution des travaux classifiés à réaliser dans le cadre du contrat, avant qu'on délivre à l'organisation une ASI assortie de la cote de protection des documents.
Veuillez consulter le Chapitre 4 : Protection des installations et le Chapitre 5 : Manipulation et sauvegarde des renseignements et des biens classifiés et protégés du présent manuel. L'ARSI du PSC de SPAC donnera des lignes directrices précises à ce sujet.
355. Négociations précontractuelles
On ne peut pas amorcer avec l'organisation, avant de lui avoir délivré une ASI, de négociations précontractuelles dans le cas des contrats portant sur des renseignements et des biens classifiés. Cette condition s'applique également lorsque l'organisation cotée souhaite faire appel à une autre organisation non gouvernementale à titre de sous-traitant.
356. Accord de sécurité avec le gouvernement du Canada
Avant de se faire délivrer une ASI, l'organisation doit conclure un accord avec le gouvernement du Canada; en vertu de cet accord, l'organisation s'engage à :
- respecter les dispositions du présent manuel et toutes les autres exigences en matière de sécurité qui peuvent faire partie d'un contrat classifié attribué à l'organisation
- permettre au PSC de SPAC ou à d'autres administrations gouvernementales, à la demande de SPAC, d'avoir accès aux locaux de l'organisation n'importe quand pour procéder à des inspections de sécurité
- ne pas se faire rembourser par le gouvernement les frais de sécurité, sauf dans les cas prévus dans un contrat
Veuillez consulter l'Annexe 3-G : Services publics et Approvisionnement Canada – accord sur la sécurité dans le présent chapitre.
357. Types d'attestations de sécurité d'installations
1. Il existe 3 types d'ASI :
- a. Personnel affecté (PA)
- Il s'agit du type d'ASI le plus élémentaire. Cette attestation est normalement délivrée aux organisations qui participent à des marchés de services plutôt qu'à des marchés de biens. L'attribution de l'ASI pour le PA donne lieu à une enquête de sécurité sur les CSC et les employés de l'organisation. Il n'est pas nécessaire d'évaluer la sécurité matérielle des installations de l'organisation. Une ASI pour le PA n'a pas pour effet d'autoriser l'organisation à posséder ou à archiver des renseignements et des biens classifiés dans ses installations.
- b. Autorisation de détenir des renseignements (ADR)
- Ce type d'ASI prévoit une enquête de sécurité sur les CSC et les employés de l'organisation. On évalue en outre la sécurité matérielle des installations de l'organisation pour s'assurer qu'elle respecte les exigences relatives à la protection des renseignements et des biens du gouvernement. L'ASI comportant une ADR autorise l'organisation à posséder et à archiver des renseignements et des biens classifiés dans ses installations.
- c. Production (PROD)
- Ce type d'ASI comprend tous les éléments de l'ASI pour l'ADR. En outre, on évalue la sécurité de la fabrication, de la réparation, de la modification des composants ou des articles classifiés ou des travaux effectués sur ces composants ou articles, afin de s'assurer qu'ils respectent les exigences relatives à la sécurité du gouvernement.
Chaque type d'ASI peut être autorisé au niveau de Confidentiel, Secret ou Très secret, ou OTAN Confidentiel ou OTAN Secret.
358. État de l'attestation de sécurité d'installations
Les organisations doivent faire suivre au SPAC les demandes adressées par d'autres organisations, des ministères ou des gouvernements pour confirmer leur ASI.
359. Période de validité
1. L'ASI délivrée par SPAC ne l'est pas en permanence. Cette attestation est délivrée pour l'exécution d'un contrat précis ou lorsque l'organisation est inscrite et qu'il semble qu'elle pourrait se faire attribuer un contrat. L'ASI prend fin au terme du dernier contrat classifié et/ou lorsque l'on confirme que l'inscription ne sera pas renouvelé. SPAC doit faire connaître par écrit à l'organisation la date à laquelle l'ASI prendra fin et lui donner l'occasion de démontrer les raisons pour lesquelles cette attestation devrait être prorogée.
2. SPAC suspend ou révoque l'ASI si l'organisation ne respecte pas les normes de sécurité voulues. Les contrats en vigueur sont annulés et l'organisation ne pourra pas prétendre à d'autres contrats comportant des exigences en matière de sécurité lorsque son ASI est suspendu.
360. Attestations de site au sein d'une organisation ayant son siège au Canada
1. Des attestations de site distinctes sont nécessaires pour chaque établissement dans lequel des renseignements ou des biens classifiés seront archivés ou traités.
2. Dans les cas où il faut protéger des documents classifiés dans des établissements physiquement distincts du siège social au Canada, il faut respecter les conditions suivantes dans chaque établissement avant de délivrer à l'organisation une attestation de site :
- le siège social doit être titulaire d'une ASI
- le CSC de chaque établissement doit justifier d'une cote au niveau voulu
- au moins un autre employé doit justifier d'une cote au même niveau
- dans le cas des entreprises individuelles, SPAC peut éventuellement autoriser une exception dans chaque cas particulier
- au moins 2 agents de sécurité doivent être désignés
- chaque établissement doit respecter les exigences matérielles et administratives relatives à la sécurité
361. Succursale hors du Canada
1. Pour les besoins du présent manuel, on ne considère pas une succursale comme une personne morale distincte à laquelle il faut attribuer une ASI différente.
2. Lorsqu'il est nécessaire de protéger des renseignements et des biens classifiés dans une succursale hors du Canada, le siège social au Canada doit soumettre au PSC de SPAC une demande écrite d'attestation, pour que cette dernière puisse prendre les mesures nécessaires avec l'administration de la sécurité industrielle désignée dans le pays visé. Selon le pays en cause, il se peut que le PSC de SPAC ne puisse pas toujours établir la cote de protection de la succursale.
362. Réciprocité des attestations de sécurité d'installations réciproques
1. Pour les besoins du présent manuel, on considère qu'une filiale est une personne morale distincte, à laquelle il faut attribuer une ASI différente.
2. En vertu d'un certain nombre d'accords sur la sécurité industrielle (par exemple entre les États-Unis et le Canada), SPAC peut demander à un gouvernement étranger de délivrer une ASI réciproque à une filiale d'une entreprise canadienne ayant des bureaux dans un autre pays. Cette attestation est utile lorsque cette filiale veut participer, à titre de sous-traitant, à un contrat classifié au Canada.
Note : Il est toutefois important de noter que les ASI réciproques sont en quelque sorte restreinte. Essentiellement, l'ASI réciproque permet seulement à la filiale de participer à des travaux classifiés au Canada. Dans ce type d'ASI, il se pourrait qu'il ne soit pas permis de participer à des contrats classifiés avec le gouvernement du pays dans lequel la filiale a ses bureaux.
3. Lorsqu'une filiale d'une entreprise canadienne doit justifier d'une ASI pour participer, actuellement ou éventuellement, à des travaux classifiés pour le gouvernement du pays dans lequel elle a des bureaux, elle peut être appelée à s'adresser directement à l'administration de la sécurité industrielle de ce pays pour lui demander une ASI normale. (PSC de SPAC peut fournir les coordonnées des administrations de la sécurité industrielle dans les autres pays.) Dans la plupart des cas, cette filiale devra se constituer en société incorporée dans ce pays avant qu'on puisse lui délivrer une ASI.
Chapitre 3 : Annexes
- Annexe 3-A : Exigences relatives à la vérification d'organisation désignée (renseignements protégés)
- Annexe 3-B : Exigences relatives à l'attestation de sécurité d'installation (renseignements classifiés)
- Annexe 3-C : Exigences relatives à l'attestation de sécurité d'installation (renseignement classifiés Organisation du Traité de l'Atlantique Nord)
- Annexe 3-D : Formulaire de résolution en vue de l'exemption d'une organisation mère
- Annexe 3-E : Formulaire de certificat de non-divulgation
- Annexe 3-F : Formulaire de résolution du conseil d'administration d'une filiale constatant l'exclusion de l'organisation mère et résolution d'exclusion de l'organisation mère
Annexe 3-A : Exigences relatives à la vérification d'organisation désignée (renseignements protégés)
Une vérification d'organisation désignée (VOD) permet à une organisation d'obtenir des attestations de sécurité (cote de fiabilité) pour son personnel afin que celui-ci puisse avoir accès à des renseignements protégés.
Apprenez-en davantage sur quel filtrage de sécurité est requis pour le personnel afin d'accéder aux 3 niveaux de renseignements et de biens protégés à chacune des 3 types de vérification d'organisation désignée (VOD).
Renseignements protégés | Cadre supérieur clé (CSC) | Est-ce qu'une cote de fiabilité est requise pour ce poste ou organisation? | |||
---|---|---|---|---|---|
Cadre supérieur clé (CSC) | Agent de sécurité d'entreprise (ASE) | Employés | Vérification d'organisation désignée | ||
Protégé "A" | Personnel affecté (PA) | Non | Oui | Oui | Oui |
Autorisation de détenir des renseignements (ADR) | Non | Oui | Oui | Oui | |
Production | Non | Oui | Oui | Oui | |
Protégé "B" | Personnel affecté (PA) | Non | Oui | Oui | Oui |
Autorisation de détenir des renseignements (ADR) | Non | Oui | Oui | Oui | |
Production | Non | Oui | Oui | Oui | |
Protégé "C" Note de bas de page 1 | Personnel affecté (PA) | Non | Oui | Oui | Oui |
Autorisation de détenir des renseignements (ADR) | Non | Oui | Oui | Oui | |
Production | Non | Oui | Oui | Oui |
Renseignements supplémentaires
- Chapitre 3 : Attestations d'organisations, Partie I – Attestation d'organisation désignée (protégé) du Manuel de la sécurité industrielle
- Processus d'enquête de sécurité sur le personnel : cote de fiabilité
Annexe 3-B - Exigences relatives à l'attestation de sécurité d'installation (renseignements classifiés)
Une attestation de sécurité d'installation (ASI) permet à l'organisation d'obtenir une attestation de sécurité de niveau « Classifié » pour son personnel afin que celui-ci puisse avoir accès aux renseignements, aux biens et aux lieux de travail classifiés.
Renseignements classifiés | Activité | Attestation de sécurité requise | |||
---|---|---|---|---|---|
Cadre supérieur clé (CSC) | Agent de sécurité d'entreprise (ASE) | Employés | Attestation de sécurité d'installation (ASI) | ||
Secret | Personnel affecté (PA) | Secret | Secret | Secret | Secret |
Autorisation de détenir des renseignements (ADR) | Secret | Secret | Secret | Secret | |
Production | Secret | Secret | Secret | Secret | |
Secret | Personnel affecté (PA) | Secret | Secret | Secret | Secret |
Autorisation de détenir des renseignements (ADR) | Secret | Secret | Secret | Secret | |
Production | Secret | Secret | Secret | Secret | |
Très secret Note de bas de page 2 | Personnel affecté (PA) | Très secret | Très secret | Très secret | Très secret |
Autorisation de détenir des renseignements (ADR) | Très secret | Très secret | Très secret | Très secret | |
Production | Très secret | Très secret | Très secret | Très secret |
Exigences relatives aux renseignements classifiés Organisation du Traité de l'Atlantique Nord
Consultez le tableau de l'annexe 3-C : Exigences relatives à l'attestation de sécurité d'installation (renseignement classifiés de l'Organisation du Traité de l'Atlantique Nord).
Renseignements supplémentaires
- Chapitre 3 : Attestations d'organisations, Partie II – Attestation de sécurité d'installations (classifié) du Manuel de la sécurité industrielle
- Processus d'enquête de sécurité sur le personnel: Attestation de sécurité
Annexe 3-C : Exigences relatives à l'attestation de sécurité d'installation (renseignement classifiés de l'Organisation du Traité de l'Atlantique Nord)
Les organisations qui soumissionnent sur des initiatives de l'Organisation du Traité de l'Atlantique Nord (OTAN) doivent respecter les exigences de sécurité prévues dans les documents d'approvisionnement.
Renseignements classifiés | Activité | Attestation de sécurité requise | |||
---|---|---|---|---|---|
Cadre supérieur clé (CSC) | Agent de sécurité d'entreprise (ASE) | Employés | Attestation de sécurité d'installation (ASI) | ||
OTAN Confidentiel | Personnel affecté (PA) | Secret au Canada | Secret au Canada | Secret au Canada | Secret au Canada |
Autorisation de détenir des renseignements (ADR) | OTAN Secret | OTAN Secret | OTAN Secret | OTAN Secret | |
Production | OTAN Secret | OTAN Secret | OTAN Secret | OTAN Secret | |
OTAN Secret | Personnel affecté (PA) | Secret au Canada | Secret au Canada | OTAN Secret | Secret au Canada |
Autorisation de détenir des renseignements (ADR) | OTAN Secret | OTAN Secret | OTAN Secret | OTAN Secret | |
Production | OTAN Secret | OTAN Secret | OTAN Secret | OTAN Secret | |
COSMICnote 1 du tableau 1 (Très secret) | Personnel affecté (PA) | Très secret au Canada | Très secret au Canada | COSMIC | Très secret au Canada |
Autorisation de détenir des renseignements (ADR) | COSMIC | COSMIC | COSMIC | COSMIC | |
Production | COSMIC | COSMIC | COSMIC | COSMIC | |
Notes du tableau 1
|
Exigences relatives aux renseignements classifiés
Consultez le tableau de l'annexe 3-B : Exigences relatives à l'attestation de sécurité d'installation (renseignement classifiés).
Renseignements supplémentaires
- Chapitre 3 : Attestations d'organisations, Partie II – Attestation de sécurité d'installations (classifié) du Manuel de la sécurité industrielle
- Processus d'enquête de sécurité sur le personnel : Attestation de sécurité
- Exigences de sécurité des contrats internationaux
Annexe 3-D : Résolution en vue de l'exemption d'une organisation mère
Dans les cas où il faut exclure une organisation mère pour l'accès aux renseignements et biens classifiés, l'organisation doit soumettre ce formulaire.
Compléter et soumettre ce formulaire
Vous pouvez compléter ce formulaire électroniquement ou manuellement. Sélectionnez « Imprimer » au bas de la page.
Apprenez comment soumettre les demandes, formulaires et autres documents pour la sécurité des contrats.
Annexe 3-E : Certificat de non-divulgation
Remarque
Cette information a été remplacée par le Manuel de la sécurité des contrats. Pour les contrats conclus avant 12 août 2020, cette ancienne version du manuel peut tout de même s’appliquer.
Un dirigeant et/ou un administrateur d'une filiale doit utiliser ce formulaire pour certifier que la filiale ne divulguera aucun renseignement protégé ou classifié à l'organisation mère.
Compléter et soumettre ce formulaire
Vous pouvez compléter ce formulaire électroniquement ou manuellement. Sélectionnez « Imprimer » au bas de la page.
Apprenez comment soumettre les demandes, formulaires et autres documents pour la sécurité des contrats.
Annexe 3-F : Résolution du conseil d'administration de l'organisation filiale pour prendre acte de l'exclusion de l'organisation mère et résolution visant à exclure l'organisation mère
Le secrétaire élu en bonne et due forme d'une organisation filiale doit remplir ce formulaire lorsque:
- l'organisation filiale doit obtenir une autorisation de stocker and de traiter des renseignements et des biens protégés ou classifiés sur son lieu de travail
- l'organisation mère doit se voir refuser l'accès aux renseignements et aux biens protégés/classifiés détenus par l'organisation filiale
Compléter et soumettre ce formulaire
Vous pouvez compléter ce formulaire électroniquement ou manuellement. Sélectionnez « Imprimer » au bas de la page.
Apprenez comment soumettre les demandes, formulaires et autres documents pour la sécurité des contrats.
Chapitre 4 : Protection des installations
400. Généralités
Introduction
- La protection des installations (sécurité matérielle) est l'un des sous-systèmes essentiels à la mise en œuvre d'un programme de sécurité efficace. Les normes opérationnelles pour la sécurité matérielle des renseignements et des biens de nature sensible sont reproduites dans la Politique sur la sécurité du gouvernement du Conseil du Trésor ainsi que leurs directives et normes. Le Programme de sécurité (PSC) des contrats de Services publics et Approvisionnement Canada (SPAC) est responsable de l'application de ces normes dans toutes les organisations du secteur privé qui participent au PSC de SPAC
- Dans le traitement des renseignements et des biens relativement à la sécurité des communications (COMSEC), en plus des mesures de protection décrites dans le présent chapitre, il convient de respecter des exigences supplémentaires incluant celles pour la technologie de l'information (TI).
Principe
- Le système de sécurité matérielle doit permettre de sauvegarder les renseignements et les biens contre l'accès sans autorisation, de détecter les cas dans lesquels on y a eu accès ou tenté d'y avoir accès sans autorisation et de prendre des mesures correctives. On assure la protection grâce à des obstacles matériels, administratifs et psychologiques, visant à retarder ou à décourager l'accès aux renseignements et aux biens. La détection est assurée grâce à des dispositifs et à des méthodes conçus pour démontrer et, éventuellement, pour vérifier les cas réels ou les tentatives d'accès sans autorisation. Les mesures correctives consistent par exemple à faire intervenir les gardiens ou les policiers, à évaluer les dommages et à adopter des mesures pour éviter que d'autres éléments du système tombent en panne
- Si on dispose d'un délai suffisant, on peut contourner presque toutes les mesures de sécurité matérielles. Il est donc absolument essentiel de signaler que les mesures de protection doivent être établies en fonction du délai qu'il faut compter pour qu'une unité d'intervention ou un intervenant soit dépêché sur les lieux. Le Programme de sécurité des contrats de Services publics et Approvisionnement Canada apporte de l'aide dans l'élaboration d'un plan global de protection des installations
Portée
Le présent chapitre porte sur les exigences relatives à la sécurité matérielle de l'usine et des terrains, sur l'établissement de zones de sécurité (contrôle de l'accès aux installations et dans les installations), de même que sur la sécurité des renseignements et des biens protégés et classifiés.
Il faut prendre connaissance attentivement du Chapitre 5 : Manipulation et sauvegarde des renseignements et des biens classifiés et protégés du présent manuel pour s'assurer que le plan global de protection des installations comprend les mesures nécessaires.
Conception de la protection
La sécurité matérielle commence par la conception initiale des installations. Afin d'éviter ou de réduire le coût du réaménagement des installations en fonction de la sécurité, les organisations doivent consulter le Programme de sécurité des contrats de Services publics et Approvisionnement Canada le plus tôt possible lorsqu'elles envisagent de procéder à des travaux de construction ou d'acheter, de louer à bail ou de rénover des installations pour lesquelles elles devront se faire délivrer une attestation de site.
401. Sécurité matérielle
Zones sécuritaires
Les organisations titulaires d'une vérification d'organisation désignée (VOD) ou d'une attestation de sécurité d'installation (ASI) doivent établir le nombre adéquat de zones progressivement restrictives à aménager pour contrôler l'accès aux renseignements et aux biens protégés et classifiés. On ne considère pas que les zones des 2 premiers types ci-après (zone publique et zone d'accueil) sont sécuritaires pour la conservation des renseignements et des biens protégés et classifiés. L'objectif de cette typologie consiste essentiellement à établir un point de départ, à partir duquel on pourra élaborer d'autres zones sécuritaires.
Types de zones sécuritaires
Zone publique
La zone publique entoure généralement les installations de l'organisation ou en fait partie. Les terrains entourant un immeuble et les couloirs publics et halls d'ascenseur dans les édifices occupés par différents locataires en sont des exemples. On peut aussi faire appel à des éléments permettant de circonscrire les limites de la zone publique, par exemple des panneaux indicateurs, de même qu'à la surveillance directe ou à distance pour décourager les activités non autorisées dans une zone publique.
Zone d'accueil
La zone d'accueil est aménagée dans l'entrée des installations, là où :
- se produit le premier contact entre le public et l'organisation
- les services sont fournis
- l'information est échangée
- l'accès aux zones restreintes est contrôlé
Le personnel qui travaille dans la zone d'accueil, les autres employés ou les gardiens de sécurité exercent, à différents degrés, une surveillance dans cette zone. Les droits d'accès du public peuvent être limités à certaines heures du jour ou être déterminés par des raisons précises. Une entrée de porte ou l'aménagement du mobilier et des cloisons dans un environnement ouvert définissent le périmètre de la zone d'accueil.
Zone de travail
Seuls peuvent avoir accès à la zone de travail les employés qui ont fait l'objet d'un filtrage de sécurité au niveau approprié et qui y exercent leurs activités professionnelles et les visiteurs accompagnés. Il faut surveiller au moins périodiquement les zones de travail, d'après une évaluation des menaces et des risques; de préférence, on doit y avoir accès à partir de la zone d'accueil.
Zone de sécurité
Seuls peuvent avoir accès à la zone de sécurité les employés autorisés qui ont fait l'objet d'un filtrage de sécurité au niveau approprié et les visiteurs autorisés et accompagnés en bonne et due forme. On doit avoir accès à cette zone de préférence à partir d'une zone de travail et en passant par un point d'accès. Il n'est pas nécessaire de séparer la zone de sécurité travail de la zone de à l'aide d'un périmètre sécuritaire. Les gardiens de sécurité ou d'autres employés surveillent la zone de sécurité 24 heures sur 24 et 7 jours sur 7; ou encore, cette surveillance est assurée par des moyens électroniques.
Zone de haute sécurité
L'accès à la zone de haute sécurité est contrôlé à l'aide d'un point d'accès; seuls ont accès à cette zone les employés autorisés justifiant de la cote de sécurité nécessaire et les visiteurs autorisés et accompagnés en bonne et due forme. La zone de haute sécurité doit être accessible uniquement à partir de la zone de sécurité et est séparée de cette dernière zone et de la zone de travail à l'aide d'un périmètre aménagé selon les caractéristiques recommandées dans l'analyse des menaces et des risques. Les gardiens de sécurité ou d'autres employés surveillent la zone de haute sécurité 24 heures sur 24 et 7 jours sur 7; ou encore, cette surveillance est assurée par des moyens électroniques.
Attributs des zones sécuritaires
- On doit se servir de panneaux indicateurs pour délimiter les zones sécuritaires. Ils doivent comporter soit la mention « zone de travail », « zone de sécurité » ou « zone de haute sécurité »
- Les attributs matériels de la zone sécuritaire peuvent varier. Par exemple, une zone de sécurité pourrait être surveillée à partir d'un bureau installé dans un environnement ouvert servant normalement de zone de travail, si l'employé qui y exerce ses fonctions peut contrôler et surveiller l'accès aux renseignements et aux biens protégés et classifiés. La zone de sécurité pourrait également être constituée d'un bureau fermé, pour éviter que des personnes non autorisées puissent prendre connaissance de l'information ou écouter des entretiens confidentiels
- La définition de la zone sécuritaire peut varier selon la période au cours de laquelle on l'utilise durant la journée ou la semaine. Par exemple, la zone d'accueil pendant les heures d'accès du public peut être définie comme une zone de travail pendant l'horaire d'accès restreint, par exemple les fins de semaine et le soir
- La sécurité matérielle est plus satisfaisante et efficace si on adapte, dans toute la mesure du possible, les mesures prises, par exemple l'installation d'obstacles, aux opérations normales. L'aménagement adéquat et la délimitation appropriée de la zone sécuritaire permettent d'en assurer l'utilisation fonctionnelle appropriée et d'en contrôler l'accès
- L'accès aux zones sécuritaires doit être limité aux employés qui ont fait d'un filtrage de sécurité au niveau approprié et qui y exercent leurs activités professionnelles ainsi qu'aux visiteurs accompagnés
Règlements et codes
Les systèmes de sécurité matérielle doivent respecter les règlements et les codes provinciaux et municipaux pertinents, par exemple ceux qui se rapportent à la lutte contre les incendies, à la construction et aux installations électriques.
402. Zones et périmètres externes
- Périmètre externe
- Paysagement
- Terrain de stationnement
- Éclairage de sécurité
- Portes, fenêtres et autres ouvertures
- Sorties de secours
- Centres de contrôle de sécurité
Périmètre externe
Le périmètre externe est délimité et contrôlé à l'aide de clôtures et de murs autoporteurs. On définit généralement le périmètre externe des installations qui renferment des biens de grande valeur. Certains types de clôture et de mur peuvent également permettre d'éviter que des personnes non autorisées observent les activités qui se déroulent dans les zones ainsi délimitées. Ces moyens peuvent compenser les lacunes de sécurité dans la conception de l'immeuble, par exemple les fenêtres du rez-de-chaussée, à partir desquelles on peut avoir accès à des renseignements ou à des zones sécuritaires.
Paysagement
Le paysagement d'une installation sécuritaire doit être conçu pour améliorer :
- la protection, en délimitant et en sécurisant le périmètre et en définissant les voies d'accès du personnel et du grand public
- la détection, en permettant d'aménager des zones contrôlées faciles à reconnaître, en réduisant la possibilité de dissimulation et en aménageant des voies de circulation permettant aux employés de surveiller les installations
- l'intervention, en permettant au personnel d'intervention en cas d'urgence d'avoir accès sans restriction aux installations et d'utiliser l'équipement nécessaire dans ces cas
Terrain de stationnement
Le terrain de stationnement doit être aménagé pour réduire les menaces contre les installations, les employés et les visiteurs :
- en définissant les voies de circulation piétonnière
- en permettant de surveiller sans difficulté les zones très risquées
- en décourageant l'utilisation occasionnelle des portes de sortie et des zones d'expédition ou de réception
- en interdisant aux automobilistes de garer leur véhicule trop près de l'immeuble, ce qui aurait pour effet d'accroître les risques pour la sécurité
Éclairage de sécurité
Il faut normalement prévoir un éclairage de sécurité externe pour faciliter la surveillance. Il se peut qu'on doive doter cet éclairage d'une intensité accrue ou d'un spectre de couleurs spécialisé, ou des 2 à la fois, pour permettre d'identifier les personnes ou pour les applications de télévision en circuit fermé. En raison de cette complexité technique et parce qu'il faut respecter les codes de sécurité et autres, on doit confier à des employés compétents la planification de l'éclairage de sécurité. Le PSC de SPAC fera connaître les exigences particulières.
Portes, fenêtres et autres ouvertures
Il faut limiter le plus possible le nombre de portes d'accès. De préférence, les fenêtres ne doivent pas s'ouvrir. Toutes les portes et fenêtres doivent être construites selon un modèle industriel et doivent être installées solidement. Les autres ouvertures du périmètre, par exemple les drains ou les canalisations de services publics, doivent être protégés de manière à éviter l'accès sans autorisation. Le PSC de SPAC fera connaître les exigences et les normes à respecter en particulier.
Sorties de secours
Les sorties de secours ne doivent pas permettre d'avoir accès aux zones sécuritaires sans qu'on puisse exercer un contrôle. Les renseignements et les biens contrôlés par l'organisation sont très vulnérables dans les cas d'urgence. Il faut donc mettre en œuvre des mesures pour s'assurer que les voies conduisant aux sorties de secours sont protégées correctement dans les cas d'urgence.
Centres de contrôle de sécurité
Il se peut que l'organisation titulaire d'une VOD ou ASI avec une autorisation de détenir des renseignements (ADR) doive se doter, dans chacun des établissements ainsi cotés, d'un centre de contrôle de la sécurité, pour surveiller et contrôler l'état de l'équipement et des systèmes de sécurité, par exemple :
- les contrôles d'accès électroniques
- les systèmes de détection des intrus
- les avertisseurs individuels
- les systèmes de télévision en circuit fermé
- les systèmes de communication d'urgence
- les systèmes d'alarme-incendie
- les ascenseurs
Pour exploiter à temps plein le centre de contrôle de la sécurité, on peut faire appel au personnel des installations ou à une agence commerciale dans le cadre d'un contrat, ou encore à une combinaison de ces 2 formules. Le système de surveillance de la sécurité doit permettre d'exploiter indépendamment les autres systèmes de surveillance des installations.
Pour obtenir plus de renseignements sur VOD et ASI, consultez la section 304. Types de vérification d'organisation désignée (VOD) ou section 357. Types d'attestations de sécurité d'installations (ASI) du présent manuel.
403. Contrôle de l'accessibilité des zones d'accès réservé
- Accueil
- Identification du personnel
- Gardiens
- Dispositifs de contrôle électronique de l'accès
- Détection d'intrusion électronique
- Télévision en circuit fermé
- Contrôles exercés sur l'accès à l'intérieur des locaux
- Locaux de services
Accueil
On doit établir des points d'accès pour permettre d'acheminer les employés et les visiteurs aux endroits voulus, de vérifier l'identité des employés et d'interdire l'accès des visiteurs tant qu'ils n'ont pas été enregistrés en bonne et due forme et qu'ils ne sont pas accompagnés d'un employé.
Identification du personnel
- Lorsque les organisations sont assez importantes et que les employés ne peuvent plus s'identifier entre eux avec certitude, il faut les obliger à porter des cartes d'identité et/ou à se munir de porte-nom grâce auxquels ils auront accès aux zones ou aux installations précisées
- La carte d'identité doit comprendre la photographie, le nom et la signature de l'employé, le nom de l'organisation émettrice, ainsi qu'un numéro et une date d'expiration. Cette carte ne fait qu'identifier le porteur, sans lui donner des droits d'accès. Pour avoir accès à certaines zones, il faut se soumettre à un contrôle supplémentaire, en étant inscrit dans une liste d'accès, en connaissant une combinaison ou en étant muni d'une carte d'accès électronique ou d'un porte-nom. La liste des droits d'accès ou le porte-nom d'accès indique que l'employé est titulaire d'une autorisation seulement. Par conséquent, il peut se révéler nécessaire d'appliquer des procédures de contrôle supplémentaires pour vérifier l'identité et réglementer l'accès ou la sortie
- Il est souhaitable que les cartes d'identité et les porte-nom d'accès soient dotés d'un code de couleur ou d'un symbole, de manière à indiquer rapidement le niveau d'attestation et/ou les droits d'accès
- Les organisations doivent :
- instituer des procédures permettant de vérifier les cartes ou les porte-nom des employés et de les annuler ou de les leur retirer pour motif grave
- prévoir le remplacement de toutes les cartes ou de tous les porte-nom lorsqu'une évaluation de la menace et des risques indique que cela est nécessaire
- établir une procédure pour déclarer l'endommagement, la perte ou le vol des cartes d'identité ou des porte-nom des employés
- gérer les stocks de cartes ou de porte-nom
- remplacer les cartes d'identité ou les porte-nom des employés chaque fois que l'aspect personnel de ces employés change considérablement par rapport à la photographie reproduite sur la carte ou sur le porte-nom
Gardiens
- Il peut se révéler nécessaire de faire appel à des gardiens pour contrôler l'accès aux zones sécuritaires dans les cas où il faut avoir des échanges personnels et porter des jugements, ou encore pour les patrouilles à effectuer en dehors des heures normales et pour intervenir rapidement dans les cas d'accès ou de tentative d'accès sans autorisation ou dans les autres situations d'urgence. Les gardiens doivent justifier de la cote de sécurité leur donnant accès, éventuellement, aux renseignements et aux biens protégés et classifiés. Cette cote ne comprend pas de droit d'accès découlant de la constatation d'une atteinte à la sécurité
- L'agent local de la sécurité industrielle (ALSI) peut recommander des exceptions, dans chaque cas particulier, d'après une inspection et une évaluation de la menace et des risques sur les lieux
Dispositifs de contrôle électronique de l'accès
On peut utiliser des dispositifs de contrôle de l'accès électronique pour enregistrer les noms des employés autorisés à avoir accès aux locaux et pour décourager les tentatives d'accès sans autorisation. En raison du coût, de la variété et de la complexité technique de ces dispositifs, il est essentiel que les organisations consultent PSC de SPAC pour connaître les systèmes acceptables et leurs applications particulières. Pour installer des dispositifs de contrôle électronique de l'accès, il est impératif d'établir au préalable un périmètre de sécurité. On peut aussi faire appel à d'autres mesures lorsque les dispositifs de contrôle sont en panne. Les systèmes installés doivent respecter les codes et les règlements pertinents sur les immeubles et sur la lutte contre les incendies.
Détection d'intrusion électronique
Les appareils de détection d'intrusion électronique (DIE) déclenchent une alerte en cas de tentative d'accès sans autorisation. On peut s'en servir, dans certains cas, pour remplacer les gardiens de sécurité ou pour accroître l'efficacité de ces gardiens. Ces appareils doivent être dotés d'une capacité d'intervention en fonction de l'évaluation des menaces et des risques. Les appareils de DIE doivent être vérifiés à intervalles réguliers pour s'assurer que leur fonctionnement est fiable et qu'on peut faire appel à d'autres mesures. Les organisations qui veulent installer des appareils de DIE doivent demander des lignes directrices à l’ALSI du PSC de SPAC.
Télévision en circuit fermé
Les systèmes de télévision en circuit fermé (TVCF) permettent d'enregistrer des scènes qui ne sont retransmises qu'à certains appareils de réception, pour la surveillance et l'évaluation. Les systèmes de télévision en circuit fermé peuvent également servir de moyen de dissuasion psychologique et, lorsqu'ils sont reliés à un magnétoscope à vidéocassette, d'outil d'enquête en cas d'incident portant sur l'accès sans autorisation aux locaux. On peut faire appel aux systèmes de TVCF pour améliorer l'efficacité des gardiens, en prolongeant leur champ de vision, de même que pour savoir s'il est nécessaire d'intervenir immédiatement lorsqu'une alarme se déclenche. Il faut prévoir d'autres mesures en cas de panne de la TVCF.
Contrôles exercés sur l'accès à l'intérieur des locaux
Dans certains cas, il se peut qu'on doive établir des contrôles et des procédures d'accès dans les installations, afin de contrôler et d'enregistrer l'accès à certaines zones de sécurité ou de haute sécurité.
Locaux de services
- Il faut prendre soin de s'assurer qu'on ne peut pas utiliser les locaux de services communs pour contourner le système de sécurité matérielle. On doit aménager des voies de circulation pour éviter que les personnes non autorisées puissent prendre connaissance des renseignements protégés ou classifiés ou écouter des entretiens portant sur ces renseignements. Les installations de services communs, par exemple les salles de photocopieurs à vocation générale, ne doivent pas être aménagées dans les zones de sécurité ou de haute sécurité
- Les locaux de services accessibles au grand public, par exemple les toilettes et les vestiaires, doivent être aménagés en dehors des zones sécuritaires
404. Sécurité de l'information enregistrée
- Collecte de l'information sur le personnel
- Environnement sécuritaire pour le traitement des renseignements et des biens protégés et classifiés
- Efficacité des zones d'accès réglementé
- Traitement et conservation des renseignements et des biens protégés et classifiés
Collecte de l'information sur le personnel
- On ne doit pas conserver, dans les dossiers généraux du personnel de l'organisation, à cause de leur caractère confidentiel, les documents sur les cotes de sécurité du personnel renfermant des renseignements personnels; on doit plutôt les verser dans un dossier de sécurité distinct et les considérer comme des renseignements protégés conformément au Chapitre 5 : Manipulation et sauvegarde des renseignements et des biens classifiés et protégés du présent manuel. Les questionnaires d'autorisation de sécurité du personnel remplis et qu'on attend de transmettre au PSC de SPAC, de même que les renseignements défavorables sur les employés visés doivent faire l'objet d'un niveau de protection accrue, soit normalement le niveau Protégé B
- Les contrats portant sur des études ou des sondages statistiques à caractère confidentiel ou les autres contrats portant sur la collecte des renseignements personnels doivent comprendre des dispositions particulières de protection à respecter par l'entrepreneur
Environnement sécuritaire pour le traitement des renseignements et des biens protégés et classifiés
- On doit faire le traitement, le stockage et la destruction des renseignements et des biens Secret et Très secret dans une zone de sécurité, sauf si on recommande, dans une analyse des menaces et des risques, de le faire dans une zone de haute sécurité
- On doit faire le traitement, le stockage et la destruction des renseignements et des biens Confidentiel dans une zone de travail
- On doit faire le traitement, le stockage et la destruction des renseignements et des biens Protégés A et Protégés B dans une zone de travail
- On doit faire le traitement, le stockage et la destruction des renseignements et des biens Protégés C dans une zone de sécurité ou, si on le recommande dans une analyse des menaces et des risques, dans une zone de haute sécurité
Efficacité des zones d'accès réglementé
Dans un environnement ouvert, l'efficacité des zones d'accès réglementé dépend de la mise en œuvre de procédures de sécurité adéquates, visant notamment à :
- respecter le besoin de connaître, avoir les cotes de sécurité au niveau approprié, et les périmètres des zones
- accompagner les visiteurs
- ranger en lieu sûr les renseignements et les biens protégés et classifiés lorsqu'on quitte la zone de travail
- prendre des précautions lorsqu'on discute de renseignements protégés ou classifiés
- installer les biens d'équipement comme les conteneurs et les déchiqueteuses aux endroits où on peut s'en servir, en évitant de laisser sans surveillance les renseignements et les biens protégés et classifiés
- préparer et traiter les renseignements et les biens Protégés C dans une zone de sécurité ou, si on le recommande dans une analyse des menaces et des risques, dans une zone de haute sécurité
Traitement et conservation des renseignements et des biens protégés et classifiés
Veuillez consulter le Chapitre 5 : Manipulation et sauvegarde des renseignements et des biens classifiés et protégés du présent manuel pour connaître les exigences particulières relatives :
- à la sécurité du bureau des archives
- à la sécurité de la salle du courrier
- à l'entreposage
- aux clés des armoires
- à la transmission
- à l'enlèvement et au transport
- à la destruction
405. Sécurité des biens
- Les organisations doivent déterminer, puis gérer les risques pour la sécurité de tous les biens protégés et classifiés dont elles assurent le contrôle. Elles doivent consigner par écrit et mettre en œuvre un système de sécurité des biens qui :
- définit les responsabilités de la direction et du personnel
- détermine les biens pour lesquels il faut prendre des mesures de conservation
- établit des procédures pour la gestion des stocks, pour la déclaration des incidents de sécurité et les mesures d'intervention et pour la mise à jour de l'évaluation des menaces et des risques
- précise les mesures qu'il convient de prendre pour la sécurité du personnel et des biens matériels
- On doit dresser la liste des biens protégés et classifiés, en précisant leur emplacement, la nature des mesures de conservation qui peuvent s'appliquer et le nom de leur gardien. On doit attribuer des responsabilités aux gardiens, qui doivent signaler tout ce qu'ils estiment contraire à la conservation des biens en lieu sûr. Dans les procédures, on doit exiger que tous les dommages causés aux biens et tous les biens dont on confirme la perte ou le vol soient signalés le plus rapidement possible à l'agent de sécurité de l'entreprise (ASE)
Chapitre 5 : Manipulation et sauvegarde des renseignements et des biens classifiés et protégés
500. Généralités
- Le gouvernement du Canada est chargé d'attribuer les cotes de sécurité appropriées à ses renseignements et à ses biens; il doit également faire en sorte que ces cotes soient respectées. Les cotes en usage au gouvernement sont : Protégé A, B et C, ainsi que Confidentiel, Secret et Très secret.
Lorsqu'on attribue à l'entreprise privée un contrat comprenant la protection de données ou de biens selon une de ces cotes de sécurité, il incombe à l'agent de sécurité d'entreprise (ASE) de consulter le ministère compétent afin de savoir quelle cote de sécurité a été attribuée aux documents internes à l'appui de ce contrat. Leur auteur doit alors veiller à ce que cette cote soit clairement indiquée et à ce que les documents soient protégés comme il se doit.
-
Les carences dans la manipulation et la protection des renseignements et biens protégés et classifiés sont la principale cause des difficultés qui entraînent la suspension ou la révocation d'une vérification d'organisation désignée (VOD) ou d'une attestation de sécurité d'installation (ASI). En adoptant les procédures décrites dans le présent chapitre, on pourra réduire les risques d'infraction ou de contravention aux règles de la sécurité.
-
Seules les personnes qui ont passé l'enquête de fiabilité ou ont obtenu une cote de sécurité et qui ont le besoin de connaître peuvent avoir accès à ces renseignements et à ces biens. Il faut prendre des précautions pour s'assurer que les personnes qui n'ont pas d'attestation et qui peuvent se trouver à proximité des renseignements ou des biens visés n'y auront pas accès.
-
Il faut porter une attention particulière aux exigences relatives au contrôle et à l'enregistrement des renseignements et des biens et aux procédures à appliquer pour les emballer et les transmettre, conformément à la Politique sur la sécurité du gouvernement.
-
Il existe d'autres exigences pour la manipulation des renseignements et des biens de sécurité des communications (COMSEC – Communications security), en plus des mesures de protection exposées dans le présent chapitre
Veuillez consulter le Support COMSEC au secteur privé – Guide de référence pour le gestionnaire de projet. Pour obtenir une copie de ce guide, veuillez communiquer avec le Programme de sécurité des contrats.
501. Mise en garde sur la sécurité pour les publications produites par les entrepreneurs
- Lorsque l'entrepreneur produit, pour le compte du gouvernement du Canada, une publication renfermant des renseignements protégés, il faut reproduire la mise en garde suivante sur la page de couverture et la page de titre :
« Cette publication renferme des renseignements PROTÉGÉS, dont il faut assurer la protection en vertu des dispositions de la Politique sur la sécurité du gouvernement. Elle a été produite par (nom de l'entrepreneur) en vertu des dispositions (du contrat ou de l'autorisation portant le numéro) pour le compte du (gouvernement du Canada ou du ministère, selon le cas). Il est interdit de remettre ou de transmettre cette publication ou les renseignements qu'elle renferme à toute personne qui n'est pas autorisée par l'organisation émettrice. »
- Sauf indication contraire du contrat, toutes les publications et brochures et tous les guides classifiés produits par un entrepreneur pour le gouvernement du Canada doivent comprendre, en plus des indicateurs normaux de classification de la sécurité prescrits dans le présent chapitre, la mise en garde suivante, sur la page couverture et la page de titre :
« Cette publication renferme des renseignements CLASSIFIÉS touchant l'intérêt national du Canada. Elle a été produite par (nom de l'entrepreneur) en vertu des dispositions (du contrat ou de l'autorisation portant le numéro) pour le compte du (gouvernement du Canada ou ministère, le cas échéant) et doit être protégée, manipulée et transportée conformément à la Politique sur la sécurité du gouvernement. La Loi sur la protection de l'information interdit de remettre ou de transmettre cette publication ou les renseignements CLASSIFIÉS qui y sont reproduits à toute personne qui n'est pas autorisée à les recevoir. »
- Lorsqu'un entrepreneur produit des publications classifiées pour le compte d'un ministère ou d'une organisation d'un gouvernement étranger, cette mise en garde doit être formulée conformément aux modalités précisées dans les documents contractuels.
Communiquez avec sécurité des contrats internationaux pour des conseils ou de l'aide.
Pour obtenir de plus renseignements, consulter la Loi sur la protection de l'information.
502. Annotation des renseignements protégés et classifiés
Généralités
Les renseignements protégés et classifiés doivent au moins être annotés conformément aux normes précisées dans le présent manuel.
Annotation
Les organisations doivent appliquer les procédures suivantes pour annoter l'information :
- pour les renseignements protégés, inscrire la mention « PROTÉGÉ » dans le coin supérieur droit de la page de couverture du document et, au besoin, les lettres « A », « B » ou « C » pour indiquer le niveau de la cote de protection
- pour les renseignements Confidentiels, inscrire la mention « CONFIDENTIEL » dans le coin supérieur droit de chaque page du document
- pour les renseignements Secrets, inscrire la mention « SECRET » dans le coin supérieur droit de chaque page du document
- pour les renseignements Très secrets, inscrire la mention « TRES SECRET » dans le coin supérieur droit de chaque page du document et indiquer le nombre total de pages sur chaque page de ce document (par exemple, « page 2 de 10 »)
- annoter les lettres ou les formulaires d'accompagnement ou de transmission ou les bordereaux de transmission pour indiquer le niveau plus élevé de classification ou de protection des pièces jointes
- annoter tous les documents utilisés dans la préparation des renseignements protégés et classifiés, par exemple les notes, les ébauches, les copies conformes et les photocopies
- les lettres utilisées dans l'annotation doivent être plus grosses que celles qui dont utilisées dans le texte du document
- les formulaires imprimés qui ne deviennent protégés et classifiés que lorsqu'ils sont remplis doivent être annotés comme suit :
a. « CONFIDENTIEL »
(une fois rempli) - en plus d'annoter les différentes pages conformément aux modalités précisées ci-dessus, les documents doivent porter la mention appropriée sur la première et sur la dernière de couverture
- les documents en feuilles détachées doivent porter une mention sur chaque feuille
- les graphiques, les plans et les dessins, entre autres, doivent porter une mention évidente près de la marge ou du titre; on doit pouvoir lire clairement cette mention lorsque le document est plié
- les mentions de sécurité doivent comprendre la cote de classification ou de protection applicable et la date ou l'activité donnant lieu à la déclassification ou la décote du document, s'il est possible de le déterminer à la date à laquelle l'information est créée ou réunie
Annotation des exemplaires
Les organisations doivent appliquer les procédures suivantes pour le contrôle des exemplaires des documents classifiés :
- contrôler les exemplaires des documents Confidentiels comme s'il s'agissait de documents Secrets, dans les cas où une évaluation des menaces et des risques le justifie
- pour les renseignements Secrets, numéroter chaque exemplaire, inscrire le numéro de l'exemplaire sur la couverture de chaque exemplaire et tenir une liste des destinataires
- pour les documents Très secrets, attribuer un numéro entier et unique à chaque exemplaire, en inscrivant ce numéro sur chaque page, et tenir une liste des destinataires. Les destinataires des documents Très secrets ne doivent pas les copier sans l'autorisation expresse de la Services publics et Approvisionnement Canada (SPAC)
Annotation des microformes
- Le terme générique microforme désigne tous les supports d'archivage renfermant des micro-images
- Les organisations doivent appliquer les procédures suivantes pour l'annotation des microformes :
- attribuer une classification de sécurité ou une cote de protection correspondant au niveau supérieur de classification ou de protection des renseignements reproduits dans le microforme
- annoter les microformes comprenant des renseignements protégés en y indiquant la mention « PROTÉGÉ » pour qu'elle soit lisible, de même qu'en rappelant le numéro de chaque microforme et le nombre total de microformes
- annoter les microformes comportant des renseignements classifiés en y indiquant la cote de classification adéquate sous une forme lisible, en y indiquant le numéro de chaque microforme et le nombre total de microformes
Annotation du matériel d'archivage électronique
- Il faut attribuer une classification de sécurité et de cote de protection correspondant au niveau supérieur de classification ou de protection des renseignements au matériel électronique sur lequel sont archivés des renseignements protégés et classifiés
- Dans toute la mesure du possible, la mention de sécurité doit être lisible par les personnes comme par les machines. Si cela n'est pas possible, par exemple pour certains types de disques durs, la mention de sécurité doit être lisible à la machine
- Le matériel d'archivage électronique comprend les disquettes, les disques durs (amovibles et permanents), les cartouches d'archivage, les imprimés d'ordinateur, les terminaux à écran, les bandes et les cassettes magnétiques, de même que les cartes et les bandes perforées
- Le matériel d'archivage amovible devrait porter des étiquettes normalisées. Si on autorise l'invalidation de l'étiquetage, il faut appliquer des procédures pour s'assurer qu'on archive les bons renseignements sur l'ordinateur.
Consulter le Chapitre 8 : Sécurité de la technologie de l'information du présent manuel.
- Le Programme de sécurité des contrats (PSC) de SPAC peut donner certains conseils sur la manière d'annoter les différents formulaires d'archivage électronique
Documentation internationale
Les documents doivent être annotés conformément aux protocoles d'entente, aux accords ou autres normes et lignes directrices internationales sur la sécurité.
Communiquez avec sécurité des contrats internationaux pour des conseils ou de l'aide.
503. Gestion des dossiers
Généralités
Les organisations doivent conserver les dossiers en se dotant d'installations adéquates, par exemple un bureau d'archivage, pour recevoir, distribuer et archiver ou conserver les renseignements et les biens protégés et classifiés.
Enregistrement des renseignements et des biens protégés
Sauf indication expresse dans un contrat, il n'est pas nécessaire de tenir des registres de renseignements et de biens protégés, à l'exception des renseignements et des biens Protégé C, qui doivent être enregistrés comme des renseignements et des biens classifiés. Les personnes qui reçoivent des renseignements et des biens protégés ou qui y ont accès doivent participer à une séance d'information sur leurs responsabilités en ce qui concerne la protection de ces renseignements et de ces biens.
Enregistrement des renseignements et des biens classifiés
On doit tenir le registre des dates, des noms et des opérations pour tous les renseignements et les biens classifiés; ce registre doit indiquer :
- réception dans les installations
- distribution dans les installations
- création dans les installations
- reproduction dans les installations
- destruction dans les installations
- transmission en dehors des installations
- Lorsqu'on transmet des renseignements et des biens en dehors des installations, il faut respecter les modalités de la section 506. Emballage et transmission des renseignements et des biens classifiés et protégés du présent chapitre. Les registres faisant état de la distribution, de la diffusion et du retour dans les installations doivent comprendre la signature des responsables qui en accusent réception. Les personnes qui ont accès à des renseignements et à des biens classifiés doivent participer à une séance d'information sur leurs responsabilités en ce qui concerne la protection de ces renseignements et de ces biens et toutes les restrictions particulières concernant leur utilisation ou leur diffusion
- Tous les registres de renseignements et de biens classifiés et tous les renseignements et biens classifiés doivent pouvoir être inspectés par les agents locaux de la sécurité industrielle du PSC de SPAC
Sécurité du bureau d'archivage
Dans la gestion des bureaux d'archivage ou de certaines parties de ces bureaux, dans lesquels on conserve ou traite des renseignements protégés, on doit veiller à appliquer les procédures suivantes :
- ces bureaux doivent être gérés, à tout le moins, comme des zones de sécurité
- les employés des bureaux d'archivage qui ont accès à des renseignements protégés et classifiés doivent être titulaires d'une attestation de sécurité au niveau de fiabilité ou d'une attestation de sécurité du personnel au niveau supérieur exigé
- les documents protégés et classifiés doivent être classés et diffusés dans des chemises annotées et indiquant clairement qu'elles renferment ce type de documents
- on doit indiquer sur les dossiers la cote de sécurité la plus élevée des documents qui y sont conservés
- les zones où l'on dépouille le courrier doivent être gérées conformément aux normes de sécurité sur les salles de courrier. Consulter la section sur la Sécurité des zones dans lesquelles on dépouille le courrier ci-dessous
- seuls les employés qui justifient de l'attestation de sécurité au niveau de fiabilité et le besoin connaître peuvent emporter des dossiers protégés hors des bureaux d'archivage
- seuls les employés titulaires de la cote de sécurité voulue et le besoin de connaître peuvent emporter des dossiers Confidentiels hors des bureaux d'archivage
- seuls les employés justifiant des cotes de sécurité voulues et le besoin de connaître peuvent emporter les dossiers Très secrets et Secrets hors des bureaux d'archivage. Les membres du personnel titulaires de ces droits d'accès doivent être inscrits dans une liste approuvée par le gestionnaire compétent (par exemple, le gestionnaire du projet)
- les renseignements classifiés d'origine étrangère doivent faire l'objet des mêmes mesures de protection que les renseignements canadiens de classification équivalente. En cas de doute, communiquez avec sécurité des contrats internationaux pour des conseils ou de l'aide
- il faut prendre des précautions particulières pour éviter de diffuser sans autorisation, auprès de citoyens étrangers, des renseignements et des biens classifiés ou pour empêcher qu'ils y aient accès :
- ces citoyens ne doivent pas avoir accès à des renseignements portant des mentions restrictives comme « RÉSERVÉS AUX CANADIENS » sans l'approbation préalable de PSC de SPAC
- d'autres restrictions peuvent s'appliquer aux contrats, aux programmes ou aux projets bilatéraux et/ou multinationaux. En cas de doute, veuillez contacter le PSC de SPAC
Sécurité des zones dans lesquelles on dépouille le courrier
Les zones dans lesquelles on dépouille le courrier doivent être gérées comme des zones de sécurité ou des zones de haute sécurité. Le courrier portant la mention « Ne doit être ouvert que par le destinataire » doit être livré directement à ce destinataire. Le courrier classifié ne doit être ouvert que par le responsable désigné pour l'enregistrement de ce courrier dans les installations.
504. Protection des renseignements et des biens
Archivage
- Les renseignements protégés et les biens protégés doivent être conservés, à tout le moins, dans un contenant fermant à clé. Les renseignements et les biens Protégé C et tous les renseignements classifiés doivent être conservés dans une armoire de sécurité approuvée et conforme au Guide d'équipement de sécurité (G1-001) émis par la sous-direction de la sécurité technique de la Gendarmerie Royale du Canada (GRC). Les renseignements et les biens protégés ou classifiés peuvent être conservés sur des étagères libres dans une salle protégée, uniquement après une inspection et avec l'approbation de PSC de SPAC et seulement au niveau approuvé par cette dernière
- Les renseignements et les biens protégés et classifiés ne doivent pas être conservés dans la même armoire que des effets négociables ou des biens attrayants
- Les organisations qui doivent conserver des renseignements et des biens protégés et classifiés peuvent acheter l'équipement de sécurité approuvé par l'entremise de PSC de SPAC. En collaboration avec l'agent local de la sécurité industrielle (ALSI), l'ASE ou son substitut doit déterminer l'équipement permettant de répondre aux exigences précisées et soumettre une demande à l'ARSI à l'aide de l'Annexe 5-A : Formulaire de document de demande d'inscription pour l'achat d'équipement du présent chapitre. Lorsque l'ARSI a donné son accord, PSC de SPAC traite la demande, toutefois, en ce qui concerne le paiement et consigne pour la livraison de l'équipement, ceci tombe sous la responsabilité de l'entreprise (l'ASE) et du fournisseur. Le lecteur trouvera, dans l'Annexe 5-B : Matériel de sécurité approuvé offert en vente aux organismes de ce chapitre, des exemples de biens d'équipement qu'on peut acheter conformément à cette procédure
Clés pour les armoires
- Les clés (et les dispositifs comme les instruments, les cartes, les combinaisons et les numéros de code utilisés pour ouvrir et fermer les armoires) doivent être protégées selon le niveau supérieur de confidentialité des renseignements ou des biens auxquels elles donnent accès. Ces modalités s'appliquent également aux renseignements enregistrés qui permettraient de produire des clés
- Lorsqu'on remet des clés, on doit demander à la personne qui les reçoit d'apposer sa signature dans un registre. On doit noter dans ce registre, que l'ASE doit conserver, le numéro des clés, les coordonnées des armoires qu'elles permettent d'ouvrir et les noms des destinataires de ces clés
- Le bureau de sécurité de l'organisation doit conserver un registre des dates de changement de clé et des motifs expliquant ces changements
- Il faut changer les clés confiées à des employés :
- au moins une fois tous les 12 mois
- lorsque les employés qui ont accès aux armoires sont mutés, congédiés ou n'ont plus à y avoir accès
On doit en changer immédiatement les clés lorsqu'on a tenté ou qu'on a pu essayer d'ouvrir une armoire.
Précautions à prendre pendant l'utilisation
Il faut prendre des mesures particulières pour protéger les renseignements et les biens protégés et classifiés contre la divulgation et l'accès sans autorisation lorsqu'on les sort des armoires ou des contenants approuvés. Voici les points particuliers à observer :
- on ne doit pas laisser sans surveillance des renseignements et des biens protégés et classifiés
- on doit s'assurer que les personnes qui ne sont pas titulaires de l'attestation de sécurité ou de la cote de fiabilité voulue ou qui n'ont pas le besoin de connaître ne peuvent pas consulter les renseignements et les biens protégés et classifiés ou entendre des discussions à ce sujet
505. Utilisation des ordinateurs portatifs
1. Dans l'éventualité où il faut utiliser des ordinateurs portatifs pour traiter des renseignements protégés ou classifiés, ces ordinateurs ne doivent pas être enlevés de l'organisation qui possède l'attestation de sécurité d'installation (ASI) ou la vérification de l'organisation désignée (VOD). Dans l'éventualité où il serait nécessaire de transporter ces mêmes ordinateurs portatifs, il faut obtenir une permission écrite de l'ASE ou d'un agent de sécurité d'entreprise remplaçant (ASER) par le biais de l'Annexe 5-D : Appendice A-1 – Formulaire d'ordre de mission du messager.
2. L'entreposage des ordinateurs portatifs qui traitent des renseignements protégés ou classifiés doit être conforme aux procédures de sécurité mises en œuvre par l'organisation pour le niveau de sensibilité des renseignements.
506. Emballage et transmission des renseignements et des biens classifiés et protégés
1. La sécurité des renseignements et des biens protégés et classifiés pendant la transmission dépend :
- de la qualité de l'emballage
- du relevé en cours de transport
- du relevé de livraison
- de la transmission par un service postal approuvé ou par un messager titulaire d'une attestation de sécurité. Veuillez contacter la Direction de la sécurité industrielle internationale en ce qui concerne les services postaux approuvés et les messagers titulaires d'une attestation de sécurité
2. Les renseignements et les biens protégés et classifiés doivent être emballés et transmis conformément aux normes exposées dans l'Annexe 5-C : Normes applicables à la transmission de renseignements et de biens protégés et classifiés.
3. En outre, il faut prendre des procédures particulières pour le transport en mains propres et/ou l'expédition en vrac de certains renseignements et biens protégés et classifiés. Ces procédures sont précisées dans les annexes et les appendices suivants :
- Annexe 5-A : Formulaire de demande d'inscription pour l'achat d'équipement
- Annexe 5-B : Matériel de sécurité approuvé offert en vente aux organisations
- Annexe 5-C : Normes applicables à la transmission de renseignements et de biens protégés et classifiés
- Annexe 5-D : Dispositifs à prendre pour l'envoi par porteur, au Canada, de documents, de matériel et (ou) de composants Protégé B et classifiés
- Annexe 5-E : Dispositifs à prendre pour l'escorte, au Canada, d'envois en vrac secrets, confidentiels ou Protégés C qui ne peuvent être transportés par messager
507. Enlèvement temporaire de renseignements et de biens classifiés et protégés
1. On ne peut emporter, hors des établissements d'une organisation, pour les transporter ou s'en servir hors du Canada, des renseignements ou des biens protégés et classifiés sans l'approbation préalable de PSC de SPAC.
2. Au Canada, à l'exception du matériel Très secret, Protégé C et COMSEC, on peut emporter temporairement, en dehors des établissements d'une organisation, des renseignements et des biens protégés et classifiés. Il faut demander l'autorisation écrite de l'ASE ou de l'ASER autorisé par le biais de l'Annexe 5-D : Appendice A-1 – Formulaire d'ordre de mission du messager.
3. L'ASE ou l'ASER enregistre les renseignements et les biens à emporter et se font délivrer un accusé de réception.
4. Si on autorise l'enlèvement, du jour au lendemain, de renseignements et de biens protégés et classifiés, il faut faire savoir à l'employé qu'il ne s'agit pas d'une autorisation permanente et que les renseignements et les biens visés doivent rester en sa possession en permanence.
5. L'ASE ou l'ASER doit justifier et enregistrer le matériel lorsqu'il est retourné et remettre à l'employé un accusé de réception du matériel retourné.
508. Reproduction
1. Les reproductions de documents protégés doivent être annotées selon les mêmes modalités que des originaux. Les renseignements classifiés ne doivent être reproduits qu'avec l'autorisation de l'ASE ou d'un ASER autorisé. Les documents reproduits doivent être annotés, enregistrés et justifiés selon les mêmes modalités que les originaux.
2. Certains documents classifiés portent une mise en garde qui en interdit ou en restreint la reproduction. Il faut alors demander l'autorisation de l'auteur avant de les reproduire. On ne doit jamais reproduire, sans l'autorisation écrite de PSC de SPAC, des documents Très secrets, Protégé C et COMSEC.
3. Il faut prendre des précautions particulières lorsqu'on se sert de photocopieurs. On doit apposer bien en vue, près de chaque photocopieur, les avis portant sur la marche à suivre pour la reproduction des documents. Il faut veiller à s'assurer qu'on ne laisse pas de documents originaux sur les photocopieurs et qu'on enlève toutes les copies, y compris les documents à jeter.
4. Les contrats d'impression et/ou de microfichage des documents protégés et classifiés ne doivent être attribués qu'à des entreprises commerciales titulaires de l'ASI ou de la VOD voulue.
509. Reclassification et déclassification
1. Les documents dont les mentions de classification prévoient un calendrier de déclassification ou de décote peuvent être déclassifiés ou décotés selon ce calendrier, sauf si on a reçu un avis produisant l'effet contraire. Les documents qui ne comportent pas ces mentions ne peuvent être déclassifiés ou décotés qu'après avoir reçu l'autorisation écrite de l'auteur par l'entremise de PSC de SPAC.
2. Lorsqu'une organisation considère que des documents étrangers ou Organisation du traité de l'Atlantique nord (OTAN) classifiés devraient être déclassifiés ou décotés, elle doit soumettre à la Direction de la sécurité industrielle internationale une demande écrite comportant des détails complets, y compris une justification.
3. Lorsque PSC de SPAC transmet un avis officiel autorisant la reclassification d'un document, tous les exemplaires doivent être annotés de nouveau et porter la nouvelle mention de classification, à savoir:
Document déclassifié
ou
Document décoté au niveau (insérer la nouvelle classification)
ou
Document surcoté au niveau (insérer la nouvelle classification)
en vertu des pouvoirs de la lettre de Services publics et Approvisionnement Canada en date du (insérer la date)
ou
en vertu des pouvoirs de la Liste de vérification des exigences relatives à la sécurité en date du (insérer la date)
ou
en vertu des pouvoirs du contrat en date du (insérer la date)
510. Conservation
1. Les documents et les biens protégés et classifiés doivent, lorsqu'une proposition n'est pas acceptée ou à la fin d'un contrat, être rendus au PSC de SPAC pour élimination, ou encore, avec l'accord écrit de la SPAC, être détruits par l'organisation ou être retournés à l'auteur. Sur demande, les organisations peuvent être autorisées à conserver ces documents avec l'approbation de l'auteur, et livrée par l'entremise du PSC de SPAC.
2. Les demandes d'autorisation de conservation doivent faire état :
- des documents visés
- de la période pendant laquelle ils seront conservés
- de la raison justifiant leur conservation
Si l'organisation a été autorisée à conserver des documents protégés et classifiés pour une durée précise après la fin du contrat, la demande de conservation doit comprendre des détails sur cette autorisation.
3. À moins de recevoir par écrit l'autorisation permettant de les conserver, les documents protégés et classifiés doivent être éliminés conformément aux dispositions du présent manuel et aux instructions du PSC de SPAC.
511. Destruction
1. Sauf indication contraire, il faut retourner au PSC de SPAC, pour élimination, les renseignements et les biens Protégé C, Très secret, COMSEC et les renseignements et les biens étrangers classifiés.
2. Sauf indication contraire, l'organisation peut, avec l'approbation de SPAC, détruire les renseignements et les biens Protégés A et B, Secrets, et Confidentiels d'origine canadienne.
Note : il faut noter la destruction des renseignements et des biens classifiés dans un certificat de destruction, dont un exemplaire doit être transmis à la Section du contrôle des documents (SCD) du PSC de SPAC à tpsgc.dgsssiprojetintl-dobissintlproject.pwgsc@tpsgc-pwgsc.gc.ca.
3. Il faut éliminer conformément aux dispositions suivantes les renseignements et les biens protégés et classifiés dont on a autorisé la destruction :
- on ne doit les détruire qu'à l'aide de biens d'équipement de destruction approuvés ou dans un établissement autorisé par SPAC
- les renseignements qui attendent d'être détruits ou qu'on achemine à l'établissement où ils seront détruits doivent être protégés selon les modalités prescrites pour les renseignements et les biens comportant la plus haute de protection et de classification
- les renseignements et les biens protégés et classifiés qu'on attend de détruire doivent être conservés à part des autres renseignements et biens à détruire
- un employé possédant l'attestation de sécurité ou de fiabilité voulue, selon le cas, doit surveiller la destruction des renseignements protégés ou classifiés, respectivement
- les exemplaires excédentaires et les documents à jeter qui pourraient comprendre des renseignements protégés et classifiés doivent être protégés selon le niveau de classification voulu et être détruits rapidement
512. Règles de sécurité : contraventions, violations et compromissions
1. Les organisations doivent instituer une procédure pour s'assurer d'enregistrer les cas présumés ou réels de contraventions à la sécurité, de violations et de compromissions relativement aux règles de sécurité et les signaler immédiatement à l'ASE. Elles doivent conserver les dossiers pendant 2 ans suivant les incidents; ces dossiers doivent pouvoir être inspectés par l'agent local de la sécurité industrielle.
2. Lorsqu'on lui signale ces cas, l'ASE doit immédiatement procéder à une enquête préalable sur l'incident afin de connaître toutes les circonstances et de répondre aux questions suivantes :
- Quelle est la nature de l'incident et quand et où s'est-il produit?
- Qui l'a signalé et à qui et quand l'a-t-il fait?
- Quels sont les renseignements ou les biens visés (dans les détails)?
- Quel est la mention de sécurité et quelle est la description des renseignements ou des biens visés?
- Qui est l'auteur des documents ou l'émetteur des biens?
- Quand, pendant combien de temps et dans quels cas les renseignements et les biens ont-ils été vulnérables à la divulgation sans autorisation et à qui ont-ils été communiqués ou transmis?
- Quelles mesures a-t-on prises pour protéger les renseignements ou les biens et limiter les dégâts?
- A-t-on perdu des renseignements ou des biens ou a-t-il été impossible de les justifier?
3. Lorsque les résultats de l'enquête préliminaire révèlent une violation ou une compromission présumée ou réelle relativement aux renseignements et aux biens, l'ASE doit prévenir immédiatement le PSC de SPAC. Il doit lui transmettre, le plus rapidement possible, un rapport complet sur l'enquête préalable, de même que tous les résultats de l'enquête ultérieure.
513. Communication de vive voix et transmission des messages
1. Il en faut pas se servir de téléphones ou de télécopieurs non protégés pour transmettre des renseignements classifiés ou de nature délicate. Il faut coordonner par l'entremise du Centre de la sécurité des télécommunications (CST) les besoins en téléphones et en télécopieurs protégés.
2. Toutes les salles de conférence utilisées pour discuter de renseignements classifiés doivent être :
- des locaux de réunion sécurisés, aménagés dans une zone de sécurité ou à haute sécurité
- protégées contre l'écoute acoustique ou électronique et ne pas comprendre d'appareils comme :
- des téléphones
- des intercoms
- des radios
- des magnétoscopes à cassettes
Chapitre 5 : Annexes
- Annexe 5-A : Formulaire de demande d'inscription pour l'achat d'équipement
- Annexe 5-B : Matériel de sécurité approuvé offert en vente aux organisations
- Annexe 5-C : Normes applicables à la transmission de renseignements et de biens protégés et classifiés
- Annexe 5-D : Dispositifs à prendre pour l'envoi par porteur, au Canada, de documents, de matériel et (ou) de composants Protégé B et classifiés
- Annexe 5-E : Dispositifs à prendre pour l'escorte, au Canada, d'envois en vrac secrets, confidentiels ou Protégés C qui ne peuvent être transportés par messager
Annexe 5-A : Formulaire de document de demande d'inscription pour l'achat d'équipement
Annexe 5-B : Matériel de sécurité approuvé offert en vente aux organisations
Matériel de sécurité le plus fréquemment demandé
Classeur de sécurité avec serrure à combinaison intégrée - latéral (2 tiroirs)
- Description
- en acier, classeur de sécurité avec serrure à combinaison intégrée, latéral (2 tiroirs)
- Modèle
- modèle global FG36-2FCL
- Dimensions
- 36 po de largeur, 18 po de profondeur, 26.625 pouces de hauteur
- Numéro de l'organisation du traité de l'atlantique nord (OTAN)
- 7110-20-002-8735
Classeur de sécurité avec serrure à combinaison intégrée - latéral (4 tiroirs)
- Description
- en acier, classeur de sécurité avec serrure à combinaison intégrée, latéral (4 tiroirs)
- Modèle
- modèle global FG36-4FCL
- Dimensions
- 36 pouces de largeur, 18 pouces de profondeur, 51 pouces de hauteur
- Numéro de OTAN
- 7110-20-002-8736
Classeur de sécurité (2 tiroirs)
- Dimensions
- largeur 19 pouces, profondeur 28 pouces, hauteur 27. 375 pouces
- Poids
- 250 livres
- Numéro de OTAN
- 7110-21-852-6693
Classeur de sécurité (4 tiroirs)
- Dimensions
- largeur 19 pouces, profondeur 28 pouces, hauteur 51.375 pouces
- Poids
- 450 livres
- Numéro de OTAN
- 7110-21-852-6695
Armoire de sécurité
- Dimensions
- 23.125 pouces de largeur, 32 .5 pouces de profondeur, 51.625 pouces de hauteur
- Poids
- 400 livres (sans le classeur)
- Numéro de OTAN
- 7110-21-108-0743
Remarque
un classeur à 4 tiroirs pour une armoire de sécurité est aussi disponible.
Annexe 5-C : Normes applicables à la transmission de renseignements et de biens protégés et classifiés
Préparation de la transmission
Il faut préparer comme suit les renseignements protégés et classifiés à transmettre :
- les composants trop volumineux pour être emballés ou être envoyés par porteur peuvent être transportés dans des caisses ou des contenants scellés et mis sous clé dans un véhicule ou un contenant qui est accompagné et qui ne permet pas d'avoir visuellement accès à l'information à partir de l'extérieur. Les expéditions de cette nature doivent être approuvées individuellement par le Programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada (SPAC) sur une base de cas par cas (référez-vous à l'Annexe 5-E de ce chapitre)
- pour les biens et les renseignements Protégés C ou classifiés, il faut joindre un reçu portant l'adresse d'expédition dans l'enveloppe ou dans l'emballage intérieur et sceller l'un ou l'autre à l'aide d'un ruban de sécurité approuvé. L'enveloppe ou l'emballage intérieur doit porter la mention de sécurité et l'adresse du destinataire; dans le cas des objets encombrants, on doit contacter le PSC de SPAC pour connaître les méthodes de scellage approuvées
- les enveloppes ou les emballages servant à préparer des renseignements protégés et classifiés à transmettre doivent être fabriqués en papier robuste, résistant à des opérations de manutention vigoureuse
- il faut enregistrer les biens et les renseignements Très secrets avant qu'ils soient envoyés à l'extérieur d'une zone de sécurité
- on doit prévenir les destinataires des biens et des renseignements Très secrets avant l'expédition
- si on utilise une enveloppe double pour transmettre des biens et des renseignements, on doit apposer la mention de sécurité sur l'enveloppe intérieure, mais non sur l'enveloppe extérieure. L'enveloppe intérieure doit porter l'adresse du destinataire et, le cas échéant, la mention "Ne doit être ouvert que par". Dès qu'on reçoit l'enveloppe, il faut examiner les sceaux et l'emballage et signaler les enveloppes violées à l'agent de sécurité d'entreprise (ASE) et, si on pense qu'il y a compromission au PSC de SPAC
Méthodes de préparation et de transmission
Le tableau ci-après donne un aperçu des moyens autorisés pour la préparation et la transmission des biens et des renseignements.
Remarque
la transmission de biens et de renseignements à transmettre hors du Canada doit toujours être faite par l'entremise du PSC de SPAC, sauf lorsque le transport manuel ou l'accompagnement est autorisé expressément par le PSC de SPAC ou prévu dans un contrat, un programme ou un protocole d'entente dans le cadre d'un projet. Le PSC de SPAC donnera des instructions dans chaque cas particulier.
Catégorie | Origine à destination | Préparation enveloppes | Préparation cachetées | ||
---|---|---|---|---|---|
1 | 2 | Gomme | Ruban approuvé par le gouvernement | ||
Protégé A | Dans l'immeuble | x | s/o | x | s/o |
Au Canada | x | s/o | x | s/o | |
A l'étranger | x | s/o | x | s/o | |
Protégé B | Dans l'immeuble | x | s/o | x | s/o |
Au Canada | x | s/o | x | s/o | |
A l'étranger | x | s/o | x | s/o | |
Protégé C | Dans l'immeuble | s/o | x | x | s/o |
Au Canada | s/o | x | x | x | |
A l'étranger | s/o | x | x | x | |
Diffusion restreinte Organisation du traité atlantique nord (OTAN) et étranger | Dans l'immeuble | x | s/o | x | s/o |
Au Canada | x | s/o | x | s/o | |
A l'étranger | x | s/o | x | s/o | |
Confidentiel (y compris OTAN) | Dans l'immeuble | s/o | x | x | s/o |
Au Canada | s/o | x | x | x | |
A l'étranger | s/o | x | x | x | |
Secret (y compris OTAN) | Dans l'immeuble | s/o | x | x | s/o |
Au Canada | s/o | x | x | x | |
A l'étranger | s/o | x | x | x | |
Trés secret (y compris OTAN) | Dans l'immeuble | s/o | x | x | x |
Au Canada | s/o | x | x | x | |
A l'étranger | s/o | x | x | x |
Catégorie | Origine à destination | Courrier 1ère classe | Messageries prioritaires | Courrier recommandé | Messageries (note 3 du tableau 2) (note 4 du tableau 2) (appeler le PSC de SPAC) | Casier verrouillé (note 1 du tableau 2)(note 2 du tableau 2) | Par le PSC de SPAC |
---|---|---|---|---|---|---|---|
Protégé A | Dans l'immeuble | s/o | s/o | s/o | note 5 du tableau 2 | s/o | s/o |
Au Canada | s/o | x | x | note 3 du tableau 2/note 4 du tableau 2/note 5 du tableau 2 | s/o | s/o | |
A l'étranger | x | x | x | s/o | s/o | s/o | |
Protégé B | Dans l'immeuble | s/o | s/o | s/o | note 3 du tableau 2/note 5 du tableau 2 | s/o | s/o |
Au Canada | s/o | x | x | note 3 du tableau 2/note 4 du tableau 2/note 5 du tableau 2 | s/o | s/o | |
A l'étranger | s/o | s/o | s/o | s/o | s/o | x | |
Protégé C | Dans l'immeuble | s/o | s/o | s/o | note 3 du tableau 2 | s/o | s/o |
Au Canada | s/o | x | x | note 3 du tableau 2/note 4 du tableau 2 | s/o | s/o | |
A l'étranger | s/o | s/o | s/o | s/o | s/o | x | |
OTAN | Dans l'immeuble | s/o | s/o | s/o | note 3 du tableau 2 | s/o | s/o |
Au Canada | s/o | x | x | note 3 du tableau 2/note 4 du tableau 2 | s/o | s/o | |
A l'étranger | s/o | s/o | s/o | s/o | s/o | x | |
Confidentiel (y compris OTAN) | Dans l'immeuble | s/o | s/o | s/o | note 3 du tableau 2 | s/o | s/o |
Au Canada | s/o | x | x | note 3 du tableau 2/note 4 du tableau 2 | note 1 du tableau 2 | s/o | |
A l'étranger | s/o | s/o | s/o | s/o | s/o | x | |
Secret (y compris OTAN) | Dans l'immeuble | s/o | s/o | s/o | note 3 du tableau 2 | s/o | s/o |
Au Canada | s/o | x | x | note 3 du tableau 2/note 4 du tableau 2 | note 1 du tableau 2 | s/o | |
A l'étranger | s/o | s/o | s/o | s/o | s/o | x | |
Très Secret (y compris OTAN) | Dans l'immeuble | s/o | s/o | s/o | note 3 du tableau 2 | note 2 du tableau 2 | s/o |
Au Canada | s/o | x | x | note 3 du tableau 2/note 4 du tableau 2 | note 2 du tableau 2 | s/o | |
A l'étranger | s/o | s/o | s/o | s/o | s/o | x | |
Notes du tableau 1
|
Annexe 5-D : Dispositifs à prendre pour l'envoi par porteur, au Canada, de documents, de matériel et (ou) de composants Protégé B et classifiés
1. Pour permettre de transporter de toute urgence, au Canada, des documents Protégé B et classifiés dans le cadre d'un projet, d'un programme ou d'un contrat du gouvernement, on a approuvé des dispositions spéciales pour le transport en mains propres. On peut y faire appel dans chaque cas particulier, avec l'approbation de l'agent de sécurité de l'entreprise (ASE).
Note
Les documents à établir pour le transport en mains propres sont reproduits dans l'Appendice A de cette annexe et comprennent :
2. Les dispositions de la présente section s'appliquent au transport en mains propres, par un messager autorisé, de documents, de biens d'équipement et/ou de composants Protégé B ou classifiés uniquement lorsque ce messager peut exercer un contrôle personnel et permanent. Ces documents, biens d'équipement et/ou composants ne doivent pas porter une cote de sécurité supérieure à la cote Protégé B ou Secret, et le gouvernement ou l'organisme propriétaire doit avoir autorisé la diffusion des documents ou la mise à disposition de l'équipement dans le cadre du projet, du programme ou du contrat.
3. La taille, le poids et la configuration des documents, des biens d'équipement et/ou des composants doivent permettre de les transporter en mains propres.
4. Le messager autorisé doit être un employé permanent de l'entreprise expéditrice ou destinataire.
5. Le messager autorisé doit justifier d'une cote de sécurité du personnel ou avoir reçu une vérification de la fiabilité correspondant au moins à la cote des documents Protégé B ou classifiés à transporter en mains propres.
6. Avant le début de chaque voyage, l'ASE doit donner au messager autorisé des instructions sur ces dispositions. Le messager autorisé doit lire et signer la déclaration pour confirmer qu'on lui a donné des instructions et qu'il a pris connaissance des notes à l'intention du messager. On conservera pendant au moins 12 mois après chaque voyage le registre confirmant que le messager autorisé a signé la déclaration.
7. On remet au messager autorisé un ordre de mission de messager et un exemplaire des notes à l'intention du messager.
8. Il faut faire savoir au messager autorisé que s'il ne s'acquitte pas de son obligation de protéger les renseignements Protégé B ou classifiés faisant partie de l'envoi dont il assume la responsabilité et/ou qu'il est responsable d'une négligence pouvant donner lieu à une violation des règles de sécurité, on considérera non seulement qu'il n'a pas respecté ses obligations contractuelles, mais aussi qu'il est passible de sanctions pénales. Si le messager ne respecte pas les règles de sécurité, l'entreprise expéditrice procède à une enquête et rend compte de ses constatations au Programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada (SPAC). Le cas échéant, on peut intenter une action en justice.
9. Les ordres de mission de messager doivent être numérotés dans l'ordre par l'ASE, pour permettre d'effectuer un suivi. Ce dernier peut remettre à son substitut un nombre limité d'ordres de mission de messager pré-numérotés, selon les besoins prévisibles de l'entreprise, pour une durée raisonnable; le substitut peut autoriser personnellement l'utilisation de ces ordres pour le transport des documents en mains propres.
10. À la fin de chaque voyage, le messager autorisé signe une déclaration finale pour attester qu'il ne s'est pas produit de problème ayant pour effet de nuire à la sécurité de l'envoi pendant le voyage.
11. L'ASE expéditrice établit en 3 exemplaires le reçu dressant la liste des documents Protégé B ou classifiés à transporter en mains propres par le messager autorisé. Il en conserve un exemplaire; les 2 autres exemplaires sont emballés avec les documents et les biens d'équipement Protégé B ou classifiés. Ces documents et biens d'équipement sont emballés et scellés, avant d'être déposés dans un contenant approuvé par les responsables de la PSC de SPAC, par l'ASE ou l’agent de sécurité d'entreprise remplaçant (ASER) ou en présence de ces derniers.
12. Dans les cas où le messager autorisé intervient simplement à titre de messager, les adresses de l'ASE destinataire et de l'entreprise expéditrice figurent sur l'enveloppe ou l'emballage intérieur et extérieur.
13. L'ASE expéditrice se fait délivrer, par le messager autorisé, un reçu pour les emballages scellés.
14. Le messager autorisé doit assurer la garde en lieu sûr des documents et des biens d'équipement Protégé B ou classifiés jusqu'à ce qu'ils aient été retournés ou remis au ASE ou à un représentant désigné de l'état et qu'un reçu ait été délivré comme preuve de livraison.
15. Dans les cas où le messager autorisé intervient simplement comme messager, l'ASE destinataire ou le représentant désigné de l'état signe les 2 exemplaires du reçu accompagnant le colis. On en retourne un exemplaire au messager. Dès son retour, le messager autorisé transmet le reçu rempli en bonne et due forme à l'ASE. L'ASE destinataire conserve pendant 2 ans le deuxième exemplaire du reçu.
16. Le reçu emballé avec les documents et les biens d'équipement Protégé B ou classifiés doit comprendre les détails suivants, s'il y a lieu :
- la description exacte des documents et des biens d'équipement Protégé B ou classifiés (organisme expéditeur, date d'expédition, classification, numéro de l'exemplaire, numéro de référence du registre et nombre de pages, en tenant compte des annexes), le cas échéant
- la date et l'heure auxquelles le colis a été remis au destinataire
- le nom et le poste ou les attributions du messager autorisé qui a signé le reçu
- la signature du destinataire
17. Dans les cas où le messager autorisé intervient à titre de messager, l'ASE expéditrice fait connaître, à l'ASE destinataire ou au représentant de l'état, la date et l'heure prévues pour la livraison. Si le messager autorisé accuse un retard de plus de 8 heures par rapport à l'heure prévue pour la livraison, l'ASE destinataire ou le représentant de l'état doit faire une première enquête et prévenir le PSC de SPAC si on ne peut pas connaître le motif du retard.
18. Pendant toute la durée du voyage, le messager autorisé exerce lui-même un contrôle direct sur les documents et les biens d'équipement Protégé B ou classifiés.
19. Le messager autorisé doit se conformer aux demandes officielles des responsables de l'état (par exemple la GRC ou la police militaire) qui veulent faire ouvrir les envois Protégé B ou classifiés. Lorsqu'une inspection est inévitable, il faut veiller à ne montrer que des éléments suffisants du contenu de l'envoi pour permettre aux responsables de constater que cet envoi ne contient rien d'autre que ce qui a été déclaré.
- Si on ouvre un envoi pour répondre à la demande d'un responsable de l'état, le messager le fait savoir au ASE, qui prévient le PSC de SPAC
- L'envoi ne doit en aucun cas être remis à des responsables de l'état
20. Lorsqu'il transporte des biens Protégé B/classifiés en vertu de ces dispositions, le messager ne doit pas prendre la voiture ou l'avion à l'étranger.
Annexe 5-D : Appendice A-1 - Ordre de mission du messager
Annexe 5-D : Appendice A-2 - Notes à l'intention du messager
Les notes suivantes sont à l'intention du messager pour le transport en mains propres de documents, de biens d'équipement et/ou de composants classifiés et/ou Protégés B au Canada.
Notes à l'intention du messager
Vous avez été nommé pour accompagner un envoi Protégé B ou classifié. On vous a remis votre ordre de mission de messager. Avant le début de votre voyage, vous recevrez des instructions sur les règlements en matière de sécurité régissant l'accompagnement de cet envoi et sur vos obligations en matière de sécurité pendant ce voyage (tel que comportement, itinéraire, calendrier). Vous serez également invité à signer une déclaration, dont vous aurez pris connaissance, et vous devrez vous acquitter des obligations prescrites en matière de sécurité.
Nous attirons votre attention sur les points généraux suivants.
- Vous serez tenu responsable de l'envoi décrit dans l'ordre de mission de messager
- Pendant tout le voyage, vous devez contrôler constamment l'envoi
- Pendant le transport, on ne doit pas ouvrir la caisse ou l'emballage, sauf dans les cas décrits à l'alinéa 7 ci-après
- Vous ne devez pas discuter de cet envoi ni en parler dans un endroit public
- Vous ne devez en aucun cas laisser l'envoi sans surveillance. Pendant les arrêts de nuit, vous pourrez utiliser les installations militaires ou les installations industrielles approuvées par le Programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada (SPAC) et qui sont dotées d'une attestation de sécurité appropriée. L'agent de sécurité d'entreprise (ASE) vous donnera des instructions à ce sujet
- Dans les cas d'urgence, vous devez prendre les mesures que vous jugez nécessaires pour protéger l'envoi; toutefois, vous ne devez en aucun cas permettre que l'envoi échappe à votre contrôle personnel direct, à moins de le mettre en lieu sûr conformément à l'alinéa 5 ci-dessus. Pour savoir comment vous mettre en rapport avec les responsables de la sécurité, veuillez prendre connaissance des instructions de l'alinéa 9 ci-après
- Si des circonstances imprévues vous obligent à confier l'envoi à quelqu'un d'autre qu'un représentant désigné en bonne et due forme, vous devez le remettre uniquement à une personne autorisée par l'un des responsables visés à l'alinéa 9 ci-après.
- Vous n'avez aucune assurance d'immunité contre une fouille de la police ou d'autres fonctionnaires; par conséquent, si des policiers ou des fonctionnaires vous posent des questions sur le contenu de l'envoi, présentez-leur votre ordre de mission de messager et cette note et insistez pour ne montrer le contenu de l'envoi qu'à un cadre supérieur. Si ce dernier exige de prendre connaissance du contenu effectif de l'envoi, vous pouvez ouvrir la caisse ou l'emballage en sa présence, à un endroit hors de la vue du grand public
- Vous devez prendre des précautions pour ne présenter aux policiers ou aux fonctionnaires que le minimum du contenu qui les convaincra que l'envoi ne comprend rien d'autre, puis leur demander de remballer le matériel ou de vous aider à le faire dès la fin de l'examen
- Vous devez demander au cadre supérieur de vous remettre une pièce justificative confirmant que la caisse ou l'emballage a été ouvert et inspecté, en lui demandant d'apposer sa signature et de sceller l'envoi lorsque la caisse ou l'emballage est refermé, et en confirmant, dans les documents d'expédition (le cas échéant), que la caisse ou l'emballage a été ouvert.
- Si vous avez dû ouvrir la caisse ou l'emballage dans ce genre de situation, vous devez le faire savoir à ASE destinataire, qui le signalera au PSC de SPAC
- Vous ne devez en aucun cas confier l'envoi à des fonctionnaires pour qu'ils en assurent la garde sans l'approbation préalable au PSC de SPAC
- Dès votre retour, vous devez produire un reçu en bonne et due forme de l'envoi, qui doit être signé par l'agent de sécurité de l'entreprise ou de l'organisme destinataire
- Pendant le transport, vous pouvez communiquer avec les responsables suivants pour demander de l'aide :
- l'ASE expéditrice
- l'ASE destinataire (s'il y a lieu)
- les autres responsables (le cas échéant)
Annexe 5-D : Appendice A-3 - Formulaire de déclaration préalable
Annexe 5-D : Appendice A-4 - Formulaire de déclaration finale
Remarque
à signer à la fin du voyage.
Annexe 5-E : Dispositifs à prendre pour l'escorte, au Canada, d'envois en vrac secrets, confidentiels ou Protégés C qui ne peuvent être transportés par messager
Les dispositions suivantes sont à prendre pour l'accompagnement de l'expédition en vrac, au canada, de biens et de renseignements Protégé C, Secrets, Confidentiels et qui ne peuvent pas être transportés par messager.
Dispositions
1. Sauf indication contraire dans un contrat, on devra prendre les dispositions suivantes, avec l'approbation de l'agent de sécurité d'entreprise (ASE) dans chaque cas particulier pour l'expédition en vrac, au Canada, de biens et de documents Protégés C, Confidentiels et Secrets. Il est essentiel de signaler que ces dispositions ne s'appliquent pas à l'expédition de biens et de renseignements Très secrets (pour l'expédition en vrac de biens et de documents de sécurité des communications (COMSEC), veuillez contacter le Programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada (SPAC) pour lui demander des directives).
2. Les dispositions définies dans la présente section s'appliquent à l'accompagnement, par une personne autorisée, des documents, des biens d'équipement et/ou des composants (matériel) Protégé C, Confidentiel et Secret uniquement lorsque cette personne peut exercer un contrôle en permanence.
- Si la grosseur, l'encombrement, le poids ou la nature du matériel empêche d'utiliser des enveloppes pour l'emballage, on doit utiliser d'autres matériaux dont la résistance et la durabilité assureront la protection nécessaire du matériel pendant le transport. Pour éviter que des articles se cassent et pour faciliter la détection des cas de viol de l'emballage, il faut utiliser, pour cet emballage, un matériau résistant aux perforations. Tant que le matériel est déposé dans un contenant double, il peut être emballé ou placé dans une boîte en carton, en bois, en métal ou confectionnée à partir d'une combinaison de ces matériaux. L'emballage intérieur doit porter l'adresse de destination, l'adresse de retour, ainsi que la classification ou la désignation supérieure du contenu, dans un langage simple, et toutes les mises en gardes pertinentes. Le contenant extérieur doit porter l'adresse de destination et l'adresse de retour et être soigneusement scellé, sans porter de mention indiquant que le contenu est Protégé C, Confidentiel et Secret
- Si le matériel Protégé C, Confidentiel et Secret constitue un composant interne d'un bien d'équipement à emballer comportant une coque ou une structure extérieure qui n'est pas classifiée ni protégée et qui bloque entièrement la vue des composants internes, cette coque ou cette structure peut être considérée comme le contenant intérieur. On pourra y apposer la classification ou la désignation de l'équipement, en omettant l'adresse de destination et l'adresse de retour. Le contenant extérieur doit porter l'adresse de destination et l'adresse de retour et être scellé, sans qu'on appose de mention ou de note indiquant que le contenu est Protégé C, Confidentiel et Secret
- Si le matériel Protégé C, Confidentiel et Secret est un composant interne inaccessible d'un bien d'équipement encombrant qu'il n'est pas raisonnable d'emballer, par exemple un missile, il n'est pas nécessaire de prévoir de contenant intérieur, et on peut considérer la coque ou la structure comme le contenant extérieur, si elle n'est pas classifiée. Si cette coque ou cette structure est Protégé C, Confidentiel et Secret, le matériel doit être dissimulé sous une couverture opaque, qui masquera toutes les mentions Protégé C, Confidentiel et Secret. Cette couverture doit pouvoir être protégé de manière à éviter que le bien d'équipement soit exposé par inadvertance
- Si on utilise des contenants d'expédition spécialisés, notamment des conteneurs, pour transporter du matériel Protégé C, Confidentiel et Secret, on peut les considérer comme des contenants extérieurs. On peut omettre l'adresse sur le contenant intérieur et le contenant extérieur pour le matériel à expédier par camion, lorsque cette exception est prévue dans les dispositions du contrat ou qu'elle est approuvée par le PSC de SPAC. Le contenant extérieur ou le document d'expédition joint à ce contenant ne doit en aucun cas comporter la classification ou la désignation du contenu, ni indiquer que le contenu est Protégé C, Confidentiel et Secret
3. Il faut affecter un nombre suffisant d'accompagnateurs à chaque expédition de matériel Protégé C, Confidentiel et Secret pour s'assurer que ces accompagnateurs pourront surveiller et contrôler continuellement le matériel placé sous leur garde.
4. La personne autorisée doit être un employé permanent de l'entreprise expéditrice ou destinataire.
5. La personne autorisée doit être titulaire d'une attestation de sécurité du personnel ou avoir subi une vérification de fiabilité au moins au niveau des documents Protégé C, Confidentiel et Secret qui doivent être accompagnés.
6. Les accompagnateurs affectés à la protection d'une expédition de sécurité doivent se comporter :
- de manière à éviter de nuire à la sécurité du matériel qui leur est confié du fait de leur insouciance, de leur inadvertance ou d'un manque de vigilance
- ils doivent être munis d'une carte d'identité portant au moins leur nom et leur photographie. Ils doivent porter cette carte en permanence pendant qu'ils assurent la garde du matériel expédié. Cette carte doit être protégée; on doit en signaler immédiatement la perte à l'ASE
- si le matériel est transporté par train, les accompagnateurs devront observer continuellement le matériel expédié pendant les arrêts ou les périodes d'attente
- pendant les déplacements dans un wagon d'accompagnement de matériel Protégé C, Confidentiel et Secret expédié par train, ils doivent observer les wagons d'expédition et descendre du train aux arrêts, dans la mesure où cela ne pose d'inconvénient d'ordre pratique et si l'emploi du temps le permet, afin de surveiller ces wagons et de vérifier les serrures et les sceaux des wagons ou des contenants. Le wagon d'accompagnement devrait suivre immédiatement le wagon d'expédition (après avoir pris les dispositions nécessaires avec la société de chemin de fer), pour permettre à l'accompagnateur de continuer d'observer ce wagon d'expédition
- ils doivent rester en rapport avec le personnel du train, les autres membres du personnel de la société de chemin de fer, les services spéciaux de police et les organismes d'observation de la loi, le cas échéant
- lorsqu'ils accompagnent du matériel Protégé C, Confidentiel et Secret expédié dans des véhicules automobiles, ils doivent exercer une vigilance continue pour détecter la présence de conditions ou de situations qui pourraient porter atteinte à la sécurité de la marchandise, prendre les mesures dictées par les circonstances pour éviter de gêner le passage sécuritaire continu des véhicules, vérifier les sceaux et les serrures à chaque arrêt lorsque l'emploi du temps le permet et observer les véhicules et les zones voisines pendant les arrêts ou les périodes d'attente
- pendant l'accompagnement du matériel expédié en avion, ils doivent observer continuellement l'avion et la marchandise pendant les escales et durant les opérations de chargement et de déchargement. Les accompagnateurs ne doivent pas monter dans l'appareil tant que la marchandise n'est pas arrimée. En outre, les accompagnateurs doivent, de préférence, être les premiers à sortir de l'avion afin d'observer l'ouverture de la soute; ils doivent prendre à cet égard des dispositions au préalable avec la compagnie aérienne et les services de sécurité de l'aéroport
- ils doivent prévenir l'ASE destinataire en faisant appel aux moyens les plus rapides en cas de retard imprévu pendant le transport, de changement d'itinéraire ou d'urgence. Le cas échéant et si la sécurité de la marchandise est en cause, ils doivent également prévenir les représentants dont la liste est reproduite à l'alinéa 10 des notes à l'intention de l'accompagnateur (référez-vous à l'Annexe 5-E, Appendice A-2)
Remarque : la documentation nécessaire pour l'accompagnement est reproduite dans l'appendice A de cette annexe et comprend :
- l'ordre de mission du messager et l'itinéraire
- les notes à l'intention de l'accompagnateur
- la déclaration préalable
- la déclaration finale
7. Avant le début de chaque voyage, l'ASE fait connaître ses dispositions à l'accompagnateur. Ce dernier prend connaissance de la déclaration préalable et la signe pour confirmer qu'il a été breffé, qu'il l'a lue et qu'il connaît les notes à l'intention de l'accompagnateur. On conserve, pendant au moins 12 mois après chaque voyage, un registre attestant que le messager a signé cette déclaration.
8. On remet à la personne autorisée l'ordre de mission du messager et l'itinéraire et un exemplaire des notes à l'intention de l'accompagnateur.
9. On doit faire savoir à l'accompagnateur que s'il ne s'acquitte pas de son obligation de protéger les renseignements Protégé C, Confidentiel et Secret que comporte le matériel expédié qui lui est confié et/ou qu'il commet d'autres négligences imputables à sa faute et donnant lieu à une contravention aux règles de la sécurité, il sera réputé ne pas avoir respecté ses obligations contractuelles, en plus de s'exposer à une action en justice. Si les mesures de sécurité ne sont pas respectées par cette personne, la société expéditrice mènera une enquête et fera part de ses constatations à au PSC de SPAC.
10. À la fin de chaque voyage, la personne autorisée doit signer une déclaration finale attestant qu'aucun problème qui aurait pu compromettre la sécurité de l'expédition pendant le voyage ne s'est produit.
11. L'ASE expéditrice ou l'agent de sécurité d’entreprise remplaçant (ASER) son remplaçant remplit le reçu en trois exemplaires, en dressant la liste du matériel Protégé C, Confidentiel et Secret à accompagner par la personne autorisée. Ils doivent en conserver un exemplaire; les deux autres exemplaires doivent être déposés dans l'emballage avec le matériel Protégé C, Confidentiel et Secret. Ce matériel sera emballé, scellé et placé dans un contenant approuvé par des responsables du PSC de SPAC, de même que par l'ASE ou son remplaçant ou en leur présence.
12. Lorsqu'il faut expédier plusieurs paquets, l'emballage extérieur des paquets doit porter un numéro commençant par 1, suivi du nombre total de paquets à transporter (par exemple, 1 de 3, 2 de 3 et 3 de 3).
13. L'agent de sécurité de la société expéditrice :
- explique à la personne autorisée toutes ses fonctions
- s'assure qu'elle les comprend bien
- et qu'elle remplit la déclaration visée à l'alinéa 8 ci-dessus
14. L'agent de sécurité de la société expéditrice obtient, auprès de la personne autorisée, un reçu pour les colis scellés.
15. La personne autorisée est responsable de la garde en lieu sûr du matériel Protégé C, Confidentiel et Secret jusqu'à ce qu'il ait été remis à l'ASE ou à son remplaçant, ou encore à un représentant désigné de l'état et qu'un reçu ait été délivré comme preuve de livraison.
16. L'ASE destinataire ou l'ASER, ou encore le représentant désigné de l'état signe les 2 exemplaires du reçu. On en retourne un exemplaire à la personne autorisée. À son retour, celle-ci transmet le reçu rempli en bonne et due forme à l'ASE ou à son remplaçant. Cet ASE ou son remplaçant conserve le deuxième exemplaire du reçu pendant deux ans.
17. Le reçu, qui est déposé dans l'emballage avec le matériel Protégé C, Confidentiel et Secret, doit comprendre les détails suivants :
- la description exacte du matériel Protégé C, Confidentiel et Secret (organisme expéditeur, date d'envoi, classification ou désignation, numéro de l'exemplaire, numéro de référence du registre et nombre de pages, y compris les annexes), s'il y a lieu
- la date et l'heure auxquelles le matériel a été remis au destinataire
- le nom et le poste ou les attributions de la personne qui a signé le reçu
- la signature du destinataire
18. L'ASE expéditrice fait connaître, à l'ASE destinataire ou au représentant désigné de l'état, la date et l'heure prévue pour l'arrivée de l'accompagnateur. Si ce dernier n'est pas arrivé dans un délai de 8 heures suivant l'heure prévue pour son arrivée, l'ASE destinataire ou le représentant désigné de l'état doit procéder à une première enquête et communiquer avec PSC de SPAC si on ne peut pas établir le motif du retard.
19. On doit attirer l'attention du messager sur le document intitulé "notes à l'intention de l'accompagnateur" pour qu'il sache ce à quoi on s'attend de sa part si un représentant officiel de la GRC ou de la police militaire exige qu'on ouvre l'emballage renfermant le matériel pour l'examiner.
20. Lorsqu'il doit surveiller du matériel Protégé C, Confidentiel et Secret en vertu de ces dispositions, l'accompagnateur ne doit pas prendre les moyens de transport en surface à l'étranger.
Annexe 5-E : Appendice A-1 - Ordre de mission du messager
Vous pouvez compléter ce formulaire à l'écran ou à la main. Choisissez le bouton "Imprimer" au bas de la page.
Annexe 5-E : Appendice A-2 - Notes à l'intention de l'escorte
Les notes qui suivent sont à l'intention de l'accompagnateur de documents, de biens d'équipement et/ou de composants Protégés B et/ou classifiés transportés au canada et dont l'encombrement, le poids et la configuration empêchent de les transporter en mains propres.
Notes à l'intention de l'escorte
Vous avez été nommé pour accompagner un envoi Protégé B et/ou classifié. On vous a remis votre ordre de mission de messager. Avant le début de votre voyage, vous recevrez des instructions sur les règlements en matière de sécurité régissant l'accompagnement de cet envoi et sur vos obligations en matière de sécurité pendant ce voyage (comportement, itinéraire, calendrier, et ainsi de suite). Vous serez également invité à signer une déclaration, dont vous aurez pris connaissance, et vous devrez vous acquitter des obligations prescrites en matière de sécurité.
Nous attirons votre attention sur les points généraux suivants :
- Vous serez tenu responsable de l'envoi décrit dans l'ordre de mission de messager
- Pendant tout le voyage, vous devez contrôler constamment l'envoi
- Pendant le transport, on ne doit pas ouvrir la caisse ou l'emballage, sauf dans les cas décrits à l'alinéa 8 ci-après
- Vous ne devez pas discuter de cet envoi ni en parler dans un endroit public
- Vous ne devez en aucun cas laisser l'envoi sans surveillance. Pendant les arrêts de nuit, vous pourrez utiliser les installations militaires ou les installations industrielles approuvées par la Direction de la sécurité industrielle internationale (DSII) et qui sont dotées d'une attestation de sécurité appropriée. L'agent de sécurité de l'entreprise vous donnera des instructions à ce sujet
- Dans les cas d'urgence, vous devez prendre les mesures que vous jugez nécessaires pour protéger l'envoi; toutefois, vous ne devez en aucun cas permettre que l'envoi échappe à votre contrôle personnel direct, à moins de le mettre en lieu sûr conformément à l'alinéa 5 ci-dessus
- Si des circonstances imprévues vous obligent à confier l'envoi à quelqu'un d'autre qu'un représentant désigné en bonne et due forme, vous devez le remettre uniquement à une personne autorisée par l'un des responsables visés à l'alinéa 10.
- Vous n'avez aucune assurance d'immunité contre une fouille de la police ou d'autres fonctionnaires; par conséquent, si des policiers ou des fonctionnaires vous posent des questions sur le contenu de l'envoi, présentez-leur votre ordre de mission de messager et cette note et insistez pour ne montrer le contenu de l'envoi qu'à un cadre supérieur. Si ce dernier exige de prendre connaissance du contenu effectif de l'envoi, vous pouvez ouvrir la caisse ou l'emballage en sa présence, à un endroit hors de la vue du grand public
- Vous devez prendre des précautions pour ne présenter aux policiers ou aux fonctionnaires que le minimum du contenu qui les convaincra que l'envoi ne comprend rien d'autre, puis leur demander de remballer le matériel ou de vous aider à le faire dès la fin de l'examen
- Vous devez demander au cadre supérieur de vous remettre une pièce justificative confirmant que la caisse ou l'emballage a été ouvert et inspecté, en lui demandant d'apposer sa signature et de sceller l'envoi lorsque la caisse ou l'emballage est refermé, et en confirmant, dans les documents d'expédition (le cas échéant), que la caisse ou l'emballage a été ouvert
- Si vous avez dû ouvrir la caisse ou l'emballage dans ce genre de situation, vous devez le faire savoir à l'agent de sécurité de l'entreprise destinataire, qui le signalera immédiatement à la DSII
- Vous ne devez en aucun cas confier l'envoi à des fonctionnaires pour qu'ils en assurent la garde sans l'approbation préalable de la DSII
- Dès votre retour, vous devez produire un reçu en bonne et due forme de l'envoi, qui doit être signé par l'agent de sécurité de l'entreprise ou de l'organisme destinataire
- Pendant le transport, vous pouvez communiquer avec les responsables suivants pour demander de l'aide :
- l'agent de sécurité de l'entreprise expéditrice
- l'agent de sécurité de l'entreprise destinataire (s'il y a lieu)
- les autres responsables (le cas échéant)
Annexe 5-E : Appendice A-3 - Formulaire de déclaration préalable
Annexe 5-E : Appendice A-4 — Déclaration finale
Remarque
Signez ce formulaire à la fin de votre voyage.
Chapitre 6 : Protocole de demande de visite de niveau classifié pour les entreprises canadiennes
600. Généralités
- Il faut remplir une demande de visite (DV) lorsqu'une personne titulaire d'une attestation de sécurité doit visiter une organisation gouvernementale ou du secteur privé au Canada ou à l'étranger autre que celle où elle travaille afin d'avoir accès à des renseignements classifiés, de vive voix ou par écrit, ou lorsque l'accès à certaines installations est limité pour protéger la sécurité nationale. L'organisation hôte du secteur privé doit refuser l'accès à des renseignements classifiés ou à des établissements contrôlés, sauf si le niveau de l'attestation de sécurité des visiteurs et leurs besoins de connaître ont été vérifiés au moyen du protocole officiel de visite. Veuillez suivre les procédures précisées dans le présent chapitre pour éviter l'accès sans autorisation à des renseignements nationaux ou internationaux classifiés ou la divulgation de ces renseignements
- Le Canada a adopté un nouveau formulaire électronique pour les demandes de visite au Canada et à l'étranger. Ce formulaire est utilisé par les membres du Groupe de travail multinational en matière de sécurité industrielle (GTMSI) et de l'Organisation du Traité de l'Atlantique Nord (OTAN) pour demander des visites liées aux programmes et aux contrats internationaux. Le formulaire est disponible à l'annexe 6-A.
Notez que le formulaire est spécifiquement conçu pour les demandes de visite avec accès à des renseignements classifiés, mais qu'il peut aussi être utilisé, au besoin, pour présenter une demande de visite relative à des renseignements protégés. Des instructions détaillées sont indiqués sur le formulaire.
- Au Canada, la DV a pour effet de lancer une vérification faite par le Programme de la sécurité des contrats (PSC), pour s'assurer que :
- l'organisation du secteur privé qui demande la visite est titulaire d'une attestation de sécurité d'installation au niveau voulu
- chacun des visiteurs proposés justifie d'une attestation de sécurité du personnel au niveau voulu
- les limites restreignant la divulgation des renseignements à l'étranger (consultez le chapitre 11 : Questions relatives à la sécurité internationale du présent manuel) sont recensées et respectées rigoureusement, conformément aux accords internationaux et certains contrats
- Au Canada, la DV est approuvée (et la visite est autorisée) lorsque le PSC donne son approbation à l'organisation du secteur privé qui a fait la demande. (Seules font exception à cette règle, certaines visites organisées entre des organisations du secteur privé établies au Canada, conformément aux précisions de l'article 604.type 1 article 1a du présent chapitre). Les visiteurs ne doivent pas accéder à des renseignements et biens classifiés sans une autorisation préalable conférée par un permis de visite
- Il importe de signaler que la DV approuvée autorise l'accès à des renseignements classifiés « de vive voix et par écrit seulement ». Elle n'autorise pas à enlever ni à transporter en mains propres du matériel classifié (consultez le chapitre 5 : Manipulation et sauvegarde des renseignements et des biens classifiés et protégés du présent manuel pour des conseils sur l'enlèvement ou le transport en mains propres du matériel classifié). Il faut respecter rigoureusement toutes les limites imposées dans l'autorisation relative au permis de visite en ce qui concerne l'accès aux renseignements ou la divulgation de l'information
601. Types de demandes de visite
Visite unique
On entend par « visite unique » une visite autorisée pour une durée continue pour une seule visite. La demande de visite unique n'est pas renouvelable.
Visite répétitive
On entend par « visite répétitive » une série de visites qui se déroulent pendant une durée prolongée.
Une demande de visite répétitive :
- s'applique normalement à la durée d'un projet ou d'un contrat
- pourrait devoir être renouvelée périodiquement
- pourrait être sujette, en cas de contrat pluriannuel ou de grand projet de la Couronne, à des critères continus
- peut durer plus d'un an mais :
- elle ne peut être plus longue que la période de validité de l'attestation de sécurité d'un visiteur
- ou plus longe que la durée d'un contrat
602. Exigences préalables obligatoires
- Toutes les organisations du secteur privé qui demandent une visite donnant accès à des renseignements classifiés doivent obligatoirement, au préalable, être titulaire d'une attestation de sécurité d'installation à un niveau égal ou supérieur au niveau de classification de la visite demandée. En outre, chaque personne participant à la visite doit justifier d'une attestation de sécurité du personnel à un niveau égal ou supérieur au niveau de classification de la visite demandée, avant qu'on donne suite à sa demande
- Les ressortissants étrangers qui résident au Canada et qui travaillent au service d'une organisation canadienne du secteur privé titulaire d'une attestation de sécurité doivent justifier d'une attestation canadienne de sécurité du personnel avant que le PSC approuve leur visite dans les pays étrangers ou auprès d'autres organisations canadiennes du secteur privé
- Les ressortissants étrangers qui visitent une organisation canadienne du secteur privé dans le cadre d'une demande de visite internationale approuvée ne peuvent pas être inscrits dans une demande canadienne de visite pour une autre organisation canadienne du secteur privé. Le PSC consent des exceptions dans chaque cas particulier, si on dépose les justifications et les détails voulus. Ces visiteurs ne doivent en aucun cas être inscrits dans les demandes canadiennes de visite pour d'autres pays
603. Catégories de demandes de visite
Il existe 6 catégories de visites au Canada :
Catégorie I
Visites de représentants d'organisations canadiennes :
- du secteur privé auprès d'autres organisations du secteur privé, organismes ou ministères canadiens
- d'autres organismes ou ministères auprès d'organisations canadiennes du secteur privé
Cette catégorie comprend aussi les listes de projets et les listes de l'Agence des services techniques des Forces canadiennes (ASTFC).
Catégorie II
Visites de représentants d'organisations canadiennes :
- du secteur privé aux États-Unis
- du gouvernement canadien à des organisations du secteur privé des États-Unis
Catégorie III
Visites de représentants d'organisations canadiennes du :
- secteur privé dans des pays étrangers distincts des États-Unis
- gouvernement canadien à des organisations de pays étranger du secteur privé, distincts des États-Unis
Catégorie IV
Visites de représentants :
- d'organismes ou de ministères américains auprès d'organisations canadiennes du secteur privé
- d'organisations américaines du secteur privé au Canada
Catégorie V
Visites de représentants :
- d'organismes ou de ministères étrangers distincts de ceux des États-Unis auprès d'organisations canadiennes du secteur privé
- d'organisations étrangères du secteur privé distincts de ceux des États-Unis au Canada
Catégorie VI
Visites autorisées dans le cadre :
- de certains projets ou d'instructions de sécurité liées à un programme
- d'accords portant sur des programmes de coopération multinationale
- de toutes autres circonstances spéciales
604. Information nécessaire pour présenter les demandes de visite (par catégorie)
Catégorie I
Il existe 3 types de demande de visite dans la catégorie I au Canada :
- Type 1 : visites d'organisations du secteur privé auprès d'autres organisations du secteur privé au Canada
- Type 2 : visites d'organisations canadiennes du secteur privé auprès du gouvernement canadien
- Type 3 : visite de personnel du gouvernement du Canada dans des organismes canadiens du secteur privé
Type 1 : visites d'organisations du secteur privé auprès d'autres organisations du secteur privé au Canada
- Les agents de sécurité d'entreprise d'organisations canadiennes du secteur privé inscrites sont habilités à transmettre les demandes de visite directement à d'autres organisations canadiennes du secteur privé pour leurs employés qui sont titulaires d'une attestation de sécurité du personnel canadienne au niveau voulu. Cependant les demandes de visite concernant les groupes suivants doivent être acheminées par le PSC :
- les ressortissants étrangers, même s'ils sont titulaire d'une attestation de sécurité du personnel canadienne comportant des limitations
- les visites donnant accès à des renseignements classifiés nécessitant une autorisation spéciale d'accès ou à la divulgation de ces renseignements, par exemple :
- la sécurité des communications (COMSEC)
- les renseignements extrêmement confidentiels (INFOSEC)
- les programmes de l'OTAN
- d'autres programmes d'accès spécial ou limité
- Voici les procédures à appliquer dans le traitement des demandes de visite de type I :
- les demandes doivent être déposées par écrit et comprendre tous les renseignements qui figurent dans le formulaire de demande de visite, de même que la confirmation de l'agent de sécurité de l'entreprise qui a fait la demande, pour faire savoir que son organisation est titulaire d'une cote de sécurité d'installation en bonne et due forme. On invite les agents de sécurité d'entreprise à se servir du formulaire de demande de visite à cette fin. Chaque visite doit porter un numéro de désignation ou de série qui lui est propre
- la demande de visite peut être transmise par courriel, par la poste, par télécopieur ou par messager. Apprenez en davantage sur soumettre les demandes, formulaires et autres documents pour la sécurité des contrats
- elle doit parvenir à l'organisation hôte du secteur privé au moins dix (10) jours avant la date prévue pour la visite :
- dans les cas exceptionnels ou urgents, on peut prendre les dispositions nécessaires par téléphone, à la condition de confirmer tous les détails par écrit
- les employés ne peuvent jamais présenter en mains propres leur propre demande de visite à l'établissement à visiter
- si l'agent de sécurité d'entreprise de l'organisation du secteur privé visiteuse ou hôte a des doutes de la nature de la visite ou à propos de l'attestation de sécurité d'installation de l'autre organisation du secteur privé, il doit demander au PSC de faire une vérification
- il faut signaler immédiatement à l'agent de sécurité d'entreprise de l'autre organisation du secteur privé la perte ou le déclassement de l'attestation de sécurité d'installation de l'organisation du secteur privé
- l'agent de sécurité d'entreprise qui lance la demande doit faire connaître immédiatement à l'organisation hôte du secteur privé tous les changements de statut du visiteur, par exemple en cas de cessation d'emploi, de suspension, de congé sans solde ou de révocation ou de résiliation d'une attestation de sécurité; il faut alors révoquer l'autorisation de visite avant la date normale de cessation de cette autorisation
- l'agent de sécurité d'entreprise de l'organisation hôte du secteur privé est autorisé à approuver les demandes, pourvu que toutes les conditions nécessaires soient respectées. On l'invite à confirmer l'approbation de la visite à l'agent de sécurité d'entreprise qui a fait la demande, de vive voix ou par écrit. Si la visite n'est pas approuvée (et qu'elle est refusée), l'agent de sécurité d'entreprise qui a pris la décision le fait savoir dans les plus brefs délais à son homologue qui a fait la demande
Type 2 : visites d'organisation canadienne du secteur privé auprès du gouvernement canadien
Il faut remplir et soumettre au PSC le formulaire de demande de visite.
Type 3 : visite de personnel du gouvernement du Canada dans des organismes canadiens du secteur privé
- Les agents de sécurité d'entreprise d'organismes canadiens enregistrés du secteur privé sont autorisés à traiter directement les demandes des agents de sécurité ministérielle de ministères et d'organismes gouvernementaux qui présentent une demande de visite dans un organisme canadien du secteur privé au nom de leurs employés. Ces derniers doivent posséder une autorisation de sécurité du personnel de niveau approprié et avoir réellement besoin de discuter des contrats classifiés
- Procédures pour le traitement des visites de type 3 :
- les demandes doivent être déposées par écrit et comprendre tous les renseignements qui figurent dans le formulaire de demande de visite. On invite les agents de sécurité d'entreprise de demander aux agents de sécurité du ministère à se servir du formulaire de demande de visite à cette fin. Chaque visite doit porter un numéro de désignation ou de série qui lui est propre
- la demande de visite peut être transmise par courriel, par la poste, par télécopieur ou par messager. Apprenez en davantage sur soumettre les demandes, formulaires et autres documents pour la sécurité des contrats
- elle doit parvenir à l'organisation hôte du secteur privé au moins dix (10) jours avant la date prévue pour la visite :
- dans les cas exceptionnels ou urgents, on peut prendre les dispositions nécessaires par téléphone, à la condition de confirmer tous les détails par écrit
- les employés ne peuvent jamais présenter en mains propres leur propre demande de visite à l'établissement à visiter
- si l'agent de sécurité d'entreprise de l'organisation du secteur privé hôte a des doutes de la nature de la visite ou à propos de l'attestation de sécurité du personnel du visiteur, il doit demander au PSC de faire une vérification
- l'agent de sécurité d'entreprise de l'organisation hôte du secteur privé doit demander à l'agent de sécurité du ministère qui lance la demande à signaler immédiatement à l'organisation hôte du secteur privé tous les changements de statut du visiteur, par exemple en cas de cessation d'emploi, de suspension, de congé sans solde ou de révocation ou de résiliation d'une attestation de sécurité; il faut alors révoquer l'autorisation de visite avant la date normale de cessation de cette autorisation
- l'agent de sécurité d'entreprise de l'organisation hôte du secteur privé est autorisé à approuver les demandes, pourvu que toutes les conditions nécessaires soient respectées. On l'invite à confirmer l'approbation de la visite à l'agent de sécurité du ministère qui a fait la demande, de vive voix ou par écrit; si la visite n n'est pas approuvée (et qu'elle est refusée), l'agent de sécurité d'entreprise qui a pris la décision le fait savoir dans les plus brefs délais à son homologue qui a fait la demande
Catégories II, III, IV et V
Pour les catégories II, III, IV et V, on doit déposer les demandes de visite auprès du PSC avec le formulaire de demande de visite (veuillez consulter les instructions accompagnant ce formulaire).
Catégorie VI
Les exigences applicables à cette catégorie de visites varient en fonction des accords particuliers. Le Programme de la sécurité industrielle fait connaître aux organisations canadiennes les procédures à appliquer, le cas échéant.
Représentants du Programme de sécurité des contrats
Sans égard aux procédures ci-dessus, des représentants de la sécurité industrielle du PSC justifiant de l'attestation de sécurité du personnel au niveau voulu peuvent visiter des organisations du secteur privé à titre officiel, sans faire connaître d'avance leur intention de visite. Les organisations du secteur privé visitées doivent permettre au personnel du PSC d'avoir accès à des renseignements classifiés sur présentation de références valables du gouvernement du Canada. En cas de doute sur l'identité de l'individu ou sur les droits d'accès autorisés, l'agent de sécurité d'entreprise doit vérifier les références et le niveau de l'attestation auprès du PSC.
605. Délais à respecter
Dans la plupart des cas, les administrations qui délivrent les attestations imposent des délais rigoureux. On ne doit négliger aucun effort pour respecter ces délais (consultez l'Annexe 6-B : Délai requis du présent chapitre), faute de quoi la demande de visite sera probablement rejetée.
606. Procédures pour les visites urgentes sur invitation
- On a prévu des procédures spéciales pour le traitement des demandes de visite selon les circuits officiels du PSC, sur invitation d'une organisation hôte du secteur privé. Il appartient à l'agent de sécurité d'entreprise de l'organisation qui fait la demande de justifier correctement l'urgence des besoins et de fournir tous les détails permettant d'accélérer le traitement de la demande de visite selon les circuits d'autorisation normaux, par exemple lorsque les représentants technico-commerciaux doivent intervenir d'urgence pour réparer de l'équipement dont la panne empêche de poursuivre des essais sur le terrain, ce qui nuit à l'avancement d'un programme ou d'un contrat en général
- Pour accélérer le traitement de la demande de visite selon les circuits du PSC, il faut réunir les renseignements supplémentaires suivants :
- le motif (la justification) de l'urgence, par écrit
- le nom et le numéro de téléphone du responsable à contacter auprès de l'organisation hôte du secteur privé qui a demandé à certaines personnes de faire une visite dans les délais prévus ou qui les a invités à le faire
- une déclaration selon laquelle le responsable à contacter pressentira, le cas échéant, les administrations chargées de délivrer les attestations pour leur pays afin de demander de renoncer aux délais établis
607. Modifications
- En déposant les noms de visiteurs à ajouter ou à retrancher dans des demandes de visite approuvées, il est essentiel de rappeler le numéro signalétique de visite du PSC attribué à l'approbation délivrée à l'origine
- En principe, on ne peut pas modifier l'objet ou la durée d'une visite en déposant une modification; il se peut alors qu'on doive déposer une nouvelle demande de visite. On encourage l'agent de sécurité d'entreprise à contacter la section des demandes de visite du PSC avant de déposer ce genre de modifications
608. Obligation de prévenir l'organisation hôte
- L'approbation de la demande de visite constitue, selon le point de vue de la sécurité, l'autorisation d'une visite classifiée. Cela n'élimine en rien l'exigence pour les organisations canadiennes du secteur privé de demander, au besoin, à l'organisme gouvernemental pertinent des visas pour les visiteurs. Les deux organisations doivent s'entendre sur toutes les modalités administratives de la visite, dont la date et l'heure. Même si la demande de visite est autorisée en bonne et due forme, il est essentiel que les visiteurs se mettent en rapport avec l'organisation hôte avant leur départ, pour reconfirmer les modalités de la visite
- Visites dans des pays étrangers : Il n'y a pas de préavis fixe à donner pour visiter des établissements d'organisations étrangères; toutefois, on peut fixer au bas mot à dix jours le préavis à donner, en fonction de la distance à parcourir et des coûts à engager
609. Responsabilités de l'organisation hôte
- Les organisations du secteur privé qui sont les hôtes de visites classifiés doivent s'assurer qu'on ne divulgue pas de renseignements sans autorisation pendant ces visites. On ne doit pas donner accès à des renseignements classifiés à un niveau supérieur au niveau de classification de la visite, sans égard au niveau de l'attestation de sécurité du personnel des visiteurs. Les agents de sécurité l'entreprise doivent s'assurer que l'on respecte les procédures précisées dans la présente section
- Identification et contrôle des visiteurs :
- Les organisations du secteur privé à visiter doivent s'assurer qu'elles ont en leur possession la demande de visite, qui fait état de l'objectif précis de la visite et qui est délivrée par le PSC ou approuvée par l'agent de sécurité de l'entreprise hôte dans le cas des visites d'organisations canadiennes du secteur privé auprès d'autres organisations canadiennes du secteur privé. Dans le cas de la visite d'une organisation du secteur privé auprès d'une autre organisation du secteur privé, l'agent de sécurité de l'entreprise hôte doit s'assurer que l'organisation qui a demandé la visite justifie d'une attestation de sécurité d'installation au niveau voulu. Il peut faire cette vérification dans le cadre d'une relation contractuelle existante, lorsque le contrat porte sur des renseignements classifiés au même niveau ou à un niveau supérieur, ou encore en faisant appel au PSC. Lorsqu'on a confirmé le statut de l'attestation de sécurité d'installation de l'organisation qui a fait la demande, on peut accepter l'attestation de l'agent de sécurité de cette organisation en ce qui concerne l'attestation de sécurité du personnel des visiteurs proposés
- Il faut vérifier formellement l'identité du visiteur avant de divulguer des renseignements classifiés. S'il y a des doutes quant à la validité de la demande de visite ou de l'identité du visiteur, on doit demander une confirmation au PSC
- Les organisations hôtes du secteur privé doivent s'assurer que les visiteurs n'ont accès qu'aux renseignements classifiés correspondant à l'objectif autorisé de la visite. On doit prendre des précautions particulières pour s'assurer que les visiteurs étrangers, qu'ils proviennent d'organisations étrangères ou canadiennes, n'ont pas accès aux renseignements, sauf dans les cas prévus dans les conditions d'autorisation de la visite. Les ressortissants étrangers doivent être accompagnés lorsqu'ils ont accès aux renseignements classifiés, conformément aux conditions de l'autorisation de leur visite et dans les zones dans lesquelles ils pourraient avoir accès à des renseignements classifiés. L'accompagnateur doit être un employé compétent et justifiant de l'attestation de sécurité voulue, auquel on a donné des instructions en ce qui concerne les limites imposées aux droits d'accès du visiteur ou les restrictions quant à ses déplacements
- On ne doit pas remettre de documents classifiés aux visiteurs pour qu'ils puissent les emporter à l'extérieur de l'organisation hôte du secteur privé, sauf dans les cas prévus dans le présent manuel
- Registre des visiteurs
- Les organisations du secteur privé doivent tenir un registre de toutes les personnes qui visitent leur installation pour avoir accès à des renseignements classifiés. Ce registre doit être différent du registre des visites non classifiées et doit indiquer :
- nom en toutes lettres du visiteur
- nom de l'organisation du secteur privé, de l'organisme ou du ministère qu'il représente
- dates de son arrivée et de son départ
- numéros signalétiques d'approbation de la visite
- Le registre des visiteurs ne doit pas nécessairement indiquer si le visiteur a effectivement eu accès ou non à des renseignements classifiés. L'organisation hôte du secteur privé doit conserver, pendant au moins deux (2) ans, les registres des demandes autorisées dans le cas des visites qui ont effectivement eu lieu; le PSC pourra inspecter ces registres au hasard pendant cette durée
- On doit conserver, pour les visites de l'OTAN, un ensemble distinct de registres de visiteurs. On entend par « visite de l'OTAN » :
- une visite effectuée par une personne représentant un pays membre de l'OTAN auprès d'une organisation canadienne du secteur privé titulaire d'un contrat dans le cadre des négociations préalables à la passation du contrat ou de l'exécution d'un contrat classifié OTAN
- la visite d'une organisation canadienne jouant le rôle d'entrepreneur principal dans le cadre d'un contrat auprès d'une organisation sous-traitante chargée d'exécuter un contrat classifié OTAN
- une visite entre une des principales organisations contractuelles canadiennes du secteur privé et une organisation sous-traitante du même secteur relativement à de l'information classifiée de l'OTAN
- une visite dans le cadre desquelles on a autorisé expressément l'accès à des renseignements classifiés OTAN
- Les représentants de la sécurité industrielle du PSC et du bureau de l'OTAN qui doivent avoir accès à des renseignements classifiés OTAN uniquement pour procéder à des inspections de sécurité dans les installations de l'organisation, ne doivent pas être considérés comme des visiteurs de l'OTAN et n'ont pas non plus à inscrire leur nom dans les registres des visites de l'OTAN
- Les organisations du secteur privé doivent tenir un registre de toutes les personnes qui visitent leur installation pour avoir accès à des renseignements classifiés. Ce registre doit être différent du registre des visites non classifiées et doit indiquer :
610. Responsabilités des organisations visiteuses
Les organisations du secteur privé visiteuses doivent s'assurer :
- qu'on donne à l'organisation hôte du secteur privé un préavis suffisant et que cette organisation a approuvé la visite
- que l'organisation hôte du secteur privé est au courant de l'objet et du niveau de classification de la visite
- que les visiteurs ont reçu des instructions complètes sur les renseignements classifiés visés et le niveau de classification autorisé pour la divulgation des renseignements pendant la visite; ce principe est très important à l'occasion des visites d'organisations étrangères
- que les visiteurs ne divulguent les renseignements classifiés qu'aux organisations hôtes justifiant du niveau d'attestation applicable et le besoin de connaître
- que si des visiteurs transportent du matériel classifié, on respecte intégralement les procédures précisées dans le chapitre 5 : Manipulation et sauvegarde des renseignements et des biens classifiés et protégés du présent manuel
- qu'on ne laisse pas de matériel classifié chez l'organisation hôte, sauf dans les cas expressément autorisés conformément au chapitre 5 : Manipulation et sauvegarde des renseignements et des biens classifiés et protégés du présent manuel
611. Listes de projets
- Lorsqu'un contrat ou un projet classifié oblige à établir les listes permanentes des visiteurs, plutôt que des demandes de visite individuelles, le PSC se penche sur chaque cas particulier et fait connaître les dispositions à prendre et les autorisations délivrées à tous les intéressés
- Lorsque des établissements à visiter dans le cadre de listes de projets se trouvent dans les zones éloignées, ce qui oblige à prendre des dispositions particulières pour le transport et/ou l'hébergement, il faut veiller à ce que la visite ait été approuvée avant que le personnel se présente dans ces établissements
612. Visites non classifiées
- Pour les visites non classifiées dans les installations du Département de la Défense des États-Unis, les organisations canadiennes du secteur privé peuvent exiger l'approbation de la visite selon le processus régissant les visites arrangées directement (VAD) dans le cadre du Programme mixte d'agrément Canada/États-Unis (consultez le chapitre 10 : Programme mixte d'agrément du présent manuel)
Chapitre 6 : Annexes
- Annexe 6-A : Formulaire de demande de visite
- Utilisé par les organisations canadiennes et étrangères qui doivent visiter un site du gouvernement du Canada
Annexe 6-B : Délais requis
Le délai se compose du temps requis par le Programme de la sécurité des contrats (PSC) pour effectuer le traitement de la demande plus celui dont a besoin le gouvernement d'accueil. Il court à partir de la date de réception de la demande par le PSC. On ne peut remplir une formule de demande de permis pour une visite à l'étranger en respectant ces délais que dans la mesure où les réponses des autorités étrangères délivrant l'attestation arrivent à temps.
S'il s'agit de demandes de permis de visite émanant d'industries, d'organisations ou d'organismes étrangers et destinées à des établissements civils canadiens, la demande doit parvenir au PSC 20 jours ouvrables avant la date de la visite.
D'organisations canadiennes du secteur privé à : | Délais du Programme de la sécurité des contrats/Ministère de la défense nationale | Délais gouvernements étrangers | Délais totaux |
---|---|---|---|
Organisations canadiennes du secteur privé (lorsque celles-ci demandent l'aide du PSC | 8 | s/o | 8 |
Établissements militaires et d'états canadiens | 35 | s/o | 35 |
Denmark | 8 | 7 | 15 |
Pays Bas, Nouvelle Zélande, Norvège | 8 | 10 | 18 |
Finlande | 8 | 14 | 22 |
France | 8 | 15 | 23 |
Réunions des agences de l'Organisation du Traité de l'Atlantique Nord (OTAN) | 8 | 18 | 26 |
Belgique, Bulgarie, Allemagne, Israel, Italie, suisse, Royaume Unie | 8 | 20 | 28 |
États-Unis | 8 | 21 | 29 |
Autres pays | 8 | 25 | 33 |
Moratoire de décembre : Les autorités américaines et allemandes n'accepteront normalement pas de demande de visite pendant la période de quatre à six semaines qui commence au début de décembre.
Chapitre 7 : Contrats protégés et classifiés
700. Généralités
1. Les contrats ou ententes officielles devront comprendre des clauses de sécurité lorsqu'il faut accéder à des renseignements ou des biens protégés ou classifiés, ce qui peut comprendre les demandes de renseignements et les négociations pré-contractuels.
Dans certains cas, il est possible que le contrat ou l'entente officielle (le document) porte la mention protégé ou classifié, bien qu'il ne nécessite pas d'accéder à des renseignements ou à des biens protégés ou classifiés.
2. Les exigences relatives à la sécurité associées à un contrat sont indiquées à l'entrepreneur dans la liste de vérification des exigences relatives à la sécurité (LVERS) fournie avec les documents d'appel d'offres et le contrat subséquent, et reprises dans une ou plusieurs clauses de sécurité ajoutées au document contractuel lui-même. La LVERS, la clause dite « Sécurité et protection des travaux » prévue dans les conditions générales et dans toutes les remarques et les clauses de sécurité reprises dans le contrat font toutes parties intégrantes de ce dernier et lient juridiquement les parties. Les organisations sont priées de s'assurer que les dispositions et les conséquences des exigences contractuelles de sécurité, y compris les coûts associés à la fourniture des arrangements de sécurité nécessaires, sont bien comprises avant la signature du contrat. Il incombe à l'entrepreneur de déterminer, en se renseignant auprès du bureau de gestion du programme ou de l'autorité technique compétente, les détails particuliers nécessaires à l'application des clauses contractuelles prévues dans la LVERS.
3. L'organisation doit s'assurer qu'une copie du contrat, incluant la LVERS, est remise à l'agent de sécurité d'entreprise (ASE) de l'entrepreneur, qui doit voir à ce que toutes les exigences de la liste soient respectées.
Pour de plus amples renseignements, veuillez consulter le Chapitre 1 : Introduction générale du présent manuel.
4. Les renseignements ou biens de nature protégés ou classifiés, fournis par le gouvernement Canadien aux fournisseurs, ne doivent être remis qu'au personnel du fournisseur :
- détient une attestation de sécurité sous l'organisation du fournisseur
- ayant des motifs valables d'en prendre connaissance (besoin de connaître) pour l'exécution du contrat
- possédant une attestation de sécurité à un niveau adapté à la classification des renseignements ou des biens, approuvés par le Programme de la sécurité des contrats (PSC) du Services publics et Approvisionnement Canada (SPAC)
701. Responsabilité relative aux contrats
1. Selon la Politique sur la sécurité du gouvernement du Canada, les dispositions relatives à la protection des renseignements et des biens protégés et classifiés s'appliquent autant au processus contractuel qu'aux opérations internes de l'état. La politique prévoit également que l'autorité contractante est chargée de voir à ce que les contrats qui impliquent l'accès à des renseignements et à des biens protégés et classifiés sont conformes aux exigences qu'elle contient, et de s'assurer également que la documentation contractuelle comprend les clauses nécessaires.
2. Le PSC de SPAC est responsable de :
- veiller au respect de la Politique sur la sécurité du gouvernement dans les contrats, qui débordent le cadre des responsabilités délégués aux ministères dans la passation des contrats et donner accès aux biens protégés et classifiés, ainsi qu'aux biens critiques du gouvernement
- veiller à appliquer, sur demande, la politique sur la sécurité dans les contrats qui s'inscrivent dans le cadre des responsabilités déléguées aux ministères dans la passation des contrats et donner accès aux biens protégés et classifiés, ainsi qu'aux biens critiques du gouvernement
- enquêter sur les employés du secteur privé, inspecter les installations de l'organisation et coordonner l'inspection ou l'essai de ses installations de technologie de l'information (TI)
3. L'accès régulier ou irrégulier aux installations par des inspecteurs de sécurité de l'état est une condition normale d'un contrat qui exige l'accès à des documents relatifs à des renseignements et biens protégés et classifiés.
702. Instructions concernant la sécurité des contrats
1. Les exigences de sécurité applicables à un contrat seront précisées dans les documents d'invitation à soumissionner ou dans tout contrat subséquent. Elles seront en outre fournies en détail dans un tout ou partie de ce qui suit : la LVERS et les instructions qui l'accompagnent et la clause ou les clauses sur les exigences de sécurité figurant dans les documents de soumission.
2. Lorsque, après examen, un ministère ou un organisme, c'est-à-dire le bureau de première responsabilité (BPR) (soit le client), détermine, à l'égard d'un contrat, qu'un changement doit être apporté aux exigences de sécurité :
- il en avisera l'entrepreneur en lui transmettant une LVERS révisée ou des clauses de sécurité révisées, lesquelles feront partie d'une demande de proposition modifiée ou d'une modification contractuelle
- le client signalera les modifications à apporter aux exigences de sécurité au PSC de SPAC, qui fournira des instructions écrites particulières à l'entrepreneur
- l'ASE de l'entrepreneur s'assurera alors que les nouvelles exigences de sécurité sont respectées
703. Sous-traitance
1. Les entrepreneurs principaux doivent assurer la sécurité des travaux qu'ils confient à des sous-traitants.
2. Les entrepreneurs n'accorderont de contrats de sous-traitance qu'à des sociétés détenant une vérification d'organisation désignée (VOD) ou une attestation de sécurité d'installation (ASI) valide du type et du niveau correspondant aux travaux à exécuter dans le cadre du contrat de sous-traitance. La VOD ou ASI doit être valide pour les lieux précis où les travaux seront exécutés.
Pour de plus amples renseignements, veuillez consulter le Chapitre 3 : Attestations d'organisations, Partie II – Attestation de sécurité d'installations (classifié) du présent manuel.
3. Le sous-traitant doit être approuvé par SPAC avant d'obtenir le contrat. PSC de SPAC doit vérifier la VOD ou ASI du ou des sous-traitants proposés avant de diffuser les documents d'invitation à soumissionner. Sur réception d'une demande d'inscription et de la LVERS remplie et transmise par l'entrepreneur principal, le PSC de SPAC prendra les mesures nécessaires pour que le ou les sous-traitants éventuels obtiennent une VOD ou une ASI.
Veuillez consulter l'Annexe 7-A : Instructions pour remplir la liste de vérification relative à la sécurité (LVERS) du présent chapitre.
4. Les entrepreneurs assureront la sécurité des travaux qu'ils confient à des sous-traitants et délivreront, dans le cadre du contrat de sous-traitance, soit une copie de la LVERS et de toutes indications supplémentaires en matière de sécurité qui feraient partie intégrante du contrat principal, soit une nouvelle LVERS et toutes indications supplémentaires en matière de sécurité se rapportant aux travaux visés par le contrat de sous-traitance. Une copie du contrat de sous-traitance contenant la LVERS et toutes indications supplémentaires en matière de sécurité formant partie intégrante d'un contrat de sous-traitance, et comprenant également le numéro de dossier du contrat principal attribué par SPAC, devront être envoyées au PSC de SPAC.
704. Sous-traitance à l'étranger
1. Les entrepreneurs ne doivent pas attribuer de contrats de sous-traitance à des organisations établies à l'extérieur du Canada sans l'approbation préalable écrite de SPAC et de l'autorité contractante de SPAC. On doit vérifier de nouveau la situation en matière de sécurité des organisations étrangères par l'entremise de SPAC avant de conclure le moindre engagement commercial. En outre, on doit obtenir de SPAC l'autorisation pertinente avant de transférer des renseignements protégés et classifiés à un gouvernement étranger.
2. Lorsque des travaux de défense sont exécutés aux États-Unis, un des services des Forces armées des États-Unis (par exemple, l'armée, la marine ou l'aviation) doit assumer la responsabilité relative à la sécurité de l'organisation américaine choisie. Il se peut que la transmission de renseignements de nature délicate entre l'entrepreneur canadien et le sous-traitant proposé ou réel américain soit nécessaire Par conséquent, il est essentiel que le PSC de SPAC soit consultée avant l'attribution de contrats de sous-traitance, afin que l'on s'assure que les dispositions de l'accord canado-américain en matière de sécurité industrielle sont respectées. Pour tous les contrats de sous-traitance attribués à des organisations américaines et comportant des renseignements, l'entrepreneur principal fournira au PSC de SPAC 3 copies du contrat de sous-traitance pertinent avec la LVERS et toutes indications supplémentaires pour le ou les articles visés par ce contrat de sous-traitance.
Pour de plus amples renseignements, veuillez consulter l'Annexe 5-C : Normes applicables à la transmission de renseignements et de biens protégés et classifiés du présent manuel.
3. Lorsqu'il est proposé d'attribuer des contrats de sous-traitance protégés ou classifiés aux États-Unis (et qu'il ne s'agit pas de production de défense) ou à d'autres pays membres de l'Organisation du Traité de l'Atlantique Nord (OTAN) ou encore à d'autres gouvernements étrangers, l'autorité contractante et PSC de SPAC devront être consultées pour qu'elles donnent leur avis et leur approbation avant l'attribution proposée.
Veuillez consulter la marche à suivre décrite au paragraphe 4 de l'article 703. Sous-traitance du présent chapitre.
705. Offres à commandes
1. Une offre à commandes n'est pas un contrat. C'est une entente grâce à laquelle des ministères et des organismes peuvent traiter directement avec des fournisseurs au fur et à mesure des besoins, moyennant un prix et des conditions préalablement établis. Les exigences de sécurité, comme par exemple les enquêtes de sécurité, peuvent former partie intégrante des conditions fixées dans l'entente.
2. Une commande subséquente à une offre à commandes constitue un contrat. Les entrepreneurs qui fournissent des biens et des services dans le cadre d'une commande subséquente à une offre à commandes doivent observer les mêmes mesures de sécurité que celles qui s'appliquent à tout autre contrat ayant la même classification de sécurité. Si un entrepreneur reçoit une commande dont le niveau de sécurité est plus élevé que celui qu'elle détient, il doit décliner l'offre. En outre, les exigences de sécurité énoncées dans les conditions de l'offre à commandes constituent les exigences minimales applicables à toutes les commandes passées aux termes de l'offre à commandes particulière.
706. Publicité
Les critères de sécurité suivants s'appliquent aux organisations inscrites dans le PSC de SPAC et à tous les contrats, canadiens ou étrangers, dont SPAC est responsable.
Bien que le fait de détenir une cote ou une autorisation de sécurité n'est pas un secret en soi, on s'attend à que les personnes fassent preuve de jugement en ce qui a trait à la diffusion de renseignements connexes. Les renseignements relatifs à la sécurité doivent être protégés de manière adéquate afin de réduire les risques que les organisations ayant reçu une attestation de sécurité deviennent la cible d'infiltration de sécurité ou d'activité terroriste:
- les organisations ne devraient pas rendre publique toute information précise concernant leur cote ou autorisation de sécurité dans toute activité publicitaire ou promotionnelle
- les employés des organisations ne devrait pas rendre public leur niveau de cote de fiabilité ou de sécurité sur les cartes d'affaires, curriculum vitae, ou par internet, y compris les médias sociaux, car cela pourrait attirer l'attention sur l'état de la sécurité de l'organisation pour laquelle ils travaillent
- lorsque les organisations reçoivent des demandes concernant leurs cotes de sécurité, elles doivent les transmettre directement au PSC de SPAC
Il est possible de diffuser des renseignements généraux concernant un contrat, puisqu'ils sont déjà du domaine public:
- les organisations doivent obtenir des précisions ou de l'approbation de l'autorité contractant avant la diffusion de renseignements liés à un contrat
- les organisations ne doivent pas rendre publique toute information précise concernant les exigences relatives à la sécurité d'un contrat gouvernemental
Des renseignements protégés ou classifiés ne peuvent pas être rendus publics ou annoncés de quelque façon que ce soit.
707. Diffusion de renseignements aux entités étrangères
Approbation requise
La diffusion de renseignements ou biens protégés ou classifiés dans des pays étrangers doivent être conformes aux ententes internationales bilatérales de sécurité avec le Canada, aux lois et règlements canadiens et doivent être approuvées par PSC de SPAC.
Marche à suivre
Les demandes doivent être examinées par PSC de SPAC qui verra à ce qu'elles respectent la Politique sur la sécurité du gouvernement et les ententes internationales bilatérales de sécurité avec le Canada. Si des renseignements classifiés du Canada, des pays étrangers, de l'OTAN ou de l'Union Européenne, sont en cause, comme cela est fréquemment le cas, SPAC devra obtenir leur accord. En règle générale, il peut s'écouler plusieurs mois avant que les entités étrangères donnent leur accord. Les demandes de diffusion devront être présentées au PSC de SPAC bien en l'avance, et comprendront les détails suivants :
- le titre des documents ou la nomenclature des biens à être diffusés
- les copies des documents (les copies de brochures ou d'autres données documentaires des biens
- le nom ou l'organisation qui fournit les éléments à être diffuser
- la classification de sécurité des éléments à être diffuser
- la lettre d'approbation avec la date à laquelle le demandeur a acquiescé à la demande de diffusion des éléments provenant des entités étrangères
- le numéro du contrat ou de la demande d'appel d'offre, le cas échéant
- le ou les pays où la diffusion est proposée
- le but de la diffusion
Annexe 7-A : Instructions pour compléter la liste de vérification relative à la sécurité
Généralités : Traitement du présent formulaire
Le responsable du projet doit faire remplir ce formulaire.
L'agent de sécurité de l'organisation doit revoir et approuver les exigences de sécurité qui figurent dans le formulaire, en collaboration avec le responsable du projet.
Le responsable de la sécurité des marchés est le responsable chargé de voir à ce que les fournisseurs se conforment aux exigences de sécurité mentionnées dans la liste de vérification relative à la sécurité (LVERS).
Remarque
Toutes les demandes d'achat ainsi que tous les appels d'offres et les documents contractuels subséquents, y compris les contrats de sous-traitance, qui comprennent des exigences relatives à des renseignements ou à des biens protégés et/ou classifiés doivent être accompagnés d'une LVERS dûment remplie.
Il importe d'indiquer si les renseignements ou les biens protégés sont de niveau A, B ou C, le cas échéant; cependant, certains types de renseignements peuvent être indiqués par la mention Protégé seulement. Aucun renseignement relatif à un contrat gouvernemental protégé ou classifié ne peut être divulgué par les fournisseurs sans l'approbation écrite préalable de la personne dont le nom figure à la case 17 de ce formulaire.
La classification assignée à un stade particulier du processus contractuel ne signifie pas que tout ce qui se rapporte à ce stade doit recevoir la même classification. Chaque article doit être protégé et/ou classifié selon sa propre nature. Si un fournisseur ne sait pas quel niveau de classification assigner, il doit consulter la personne dont le nom figure à la case 17 de ce formulaire.
Compléter ce formulaire
- Partie A : Information contractuelle
- Partie B : Personnel (fournisseur)
- Partie C : Mesures de protection (fournisseur)
- Partie D : Autorisation
Partie A : Information contractuelle
Numéro du contrat (au haut du formulaire)
Ce numéro doit être le même que celui utilisé sur la demande d'achat et services et devrait être celui utilisé dans la demande de proposition (DDP) ou dans le contrat. Il s'agit d'un numéro unique (le même numéro ne sera pas attribué à deux besoins distincts). Une nouvelle LVERS doit être utilisée pour chaque nouveau besoin ou demande (par exemple un nouveau numéro de contrat, une nouvelle LVERS, de nouvelles signatures).
1. Ministère ou organisme gouvernemental d'origine
Inscrire le nom du ministère ou de l'organisme client ou le nom de l'entrepreneur principal pour qui les travaux sont effectués.
2. Direction générale ou direction
Cette case peut servir à fournir plus de détails quant à la section du ministère ou de l'organisme pour qui les travaux sont effectués.
3. a) Numéro du contrat de sous-traitance
S'il y a lieu, ce numéro correspond au numéro généré par l'entrepreneur principal pour gérer le travail avec son sous-traitant.
3. b) Nom et adresse du sous-traitant
Indiquer le nom et l'adresse au complet du sous-traitant, s'il y a lieu.
4. Brève description du travail
Donner un bref aperçu du besoin ou du travail à exécuter.
5. a) Le fournisseur aura-t-il accès à des marchandises contrôlées?
La Loi sur la production de défense (LPD) définit marchandises contrôlées comme désignant certains biens énumérés dans la Liste des marchandises d'exportation contrôlée, un règlement établi en vertu de la Loi sur les licences d'exportation et d'importation (LLEI). Les fournisseurs qui examinent, possèdent ou transfèrent des marchandises contrôlées à l'intérieur du Canada doivent s'inscrire au Programme des marchandises contrôlées ou être exemptés de l'inscription.
5. b) Le fournisseur aura-t-il accès à des données techniques militaires non classifiées qui sont assujetties aux dispositions du Règlement sur le contrôle des données techniques?
L'entrepreneur et tout sous-traitant doivent être accrédités en vertu du Programme mixte d'agrément si le travail comporte l'accès à des données militaires non classifiées qui sont assujetties aux dispositions du Règlement sur le contrôle des données techniques.
6. Indiquer le type d'accès requis
Indiquer la nature du travail à exécuter pour répondre à ce besoin. L'utilisateur doit choisir un des types suivants :
6. a) Le fournisseur et ses employés auront-ils accès à des renseignements ou à des biens protégés et/ou classifiés?
Le fournisseur choisit cette option s'il doit avoir accès à des renseignements ou à des biens protégés et/ou classifiés pour accomplir le travail requis.
6. b) Le fournisseur et ses employés (par exemple nettoyeurs, personnel d'entretien) auront-ils accès à des zones d'accès restreintes? L'accès à des renseignements ou à des biens protégés et/ou classifiés n'est pas autorisé.
Le fournisseur choisit cette option seulement s'il doit avoir accès régulièrement aux locaux du gouvernement ou à un lieu de travail protégé. Le fournisseur n'aura pas accès à des renseignements ou à des biens protégés et/ou classifiés en vertu de cette option.
6. c) S'agit-il d'un contrat de messagerie ou de livraison commerciale sans entreposage de nuit?
Le fournisseur choisit cette option s'il y a nécessité de recourir à un service de messagerie ou de livraison commerciale. Le fournisseur ne sera pas autorisé à garder un colis pendant la nuit. Le colis doit être retourné s'il ne peut pas être livré.
7. Type d'information, restrictions relatives à la diffusion, niveau d'information
Indiquer le ou les types d'information auxquels le fournisseur peut devoir avoir accès, énumérer toutes les restrictions possibles relatives à la diffusion, et, s'il y a lieu, indiquer le ou les niveaux d'information. L'utilisateur peut faire plusieurs choix selon la nature du travail à exécuter.
Les ministères doivent soumettre la LVERS à Services publics et Approvisionnement Canada (SPAC) lorsque :
- les marchés prévoient l'accès aux renseignements et aux biens de nature protégés et/ou classifiés étrangers
- les marchés prévoient aux entrepreneurs étrangers l'accès aux renseignements et aux biens de nature protégés et/ou classifiés canadiens
- les marchés prévoient aux entrepreneurs étrangers ou canadiens l'accès aux renseignements et aux biens de nature protégés et/ou classifiés tels que définis dans les documents intitulés Moyens information security (INFOSEC) détermination et Divulgation de INFOSEC
7. a) Indiquer le type d'information auquel le fournisseur devra avoir accès :
Canada
Si des renseignements et/ou des biens canadiens sont indiqués, le fournisseur aura accès à des renseignements et/ou à des biens protégés et/ou classifiés appartenant au gouvernement canadien.
Organisation du traité de l'atlantique nord
Si des renseignements et/ou des biens de l'Organisation du traité de l'Atlantique nord (OTAN) sont indiqués, cela signifie que, dans le cadre de ce besoin, le fournisseur aura accès à des renseignements et/ou à des biens protégés et/ou classifiés appartenant à des gouvernements membres de l'OTAN. Les renseignements et/ou les biens de l'OTAN sont élaborés par des pays de l'OTAN ou leur appartiennent et ne doivent être divulgués à aucun pays qui n'est pas un pays membre de l'OTAN. Les personnes qui manient des renseignements et/ou des biens de l'OTAN doivent détenir une autorisation de sécurité de l'OTAN et avoir besoin de savoir.
Les contrats comportant des renseignements classifiés de l'OTAN doivent être attribués par SPAC. La Direction de la sécurité industrielle canadienne (DSIC) de SPAC est le responsable de la sécurité désigné relativement aux questions de sécurité industrielle au Canada.
Gouvernements étrangers
Si des renseignements et/ou des biens de gouvernements étrangers sont indiqués, ce besoin permettra l'accès à des renseignements et/ou à des biens appartenant à un pays autre que le Canada.
7. b) Restrictions relatives à la diffusion
Si « Aucune restriction relative à la diffusion » est choisi, cela indique que l'accès aux renseignements et/ou aux biens n'est assujetti à aucune restriction.
Si « À ne pas diffuser » est choisi, cela indique que les renseignements et/ou les biens sont réservés aux Canadiens. Seuls des fournisseurs canadiens installés au Canada peuvent soumissionner ce genre de besoin.
Remarque : Si des renseignements et/ou des biens du gouvernement canadien coexistent avec des renseignements et/ou des biens réservés aux Canadiens, ceux-ci doivent porter la mention « RÉSERVÉ AUX CANADIENS ».
Si « Tous les pays de l'OTAN » est choisi, les soumissionnaires doivent appartenir à un pays membre de l'OTAN.
Remarque : Il peut y avoir plus d'une restriction s'appliquant à une demande, selon la nature des travaux à exécuter. Pour ce genre de contrat, un guide de sécurité doit être joint à la LVERS afin de clarifier les restrictions. Ce guide est généralement préparé par le chargé de projet et/ou le responsable de la sécurité de l'organisme.
7. c) Niveau d'information
À l'aide du tableau, indiquer le niveau approprié d'accès aux renseignements et/ou aux biens que le fournisseur doit avoir pour accomplir les travaux requis.
8. Le fournisseur aura-t-il accès à des renseignements ou à des biens Communications-Electronic Security désignés protégés et/ou classifiés?
Si la réponse est « Oui », les membres du personnel du fournisseur qui doivent avoir accès à des renseignements ou à des biens de sécurité des communications (COMSEC – Communications security) doivent participer à une séance d'information COMSEC. Cette séance sera donnée au « détenteur autorisé » des renseignements ou des biens COMSEC. Dans le cas des contrats du type « personnel affecté », cette séance sera donnée par le ministère client. Lorsque le fournisseur doit recevoir et conserver, dans ses locaux, des renseignements ou des biens COMSEC, le responsable de la garde des renseignements ou des biens COMSEC de l'entreprise donnera la séance d'information COMSEC aux membres du personnel qui doivent avoir accès à des renseignements ou à des biens COMSEC.
9. Le fournisseur aura-t-il accès à des renseignements ou à des biens information security de nature extrêmement délicate?
Si la réponse est « Oui », le fournisseur doit indiquer le titre abrégé du document, le numéro du document et le niveau de sensibilité. L'accès à des renseignements ou à des biens extrêmement délicats INFOSEC exigera que le fournisseur fasse l'objet d'une vérification Participation, contrôle et influence étrangers (PCIE) effectuée par la DSIC.
Partie B : Personnel (fournisseur)
10. a) Niveau de contrôle de la sécurité du personnel requis
Indiquer le niveau d'autorisation de sécurité que le personnel doit détenir pour avoir accès aux renseignements, aux biens ou au site du client. Selon la nature du travail, il peut y avoir plus d'un niveau de sécurité. Veuillez noter que des cotes de sécurité sont accordées pour l'accès à des sites particuliers, selon des dispositions antérieures prises auprès du Secrétariat du Conseil du Trésor du Canada. La cote de sécurité donnant accès à un site s'applique uniquement aux personnes et n'est liée à aucune autre autorisation de sécurité accordée à des personnes ou à des organismes.
Niveau(x) d'autorisation de sécurité :
- Cote de fiabilité
- Secret
- OTAN Secret
- Très secret
- Très secret Signal Intelligence (SIGNIT)
- Très secret control of secret material in an international command (COSMIC)
- Accès aux emplacements
Si plusieurs niveaux d'autorisation de sécurité sont indiqués, un guide de classification de sécurité doit être fourni.
10. b) Du personnel sans autorisation sécuritaire peut-il se voir confier des parties du travail?
Si la réponse est « Oui », cela veut dire que certaines tâches ne sont pas protégés et/ou classifiés et peuvent être exécutées à l'extérieur d'un environnement sécurisé par du personnel n'ayant pas d'autorisation de sécurité. Il faut répondre à la question suivante si l'on a recours à du personnel n'ayant pas d'autorisation de sécurité.
Le personnel n'ayant pas d'autorisation de sécurité sera-t-il escorté?
Si la réponse est « Non », le personnel n'ayant pas d'autorisation de sécurité ne pourra pas avoir accès à des lieux de travail dont l'accès est réglementé ni à des renseignements et/ou à des biens et/ou classifiés.
Si la réponse est « Oui », le personnel n'ayant pas d'autorisation de sécurité devra être escorté par une personne détenant la cote de sécurité requise, pour faire en sorte que le personnel en question n'ait pas accès à des renseignements et/ou à des biens protégés et/ou classifiés sur les lieux de travail.
Partie C : Mesures de protection (fournisseur)
Renseignements/Biens
11. a) Le fournisseur sera-t-il tenu de recevoir et d'entreposer sur place des renseignements ou des biens protégés et/ou classifiés?
Si la réponse est « Oui », préciser, à l'aide du tableau récapitulatif, le niveau de sécurité des documents ou de l'équipement que le fournisseur devra protéger dans ses installations.
11. b) Le fournisseur sera-t-il tenu de protéger des renseignements ou des biens Communications-Electronic Security?
Si la réponse est « Oui », préciser, à l'aide du tableau récapitulatif, le niveau de sécurité des renseignements ou des biens COMSEC que le fournisseur devra protéger dans ses installations.
Production
11. c) Les installations du fournisseur serviront-elles à la production (fabrication et/ou réparation et/ou modification) de matériel protégé et/ou classifié?
Préciser, à l'aide du tableau récapitulatif, le niveau de sécurité du matériel que le fournisseur fabriquera, réparera et/ou modifiera et devra protéger dans ses installations.
Technologie de l'information
11. d) Le fournisseur sera-t-il tenu d'utiliser ses propres systèmes informatiques pour traiter, produire ou stocker électroniquement des renseignements ou des données protégés et/ou classifiés?
Si la réponse est « Oui », préciser le niveau de sécurité à l'aide du tableau récapitulatif. Cette case porte sur les renseignements qui seront traités ou produits électroniquement et stockés dans un système informatique. Le ministère/organisme client devra préciser les exigences en matière de sécurité de la TI relativement à cet achat dans un document technique distinct. Le fournisseur devra également consulter le document suivant : Secrétariat du Conseil du Trésor du Canada – Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI).
11. e) Y aura-t-il un lien électronique entre les systèmes informatiques du fournisseur et celui du ministère ou de l'agence gouvernementale?
Si la réponse est « Oui », le fournisseur doit faire approuver ses systèmes informatiques. Le ministère client doit aussi fournir les critères de connectivité qui décrivent en détail les conditions et le niveau de sécurité relativement au lien électronique (habituellement pas plus haut que le niveau Protégé B).
Tableau récapitulatif
Les utilisateurs qui remplissent le formulaire manuellement doivent indiquer, pour chaque catégorie, les niveaux de sauvegarde requis aux installations du fournisseur.
Dans le cas des utilisateurs qui remplissent le formulaire en ligne (par internet), les réponses aux questions précédentes sont automatiquement saisies dans le tableau récapitulatif.
12. a) La description du travail visé par la présente liste de vérification des exigences relatives à la sécurité est-elle de nature protégée et/ou classifiée?
Si la réponse est « Oui », classifier le présent formulaire en indiquant le niveau de sécurité dans la case intitulée « Classification de sécurité » au haut et au bas du formulaire.
12. b) La documentation associée à la présente liste de vérification des exigences relatives à la sécurité sera-t-elle protégée et/ou classifiée?
Si la réponse est « Oui », classifier le présent formulaire en indiquant le niveau de sécurité dans la case intitulée « Classification de sécurité » au haut et au bas du formulaire et indiquer qu'il y a des pièces jointes (par exemple Secret avec des pièces jointes).
Partie D : Autorisation
13. Chargé de projet de l'organisme
Cette case doit être remplie et signée par le chargé de projet pertinent (par exemple la personne qui est responsable de ce projet ou qui connaît le besoin au ministère ou à l'organisme client). On peut, à l'occasion, communiquer avec cette personne pour clarifier des renseignements figurant sur le formulaire.
14. Responsable de la sécurité de l'organisme
Cette case doit être signée soit par :
- l'agent de la sécurité du ministère (ASM) du ministère indiqué à la case 1
- son remplaçant
- par le responsable de la sécurité du fournisseur
15. Des instructions supplémentaires (par exemple guide de sécurité, guide de classification de la sécurité) sont-elles jointes?
Un guide de sécurité ou un guide de classification de sécurité sont utilisés de concert avec la LVERS pour faire part d'exigences supplémentaires en matière de sécurité qui n'apparaissent pas dans la LVERS et/ou pour éclaircir certaines parties de la LVERS.
16. Agent d'approvisionnement
Cette case doit être signée par l'agent des achats qui fait fonction de gestionnaire du contrat ou du contrat de sous-traitance.
17. Autorité contractante en matière de sécurité
Cette case doit être signée par l'agent de la sécurité du marché. Lorsque SPAC est le responsable de la sécurité du marché, la Direction de la sécurité industrielle canadienne (DSIC) doit remplir cette case.
Chapitre 8 : Sécurité de la technologie de l'information
800. Généralités
Objet et portée
- Le présent chapitre établit les normes opérationnelles dans l'industrie canadienne pour la conservation de l'information gouvernementale traitée, archivée ou transmise électroniquement. Ce chapitre s'applique également à la conservation des biens technologiques
- En plus de ces normes, celles sur la sécurité administrative, organisationnelle, matérielle et celles s'adressant au personnel exposées dans ce manuel s'appliquent également à l'environnement de la technologie de l'information (TI)
- La Politique sur la sécurité du gouvernement et la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information exigent que le degré de protection accordé par l'industrie soit adapté au niveau de la sécurité de l'information et des biens, de même qu'aux menaces et aux risques connexes. Sans mesures de conservation adéquates, on pourrait compromettre la sécurité, l'intégrité et la disponibilité des systèmes et des services d'information
Fonctions et attributions
Les institutions gouvernementales doivent protéger les renseignements et les biens protégés et classifiés placés sous leur contrôle. En ce qui a trait aux contrats attribués par le gouvernement au secteur privé, l'autorité contractante doit s'assurer que les exigences de la Politique sur la sécurité du gouvernement sont respectées et que les normes de sécurité sont appliquées. Les normes de sécurité reproduites dans la Politique sur la sécurité du gouvernement dans le chapitre consacré aux normes sur la technologie de l'information, constituent les normes minimums à respecter pour la sécurité dans le secteur privé. On peut consulter la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information.
Lignes directrices
Pour obtenir des évaluations, des conseils et des lignes directrices sur ces normes, on peut consulter le Programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada (SPAC).
801. Organisation et administration
Organisation
L'organisation peut être appelée à nommer à temps plein un responsable de la sécurité de la TI selon :
- la taille des installations de TI de l'organisation
- la complexité de la partie des contrats de rapportant à la sécurité de la technologie de l'information
- le nombre de contrats à mener de front
On doit discuter, avec le PSC de SPAC, des questions relatives à cette politique.
Planification
- La rentabilité de la sécurité de la TI dépend de la planification, qui doit elle-même tenir compte de toutes les phases de la durée utile d'un système, à partir de la création des documents d'origine en passant par les opération initiales d'entrée de l'information, la communication et le traitement jusqu'à l'archivage, à l'extraction, à la production et à l'élimination. En outre, les plans doivent tenir compte des liens entre la sécurité matérielle et du personnel d'une part et, d'autre part, les impératifs de sécurité, de confidentialité, d'intégrité et de disponibilité de la technologie de l'information. À cause des considérations relatives à la sécurité des émissions TEMPEST, les plans doivent également tenir compte des exigences relatives à la sécurité des communications (COMSEC – Communications security), même si le système d'information actuel ne comprend pas de liens de communications. On doit toujours appliquer les mesures TEMPEST en fonction de la menace définie dans l'évaluation de la menace et des risques
- Tous les programmes de sécurité comprennent une structure organisationnelle et des procédures administratives qui appuient les 3 sous-systèmes de la sécurité matérielle, de la sécurité de la TI et de la sécurité du personnel. Ces sous-systèmes sont intimement liés, de sorte que dans l'ensemble, l'efficacité du système de sécurité dépend du rendement et, par conséquent, de la planification coordonnée de tous les sous-systèmes
802. Fonctions et attributions
Le programme de sécurité des contrats de Services publics et Approvisionnement Canada
- Dans tous les cas où on attribue, par l'entremise de SPAC, un contrat à une organisation pour traiter électroniquement de l'information gouvernementale à l'aide de l'équipement de la TI, l'agent régional de sécurité industrielle (ARSI) prend des dispositions pour procéder à une inspection de la TI et coordonne cette inspection. L'ARSI coordonne également les inspections de la TI pour motif grave
- L'ARSI contacte directement l'organisation afin de discuter de la date de l'inspection et de finaliser cette date. L'équipe responsable de l'inspection pourrait être constituée de un à 5 membres; il se peut qu'on doive compter entre une demi-journée et 2 semaines pour effectuer l'inspection, selon la complexité du contrat et d'autres facteurs comme le niveau de confidentialité des données
- Lorsque l'équipe responsable de l'inspection de la TI a terminé son inspection, elle soumet un rapport au ARSI pour examen. Une copie de ce rapport est transmise à l'organisation pour suivi lorsque l'ARSI a examiné le rapport et qu'il est d'accord avec les constatations qu'il renferme. L'organisation doit déposer un plan d'action pour l'application des recommandations dans un délai de 30 jours suivant la réception de ce rapport et doit rendre compte, au PSC de SPAC, de la situation des recommandations en cours à intervalles réguliers, généralement une fois par mois. PSC de SPAC fait parvenir à l'organisation une lettre d'appel lorsque le rapport sur la situation de l'inspection doit être déposé
- Il est absolument essentiel de se rappeler que les recommandations doivent obligatoirement être appliquées, alors que les suggestions représentent de saines pratiques professionnelles; bien qu'il ne soit pas obligatoire d'appliquer les suggestions, l'organisation doit éventuellement les mettre en oeuvre
- Le contenu du rapport n'est pas diffusé en dehors de SPAC sans l'autorisation expresse de l'organisation
- Si les données nécessitent des mesures de protection TEMPEST, PSC de SPAC demande au Centre de la sécurité des télécommunications (CST) d'en vérifier l'à-propos. Il faut alors soit tester l'équipement pour s'assurer qu'il est conforme aux normes TEMPEST, soit assister, comme témoin, à l'essai final de l'enceinte blindée
- CST adresse également un rapport au PSC de SPAC; toutefois, ce rapport ne fait état que de la situation de l'équipement ou du blindage et des mesures correctives recommandées, le cas échéant. Lorsque l'équipement ou le blindage ont subi avec succès tous les essais et toutes les inspections nécessaires, le groupe COMSEC de SPAC délivre un certificat pour confirmer que cet équipement ou ce blindage sont satisfaisants
Entrepreneur
- PSC de SPAC doit approuver les installations de technologie de l'information de l'entrepreneur principal avant qu'il traite l'information gouvernementale. Toutefois, il appartient à l'entrepreneur principal de s'assurer qu'on précise aux sous-traitants les exigences relatives à la sécurité de la technologie de l'information, que ces sous-traitants les respectent et qu'à la fin des contrats de sous-traitance, il ne reste pas d'information résiduelle dans les ordinateurs des sous-traitants ou dans d'autres secteurs
- Le ARSI et CST communiquent, s'il y a lieu, avec l'organisation (entrepreneur principal), pour prendre des dispositions afin de procéder à une inspection ou à un essai et pour finaliser le calendrier d'inspection ou d'essai
- L'organisation doit prendre des dispositions pour fournir à l'équipe chargée de l'inspection de la TI, pendant la réunion de lancement de l'inspection, un exemplaire de ses procédures opérationnelles et de ses procédures de sécurité de TI, de ses organigrammes et la liste du personnel à contacter, ainsi que les numéros de téléphone, pour les remettre à l'équipe chargée de l'inspection de la TI. Dans certains cas, le chef de l'équipe responsable de l'inspection pourra demander une visite préliminaire, dans un délai de 2 à 4 semaines avant la date prévue pour l'inspection, afin de se réunir avec le personnel, de visiter l'installation et de prendre les documents à étudier
- À la fin de l'inspection, l'équipe responsable de l'inspection de la TI tient une séance de débreffage pour faire connaître ses constatations à l'entrepreneur. L'organisation doit alors profiter de cette occasion pour préciser des points ou pour discuter des solutions proposées. La documentation demandée auparavant sera retournée pendant la réunion avec le CST, lorsqu'elle aura pu en vérifier l'à-propos. Il faudra alors soit tester l'équipement pour s'assurer qu'il est conforme aux normes TEMPEST, soit assister, comme témoin, à l'essai final de l'enceinte blindée
- CST transmettra également un rapport au PSC de SPAC; toutefois, ce rapport ne portera que sur la situation de l'équipement ou du blindage et comprendra des recommandations sur les mesures correctives, le cas échéant. Lorsque l'équipement ou le blindage auront subi avec succès tous les essais et toutes les inspections nécessaires, le groupe COMSEC de SPAC délivrera un certificat indiquant que cet équipement ou ce blindage sont satisfaisants
- Par la suite, le PSC de SPAC fera parvenir une lettre d'appel à l'organisation pour lui demander de lui soumettre un rapport de situation à jour sur l'ensemble des recommandations et des suggestions faites par l'équipe chargée de l'évaluation de la sécurité et de l'inspection et que cette organisation est en train d'appliquer. En donnant suite à cette demande de rapport de situation à jour, l'organisation doit indiquer la situation de chaque recommandation, en employant les mots clés, accompagnés des détails essentiels, dans les cas nécessaires. Voici ces mots clés :
- Mis en oeuvre : l'organisation doit indiquer comment la recommandation a été mise en œuvre (par exemple, en utilisant ou en mettant à niveau un logiciel, le matériel ou les procédures, entre autres)
- Actif : l'organisation doit indiquer les activités exercées, les responsables et les dates auxquelles on s'attend à ce que les recommandations soient appliquées
- Reporté : l'organisation doit indiquer les raisons pour lesquelles la mise en oeuvre des recommandations a été retardée et la date à laquelle elle s'attend de recommencer à mettre en oeuvre ces recommandations
- Rejeté : l'organisation doit faire connaître les raisons essentielles pour lesquelles aucune mesure n'a été prise pour appliquer les recommandations
803. Exigences relatives à la sécurité des émissions
- L'application des normes relatives à la sécurité TEMPEST pour l'équipement de traitement des télécommunications ou de l'information électronique vise à protéger l'information contre les personnes non autorisées qui pourraient intercepter et analyser les émissions électromagnétiques
- PSC de SPAC déterminera les mesures à prendre au titre des normes TEMPEST dans chaque cas particulier, en tenant compte de menace et des risques
804. Exigences relatives à la sécurité des télécommunications
En plus des considérations relatives aux normes TEMPEST, l'organisation qui doit transmettre de l'information gouvernementale sur des liaisons ou des réseaux de télécommunications doit protéger cette information en faisant appel à des mesures d'encryptage approuvées par le gouvernement ou à d'autres mesures approuvées par le groupe COMSEC par exemple des circuits approuvés (et dotés de moyens de protection matérielle). PSC de SPAC doit être mis au courant de ces exigences le plus rapidement possible. Dans ces cas, il donnera des instructions et des directives propres aux systèmes de sécurité des communications en cause.
805. Sécurité des renseignements et des biens relativement à la sécurité des communications
- Le matériel de sécurité des communications COMSEC comprend l'ensemble des documents, des dispositifs, des biens d'équipement ou des appareils et du matériel cryptographique utilisés dans l'établissement ou le maintien des communications protégées. On entend par « matériel cryptographique » l'ensemble des dispositifs renfermant l'information essentielle à l'encryptage, au décryptage ou à l'authentification des communications, y compris les documents, les dispositifs ou les biens d'équipement
- L'organisation qui doit, conformément à des exigences confirmées, conserver du matériel COMSEC doit ouvrir un compte COMSEC auprès du PSC de SPAC et désigner un responsable des ressources COMSEC et un gardien COMSEC substitut, qui seront, avec l'agent de sécurité d'entreprise, responsables de la conservation de ce matériel
- À cause du caractère confidentiel particulier du matériel COMSEC le guide du contrôle du matériel industriel COMSEC et le Manuel de la sécurité industrielle renferment un ensemble complet de règles et de procédures pour le traitement et la conservation du matériel COMSEC. Toutes les organisations qui doivent détenir du matériel COMSEC doivent se procurer un exemplaire du Guide de contrôle du matériel industriel COMSEC
Chapitre 9 – Exigences relatives à la sécurité pour l'organisation du traité de l'atlantique nord
900. Généralités
1. Le Canada est membre de l'Organisation du Traité de l'Atlantique Nord (OTAN), alliance constituée des 30 pays suivants :
Albanie, Allemagne, Belgique, Bulgarie, Croatie, Canada, Danemark, Espagne, Estonie, États-Unis, France, Grèce, Hongrie, Islande, Italie, Lettonie, Lituanie, Luxembourg, Macédoine du Nord, Monténégro, Norvège, Pays-Bas, Pologne, Portugal, République Tchèque, Roumanie, Royaume-Uni, Slovaquie, Slovénie et la Turquie.
À titre de membre de l'OTAN, le Canada s'est engagé à respecter les règlements sur la sécurité applicables aux renseignements classifiés OTAN.
2. Le terme « renseignements de l'OTAN » vise les renseignements classifiés diffusés dans les pays membres de l'OTAN, dont l'information :
- publiée par les pays membres dans le cadre du système de sécurité de l'OTAN,
- de même que les renseignements provenant de l'OTAN elle-même.
Remarque : les renseignements classifiés fournis par un pays membre continuent de lui appartenir, même s'ils sont diffusés dans un document appartenant à l'OTAN.
3. Le présent chapitre fait état des exigences relatives à la sécurité et applicables aux renseignements classifiés OTAN. Par souci de commodité, ce chapitre regroupe les renvois à l'OTAN qu'on trouve dans les autres chapitres de ce manuel.
901. Attestations de sécurité du personnel
1. Ce n'est pas parce qu'un employé justifie d'une attestation canadienne de sécurité du personnel qu'il a automatiquement accès à des renseignements de l'OTAN. Cet employé doit déposer une demande distincte d'attestation de sécurité du personnel de l'OTAN. Pour avoir accès aux niveaux ‘Control of Secret Material in an International command' (COSMIC) Très secret, OTAN Secret ou OTAN Confidentiel pour les renseignements classifiés OTAN, il faut justifier d'une attestation de sécurité du personnel (ASP) à ces niveaux.
2. Les employés d'organisations distinctes de l'état qui doivent avoir accès, de vive voix ou par écrit, à des renseignements de niveau Diffusion restreinte OTAN doivent faire l'objet d'une vérification approfondie de la fiabilité. Les documents Diffusion restreinte OTAN ne peuvent pas être remis à des personnes qui n'ont pas subi cette enquête de sécurité. Ces documents doivent être traités et protégés comme des renseignements du niveau Protégé A.
3. Dans le cas des ressortissants étrangers, l'attestation de l'OTAN ne donne pas le droit d'avoir accès à des renseignements classifiés canadiens qui n'ont aucun rapport avec l'OTAN. Il faut déposer une demande distincte d'attestation canadienne de sécurité du personnel. Le Chapitre 2 : Attestations de sécurité de personnel – Partie II – Cotes de sécurité du présent manuel fait état de procédures à suivre pour demander l'attestation de sécurité du personnel.
4. L'attestation de sécurité du personnel de l'OTAN, pour un ressortissant d'un autre pays membre de l'OTAN, ne peut être délivrée que par ce même pays, sans égard à la période de résidence de cette personne au Canada.
5. Les organisations doivent tenir un registre distinct de tous les employés de l'installation autorisés à avoir accès à des renseignements classifiés OTAN. Avant de permettre à un employé d'avoir accès à des renseignements classifiés OTAN, l'agent de sécurité de l'entreprise (ASE) doit lui fournir les renseignements suivants:
- le sens de l'expression « renseignements de l'OTAN » (référez-vous à l'article 900.2 Généralités de ce chapitre)
- la mention « OTAN » dans un document signifie que ce document appartient à l'OTAN. Cette mention figure dans tous les exemplaires des documents classifiés de niveau Diffusion Restreinte, Confidentiel ou Secret et qui sont diffusés parmi les pays membres de l'OTAN. La mention « COSMIC TRÈS SECRET » signifie également que le document appartient à l'OTAN et sert exclusivement à désigner tous les exemplaires des documents Très secret diffusés parmi les pays membres de l'OTAN
- les documents classifiés de l'OTAN doivent faire l'objet des mêmes mesures de protection que les documents Confidentiel, Secret et Très secret (référez-vous au chapitre 5 : Manipulation et sauvegarde des renseignements et des biens classifiés et protégés du présent manuel); ils doivent toutefois être conservés à des autres renseignements classifiés, protégés ou non classifiés. Les documents portant la mention de niveau Diffusion Restreinte OTAN doivent être traités et protégés comme des renseignements Protégés A
- seules les personnes qui justifient d'une attestation de sécurité du personnel (ASP) au niveau voulu et qui ont le besoin de connaître doivent avoir accès aux renseignements classifiés de l'OTAN
- si des employés doivent avoir accès à des renseignements COSMIC Très secret, ils doivent assister à une séance d'information distincte sur leurs responsabilités en ce qui concerne la protection de ces renseignements :
- ces employés doivent signer un certificat confirmant qu'ils ont effectivement participé à cette séance d'information
- le Programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada (PSPC) donne des instructions détaillées au ASE de l'organisation visée
902. Attestations de sécurité d'installation
Les attestations de sécurité d'installation peuvent être autorisées aux niveaux OTAN Diffusion restreinte, OTAN Confidentiel, OTAN Secret ou COSMIC Très secret. Le chapitre 3 : Attestations d'organisations, Partie II – Attestation de sécurité d'installation (classifié) de ce manuel fait état des exigences et des procédures à respecter pour demander ces attestations. En outre, annexe 3-C : Exigences relatives à l'attestation de sécurité d'installation (renseignements classifiés de l'Organisation du Traité de l'Atlantique Nord) de ce manuel renferme des détails complets sur les ASP dont doivent justifier les cadres supérieurs clés (CSC), l'ASE et les employés de l'organisation, pour chaque niveau et chaque type d'attestation de sécurité d'installation de l'OTAN.
903. Traitement des renseignements classifiés Organisation du Traité de l'Atlantique Nord
1. Tous les renseignements classifiés OTAN que l'on reçoit doivent être traités conformément au chapitre 5 : Manipulation et sauvegarde des renseignements et des biens classifiés et protégés de ce manuel et sont soumis aux exigences supplémentaires ci-après:
- les documents classifiés OTAN doivent être consignés dans un registre de l'OTAN
- lorsqu'on reçoit des documents classifiés OTAN par un circuit différent de ceux qui sont institués par SPAC, on doit fournir directement à cette dernière les détails de ces incidents
- les renseignements classifiés OTAN doivent toujours porter la mention « COSMIC » ou « OTAN », selon le cas, en plus des autres mentions de classification
- les renseignements classifiés OTAN doivent être retournés au PSC de SPAC pour être détruits
2. Les entreprises canadiennes doivent faire appel au PSC de SPAC pour transmettre à un autre pays des renseignements classifiés OTAN, sauf autorisation contraire de cette dernière.
904. Visites
1. Lorsque des organisations canadiennes participent à des visites régies par les procédures internationales de contrôle des visites de l'OTAN, le PSC de SPAC définit les procédures à appliquer.
2. Les organisations doivent tenir un registre de tous les visiteurs dans leur installation lorsque ces derniers ont accès à des renseignements classifiés. Elles doivent tenir un registre distinct pour les visites de représentants de pays membres de l'OTAN. Les représentants de la sécurité industrielle PSC de SPAC ne sont pas considérés comme des « visiteurs de l'OTAN » et n'ont pas non plus à inscrire leur nom dans le registre des visites de représentants des pays membres de l'OTAN.
On entend par " visite d'un représentant d'un pays membre de L'OTAN ":
- une visite effectuée par un représentant d'un pays membre de l'OTAN auprès d'un entrepreneur relativement à des négociations préalables à l'attribution d'un contrat ou à l'exécution d'un contrat classifiés OTAN
- une visite auprès d'un entrepreneur canadien exécutant un contrat classifié OTAN
- toute autre visite dans le cadre de laquelle on a autorisé expressément l'accès à des renseignements classifiés de l'OTAN
3. Le registre des visiteurs de l'OTAN doit indiquer:
- les noms en toutes lettres des visiteurs
- les noms des personnes visitées
- le nom de l'organisation, de l'organisme ou du ministère représenté
- les dates d'arrivée et de départ dans l'installation
L'organisation hôte doit conserver les registres des visites autorisées pendant au moins 2 ans; ces registres peuvent être inspectés au hasard par le PSC de SPAC pendant cette période.
4. Lorsqu'on demande l'autorisation de participer à des réunions de l'OTAN, on doit déposer auprès du PSC de SPAC la Demande de permis de visite au moins 21 jours avant la date des réunions.
905. Contrats
1. Les exigences relatives à la sécurité des contrats classifiés OTAN sont exposées dans la lettre de l'OTAN sur les aspects relatifs à la sécurité, qui doit accompagner le contrat. Lorsqu'une organisation canadienne est tenue d'observer le protocole de sécurité de l'OTAN dans le cadre d'un contrat, le PSC de SPAC peut lui fournir de plus amples renseignements, selon le cas et/ou les besoins.
2. Avant d'attribuer un contrat de sous-traitance classifié de l'OTAN à un entrepreneur étranger, il faut consulter l'autorité contractante et le PSC de SPAC pour des lignes directrices et une approbation avant d'attribuer le contrat.
3. Lorsque des entrepreneurs négocient directement avec des gouvernements et/ou des organisations de pays étrangers, ils doivent veiller à ce que le matériel classifié à transmettre à l'étranger le soit par l'entremise des responsables de la sécurité désigné par les PSC de SPAC visé (référez-vous au chapitre 5 : Manipulation et sauvegarde des renseignements et des biens classifiés et protégés de ce manuel).
4. En plus des modalités ci-dessus, on doit appliquer, aux contrats de l'OTAN, toutes les exigences relatives aux ASP (référez-vous au chapitre 2 : Attestations de sécurité de personnel – Partie II – Cotes de sécurité de ce manuel), aux attestations de sécurité de visite (référez-vous au chapitre 6 : Protocole de demande de visite de niveau classifié pour les entreprises canadiennes de ce manuel), de même qu'à la diffusion à l'étranger et aux ventes à l'exportation (référez-vous au chapitre 7 : Contrats protégés et classifiés de ce manuel).
Chapitre 10 : Programme mixte d'agrément
1000. Généralités
Les États-Unis et le Canada jouissent d'une association militaire et économique unique de longue date. En tant que partenaires dans la défense commune de l'Amérique du Nord, ils ont établi une structure bilatérale commune (NORAD) à des fins de défense mutuelle. L'industrie canadienne fait partie de l'infrastructure nord-américaine de l'industrie de la défense. Les États-Unis et le Canada se consultent et collaborent sur l'élaboration de procédures communes en matière de sécurité industrielle et de contrôle des technologies. Les deux gouvernements ont conclu plusieurs ententes bilatérales codifiant et appuyant ce partenariat.
En 1985, les États-Unis et le Canada ont signé un protocole d'entente (PE) établissant le programme mixte canado-américain d'agrément. Tel que précisé dans le cadre de référence commun du programme, ce dernier a été mis sur pied en vue « d'agréer des entrepreneurs de chaque pays pour leur permettre d'accéder, sur une base favorable équitable, à des données techniques non classifiées portant sur de la technologie critique » contrôlée par le ministère de la défense des États-Unis (DoD). En vertu des lois de chaque pays, le ministère de la défense des États-Unis et le ministère de la Défense nationale (MDN) du Canada peuvent s'abstenir de publier publiquement de telles données techniques.
Pour avoir le droit de soumissionner ou d'obtenir des contrats non classifiés ou classifiés mettant en cause l'accès à des données techniques critiques sur le plan militaire et non classifiées sous le contrôle du MDN ou du DoD, un entrepreneur doit être agréé aux termes du programme mixte d'agrément (PMA). Les entrepreneurs qui détiennent actuellement une attestation dans le cadre du Programme de sécurité industrielle doivent être agréés s'ils désirent recevoir des données techniques non classifiées de l'état aux termes du Règlement sur le contrôle des données techniques ou de la directive 5230.25 du DoD. La participation au programme mixte d'agrément est réservée aux entrepreneurs établis au Canada ou aux États-Unis.
1001. Processus d'agrément mixte
- Pour devenir entrepreneur agréé, une organisation doit remplir le formulaire d'entente relative aux données techniques critiques sur le plan militaire (formulaire DD 2345) et l'acheminer au bureau mixte d'agrément canado-américain dont l'adresse figure sur la page web de communiquez avec le Programme mixte d'agrément. De plus, une copie des documents suivants doit être jointe à la formule DD 2345 : le certificat de constitution de l'entreprise, la licence émise par l'état ou la province, la formule d'identification de taxe de vente ou tout autre document attestant la légitimité de l'organisation.
- Comment demander l'agrément
- Comment remplir le formulaire d'entente relative aux données techniques critiques sur le plan militaire (formulaire DD 2345) (disponible seulement en anglais)
- Lorsqu'un entrepreneur canadien a l'intention de demander l'accès à des données techniques critiques sur le plan militaire et non classifiées sous le contrôle du DoD, il doit remplir une formule DD 2345. Les données techniques communiquées à un entrepreneur agréé lui sont envoyées à l'adresse indiquée sur la formule. Chaque filiale ou division appelée à recevoir des données techniques critiques sur le plan militaire et non classifiées, ou à travailler avec de telles données, doit être agréée séparément
- Pour devenir entrepreneur agréé, une organisation doit accepter de se conformer aux conditions énumérées sur la formule. Une fois acceptée par le bureau mixte d'agrément, la formule constitue un accord entre l'organisation et le bureau mixte d'agrément, accord selon lequel les données techniques critiques sur le plan militaire et non classifiées ne seront pas diffusées à d'autres personnes non autorisées. Si un entrepreneur viole les dispositions de cet accord, son agrément lui permettant d'avoir accès aux données techniques critiques sur le plan militaire et non classifiées peut être annulé
- Un entrepreneur est agréé le jour où le bureau mixte d'agrément accepte la demande. Les organisations approuvées par le bureau recevront une copie de leur formule d'accord, signée par les représentants canadiens et américains, et indiquant leur numéro d'agrément de sept chiffres. Le numéro d'agrément et une déclaration de l'utilisation prévue de l'agrément doivent accompagner toutes les demandes d'accès à des données techniques critiques sur le plan militaire et non classifiées présentées au MDN ou au DoD. L'agrément doit être renouvelé tous les cinq ans. Le bureau mixte d'agrément enverra un avis de renouvellement 120 jours avant l'expiration de l'agrément d'un entrepreneur
- L'agrément atteste l'admissibilité des entrepreneurs canadiens et américains à ce qui suit :
- recevoir des données techniques critiques sur le plan militaire et non classifiées, et ayant des applications militaires ou spéciales sous le contrôle du MDN ou du DoD
- répondre à des offres contractuelles liées à la défense, dont les spécifications mettent en cause des données techniques ne pouvant être divulguées qu'à des organisations agréées
- participer à des rassemblements réservés aux entrepreneurs agréés par le bureau mixte d'agrément, comme des symposiums, des séances d'information sur des programmes, des réunions destinées à annoncer les exigences préalables d'organismes contractants, et des conférences et des ateliers préalables à des invitations à soumissionner, à des présentations de soumissions, à des présentations de propositions et à l'attribution de contrats
- organiser directement avec d'autres entrepreneurs canadiens et américains agréés ainsi qu'avec des installations militaires du MDN et du DoD des visites non classifiées ayant trait à l'approvisionnement et supposant l'accès à des données techniques ne pouvant être divulguées qu'à des entrepreneurs agréés
1002. Visites non classifiées
- Dans le cas des entrepreneurs canadiens, les visites entre des organisations américaines et canadiennes supposent que les données techniques critiques sur le plan militaire et non classifiées peuvent être divulguées, en application de l'exemption en faveur du Canada prévue dans le règlement américain sur le trafic international des armements (U.S. International Traffic in Arms Regulations (ITAR))
- Les entrepreneurs agréés qui souhaitent rendre une visite non classifiée à une installation militaire du DoD doivent prendre les dispositions nécessaires avec le bureau de sécurité de l'installation. Par règlement, le commandant de cette dernière conserve le pouvoir final d'approuver toute visite et peut refuser la permission pour des raisons de sécurité ou opérationnelles
Comment obtenir l'approbation pour des visites non classifiées
1003. Point de contact
Pour des renseignements supplémentaires :
- visitez le site web du Traitement des données techniques critiques sur le plan militaire : Programme mixte d'agrément
- communiquez avec le Programme mixte d'agrément
Chapitre 11 : Questions relatives à la sécurité internationale
1100. Généralités
Le présent chapitre comprend de l'information sur les politiques et les règlements du Canada sur la divulgation des renseignements à l'étranger, de même que sur les accords et les ententes de sécurité internationale conclus entre le gouvernement du Canada et les gouvernements des pays alliés en ce qui concerne l'échange et la sauvegarde des renseignements et des biens protégés et classifiés.
1101. Fonctions et attributions
En vertu de la Politique de la sécurité du gouvernement, la Services publics et Approvisionnement Canada (SPAC) est responsable de :
- Exercer un rôle de leadership et offrir des conseils et une orientation concernant les questions de sécurité des contrats
- Appuyer et remplir les fonctions dans l'ensemble du gouvernement de l'attribution de codes uniques d'identification de dossier personnel (CIDP) aux ministères et aux organismes et de numéros individuels d'organismes (NIO) aux organismes extérieurs à la fonction publique fédérale; tenir à jour les systèmes de CIDP et de NIO
- Offrir de l'approvisionnement d'urgence et de l'hébergement d'urgence' et fournir des services de sécurité pour aider à protéger les renseignements confidentiels confiés aux entreprises canadiennes et étrangères
- Offrir des services internes intégrés relatifs à la sécurité des contrats, à la sécurité de l'immeuble de base pour les bureaux polyvalents sous sa responsabilité, ainsi qu'à la technologie de l'information (TI) et à la sécurité de la fourniture et de la gestion de certaines applications pangouvernementales
- Agir à titre d'autorité nationale du gouvernement en matière de sécurité industrielle et, à ce titre, d'autorité désignée en matière de sécurité du Canada à l'Organisation du traité de l'Atlantique nord (OTAN)
1102. Politique relative à la divulgation des renseignements à l'étranger
- Les organisations qui participent au Programme de la sécurité des contrats (PSC) et qui souhaitent échanger des renseignements de SPAC et des biens avec des gouvernements ou des organisations étrangers doivent contacter le PSC de SPAC, qui détermine si :
- ces renseignements peuvent effectivement être transmis à ces gouvernements étrangers
- la divulgation des renseignements est conforme aux politiques et aux règlements du Canada sur la divulgation des renseignements à l'étranger
- les renseignements peuvent être sauvegardés correctement par les pays étrangers visés
- On prend les décisions permettant de transmettre des renseignements et des biens à des intérêts étrangers lorsqu'on constate que cela s'inscrit dans le cadre d'un programme autorisé du gouvernement du Canada
- Avant de transmettre des renseignements et des biens confidentiels à des intérêts étrangers, PSC de SPAC doit demander et recevoir, de la part du gouvernement étranger responsable, une assurance de sécurité (par exemple, en ce qui concerne le niveau de l'attestation de sécurité d'installation (ASI) de l'organisation destinataire)
- Lorsqu'on ne peut pas établir facilement, à partir des dossiers antérieurs, des documents contractuels ou de la Liste de vérification des exigences relatives à la sécurité (LVERS), les paramètres de la divulgation, il se peut que PSC de SPAC doive consulter d'autres entités gouvernementales au Canada (par exemple le ministère de la Défense nationale (MDN) ou les bureaux des grands projets de l'état) afin d'obtenir une décision en ce qui a trait à la divulgation des renseignements à l'étranger. Dans ces cas, on conseille à l'entrepreneur de contacter PSC de SPAC assez longtemps avant la date proposée pour l'échange ou la transmission des renseignements, puisque l'examen de la divulgation des renseignements à l'étranger peut parfois demander 30 jours aux employés des différents ministères et organismes chargés de prendre ces décisions
- En plus du document ci-dessus, PSC de SPAC doit recevoir la preuve confirmant que l'organisation expéditrice a respecté la Loi sur les licences d'exportation et d'importation (LLEI) avant d'amorcer un échange entre deux gouvernements. PSC de SPAC accepte les documents suivants comme preuves :
- une copie du permis d'exportation approuvé
- une lettre de la Direction des contrôles à l'exportation du ministère des Affaires mondiales Canada confirmant que le permis n'est pas obligatoire
- une lettre de l'organisation attestant qu'il n'est pas nécessaire de justifier d'un permis pour effectuer l'opération en vertu de la Loi sur les licences d'exportation et d'importation ou que ce permis n'est pas nécessaire parce que le gouvernement du Canada a déjà donné son approbation par exemple :
- dans le cadre d'un contrat approuvé par ce gouvernement
- d'un contrat de sous-traitance approuvé par SPAC et le MDN
- d'une lettre d'autorisation de SPAC et du MDN
- d'une autre autorisation émanant d'un organisme du gouvernement du Canada
- Pour se faire délivrer un permis d'exportation et pour demander des conseils et des renseignements à propos de la LLEI, on peut contacter la :
Direction des contrôles à l'exportation
Direction générale des relations commerciales spéciales
Affaires mondiales Canada
Case postale 481, Succursale A
Ottawa ON K1A OG2 - Le transfert des renseignements et des biens nationaux ou internationaux entre une entreprise canadienne et une entité étrangère (du gouvernement ou du secteur privé) doit se dérouler par l'entremise gouvernementale-à-gouvernementale de PSC de SPAC, sauf convention contraire avec cette dernière (par exemple, dans le cas des exceptions prévues pour le matériel protégé). Il importe de signaler que la plupart des échanges de renseignements et de biens entre deux gouvernements se déroulent dans le cadre du service de la valise diplomatique du ministère des Affaires mondiales du Canada. Par conséquent, les entrepreneurs qui ont des échéances précises de livraison à respecter devraient contacter la Section du contrôle des documents (SCD) de SPAC afin de connaître l'horaire de ce service pour le pays visé. Dans les cas où il faut transmettre des documents aux États-Unis seulement, SPAC fait appel à la poste prioritaire, dans toute la mesure du possible, pour accélérer la transmission. (On doit alors respecter les restrictions relatives au poids du matériel transmis.) Lorsque cette méthode de transport entraîne un retard inadmissible dans le cadre d'un contrat, d'un programme ou d'un projet, l'agent de sécurité de l'entreprise (ASE) peut communiquer avec le PSC de SPAC pour demander un autre moyen de transmission, par exemple le transport en mains propres par un employé de l'organisation
- L'ASE doit contrôler rigoureusement les renseignements nationaux ou internationaux divulgués à un ressortissant étranger au service d'un entrepreneur canadien. Les personnes qui justifient d'une attestation canadienne « avec limitations » peuvent avoir accès à des renseignements et à des biens canadiens et/ou à des renseignements et à des biens du pays dont elles sont les ressortissants. Les renseignements appartenant à un tiers pays ne peuvent pas être communiqués à ces personnes sans l'approbation écrite préalable du pays d'origine, délivrée par l'entremise de SPAC
- Il est interdit de divulguer des renseignements à des visiteurs étrangers, à moins que SPAC ait délivré une autorisation de divulgation sous la forme d'un permis de visite approuvé (Référez-vous au chapitre 6 : Protocole de demande de permis de visite de niveau classifié pour les entreprises canadiennes de ce manuel) ou d'un autre document d'autorisation
1103. Accords de sécurité bilatéraux
- On négocie des accords de sécurité bilatéraux avec les gouvernements étrangers. Le présent chapitre fait état des exigences de principe qu'on trouve dans ces accords
- L'accord de sécurité général, négocié selon les circuits diplomatiques, précise que chaque partie doit essentiellement attribuer, à l'information, le même degré de protection de sécurité que celui qui est attribué par le gouvernement qui la diffuse. Cet accord renferme des dispositions sur les limites prévues dans l'utilisation de cette information, notamment en ce qui concerne les transferts à des tiers et les droits exclusifs. Il porte également sur la déclaration de la compromission des renseignements et des biens et sur les visites des responsables de la sécurité des gouvernements participants
- SPAC négocie l'accord de sécurité industrielle au nom de l'industrie canadienne; cet accord fait normalement l'objet d'une annexe de l'accord de sécurité général avec le gouvernement étranger. Il renferme les procédures de sécurité pour les contrats et les dispositions approuvées par les gouvernements en ce qui concerne l'accès aux renseignements et aux biens. On y trouve également les dispositions sur le traitement de l'information, sur les lignes directrices pour la classification de la sécurité, sur les clauses relatives aux exigences en matière de sécurité, sur les visites et sur l'échange des assurances de sécurité; cet accord désigne l'organisme responsable de son administration (à savoir, PSC de SPAC au Canada)
- Lorsqu'une organisation canadienne participe à un programme ou à un contrat faisant l'objet d'un accord sur la sécurité industrielle, PSC de SPAC fait connaître les protocoles spéciaux en matière de sécurité qu'il faut respecter, le cas échéant, pour ce programme ou ce contrat
1104. Programmes de coopération multinationaux en matière d'armements avec les pays alliés membres de l' Organisation du traité de l'Atlantique nord
- Pour faciliter l'échange des renseignements et des biens dont l'industrie a besoin pour des programmes de coopération multinationaux, les administrations canadiennes de la sécurité industrielle se sont entendues, avec les pays membres de l'OTAN, pour appliquer les pratiques et les procédures normalisées en matière de sécurité dans le cadre des programmes de coopération multinationaux en matière d'armements qui ne sont pas du ressort de l'administration de la sécurité de l'OTAN. À certains égards, ces pratiques et procédures peuvent être différentes des exigences définies dans ce manuel
- Pour de plus amples renseignements sur ces procédures, les entrepreneurs qui participent à un programme multinational faisant intervenir des pays membres de l'OTAN sont invités à se mettre en rapport avec la division de la sécurité internationale des visites et du contrôle des documents du Programme de sécurité des contrats de Services publics et Approvisionnement Canada par courriel : ssivisites-.issvisits@tpsgc-pwgsc.gc.ca
- PSC de SPAC représente le Canada auprès du Groupe de travail multinational en matière de sécurité industrielle (GTMSI), qui est chargé de négocier et d'élaborer des pratiques et des procédures internationales normalisées en matière de sécurité. Ce groupe se réunit deux fois par an dans les différents pays membres de l'OTAN. Les procédures et les pratiques approuvées par ce comité sont parfois désignées par l'appellation « Documents du GTMSI »
- L'administration désignée de la sécurité (ADS) de chaque pays est chargée de l'application des procédures approuvées et normalisées dans le cadre d'un programme ou d'un projet en particulier. Au Canada, il existe deux administrations désignées de la sécurité pour les programmes de coopération multinationaux en matière d'armements. PSC de SPAC est l'administration désignée de la sécurité pour les questions faisant intervenir le personnel et les organisations du secteur privé; le Division de sécurité (DSécur) du Ministère de la Défense Nationale est l'administration désignée de la sécurité pour les questions faisant intervenir le personnel et les établissements militaires au Canada
- Lorsque l'industrie a des inquiétudes ou éprouve des difficultés dans le cadre des programmes de coopération multinationaux, elle doit prévenir le PSC de SPAC
- Lorsqu'une organisation canadienne doit s'acquitter de certaines obligations en vertu d'un protocole international de sécurité, PSC de SPAC se met en rapport avec l'ASE et définit dans les détails les exigences à respecter dans chaque cas
1105. Traitement et protection des renseignements et des biens classifiés étrangers
Les renseignements ou les biens classifiés de gouvernements étrangers au niveau Confidentiel, Secret ou Très secret doivent faire l'objet des mêmes mesures de protection que les renseignements et les biens classifiés au Canada et se situant à un niveau équivalent, sauf avis contraire du PSC de SPAC (pour de l'information sur les mesures de sauvegarde à prévoir dans le cas des renseignements ou des biens non classifiés à l'étranger, mais spéciaux, veuillez contacter votre agent local de la sécurité industrielle) (ALSI).
1106. Renseignements protégés
Le secteur privé ne doit pas transmettre à d'autres pays, sans l'autorisation écrite de SPAC, les renseignements et les biens protégés au Canada. Il faut faire connaître, aux gouvernements et aux organisations de pays étrangers, le niveau de protection à prévoir pour les renseignements et les biens protégés, dans les clauses du contrat sur la sécurité ou dans des instructions écrites approuvées par PSC de SPAC.
1107. Renseignements à diffusion restreinte
Renseignements étrangers à diffusion restreinte
La classification <<DIFFUSION RESTREINTE >> n'existe plus au Canada; toutefois, les gouvernements de nombreux pays alliés s'en servent toujours. Le Canada est obligé de protéger les renseignements et les biens étrangers à diffusion restreinte conformément aux accords internationaux sur la sécurité industrielle. Sauf avis contraire de PSC de SPAC, les organisations qui ont en leur possession des renseignements et du matériel étrangers à diffusion restreinte doivent les protéger comme s'il s'agissait de renseignements Protégés A au Canada. Voici les autres procédures à appliquer pour la protection de ces renseignements et de ces biens :
- la divulgation de renseignements étrangers à diffusion restreinte aux gouvernements, à des personnes ou à des institutions d'un autre pays doit être approuvée au préalable par SPAC
- seules les personnes qui doivent absolument y avoir accès dans le cadre d'un programme, d'un projet ou d'un contrat gouvernemental ou multinational peuvent avoir accès à des renseignements à diffusion restreinte
- l'ASE doit faire connaître, à tous les destinataires de renseignements et de biens étrangers à diffusion restreinte, leur responsabilité en ce qui concerne la protection de ces renseignements et de ces biens
- dans le cas des renseignements à diffusion restreinte OTAN, il faut appliquer d'autres mesures de protection
- pour éviter toute confusion, les organisations doivent préciser entre parenthèses, vis-à-vis de la classification, le pays d'origine des renseignements et des biens à diffusion restreinte, par exemple : << DIFFUSION RESTREINTE (Italie)>> ou <<DIFFUSION RESTREINTE (France)>>
Renseignements et biens déjà classifiés selon la cote DIFFUSION RESTREINTE au Canada
- Les organisations qui ont en leur possession des documents canadiens portant la classification <<DIFFUSION RESTREINTE>> devraient demander la reclassification officielle de ces documents par l'entremise du PSC de SPAC, afin de savoir dans quelle mesure on doit les sauvegarder en vertu des politiques et des règlements actuels du gouvernement du Canada. En attendant cette reclassification officielle, on doit protéger les renseignements et les biens canadiens déjà classifiés selon la cote <<DIFFUSION RESTREINTE>> comme s'il s'agissait de renseignements et de biens Protégés A
- Les destinataires étrangers de renseignements et de biens canadiens portant déjà la cote <<DIFFUSION RESTREINTE>> doivent continuer de les traiter et de les protéger conformément aux accords ou aux ententes de sécurité bilatéraux et multinationaux en vigueur, sauf avis contraire du gouvernement du Canada
1108. Exigences relatives à la sécurité des contrats attribués à des intérêts étrangers
- En plus des exigences précisées dans le chapitre 7 : Contrats protégés et classifiés de ce manuel, on doit appliquer les exigences suivantes dans l'attribution des contrats à des organisations hors du Canada qui sont titulaires d'une ASI en bonne et due forme dans leur pays :
- Lorsque SPAC donne à un entrepreneur l'approbation lui permettant d'attribuer un contrat de sous-traitance ou que cet entrepreneur conclut d'autres accords commerciaux directs portant sur des renseignements et des biens avec un entrepreneur étranger, il doit intégrer les clauses sur les exigences relatives à la sécurité dans le document contractuel et faire connaître les lignes directrices sur la classification de la sécurité pour les renseignements canadiens, en se servant de la Liste de vérification des exigences relatives à la sécurité (LVERS) (Référez-vous au chapitre 7 : Contrats protégés et classifiés de ce manuel)
- Les clauses suivantes sur la sécurité doivent être intégrées dans tous les contrats principaux et de sous-traitance attribués à des organisations hors du Canada :
- tous les renseignements et biens protégés et classifiés fournis ou produits dans le cadre de ce contrat doivent être protégés comme suit :
- le destinataire ne doit pas transmettre ces renseignements et ces biens à un gouvernement, à une personne ou une organisation de pays tiers sans l'approbation écrite préalable du gouvernement du Canada
- le destinataire doit prévoir, pour les renseignements et les biens, des mesures de protection équivalentes à celles dont ils font déjà l'objet au Canada
- le destinataire ne doit pas utiliser ces renseignements et ces biens à d'autres fins que celles qui sont prévues, sans l'approbation écrire préalable du gouvernement du Canada
- les renseignements et les biens fournis ou produits dans le cadre de ce contrat doivent être transférés en faisant appel aux circuits gouvernementaux ou à d'autres circuits précisés par écrit par les administrations nationales de la sécurité. Ils ne doivent être retransmis qu'à des personnes qui justifient d'une autorisation de sécurité adéquate et de ‘'besoin de connaître'' officiel dans le cadre de l'exécution de ce contrat
- les renseignements et les biens fournis en vertu de ce contrat doivent porter les mentions de classification de sécurité équivalentes du gouvernement de l'administration gouvernementale qui les reçoit
- les renseignements et le matériel produits dans le cadre de ce contrat doivent porter la classification de sécurité précisée par les clauses de ce contrat sur la classification de sécurité des contrats
- l'entrepreneur doit signaler dans les plus brefs délais, aux administrations de la sécurité de son gouvernement, tous les cas dans lesquels il sait ou a raison de croire que des renseignements et des biens fournis ou produits dans le cadre de ce contrat ont été perdus ou remis à des personnes non autorisées
- on ne doit pas fournir à d'autres entrepreneurs ou sous-traitants les renseignements et les biens fournis ou produits dans le cadre de ce contrat, sauf si :
- les administrations de la sécurité industrielle ont donné, à ces entrepreneurs ou sous-traitants, l'approbation leur permettant d'avoir accès à ces renseignements et à ces biens
- le gouvernement du Canada leur a donné une autorisation écrite préalable, si ces entrepreneurs ou sous-traitants exercent leurs activités dans un tiers pays
- à la fin du contrat, tous les renseignements et tous les biens fournis ou produits dans le cadre de ce contrat doivent être restitués à l'entrepreneur canadien
- tous les renseignements et biens protégés et classifiés fournis ou produits dans le cadre de ce contrat doivent être protégés comme suit :
Chapitre 12 : Éducation en matière de sécurité
1200. Généralités
- Afin d'assurer une sécurité organisationnelle adéquate, l'agent de sécurité d'entreprise (ASE) exécute un programme d'éducation en matière de sécurité en étroite collaboration avec les cadres de tous les niveaux. Les lacunes au chapitre de la sécurité peuvent entraîner la perte de l'attestation de sécurité d'installation (ASI) de l'organisation et l'annulation des contrats comportant de l'information ou des biens protégés ou classifiés
- La sécurité de l'organisation n'est pas uniquement la responsabilité de l'ASE et son personnel. Les gestionnaires et les superviseurs de tous les niveaux sont chargés non seulement de prendre leurs propres mesures de sécurité personnelles mais également de s'assurer que tous les employés de l'organisation respectent des procédures adéquates de sécurité. Il est recommandé que les évaluations de rendement comprennent une mesure de l'efficacité de chacun en matière de sécurité, tout comme elles comprennent d'autres mesures d'évaluation de l'organisation
- Une séance initiale d'information sur la sécurité, complétée par un plan continu d'éducation et de sensibilisation en la matière, est essentielle au maintien d'un bon programme de sécurité. Au bout du compte, le succès d'un programme de sécurité repose sur les employés de l'organisation. Toutes les mesures, tous les règlements et toutes les sauvegardes physiques ne seront guère utiles si les employés ne sont pas pleinement conscients de leurs responsabilités individuelles et de l'importance et de la nécessité des exigences en matière de sécurité
- Le Certificat d'enquête de sécurité et profil de sécurité, que chaque nouveau détenteur d'une attestation de sécurité de personne (ASP) lit et signe, constitue une reconnaissance de ses responsabilités. Il doit être accompagné d'une séance d'instructions de la part de l'ASE d'entreprise qui détaille les responsabilités et attributions de chacun par rapport à la sécurité de l'installation
- Un programme permanent d'éducation et de sensibilisation à la sécurité peut comprendre de nombreuses formes d'instruction, y compris, mais sans s'y limiter, les éléments suivants :
- séance d'information générale à l'intention de tous les employés
- réunions en petits groupes
- films ou vidéos
- articles de bulletins
- bulletins de sécurité
- affiches, etc.
- On peut obtenir de l'aide pour les sessions de formation auprès du Programme de sécurité des contrats (PSC) de Services publics et Approvisionnement Canada (SPAC)
- Des sessions périodiques avec de petits groupes correspondant aux structures d'organisation et avec du matériel adapté aux besoins du groupe se révèlent particulièrement efficaces. Le petit groupe favorise une meilleure attention et stimule la participation de toutes les personnes présentes
- Même s'ils n'ont pas encore obtenu leur attestation de sécurité et n'ont donc pas accès à des renseignements ou à des biens protégés/classifiés, les nouveaux employés devraient assister à une séance d'information en matière de sécurité adaptée aux fonctions qu'ils exercent. Dans le secteur privé, la sécurité comprend les exigences en matière de sécurité d'entreprise, ainsi que la protection des renseignements ou des biens protégés et classifiés de l'état
1201. Contenu suggéré d'une séance d'information en matière de sécurité
Le programme d'éducation et de sensibilisation à la sécurité de chaque organisation doit être adapté à la situation et aux besoins de l'installation visée et comprendre des renvois aux consignes de sécurité, s'il y a lieu (voir annexe 1-C : Consignes de sécurité du présent manuel).
Ressources du Manuel de la sécurité industrielle
Parcourez la liste alphabétique des termes ainsi que les abréviations et les acronymes qui se trouvent dans le Manuel de sécurité industrielle.
Glossaire des termes
Utilisez le répertoire alphabétique pour naviguer vers le terme que vous souhaitez en apprendre d'avantage.
Tous les termes présentés sont accompagnés de leur équivalent dans l'autre langue officielle et pour certains termes leur abréviation.
- Liste des glossaires des départements et des acronymes commençant par la lettre A
- Liste des glossaires des départements et des acronymes commençant par la lettre B
- Liste des glossaires des départements et des acronymes commençant par la lettre C
- Liste des glossaires des départements et des acronymes commençant par la lettre D
- Liste des glossaires des départements et des acronymes commençant par la lettre E
- Liste des glossaires des départements et des acronymes commençant par la lettre F
- Liste des glossaires des départements et des acronymes commençant par la lettre G
- Liste des glossaires des départements et des acronymes commençant par la lettre H
- Liste des glossaires des départements et des acronymes commençant par la lettre I
- Liste des glossaires des départements et des acronymes commençant par la lettre L
- Liste des glossaires des départements et des acronymes commençant par la lettre M
- Liste des glossaires des départements et des acronymes commençant par la lettre O
- Liste des glossaires des départements et des acronymes commençant par la lettre P
- Liste des glossaires des départements et des acronymes commençant par la lettre R
- Liste des glossaires des départements et des acronymes commençant par la lettre S
- Liste des glossaires des départements et des acronymes commençant par la lettre T
- Liste des glossaires des départements et des acronymes commençant par la lettre V
Liste des services et des programmes commençant par la lettre A
- agent local de la sécurité industrielle (ALSI) (field industrial security officer (FISO))
- Représentant du Programme de sécurité (PSC) des contrats de Services publics et Approvisionnement Canada (SPAC) chargé d'aider une organisation à établir et à maintenir un programme efficace de sécurité des contrats et agissant à titre de personne contact de l'agent de sécurité d'entreprise (ASE) avec le PSC de SPAC pour tout ce qui concerne les questions de sécurité industrielle.
- atteinte à la sécurité (breach)
- Situation résultant de la diffusion non autorisée de renseignements ou de biens protégés ou classifiés ou de l'accès non autorisé à de tels renseignements ou biens. Peut comprendre, sans nécessairement s'y limiter, la divulgation non autorisée dans des circonstances rendant l'atteinte probable.
- attestation de sécurité d'installation (ASI) (facility security clearance (FSC))
- Jugement administratif selon lequel une organisation peut, du point de vue de la sécurité, avoir accès à des renseignements ou à des biens protégés et classifiés d'un niveau de classification égal ou inférieur à celui de l'attestation qui est consentie.
- attestation de sécurité de personnel (personnel security clearance)
- Attestation accordée à la suite d'une évaluation de la loyauté d'une personne envers le Canada et, jusqu'à un certain point, de sa fiabilité.
- autorisation de détenir des renseignements (ADR) (document safeguarding capability (DSC))
- Accréditation selon laquelle l'installation d'une organisation, qui a obtenu, soit une vérification d'organisation désignée (VOD) ou une attestation de sécurité d'installation (ASI), et a été autorisée à entreposer ou à manipuler du matériel ou des biens protégés (vérification d'organisation désignée), ou protégés et classifiés (attestation de sécurité d'installation). Les ADRs peuvent être accordées séparément à un siège social et/ou à un ou plusieurs emplacements physiques distincts appartenant à l'organisation. Une ADR est distincte d'une VOD ou d'une ASI, et les complète.
Liste des services et des programmes commençant par la lettre B
- besoin de connaître (need-to-know basis)
- La nécessité, pour une personne, d'avoir accès à certains renseignements et d'en prendre connaissance pour exercer ses fonctions.
- biens classifiés (classified assets)
- Biens dont la divulgation sans autorisation risquerait vraisemblablement de porter préjudice à l'intérêt national.
- biens protégés (protected assets)
- Biens dont la divulgation sans autorisation risquerait vraisemblablement de porter préjudice à des intérêts privés ou non reliés à l'intérêt national.
Liste des services et des programmes commençant par la lettre C
- cadres supérieurs clés (CSC) (key senior official (KSO))
- Personne devant obtenir une attestation de sécurité de personnel avant qu'une organisation puisse obtenir son attestation de sécurité d'installation (ASI). Cette personne peut être l'agent de sécurité d'entreprise (ASE) et les propriétaires, les agents, les administrateurs, les cadres supérieurs et les associés qui occupent des postes où ils pourraient nuire aux politiques ou aux pratiques de l'organisation en matière d'exécution des contrats classifiés.
- carte d'identité (identification card)
- Document délivré par l'organisation afin d'identifier le porteur.
- compromission (compromise)
- Divulgation, destruction, élimination, modification, interruption de la transmission ou utilisation non autorisée d'un renseignement ou d'un bien.
- consignes de sécurité (security orders)
- Documentation écrite élaborée, mise en œuvre et mise à jour par une organisation afin d'officialiser et de normaliser les arrangements et les méthodes de sécurité à l'intérieur de l'organisation.
- contenant de sécurité approuvé (approved security container)
- Types particuliers de contenants répondant aux normes établies par un comité interministériel créé à cette fin. Le Guide d'équipement de sécurité (document G1-001) énumère les contenants de sécurité approuvé.
- cote de fiabilité (reliability status)
- Indique que l'évaluation de la fiabilité a été achevée avec succès et donne à la personne visée un accès régulier à des biens du gouvernement et un accès à des renseignements protégés en fonction du besoin de connaître.
Liste des services et des programmes commençant par la lettre D
- Directive en matière de sécurité des Technologie de l'information sur le contrôle du matériel COMSEC au sein du gouvernement du Canada (Information Technology Security Directive for the Control of COMSEC Material in the Government of Canada)
- Une directive qui énonce les exigences de sécurité minimales pour le contrôle et la gestion du matériel COMSEC autorisé par le Centre de la sécurité des télécommunications (CST) et utilisé au sein du gouvernement du Canada. Ce document est publié avec l'autorisation du chef du CST, conformément à la Politique sur la sécurité du gouvernement.
- Directive en matière de sécurité des Technologie de l'information sur le contrôle du matériel COMSEC au sein des entreprises du secteur privé canadien (disponible en anglais seulement) (Information Technology Security Directive for the Control of COMSEC Material in the Canadian Private Sector)
- Une directive qui énonce les exigences minimales en matière de sécurité que doivent respecter les praticiens COMSEC dans le cadre du contrôle et de la gestion du matériel COMSEC autorisé par le Centre de la sécurité des télécommunications (CST) aux fins d'utilisation, au Canada, par une organisation du secteur privé. Ce document est publié avec l'autorisation du chef du CST conformément à la Politique sur la sécurité du gouvernement.
Liste des services et des programmes commençant par la lettre E
- enquête de sûreté (reliability screening)
- Processus qui doit être réalisé avant d'attribuer une cote de fiabilité à une personne.
- évaluation de la menace (threat assessment)
- Évaluation de la nature, de la probabilité et des conséquences d'actes ou d'événements susceptibles de menacer la sécurité de renseignements et de biens protégés ou classifiés.
- évaluation du risque (risk assessment)
- Évaluation de la probabilité qu'une lacune soit exploitée, d'après l'efficacité des mesures de sécurité existantes ou proposées.
Liste des services et des programmes commençant par la lettre F
- filtrage de sécurité (security screening)
- Processus qui doit être réalisé avant d'attribuer une cote de sécurité à une personne.
- fonctionnaire autorisé (authorized official)
- Employé d'une organisation qui détient une cote de fiabilité et qui est désigné par cette organisation pour s'acquitter des responsabilités relatives à la fonction de contrôle de la sécurité du personnel pour les organisations qui possèdent une vérification d'organisation désignée.
- fonctionnaire autorisé remplaçant (alternate authorized official)
- Employé d'une organisation qui détient une cote de fiabilité et qui est désigné par cette organisation pour aider le fonctionnaire autorisé à s'acquitter de ses responsabilités ou pour assumer ces responsabilités, s'il y a lieu.
Liste des services et des programmes commençant par la lettre G
- gouvernement à gouvernement (government-to-government)
- Transactions internationales (par exemple, permis de visite et transmission de matériel) qui doivent avoir lieu entre les autorités en matière de sécurité industrielle du gouvernement des pays intéressés (au Canada, la Direction de la sécurité industrielle canadienne) ou peuvent être exécutées par des organisations du secteur privé mais seulement avec l'approbation écrite des autorités en matière de sécurité industrielle du gouvernement des pays intéressés.
Liste des services et des programmes commençant par la lettre H
- heures d'accès du public (public access hours)
- Heures auxquelles le public peut pénétrer dans une zone d'accueil et, avec autorisation, dans une zone d'accès réservé. L'accès des employés n'exige pas nécessairement une autorisation.
Liste des services et des programmes commençant par la lettre I
- installation (facility)
- Cadre physique destiné à un but précis. Une installation peut se trouver à l'intérieur d'un immeuble ou être constitué d'un immeuble entier ou encore d'un immeuble en plus de son terrain et de son milieu; ou encore il peut s'agir d'une construction qui n'est pas un immeuble. Le terme comprend à la fois l'objet physique et l'utilisation.
- intérêt national (national interest)
- Concerne la défense et le maintien de la stabilité sociale, politique et économique du Canada et donc, la sécurité du pays.
Liste des services et des programmes commençant par la lettre L
- liste de vérification relative à la sécurité (LVRS) (security requirements check list (SRCL))
- Formule à l'usage des autorités de projet, des agents de sécurité ministériels, des agents d'approvisionnement ou d'autres fonctionnaires participant au processus contractuel en vue de recenser les exigences en matière de sécurité au début d'un processus contractuel ou précontractuel.
Liste des services et des programmes commençant par la lettre M
- méthodes de contrôle de l'accès (access control methods)
- Méthodes utilisées pour prévenir l'accès non autorisé. Ces méthodes peuvent comprendre des systèmes faisant intervenir des être humains, soit des gardiens ou des réceptionnistes, des systèmes fondés sur les caractéristiques physiques du genre empreintes digitales ou signatures, ou encore des systèmes basés sur des dispositifs de contrôle de l'accès, comme des clés ou des cartes magnétiques.
Liste des services et des programmes commençant par la lettre O
- ordre de mission de courrier (courier certificate)
- Certificat autorisant une personne à transporter des renseignements ou des biens protégés ou classifiés pour son usage personnel à destination ou pour l'usage ou la conservation par le personnel autorisé à destination.
- organisation (organization)
- Tout établissement autre qu'un ministère, un organisme ou une société d'État fédéral détenant ou sollicitant une attestation de sécurité d'installation (ASI). La plupart des organisations sont des sociétés commerciales mais il peut également s'agir d'universités, de sociétés de personnes et d'autres paliers de gouvernement ainsi que de leurs organismes.
Liste des services et des programmes commençant par la lettre P
- perte d'intégrité
- Consultez « compromission ».
- pour cause (for cause)
- Détermination d'une raison valable d'examiner, de révoquer, de suspendre ou de déclasser une cote de fiabilité ou de sécurité. Dans le cadre d'une évaluation de sécurité, détermination de la pertinence de vérifications plus approfondies.
- protégé (protected)
- Marque indiquant que les renseignements sont désignés et exigent une sauvegarde supérieure à celle de base. Protégé A désigne l'obligation de recourir à des normes minimales de protection, Protégé B indique la nécessité d'adopter des mesures de sécurité supplémentaires et Protégé C signale l'obligation d'utiliser des sauvegardes spéciales et strictes.
Liste des services et des programmes commençant par la lettre R
- renseignements classifiés (classified information)
- Renseignements d'intérêt national susceptibles d'être visés par une exclusion ou une exception en vertu de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels, et dont la divulgation sans autorisation risquerait vraisemblablement de porter préjudice à l'intérêt national.
- renseignements protégés (protected information)
- Renseignements autres que d'intérêt national susceptibles d'être visés par une exclusion ou une exception en vertu de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels, et dont la divulgation sans autorisation risquerait vraisemblablement de porter préjudice à des intérêts privés ou non reliés à l'intérêt national.
- responsable des ressources COMSEC (COMSEC custodian)
- Personne désignée par l'autorité COMSEC ou par le Centre de la sécurité des télécommunications pour se charger de la réception, du transfert, de la responsabilité, de la sauvegarde et de la destruction des ressources COMSEC.
Liste des services et des programmes commençant par la lettre S
- sécurité des émissions (emission security)
- Consultez « TEMPEST »
- sécurité des communications (COMSEC – Communications security)
- Mesures de sécurité cryptographiques, de sécurité des transmissions et de sécurité des émissions qui s'appliquent à l'information sauvegardée, traitée ou transmise de façon électronique. COMSEC est un sous-ensemble connexe à la sécurité des technologies de l'information.
- surveillance continue (continuous monitoring)
- Vérification de la surveillance des biens par le personnel chargé de son contrôle, par des gardiens ou par des moyens électroniques avec suffisamment de régularité pour détecter les tentatives d'accès non autorisé.
Liste des services et des programmes commençant par la lettre T
- TEMPEST
- Nom de code classifié pour "sécurité des émissions", qui est la discipline qui traite de la suppression des signaux électromagnétiques non intentionnellement rayonnés ou conduits, qui pourrait avoir comme conséquence la divulgation non-autorisée des informations.
Liste des services et des programmes commençant par la lettre V
- vérification d'organisation désignée (VOD) (designated organization screening (DOS))
- Jugement administratif selon lequel une organisation peut, du point de vue de la sécurité, avoir accès à des renseignements ou à des biens protégés d'un niveau de classification égal ou inférieur à celui de l'attestation qui est consentie.
- violation de la sécurité (violation of security)
- Acte ou omission contrevenant à une disposition du Manuel de la sécurité industrielle (MSI) ou à une obligation contractuelle. Peut comprendre l'omission de classifier ou de désigner des renseignements selon la politique; classifier ou désigner, ou encore maintenir une classification ou une désignation, en contravention de la politique; modifier, conserver, détruire ou enlever sans autorisation des renseignements protégés ou classifiés; également, interrompre sans autorisation un flux de renseignements protégés ou classifiés.
- voies de gouvernement à gouvernement (government-to-government channels)
- Voies approuvées par les autorités en matière de sécurité industrielle du gouvernement des pays intéressés (au Canada, la Direction de la sécurité industrielle et ministérielle)
Abréviations et acronymes
- ADR
- autorisation de détenir des renseignements
- ADS
- administration désignée en matière de sécurité
- AGSE
- agent général de sécurité d'entreprise
- ANS
- administration nationale de la sécurité
- ARSI
- agent régional de la sécurité industrielle
- ASER
- agent de sécurité d'entreprise remplaçant
- AS
- attestation de site
- ASE
- agent de sécurité d'entreprise
- ASI
- attestation de sécurité d'installation
- ASTFC
- Agence des services techniques des Forces canadiennes
- BMA
- Bureau mixte d'agrément (canado-américain)
- BPR
- Bureau de première responsabilité
- CD
- Chef de la direction
- COMSEC
- Sécurité des communications – Communications security
- CSC
- cadres supérieurs clés
- CST
- Centre de la sécurité des télécommunications
- DD
- dissipation des doutes
- DEI
- détection électronique des intrusions
- DOD
- Department of Defense (des États-Unis)
- DDP
- demande de propositions
- DTCPM
- données techniques critiques sur le plan militaire
- GRC
- Gendarmerie royale du Canada
- GTMSI
- Groupe de travail multinational en matière de sécurité industrielle
- ITAR
- International Traffic in Arms Regulations
- LLEI
- Loi sur les licences d'exportation et d'importation
- LVERS
- liste de vérification des exigences relatives à la sécurité
- MDN
- Ministère de la Défense nationale
- MSI
- Manuel de la sécurité industrielle
- NORAD
- Commandement de la défense aérospatiale de l'Amérique du Nord
- OTAN
- Organisation du Traité de l'Atlantique Nord
- PA
- personnel affecté
- PCIE
- participation, contrôle et influence étrangers
- PDG
- président directeur général
- PE
- protocole d'entente
- PGS
- Politique du gouvernement sur la sécurité
- PMA
- Programme mixte d'agrément (canado-américain)
- PSC
- Programme de sécurité des contrats
- QGDN
- Quartier général de la Défense nationale
- SCRS
- Service canadien du renseignement de sécurité
- SPAC
- Services publics et Approvisionnement Canada
- TCF
- télévision en circuit fermé
- TI
- technologie de l'information
- UCD
- Unité de contrôle des documents
- VOD
- vérification d'organisation désignée
Détails de la page
- Date de modification :