Ministère de la Justice Lignes directrices en matière de sécurité à l’intention des mandataires au Canada : Renseignements et biens protégés

6. Sécurité matérielle et protection de documents

6.1 Information générale

Le mandataire doit posséder une Autorisation de détenir des renseignements (ADR) délivrée par le gouvernement du Canada pour utiliser, produire et protéger les renseignements et biens protégés sur son lieu de travail, dans le cadre d’une nomination de mandataire. Pour être admissible à une ADR, le cabinet doit d’abord obtenir une attestation de VOD et avoir mis en place un système de contrôle et des procédures de sécurité qui répondent aux exigences de sécurité matérielle énumérées ci‑dessous.

6.2 Éléments de la sécurité matérielle

La sécurité matérielle concerne le caractère adéquat de l’emplacement et de la conception des installations du mandataire, ainsi que les mesures adoptées pour prévenir, détecter et contrer les accès non autorisés. Le mandataire doit mettre en place des mesures de contrôle particulières pour assurer la sécurité, notamment des zones de sécurité à restriction progressive, des systèmes et des procédures de contrôle de l’accès, des armoires sécurisées, de l’équipement de destruction approuvé et des procédures de manipulation et de protection, comme il est décrit ci‑dessous.

6.2.1 Zones de sécurité

Les mandataires sont tenus d’avoir des zones de sécurité appropriées sur leur lieu de travail. Les zones de sécurité typiquement requises pour manipuler des renseignements et des biens protégés sont les suivantes :

  • La zone d’accès publique est la zone qui généralement entoure ou constitue en partie les installations d’un cabinet où le public peut aller et venir, p. ex. les terrains entourant un immeuble, ainsi que les couloirs publics et halls d’ascenseur dans les édifices occupés par différents locataires.
  • La zone d’accueil est l’aire de transition de la zone d’accès public à la zone d’accès restreint. Elle est généralement située à l’entrée des installations où survient le premier contact entre le public et le cabinet.
  • La zone de travail est la zone où les renseignements et biens protégés sont généralement utilisés et entreposés. Tous les points d’accès à ces zones sont contrôlés et leur accès est limité en tout temps.

L’organisation et la hiérarchie des zones de sécurité, conformément aux normes du gouvernement du Canada, sont présentées à l’annexe C.

6.2.2 Contrôle de l’accès aux renseignements et aux biens protégés

6.2.2.1 Information générale

L’ASE est responsable de contrôler l’accès aux renseignements et aux biens protégés dans les locaux du mandataire en tout temps, ainsi que de limiter leur accès aux personnes possédant la cote de sécurité nécessaire et le besoin de connaître.

6.2.2.2 Systèmes de contrôle de l’accès

L’ASE doit maintenir un système de contrôle de l’accès pour surveiller l’accès de visiteurs aux zones de travail durant les heures normales de travail (p. ex. un calendrier électronique et un registre des visiteurs) et veiller à ce que ces visiteurs soient correctement accompagnés lorsqu’ils circulent dans les zones de travail.

L’ASE doit également veiller à ce que les personnes qui doivent avoir accès aux zones de travail en dehors des heures normales de travail (p. ex. les préposés à l’entretien de nuit) possèdent une cote de fiabilité ou soient correctement accompagnées. Il doit également tenir un registre de l’accès après les heures normales de travail.

6.2.2.3 Contrôle des clés et cartes d’accès

L’ASE doit assurer un contrôle systématique de toutes les serrures, les clés, les combinaisons et les cartes d’accès qui sont utilisées dans les locaux du mandataire pour assurer la protection des renseignements et des biens protégés.

6.2.2.4 Procédures de verrouillage

L’ASE doit s’assurer que toutes les portes du périmètre, y compris les portes menant à des zones de travail, soient verrouillées à la fin de la journée. Toute personne demeurant sur les lieux de travail après les heures normales de travail veille à ce que toutes les portes soient verrouillées lorsqu’elle quitte le bureau.

6.2.2.5 Armoires

Tous les renseignements et biens protégés doivent être enfermés dans une armoire verrouillée lorsqu’ils ne sont pas utilisés et après les heures normales de travail.

Toutes les armoires utilisées pour entreposer des renseignements et des biens protégés doivent avoir un mécanisme de verrouillage et être situées dans la zone de travail.

6.2.2.6 Destruction de renseignements et de biens

Tous les renseignements et biens protégés, y compris les supports amovibles (p. ex. clés USB et CD) qui contiennent des renseignements protégés, ne peuvent être détruits que sur autorisation ou instruction écrite du Ministère. Le cas échéant, ils doivent être détruits de façon à ce que leur contenu soit irrécupérable.

Le cabinet doit utiliser de l’équipement de destruction qui répond aux normes du gouvernement du Canada (c.‑à‑d. une déchiqueteuse de type 111A 2 mm X 15 mm ou de type 111B 6 mm X 50 mm) ou faire appel à une entreprise autorisée ou approuvée par le Ministère. Tout l’équipement de destruction doit être situé dans la zone de travail du cabinet.

6.3 Manipulation et protection de renseignements et de biens

6.3.1 Procédures

Le Ministère attend des mandataires qu’ils établissent et mettent en œuvre des procédures et des méthodes qui permettent la manipulation appropriée et la protection de tous les renseignements et biens protégés dans leurs installations.

6.3.2 Identification des informations protégées

Les mandataires sont tenus de se demander si les documents produits au sein de leur organisation doivent être cotés « Protégé A » ou « Protégé B », et veiller à ce que cette information soit inscrite dans le coin supérieur droit de la première page du document.

6.3.3 Transport et transmission

L’ASE veille à ce que tous les renseignements et biens protégés soient sécurisés adéquatement lorsqu’ils sont transportés ou transmis à l’intérieur ou à l’extérieur d’une zone de travail. Les mesures de protection minimales du gouvernement du Canada en matière de transport et de transmission au Canada sont présentées à l’annexe D.

Le mandataire doit contacter le ministère pour instructions lorsqu’il est requis de transporter ou transmettre des renseignements ou biens protégés hors du Canada.

L’ASE doit tenir un dossier ou un registre de contrôle permettant de suivre la circulation des supports amovibles (p. ex. clés USB et CD) qui contiennent des renseignements protégés, que le Ministère pourra vérifier au besoin.

6.4 Autorisation de détenir des renseignements (ADR)

6.4.1 Processus d’obtention d’une ADR

De façon à permettre au Ministère de pleinement évaluer l’admissibilité d’un mandataire à une ADR visant un lieu de travail donné, l’ASE doit attester que les locaux du mandataire répondent aux exigences de sécurité matérielle décrites et que les renseignements et biens protégés en la possession du cabinet sont adéquatement préservés.

Pour faciliter le processus d’évaluation aux fins d’attribution d’une ADR, l’ASE doit remplir un formulaire Demande d’autorisation de détenir des renseignements (ADR) – Protégé B (MJ-SM 03), qui atteste les conditions suivantes :

  • il y a eu obtention préalable d’une attestation de VOD;
  • les zones de sécurité appropriées sont en place et maintenues dans les installations du cabinet;
  • des procédures et des systèmes de contrôle de l’accès sont en place;
  • des armoires à mécanisme de verrouillage, situées dans une zone de travail, sont utilisées pour entreposer les renseignements et biens protégés;
  • les documents et biens protégés sont détruits au moyen d’équipement de destruction approuvé et situé dans une zone de travail, ou par l’entremise d’une entreprise de déchiquetage autorisée;
  • des procédures et des méthodes de sécurité appropriées sont appliquées pour assurer la manutention et la protection de renseignements et de biens protégés.

Les renseignements attestés dans le formulaire sont sujets à une vérification du Ministère, et la conformité aux renseignements attestés est une condition de l’attribution d’une ADR.

Il est possible que le Ministère exige des documents supplémentaires à l’appui (p. ex. un plan d’étage détaillé des locaux et des photos des zones d’accueil et de travail et des points d’entrée) pour mener son examen. Le cas échéant, il en informera le mandataire.

Le Ministère peut inspecter les locaux du mandataire, ses dossiers et ses procédures et méthodes de protection avant d’accorder une ADR. Au besoin, le Ministère vérifiera si les installations du mandataire répondent à ses exigences en matière de sécurité. Les mandataires sont tenus de fournir au Ministère un accès complet à leurs locaux ainsi que toute assistance ou information requises aux fins de l’inspection.

À la suite d’une inspection, le Ministère peut formuler des recommandations visant l’amélioration des moyens utilisés par le cabinet pour protéger les renseignements et les biens. Si le Ministère détermine que le mandataire ne satisfait pas aux exigences de sécurité matérielle, il pourra retarder ou refuser d’accorder une ADR

Le Ministère avise le mandataire par écrit une fois que l’ADR a été accordée.

6.4.2 Validation d’une ADR existante

Lorsqu’un cabinet mandataire détient une ADR valide accordée par le SPPC, le Ministère peut l’accepter et émettre une ADR du ministère de la Justice, plutôt que reprendre le processus de vérification.

Pour faciliter la validation d’une ADR existante, le Ministère aura besoin d’une copie de la lettre d’approbation de l’ADR et pourra exiger d’autres documents. Ces exigences seront communiquées au mandataire au besoin.

6.4.3 Maintien de la conformité

Une ADR accordée par le ministère de la Justice demeure valide pourvu que le mandataire satisfait aux exigences en matière de sécurité matérielle tout au long de la période de nomination. Le ministère peut demander à l’ASE d’effectuer des inspections périodiques en matière de sécurité matérielle des installations du cabinet et de ses procédures de protection. L’ASE conserve un compte-rendu de ces inspections à des fins de consultation par le Ministère, au besoin. De plus, le Ministère peut inspecter les locaux du cabinet à tout moment. Si le Ministère vient à déterminer qu’un mandataire ne satisfait pas aux exigences en matière de sécurité matérielle, il peut lui retirer son ADR.

Avant qu’un mandataire n’apporte toute modification aux éléments touchant à la sécurité qui pourrait avoir une incidence sur la protection des renseignements et des biens protégés, comme un déménagement ou la rénovation de ses locaux, l’ASE doit en aviser le Ministère immédiatement, avant que la modification ne soit faite.

L’ASE doit tenir un dossier qui renferme toute la documentation relative à l’attribution et au maintien d’une ADR.

6.4.4 Cycle de renouvellement d’une ADR

Une ADR accordée par le Ministère doit être renouvelée tous les cinq (5) ans à partir de la date de délivrance. Il incombe au mandataire d’aviser le Ministère de son souhait de renouveler son ADR.

Pour demander un renouvellement, l’ASE doit soumettre un formulaire Demande d’autorisation de détenir des renseignements (ADR) – Protégé B avant la date de renouvellement.

Le Ministère avise le cabinet par écrit une fois que l’ADR a été renouvelée.

Date de modification :