Guide sur la sécurité relative aux contrats

1.0 Exigence

Conformément à la Politique sur la sécurité du gouvernement, et aux diverses politiques, directives et normes émises en vertu de celle-ci, les contrats doivent comprendre les dispositions appropriées sur la sécurité, et les fournisseurs ainsi que leur personnel doivent avoir les autorisations de sécurité et les permissions d'accès nécessaires.

2.0 Aperçu

  1. L'un des principaux objectifs de la sécurité en matière de passation de marchés est la protection des renseignements personnels au sujet des Canadiens. Les renseignements protégés sont pertinents pour le Ministère en raison des données tenues à jour dans le cadre de divers programmes, tel que le Régime de pensions du Canada, l'Assurance-emploi et la Sécurité de la vieillesse.
  2. L'information contenu dans ce guide fourni des indicateurs clés en matière de vérification de sécurité, des directives générales sur les exigences de sécurité d'EDSC et des renseignements sur les rôles et les responsabilités du représentant du client d'EDSC (chargé de projet), du spécialiste en approvisionnement de la DGDPF (spécialiste en approvisionnement), de le Dirigeant principal de la sécurité (DPS) et ses représentants/délégués (p. ex., les bureaux régionaux de la sécurité ou BRS), du coordonnateur de la sécurité des TI, de l'agent chargé de la sécurité du personnel d'EDSC (SECPER) et du Programme de sécurité des contrats (PSC), anciennement la Direction de la sécurité industrielle canadienne (DSIC), de Services publics et Approvisionnement Canada (SPAC).

3.0 Principaux indicateurs du filtrage de sécurité

  1. L'enquête de sécurité sur le personnel
    L'enquête de sécurité sur le personnel vise les personnes qui travaillent à contrat et qui auront ou pourraient devoir avoir accès à des renseignements ou des biens protégés ou classifiés ou à des lieux de travail sécurisés. Le filtrage au niveau cote de fiabilité est le niveau de base lorsque les fonctions nécessitent un accès à des renseignements ou à des biens gouvernementaux, ainsi qu'un accès sans escorte à des zones d'opérations dans des établissements du gouvernement.
  2. Vérification d'organisation désignée (VOD)
    Une VOD est requise afin qu'une organisation puisse accéder aux opportunités de marchés de niveau « Protégé ». Elle permet à une organisation d'obtenir pour ses employés, une vérification de sécurité pour une attestation au niveau cote de fiabilité.
  3. Attestation de sécurité d'installation (ASI)
    Une ASI est requise afin qu'une organisation puisse accéder aux opportunités de marchés de niveau « Classifié », afin d'avoir accès à des renseignements et des biens classifiés et à des lieux de travail sécurisés. Noter qu'une ASI ne confère pas de capacité de protection de documents (tel que vu ci-dessous). Dans certains cas, une ASI est requise avant qu'une organisation puisse soumissionner pour un contrat.
  4. Autorisation de détenir des renseignements (ADR)
    Les organisations qui détiennent une VOD ou une ASI et qui sont tenues par contrat de stocker et de traiter des renseignements protégés et/ou classifiés à leurs propres lieux de travail devront avoir une ADR. Une ADR approuvée pour le site d'un entrepreneur ne signifie pas que l'entrepreneur a également les moyens physiques et techniques pour la protection adéquate des biens de TI et les renseignements d'EDSC. Un processus d'inspection ou d'approbation distinct et séparé aux fins de l'ADR doit également être appliqué pour qu'un fournisseur obtienne une autorisation de traiter la technologie de l'information, c'est-à-dire une autorisation de travailler sur des documents sensibles en utilisant leurs propres systèmes informatiques. Une ADR n'est valide que pour un lieu de travail spécifique et est requise pour chaque lieu de travail où une organisation effectuera des travaux assorties d'exigences de sécurité.
  5. Autorisation de traiter les technologies de l'information (autorisation de traiter les TI)
    1. L'autorisation de traiter des TI est une désignation qui peut être accordée à des organisations afin de leur permettre de stocker, de traiter et/ou transmettre des données électroniques sensibles sur leurs systèmes de technologie de l'information dans le cadre d'un contrat spécifique.
    2. Une ADR ou une autorisation de traiter les TI n'est pas requise pour le personnel d'un entrepreneur utilisant un dispositif de connexion à distance sécurisé comme AppGate ou pour qu'un entrepreneur puisse travailler sur des documents non sensibles. L'autorisation de traiter des TI est obtenue suivant un processus de vérification d'organisation et d'une inspection réussie par un spécialiste de la sécurité des TI autorisé.
  6. Attestation de sécurité de fournisseur
    Bien que cela ne fasse pas partie du cadre de sécurité du CT, Services publics et Approvisionnement Canada (SPAC) effectue des attestations de sécurité de fournisseur et relie les attestations de sécurité du personnel à un fournisseur en particulier dans le cadre de ses pratiques de gestion du PSC.

4.0 Lignes directrices générales

  1. Liste de vérification des exigences relatives à la sécurité (LVERS)
    1. Toutes les demandes de contrats ou d'offres à commande qui renferment une exigence en matière de sécurité doivent inclure une Liste de vérification des exigences relatives à la sécurité (LVERS) (formulaire no TBS/SCT 350-103) et les guides/documents de sécurité connexes ainsi que les clauses de sécurité appropriées.
      (Remarque : il est préférable que le chargé de projet utilise soit les LVERS des services communs, soit la LVERS électronique, conformément aux directives de Sécurité relative aux contrats  – Étapes rapides. Le lien ci-dessus vous est fourni à titre de référence puisqu'il contient des instructions aux pages 5 à 14).
    2. Il incombe au chargé de projet de remplir la LVERS et d'inclure toutes les exigences relatives à la sécurité des TI dans l'énoncé des travaux (EDT).
    3. Pour des conseils sur la façon de remplir la LVERS, voir l'annexe A. Noter que des instructions accompagnent le formulaire LVERS.
    4. Consultez les directives de Sécurité relative aux contrats – Étapes rapides pour le processus de remplissage, d'approbation et de distribution d'une LVERS.
  2. Formulaire de demande 9200
    Lorsqu'il y a une exigence de sécurité pour un marché devant être octroyé par SPAC, le spécialiste de l'approvisionnement doit cocher les cases « Dispositions sur la sécurité » et « LVERS exigée » dans SAP afin de s'assurer que la question sur l'exigence de sécurité de la demande 9200 est complétée et indique « oui ».
  3. Absence d'exigences de sécurité
    En l'absence d'exigences de sécurité, il est recommandé que la Demande d'approvisionnement (DA) indique dans la rubrique SAP « Aucunes exigences de sécurité ».
  4. Exigences de sécurité en matière de TI
    Pour les exigences relatives aux TI, les Services de sécurité des TI fourniront une évaluation technique des TI incluant des conseils et des instructions sur la façon de gérer l'exigence. Cette évaluation technique des TI contient des instructions lesquelles doivent être suivis par l'entrepreneur pour l'identification, l'utilisation appropriée des réseaux de l'entrepreneur, l'accès à des données sensibles, le stockage et l'élimination des supports de TI. Lorsqu'il aura une attestation de sécurité, l'entrepreneur recevra une lettre d'« Autorisation de traiter » de la part du Programme de sécurité des contrats (PSC) de SPAC, lui permettant d'utiliser ses systèmes de TI pour traiter, manipuler et stocker des renseignements d'EDSC.
  5. Sollicitation
    1. Lorsqu'il existe des exigences de sécurité, les documents de sollicitation doivent indiquer clairement si :
      • les exigences de sécurité doivent être satisfaites avant la date de clôture de la sollicitation; ou
      • les exigences de sécurité doivent être satisfaites avant l'attribution du contrat.

      Remarque : le statut par défaut d'EDSC est que les sollicitations devraient indiquer que les exigences relatives à la sécurité doivent être remplies avant l'attribution du contrat, et non à la date de clôture de la sollicitation.

    2. Le spécialiste en approvisionnement devrait être au courant de tous les délais requis relativement à l'émission des attestations de sécurité appropriées, et de savoir si le document de sollicitation renfermera des conditions ou une limite de temps par laquelle les fournisseurs devront obtenir l'attestation de sécurité requise après la date de clôture de la sollicitation. Le choix de ces échéances ne doit pas être injustement discriminatoire à l'égard des fournisseurs possibles.
    3. La LVERS remplie doit être jointe en annexe à la sollicitation, bien que la page de signature page peut être omise afin d'éviter que les fournisseurs communiquent avec le chargé de projet durant la période de sollicitation.
  6. Filtrage de sécurité
    1. Si le fournisseur n'est pas encore inscrit au programme, il devra alors remplir un formulaire de Demande d'enquête de sécurité sur une organisation du secteur privé (ESOSP). Consultez les directives de Sécurité relative aux contrats – Étapes rapides pour plus de détails sur ce processus.
    2. Si le soumissionnaire sélectionné ne satisfait pas aux exigences de sécurité obligatoires au moment de l'attribution du contrat et que le Canada n'est pas en mesure de repousser l'attribution du contrat en raison d'exigences opérationnelles, Canada pourrait déclarer ce soumissionnaire non recevable et octroyer le marché au soumissionnaire recevable suivant.
    3. Si le personnel proposé a le niveau d'attestation de sécurité approprié mais avec un fournisseur différent, le fournisseur retenu doit demander à SPAC un transfert de l'attestation de sécurité, connue sous le nom de « double ».
      Durant l'attente de ce transfert, le directeur de la sécurité ministérielle peut approuver un prolongement (généralement de 3 mois) afin d'allouer à SPAC du temps pour compléter le transfert. Le personnel du fournisseur ne peut avoir une attestation de sécurité plus élevée que le fournisseur lui-même. Par exemple, si la personne proposée a une attestation de sécurité « Secret » au sein de la société A et travaille pour la société B qui a une attestation au niveau cote de fiabilité, il ne peut transférer que seulement une attestation au niveau cote de fiabilité sous la société B.
  7. Exceptions
    1. Dans les cas où l'attestation de sécurité doit être obtenue à la date de clôture, le spécialiste en approvisionnement devrait discuter avec son gestionnaire, sachant qu'une fois que les procédures ont été établies dans la sollicitation, elles ne peuvent pas être modifiées après la date de clôture durant l'étape de l'évaluation.
    2. Pour les cas exceptionnels, où la sollicitation stipule que les exigences de sécurité doivent être satisfaites avant l'attribution du contrat et qu'il pourrait être nécessaire d'attribuer un contrat avant la réception de l'attestation de sécurité, ou dans d'autres cas d'exception, contacter votre bureau régional de la sécurité (BRS) pour obtenir des conseils sur la façon de procéder. Le chargé de projet doit informer le spécialiste en approvisionnement avant que les travaux débutent (ou avant l'attribution du contrat). Les stratégies d'atténuation des risques sont des arrangements provisoires afin d'entreprendre les travaux pendant que la conformité aux exigences de sécurité est établie. Advenant que la stratégie d'atténuation des risques permette à une ressource ne possédant pas une attestation de sécurité d'exécuter le travail dans le cadre du contrat, son rôle ainsi que les restrictions devraient être documentés par les Services d'intégrité et acceptés par le chargé de projet, l'entrepreneur et tous les sous-traitants applicables. Le spécialiste en approvisionnement doit inclure ces mesures dans le contrat. L'approbation de ces mesures par le BRS et le chargé de projet doit être documentée dans le dossier d'approvisionnement.
  8. Attribution du contrat
    Après avoir confirmé que l'entrepreneur proposé et tous le personnel ayan besoin d'un accès à des données sensibles ou à des locaux ministériels possèdent les attestations de sécurité requises, le spécialiste en approvisionnement peut procéder à l'attribution du contrat, avec la LVERS dûment signée jointe en annexe.

5.0 Sous-traitance

Si l'entrepreneur entend céder une partie des travaux à un sous-traitant qui devra avoir accès à des renseignements ou des biens protégés ou classifiés, l'entrepreneur doit d'abord demander l'autorisation de sous-traiter au chargé de projet. Le sous-traitant doit satisfaire aux exigences de sécurité du contrat et obtenir l'attestation de sécurité appropriée pour tous son personnel avant que des dispositions de sous-traitance ne sont effectuées.

6.0 Rôles et responsabilités

  1. Chargé de projet
    Le chargé de projet est généralement le gestionnaire du centre de fonds responsable du projet. Les rôles et les responsabilités du chargé de projet inclus :
    1. déterminer les exigences relatives à la sécurité;
    2. déterminer le niveau de filtrage de sécurité et les autorisations d'accès conformément à l'annexe B de la Norme de filtrage de sécurité;
    3. s'assurer que les clauses sur la sécurité des TI figurent dans l'EDT;
    4. informer le spécialiste en approvisionnement des soumissionnaires potentiels qui ne sont pas inscrits au PSC;
    5. remplir le formulaire de l'ESOSP et le transmettre au SECPER;
    6. remplir et signer la LVERS. En la signant, le chargé de projet reconnait son rôle consistant à s'assurer que le contrat respecte les exigences de sécurité et qu'il confirme que la LVERS reflète avec exactitude les exigences de sécurité des travaux;
    7. revoir la version finale du contrat afin de s'assurer qu'elle respecte les exigences de sécurité et identifier toutes les inconsistances au spécialiste en approvisionnement;
    8. gérer tous les aspects de sécurité au cours de la période du contrat;
    9. pendant la période du contrat, s'assurer que tous le personnel de l'entrepreneur ou du sous-traitant ayant accès à des renseignements ou à des biens classifiés, protégés ou de nature sensible, ou encore à des locaux ministériels ou à des systèmes gouvernementaux, ai été identifié aux fins des travaux effectués aux termes du contrat, possède une attestation de sécurité appropriée et a été vérifié auprès du Programme de sécurité des contrats;
    10. s'assurer que l'organisation de l'entrepreneur et ses installations, s'il y a lieu, satisfont aux exigences de sécurité; et
    11. tenir compte de la protection des renseignements personnels lors de la prise de décisions contractuelles.
  2. Spécialiste en approvisionnement
    Le spécialiste en approvisionnement appuie le chargé de projet et facilite l'application des exigences relatives à la sécurité en s'assurant que :
    1. la LVERS soit remplie;
    2. en signant la LVERS, le personnel proposé obtient une attestation de sécurité avant l'attribution du contrat, et que les clauses appropriées soient incluses dans le contrat;
    3. la communication se fasse avec le SECPER afin d'assurer que les soumissionnaires potentiels identifiés par le chargé de projet n'étant pas inscrits au PSC s'inscrivent, complètent et signent le formulaire de l'ESOSP que lui transmet le chargé de projet;
    4. les clauses de sécurité appropriées figurent dans la sollicitation et le contrat;
    5. les vérifications de sécurité de l'entrepreneur proposé ainsi que de son personnel effectuant les travaux et requérant une attestation de sécurité, soient complétées avant l'attribution du contrat;
    6. les procédures et les exigences de sécurité connexes soient suivies et que les attestations de sécurité appropriées soient documentées au dossier avant l'attribution du contrat.
  3. Dirigeant principal de la sécurité (DPS) d'EDSC ou délégué (p. ex., agent de sécurité régional (ASR))
    Le DPS/ASR est chargé de gérer le programme de sécurité ministérielle en :
    1. s'assurant que son ministère respecte toutes les politiques et les normes de sécurité;
    2. examinant la LVERS pour s'assurer à ce qu'elle reflète les exigences de sécurité du chargé de projet, qu'elle respecte la politique sur la sécurité du ministère et ensuite en signant la LVERS;
    3. passant en revue l'EDT; et
    4. appuyant le chargé de projet et l'autorité contractante en identifiant les clauses de sécurité pertinentes requises (ce point peut varier d'une région à l'autre).
  4. Sécurité des TI

    Le coordonnateur de la sécurité des TI est le principal point de contact du ministère en matière de TI et :

    1. détermine l'ampleur des exigences de sécurité relatives aux TI;
    2. produit un document d'évaluation de la sécurité des TI;
    3. formule des recommandations de points à intégrer à l'EDT conforme au document d'évaluation de la sécurité des TI;
    4. examine les parties se rapportant à la sécurité des TI de l'EDT et tout autre document connexe portant sur les exigences;
    5. recommande l'approbation de tous les contrats pour les fournisseurs externes de services de sécurité des TI;
    6. travaille étroitement avec le chargé de projet pour :
      • s'assurer que leurs besoins en matière de sécurité des TI sont respectés;
      • fournir des conseils sur les mesures de protection;
      • aviser sur les impacts potentiels de menaces nouvelles et existantes; et
      • aviser sur les risques résiduels d'un programme ou d'un service.
    7. surveille la conformité du ministère aux normes en matière de STI et aux documents connexes.

    Le coordonnateur de la sécurité des TI, de concert avec le Dirigeant principal de la sécurité, assure que les intervenants physiques, du personnel et de la sécurité des TI coordonnent leurs efforts afin de protéger l'information et les biens de TI et assurer une approche intégrée et équilibrée.

  5. SECPER
    Le SECPER est responsable de :
    1. signer le formulaire d'ESOSP, lorsque rempli, pour les entrepreneurs proposés n'étant pas inscrits au PSC;
    2. recevoir les demandes du spécialiste en approvisionnement pour la vérification des niveaux de sécurité de l'organisation et du personnel spécifié dans la base de données des Services en direct de sécurité industrielle (SEDSI) et fournir le confirmation de sécurité de l'entrepreneur proposé et le personnel de l'entrepreneur au spécialiste en approvisionnement.
  6. Programme de sécurité des contrats, SPAC
    1. SPAC est l'autorité gouvernementale chargé d'assurer la conformité aux ententes de sécurité Canadiennes et internationales, aux arrangements et protocole d'entente (PE), ainsi que de fournir des conseils et directives aux ministères, entrepreneurs et entrepreneurs potentiels sur les exigences de sécurité des contrats nécessitant l'accès à des biens et des renseignements gouvernementaux de nature sensible.
    2. Le rôle du PSC consiste à :
      • réviser la LVERS (s'il y a lieu), les formulaires de demande d'enquête de sécurité sur une organisation du secteur privé (ESOSP) ainsi que toutes pièces jointes renfermant des dispositions sur la sécurité tel que l'EDT, afin d'en vérifier l'exactitude, l'intégralité et les signatures autorisées;
      • procéder aux vérifications de sécurité des fournisseurs et du personnel lorsque demandé;
      • assurer, pour les contrats internationaux potentiels, que les pays participants aient des arrangements de PE sur la sécurité appropriés ou des ententes avec le Canada. Si l'on s'attend à ce que des fournisseurs étrangers présentent une soumission, une liste de l'origine des pays applicables devrait être fournie au PSC, et les clauses appropriées relativement aux fournisseurs étrangers seront fournies;
      • signer la LVERS à titre d'autorité contractante et, lorsque demandé, fournir les clauses de sécurité applicables à EDSC;
      • fournir des renseignements au spécialiste en approvisionnement sur les attestations de sécurité de chaque soumissionnaire, entrepreneur ou offrant potentiel, selon le cas; et
      • fournir aux soumissionnaires, entrepreneurs ou offrants canadiens, des renseignements sur la préparation et la transmission de renseignements ou de biens classifiés ou protégés.

7.0 Documents de référence

  1. Emploi et Développement social

    Sécurité relative aux contrats  – Étapes rapides

    Services de le Dirigeant principal de la sécurité (DPS)

    Sommaire de la norme de sécurité révisée

    Outil de catégorisation de l’information

  2. Services publics et Approvisionnement Canada

    Manuel de la sécurité industrielle

    Nouvelles et mises à jour concernant la sécurité des contrats

  3. Conseil du Trésor

    Politique sur la sécurité du gouvernement

    Norme de sécurité et de gestion des marchés

    Norme sur le filtrage de sécurité

    Document d'orientation : prise en compte de la protection des renseignements personnels avant de conclure un marché

    Norme opérationnelle de sécurité : gestion de la sécurité des technologies de l'information (GSTI)

    Directive sur la gestion de la sécurité ministérielle 

Annexe A

Conseils généraux pour bien remplir la liste de vérification des exigences relatives à la sécurité (LVERS)

  1. Le chargé de projet cochera « Oui » à la case 11d, lorsque l'entrepreneur devra travailler sur des données protégées ou classifiées sur leurs propres systèmes de TI. Noter qu'il est peu probable que, tel qu'indiqué à la case 11e, EDSC aura un lien fixe avec une installation de l'entrepreneur.
  2. Le chargé de projet signe la case 13.
  3. Le chargé de projet coche « Oui » ou « Non » dans la case 15. Sauf s'il existe un guide des exigences de sécurité distinct, le chargé de projet coche généralement « Non ». Le chargé de projet envoie ensuite la LVERS et l'EDT à l'ASR inclus à la liste de contacts ci-dessous. Les ASR, en tant que délégués de Le DPS, gèrent la plupart des besoins.
    Voir la liste de contacts des BRS.
    Voir aussi les contacts Administration centrale (AC).
  4. La case 14 est signée par l'ASR approprié (dans le cas des contrats nationaux, le formulaire est transmis à Le DPS pour signature).
  5. La case 14 sera également signée par le directeur de la sécurité des TI lorsqu'il y a des exigences en TI.
  6. La case 16 est signée par le spécialiste en approvisionnement de la DGDPF de EDSC ou, si SPAC est l'autorité contractante, par l'agent d'approvisionnement de SPAC.
  7. Lorsque le Programme de sécurité des contrats (PSC) de SPAC est impliqué dans la révision de la LVERS, la case 17 est signée par le responsable de la sécurité de SPAC. La LVERS signée est ensuite retournée à EDSC, ainsi que les clauses légales devant être intégrées au contrat.