Directive sur le stockage de l’information électronique d’Emploi et Développement social Canada
1. Date d’entrée en vigueur et examen annuel
La présente directive est entrée en vigueur à la suite de son approbation par le Comité de gestion ministériel d’Emploi et Développement social Canada (EDSC) le 4 février 2015, et elle a été modifiée en 25 novembre 2019. Elle sera examinée chaque année par la Direction générale de l’innovation, de l’information et de la technologie (DGIIT).
2. Public cible
La présente directive vise toutes les personnes (y compris les employés, les employés occasionnels et les entrepreneurs) qui sont autorisées à accéder au réseau électronique d’EDSC.
EDSC comprend Service Canada et le Programme du travail, appelés collectivement « le Ministère » ou désignés par l’adjectif « ministériel » ou « ministérielle ».
3. But de la directive
3.1 Cette directive identifie les dépôts non structurés disponibles pour stocker des informations relatives au travail au sein du réseau électronique du ministère ou en étant connecté à celui-ci, et définit le contenu des informations autorisées dans chacun d’entre eux.
3.2 Cette directive doit être lue conjointement avec la Directive sur les dispositifs de stockage portatifs d’EDSC (2014) de même qu’avec les autres politiques et directives relatives à la sécurité de la technologie de l’information et à la gestion de l’information (voir Références).
3.3 Cette directive satisfait aux exigences des politiques du Secrétariat du Conseil du Trésor (SCT) qui mentionnent que le stockage approprié de l’information est essentiel à la protection des renseignements ministériels et à l’extraction autorisée de ceux-ci.
4. Exigence de base
Toutes les informations électroniques ministérielles non structurées doivent être correctement stockées dans le réseau électronique d’EDSC, conformément à la présente directive.
5. Exigences détaillées
5.1 Responsabilités
Il incombe aux personnes de manipuler, de stocker et de protéger adéquatement l’information, y compris l’information électronique, ce qui suppose notamment de déterminer le niveau de catégorisation de l’information conformément aux règles énoncées dans le Outil de catégorisation de l’information ou aux directives des gestionnaires ou du personnel du bureau de l’Agent de sécurité du Ministère.
5.2 Tableau des options de stockage de l’information électronique permises
Plusieurs types de dépôts de renseignements sont utilisés au Ministère, selon les exigences et l’évolution de la technologie. Les capacités relatives à la sécurité varient pour chacun des dépôts. Le tableau ci-dessous présente les dépôts actuels ainsi que l’information qu’il est permis de stocker sur chacun d’entre eux.
Note :
Les fichiers personnels n’ayant pas trait au travail, tel que défini dans la section Définitions, ne sont pas permis sur tout support électronique du gouvernement du Canada ou lecteur réseau.
| Dépôt | Information permise | Information non permise |
|---|---|---|
|
Dispositif de stockage local fixe (p. ex. lecteur C:\, Bureau) |
- | L’information ne doit pas être placée sur un dispositif de stockage local fixe, sauf si les fonctions professionnelles l’exigent. |
|
Stockage réseau lié au travail individuel (actuellement, le lecteur F:\) |
Renseignements personnels (exemples comprenant les formulaires administratifs personnels). |
L’information liée au travail (ressources documentaires de valeur opérationnelle [RDVO] et renseignements éphémères). Ils doivent être stockés dans un dépôt commun. Les renseignements personnels qui ne sont pas liés au travail. La taille totale des lecteurs F: individuels ne doit pas dépasser 2 gigaoctets (Go). |
|
Dépôts communs (p. ex. lecteur U:\, SharePoint, Portail des connaissances, sites de collaboration sur l’intranet) |
Renseignements liés au travail classifiés comme allant jusqu’à « Protégé B » et temporairement, fichiers personnels concernant le travail. (Affichage temporaire des activités sociales de l’équipe (p. ex. départs à la retraite, activités de promotion du travail d’équipe, cérémonies de remise de prix). |
Renseignements liés au travail classifiés comme supérieure à « Protégé B ». |
| Service de collaboration des documents de nature délicate |
Renseignements liés au travail classifiés comme « Protégé C, Confidentiel ou Secret ». Prendre note que seules les personnes possédant une attestation de sécurité de niveau « Secret » ont accès au Service de collaboration des documents de nature délicate. |
Renseignements liés au travail classifiés comme « Protégé B » ou inférieure. |
| Dispositif de stockage portatif USB chiffré approuvé | Renseignements liés au travail classifiés comme allant jusqu’à « Secret ». | Renseignements liés au travail classifiés comme supérieure à « Secret ». |
| Dispositif de stockage portatif USB non chiffré approuvé (cas d’exception) | Renseignements non classifiés seulement. | Renseignements liés au travail classifiés comme « Protégé A » ou supérieure. |
| CD et DVD (cas d’exception) | Renseignements liés au travail classifiés comme allant jusqu’à « Protégé A ». | Renseignements liés au travail classifiés comme supérieure à « Protégé A ». |
| Sites Web, médias sociaux et sites de collaboration | Renseignements non classifiés seulement. | Renseignements liés au travail classifiés comme « Protégé A » ou supérieure. |
| Sites gouvernementaux de collaboration (GCPedia, GCconnex forums du gouvernement du Canada) sur l’extranet | Renseignements liés au travail non classifiés seulement. | Renseignements liés au travail classifiés comme « Protégé A » ou supérieure. |
| Système de courriel ministériel | Informations relatives au travail classifiés comme allant jusqu’à « Protégé B », Consulter l' Outil de catégorisation de l’information |
Le système de courriel du Ministère ne doit pas faire office de dépôt; ce système est uniquement destiné aux renseignements de nature éphémère. La taille totale de tout compte de messagerie ne doit pas dépasser 2 Go. Des exceptions peuvent être accordées pour des raisons définies. |
| Téléphones intelligents du ministère (approuvé pour se connecter au courrier électronique d’EDSC) | Renseignements éphémères liés au travail classifiés comme allant jusqu’à « Protégé B », dans « l’aspect du travail » d’un téléphone intelligent. | Les appareils ne doivent pas servir d’appareils de stockage. Les RDVO doivent être déplacées dans un dépôt ministériel. |
| Téléphones cellulaires du ministère (pas approuvé pour se connecter au courier électronique d’EDSC) | Renseignements liés au travail classifiés comme allant jusqu’à « Protégé A ». | Les appareils ne doivent pas servir d’appareils de stockage. Les RDVO doivent être déplacées dans un dépôt ministériel. |
6. Définitions
- Renseignement classifié
- Renseignements de nature délicate classés « Confidentiel », « Secret » ou « Très secret »; consulter l' Outil de catégorisation de l’information.
- Prévention de la perte de données
- Prevention of potential breaches by monitoring, detecting and blocking sensitive data while in-use (endpoint actions), in-motion (network traffic), and at-rest (data storage).
- Cycle de vie de l’information
- Le cycle de vie de la gestion de l’information comprend les étapes de la planification, de la collecte, de la création, de la réception et de la saisie de l’information; de l’organisation, de l’utilisation et de la diffusion de l’information; de la conservation, de la protection et de la préservation de l’information; de l’élimination et de l’évaluation de l’information.
- RDVO
- Ressources documentaires à valeur opérationnelle.
- Renseignements non classifiés
- Des renseignements qui ne sont ni protégés ni classifiés.
- Renseignement personnel (non lié au travail d’un individu)
- Renseignements ou fichiers sans lien avec le travail ou l’emploi d’un individu dans la fonction publique. Cela inclut, sans toutefois s’y limiter, la musique, les photos, les vidéos et les documents de nature personnelle.
- Renseignements personnels (lié au travail d'un individu)
- Renseignements ou fichiers liés au travail d’un individu, tels que des curriculum vitaes, des offres d’emplois, des candidatures, des documents de concours, des formations, des documents d’études, des ententes de rendement, des réclamations, ainsi que des documents de référence et des documents de gestion de tâches personnelles.
- Renseignements protégés
- Renseignements personnels, confidentiels ou opérationnels classés « Protégé A, B ou C »; consulter le Outil de catégorisation de l’information.
- Dépôt
- Un emplacement de stockage de l’information, à l’aide de diverses technologies. Le cycle de vie de la gestion de l’information comprend les étapes de la planification, de la collecte, de la création, de la réception et de la saisie de l’information; de l’organisation, de l’utilisation et de la diffusion de l’information; de la conservation, de la protection et de la préservation de l’information; de l’élimination et de l’évaluation de l’information.
- Service de collaboration des documents de nature délicate
- Un service de fichiers à accès restreint utilisé afin de réduire les risques et d’améliorer la fonctionnalité de collaboration pour le traitement des documents accompagnés d’une désignation de sécurité « Protégé C » ou supérieure (« Confidentiel », « Secret » ou « Très secret »).
- Renseignement éphémère
- Renseignements qui ne sont requis que pour une période limitée et qui n’ont aucune valeur opérationnelle.
- Téléphone intelligent
- Un téléphone mobile approuvé pour se connecter à une messagerie professionnelle (BlackBerry, iPhone et Samsung).
- Téléphone cellulaire
- Un téléphone mobile non approuvé pour se connecter à la messagerie professionnelle.
7. Surveillance et production de rapports
7.1 La DGIIT assure la surveillance des pratiques de stockage de l’information dans l’ensemble du réseau électronique ainsi que la production de rapports à cet égard afin de veiller au respect de la présente directive.
7.2 Des mesures de sécurité sont appliquées activement dans tous les domaines de la technologie de l’information afin d’assurer la gestion efficace et sécurisée de toute l’information opérationnelle stockée sur le réseau électronique du Ministère, des systèmes connexes et des dispositifs de stockage de l’information.
8. Conséquences
Les employés seront tenus responsables de la conformité à la présente directive. Le non-respect de la présente directive entraînera des mesures administratives et disciplinaires, et même la mise à pied.
9. Demandes de renseignements
Toute question concernant le stockage approprié de l’information ou la mise en application de cette directive doivent être transmises à l’adresse suivante : NA-ITSCOE-CEMSTI-GD@servicecanada.gc.ca
10. Références
EDSC
- Outil de catégorisation de l’information de RHDCC
- Code de conduite d'EDSC
- Les versions les plus récentes des politiques suivantes sont disponibles dans les Références de iService :
- Directive sur l’accès privilégié à un poste de travail
- Directive relative aux services de cellulaires
- Directive sur les dispositifs de stockage portatifs
- Directive sur le stockage de l’information électronique
- Directive sur l'utilisation du réseau
- Directive d’EDSC sur les Appareils Informatiques Personnels
- Directive sur les services d’impression d’EDSC
Treasury Board
- Politique sur la sécurité du gouvernement (2019) du CT
- Cadre stratégique sur la gestion de la conformité (2009) du CT
- Politique sur l’utilisation acceptable des dispositifs et des réseaux (2013) du CT
- TB Norme sur la gestion du courriel du CT (2014)