Directive sur les inspections de sécurité matérielle

1. Date d’entrée en vigueur

La présente directive entrera en vigueur le 1er juillet 2016.

La directive sera revue et corrigée tous les deux ans par le Bureau de la sécurité ministérielle (BSM), Direction générale des services d’intégrité – Direction de l’intégrité interne et de la sécurité (DIIS).

2. Application

La présente directive s’applique à :

  1. toutes les personnes (y compris les employés, les employés occasionnels, les entrepreneurs et les visiteurs) qui occupent un espace dans les emplacements physiques faisant partie du portefeuille d’Emploi et Développement social Canada (EDSC); et
  2. l’inspection appropriée à la protection des renseignements protégés/classifiés (papier et électronique) et des biens, en veillant à ce que les exigences en matière de sécurité des emplacements sont respectées.

3. Contexte

La nature du mandat du Ministère influe sur la manière dont les renseignements de nature délicate et privée devraient être recueillis et utilisés. Les Canadiens font confiance à EDSC en ce qui a trait à la gestion de ces renseignements, laquelle nécessite de solides contrôles et processus en matière de sécurité et de protection des renseignements personnels.

EDSC est responsable de veiller à la sécurité de son personnel et du public canadien dans l’ensemble de ses emplacements physiques, y compris dans les emplacements où le Ministère partage des locaux avec d’autres organisations.

Les inspections de sécurité matérielle basée sur le risque sont nécessaires pour s’assurer que les renseignements, équipements électroniques et autres biens ministériels protégés et classifiés sont adéquatement protégés quand les employés sont absents du bureau ou absents de leur bureau.

Les inspections servent à évaluer le risque associé à l’environnement matériel; elles peuvent comprendre l’évaluation des pratiques d’une personne à son poste de travail et la vérification des contrôles des accès dans tous les secteurs.

4. Acronymes et définitions

Acronymes
Définitions
DPS
Dirigeant principal de la sécurité
DGSI
Direction générale des services d’intégrité
IIS
Intégrité interne et sécurité
Responsable des lieux
Doit être un employé du Ministère en situation d’autorité par rapport au site concerné (ex. Directeur général, Directeur, Gestionnaire, Chef d'équipe, Responsable du site).
Inspections de sécurité matérielle
Elles consistent en une inspection visuelle et matérielle de chacune des zones (publique, non-publique, secteur protégé, bureau individuel, etc.). L’inspection permet d’identifier les risques à la sécurité, tels que des tiroirs, cadenas, bureaux dotés de portes et classeurs non verrouillés ou autre espace protégé.
BRS
Bureau régional de la sécurité
Personnel
Employés (nommés pour une période déterminée et indéterminée), étudiants et employés occasionnels
Autres personnes
Entrepreneurs ou experts-conseils
Visiteurs
Individus qui n’ont pas accès au ministère tels que les partenaires, membres de famille, gens du public et employés d’autres ministères

5. Énoncé relatif aux considérations juridiques

Pendant une inspection de sécurité matérielle d'un bureau ou poste de travail assigné, il faut respecter les attentes raisonnables de l’employé en matière de protection de la vie privée ainsi que la Loi sur la protection des renseignements personnels, la Charte canadienne des droits et libertés et la Loi canadienne sur les droits de la personne.

6. Objectif et résultats escomptés

6.1 Objectif

La présente directive vise à établir les exigences en matière de sécurité qui doivent être respectées par toutes les personnes qui occupent un espace dans les emplacements d’EDSC.

6.2 Résultats escomptés

Les résultats attendus de la présente directive sont les suivants :

  • confirmer que les renseignements protégés ou classifiés sont adéquatement protégés en tout temps, quel que soit leur format ou l’utilisation qui en est faite;
  • confirmer ou vérifier que les biens électroniques, par exemple les ordinateurs de bureau, ordinateurs portables, disques durs, imprimantes, appareils Blackberry, etc., soient protégés contre l’accès, le vol ou les dommages; et
  • contribuer à la création d’un environnement sûr pour la prestation des services d’EDSC sur l’ensemble de ses sites.

7. Exigences

  1. Les inspections de sécurité matérielle doivent être effectuées au moins une fois par année financière (accompagnées, lorsque possible) par le BRS, le responsable des lieux ou le gestionnaire.
  2. Les inspections de sécurité matérielle peuvent être exécutées pendant et après les principales heures de travail, et aussi pendant que les employés ou des groupes d’employés sont absents du bureau, en congé, en formation, en réunion, à un colloque ou à un événement spécial.
  3. Les inspections de sécurité matérielle consistent en une inspection visuelle et une inspection matérielle de chacune des zones (publique, opérations, secteur protégé, etc.) d’un site d’EDSC, et visent à procéder aux vérifications suivantes :
    1. vérifier si les tiroirs, classeurs, coffres-forts et cadenas sont verrouillés; dans le cas des bureaux dotés de portes, vérifier si celles-ci sont verrouillées;
    2. vérifier si les clés qui servent à verrouiller les portes et les divers équipements sont retirées des serrures et ne sont ni visibles ni accessibles;
    3. vérifier si les diverses zones sont protégées par des mécanismes appropriés et fonctionnels de contrôle de l’accès (p. ex. lecteurs de proximité), en consultation avec le Bureau régional de la sécurité (BRS);
    4. vérifier si les biens électroniques qui servent à entreposer de l’information, par exemple les ordinateurs de bureau, les ordinateurs portables, les téléphones portables, les clés USB et les disques durs portables sont physiquement sécurisés
    5. s’assurer que les mots de passe et les combinaisons de ce type ne sont ni visibles ni accessibles;
    6. s’assurer que l’information protégée ou classifiée n’est pas exposée sur les bureaux, tables, comptoirs, imprimantes et photocopieurs, ni dans les bacs de recyclage, etc. tel que spécifié dans les « Lignes directrices pour un bureau bien organisé »;
    7. s’assurer que l’information classifiée ou protégée n’est pas affichée sur les murs des bureaux ni dans les zones communes ou publiques; et
    8. les biens personnels sont protégés contre l’accès, le vol ou les dommages. (Cette mesure n'est pas une exigence; il s'agit plutôt d'une pratique exemplaire.)
  4. Une liste de contrôle sur les inspections de sécurité matérielle est remplie par les personnes qui procèdent à l’inspection.
  5. La liste de contrôle sur les inspections de sécurité matérielle est disponible de façon électronique, une fois remplie, elle est conservée au bureau du gestionnaire ou du chef d’équipe. Une copie est envoyée au BRS en vue de la préparation d’un rapport formel mensuel (si applicable) d’inspection de sécurité.
  6. Un rapport formel d’inspection de sécurité est préparé par le BRS responsable de la coordination et soumis au DPS une fois par mois (si applicable).

8. Rôles et responsabilités

8.1 Dirigeant principal de la sécurité (DPS)

  • élabore et gère les instruments de politique d’EDSC en matière de sécurité, y compris la présente directive, et appuie et supervise leur application au moyen des processus de contrôle normalisés;
  • assume la responsabilité du processus qui sous-tend l’application de la présente directive et appuie son exécution à l’aide d’orientations et d’instructions;
  • institue un horaire des rapports d’inspections de sécurité matérielle fondée sur les risques;
  • analyse les rapports formels d’inspection de sécurité et prend des mesures pour déterminer et atténuer les risques ou les préoccupations; et
  • élabore le matériel de sensibilisation à la sécurité et le transmet aux employés.

8.2 Bureau régional de la sécurité/Cadre supérieur – Intégrité interne et Sécurité (régions)

  • élabore des stratégies de mise en œuvre en respectant les structures de gouvernance régionales établies, et appuie une application efficace de la présente directive en consultation avec les partenaires clés;
  • planifie et coordonne les inspections de sécurité afin d’évaluer, de mesurer et de surveiller la conformité;
  • analyse les listes de contrôles sur les l’inspections de sécurité matérielle dûment remplies, détermine les tendances et recommande des mesures de correction ou d’atténuation; et
  • prépare le rapport formel en vue de sa présentation au DPS.

8.3 Gestionnaire

  • veille à ce que l’ensemble du personnel et les personnes concernées aient suivi la formation obligatoire « Programme d’efficience en milieu de travail » en ligne qui inclut « Gérance de l’information et comportements en milieu de travail » et « Sécurité 101 – Ça commence par vous! »; et
  • fait la promotion des Lignes directrices pour un bureau bien organisé ainsi que tout autres lois, politiques, directives, normes et Instruments de politique ministériels d’EDSC.

8.4 Responsable des lieux

  • permet au personnel d’accéder aux copies électroniques de la Directive sur l’inspection de sécurité matérielle et à d’autres renseignements sur la sécurité;
  • rappelle au personnel et aux autres personnes concernées ce qui constitue un comportement conforme ou non conforme à la Directive sur l’inspection de sécurité matérielle;
  • fournit aux employés et aux autres personnes concernées les équipements ou espaces de stockage sécurisés nécessaires pour protéger les biens d’EDSC qui sont en leur possession;
  • réalise des inspections de sécurité matérielle à la demande du bureau régional de la sécurité ou de la haute direction et soumet le rapport au bureau régional de la sécurité; et
  • discute des manquements à la sécurité avec les employés qui n’ont pas respecté les mesures de sécurité appropriées décrites dans les instruments de politique du Ministère et veille à ce que des mesures correctives soient adoptées pour éviter que la situation se reproduise.

8.5 Employés et autres personnes

  • prennent les mesures appropriées, conformément à la Directive sur l’inspection de sécurité matérielle, pour protéger l’information et les biens d’EDSC et pour prévenir tout manquement à la sécurité;
  • sont responsables de la protection de leurs renseignements ou biens personnels; et
  • réussissent la formation obligatoire « Programme d’efficience en milieu de travail » en ligne qui inclut « Gérance de l’information et comportements en milieu de travail » et « Sécurité 101 – Ça commence par vous! ».

Remarque : À la réception d’une infraction de l'inspection de sécurité matérielle, le personnel et autres personnes doivent récupérer toute l’information et/ou matériel qui n’était pas correctement sauvegardée et qui a été confisquée de leur bureau.

9. Conséquences

  • Les personnes sont responsables de se conformer à la présente directive. Un manquement à la Section 7 – Exigences 3a à 3g de cette directive pourrait entraîner les mesures suivantes :
  • Un rapport qui sera remis à la personne visée et à son superviseur en vue de remédier à l’infraction. Ceci peut escalader à un niveau d’autorité supérieur et les mesures suivantes :
    • plan d’action fondé sur la gravité et la fréquence de l’infraction pour s’assurer des mesures correctives;
    • augmentation de la fréquence des inspections pour les infractions qui se reproduisent; et
    • dans la situation d’infraction sévère, les mesures disciplinaires peuvent mener à la possibilité de congédiement.
  • Toutes les infractions seront conservées dans les dossiers du BRS pendant deux ans.

10. Références

La présente directive doit être lue conjointement avec les documents qui suivent.

10.1 Lois

10.2 Politiques, directives et normes du Secrétariat du Conseil du Trésor (SCT)

10.3 Instruments de politique ministériels d’EDSC

11. Demande de renseignements

Les questions concernant cette directive peuvent être adressées au Bureau régional de la sécurité.