Chapitre 1 : Introduction générale
Sur cette page
- 100. Manuel de la sécurité industrielle
- 101. Politique du gouvernement du Canada sur la sécurité
- 102. Programme de la sécurité industrielle
- 103. Nomination d'agents de sécurité d'entreprise et de remplaçants
- 104. Attributions de l’agent de sécurité d'entreprise
- 105. Agent général de sécurité d'entreprise
- Annexes
100. Manuel de la sécurité industrielle
1. Généralités
Le Manuel de la sécurité industrielle (MSI) est publié à l'intention de l’industrie par la Direction de la sécurité industrielle canadienne (DSIC) et la Direction de la sécurité industrielle internationale (DSII) de Services publics et Approvisionnement Canada.
2. Portée
Le présent manuel est un ouvrage de référence simple qui renseigne les agents de sécurité d'entreprise sur les normes et les mesures de sécurité adoptées par le gouvernement canadien et sur la manière de s'assurer que leur organisation se conforme à ces normes et mesures.
3. Application
Le présent manuel prescrit les mesures que doivent prendre les organisations établies au Canada pour la protection des renseignements et des biens du gouvernement, qui leur sont fournis ou qui sont produits par des organisations privées, et dans les cas où la sécurité est administrée par le Programme de sécurité des contrats de Services publics et Approvisionnement Canada. Les procédures s'appliquent également aux activités semblables des ministères ou organismes de gouvernements étrangers alliés concluant des marchés par l'intermédiaire de Services publics et Approvisionnement Canada, comme c'est le cas des initiatives multinationales où le Canada est un partenaire.
4. Contenu
Le présent manuel est constitué de 12 chapitres, chacun étant immédiatement suivi, s'il y a lieu, des annexes qui s'y rapportent. Pour améliorer sa compréhension, un glossaire a été ajouté à la fin du présent manuel, de même qu'une courte liste d'abréviations et d'acronymes.
5. Présentation
Dans la mesure du possible, chaque chapitre traite distinctement des renseignements et des biens protégés et classifiés. En conséquence, le lecteur n'a à se préoccuper que de l'information qui relève clairement de la catégorie de sécurité qui l'intéresse.
101. Politique sur la sécurité du gouvernement
Généralités
La Politique sur la sécurité du gouvernement est publiée par le Conseil du Trésor en application d'une décision prise par le gouvernement et de l'article 7 de la Loi sur la gestion des finances publiques.
Cette politique vise à « veiller à ce que les administrateurs généraux gèrent efficacement les activités de sécurité au sein des ministères et contribuent à la gestion efficace de la sécurité à l'échelle du gouvernement ».
Les contrats fédéraux sont assujettis à cette politique. Services publics et Approvisionnement Canada est le ministère chef de file désigné pour donner des conseils et des indications sur les exigences en matière de sécurité applicables aux contrats fédéraux de biens et de services.
Le Programme de sécurité des contrats de Services publics et Approvisionnement Canada permet d'appliquer dans le secteur privé les exigences de sécurité à respecter. De façon plus précise, le directeur de la DSIC et le directeur de la DSII sont chargés de la mise en œuvre et de l'examen ultérieur de toutes les mesures de sécurité qui intéressent les entreprises établies au Canada (ou les autres organisations ne faisant pas partie du gouvernement fédéral), dans les cas où des renseignements ou des biens de nature délicate, qu'ils soient d'origine canadienne ou étrangère, sont transmis à une entreprise privée, que ce soit aux termes d'un contrat, d'un accord ou d'une exigence précontractuelle d'un marché auquel participe Services publics et Approvisionnement Canada.
La DSIC ainsi que la DSII sont secondées dans cette tâche par de nombreux organismes fédéraux, et notamment par le Service canadien du renseignement de sécurité (SCRS), par la Gendarmerie royale du Canada (GRC), par le ministère de la Défense nationale (MDN) et par les organismes homologues dans les pays étrangers, ainsi que par le Centre de la sécurité des télécommunications (CST du MDN).
102. Programme de sécurité des contrats
But
- Le but d'un programme de sécurité est de prévenir la diffusion, la destruction, l'enlèvement, la modification ou l'arrêt de production, sans autorisation appropriée, de renseignements ou de biens protégés et classifiés. Pour atteindre ce but, il faut disposer d'une structure organisationnelle et de méthodes administratives appuyant quatre sous-systèmes, à savoir celui :
- de la sécurité matérielle (emplacement et conception des lieux et des moyens physiques destinés à prévenir, à déceler et à réprimer l'accès non autorisé)
- de la sécurité de la technologie de l'information (contrôle de l'accès aux renseignements de nature délicate utilisés dans les systèmes informatiques ou faisant l'objet de communications électroniques)
- de la sécurité du personnel (enquêtes de sécurité, formation et mesures disciplinaires)
- de la divulgation à l'étranger de renseignements ou de biens prescrits dans les protocoles d'ententes et les accords bilatéraux
- L'enquête de sécurité permet de déterminer la loyauté ou la fiabilité d'une personne aux fins de l'accès autorisé. Les sous-systèmes sont interdépendants, de sorte que l'efficacité d'un programme de sécurité dépend de la bonne marche de tous ses éléments.
- Le Programme de la sécurité des contrats est structuré pour fournir de manière coordonnée les détails de tous les éléments d'un programme de sécurité. Les organisations munies d'une vérification d'organisation désignée (VOD) ou d'une attestation de sécurité d'installations (ASI) dans le cadre du Programme de la sécurité des contrats sont tenues de mettre en œuvre des programmes de sécurité dont l'envergure correspond à leur importance.
Application
Le Programme de la sécurité des contrats permet de renseigner l'industrie et d'autres organisations canadiennes sur la manière de protéger des renseignements et des biens protégés et classifiés confiés à la garde ou au contrôle d'entrepreneurs ou de particuliers du secteur privé, afin de prévenir :
- une atteinte à la sécurité ou une compromission se rapportant à ces renseignements et ces biens
- l'interruption ou l'élimination de services
- le vol, le détournement ou l'abus de biens, situations susceptibles d'entraver l'exécution d'un contrat et de diminuer l'intégrité de l'information
Portée
En ce qui concerne les entrepreneurs, le Programme de la sécurité des contrats prévoit des mesures de sécurité pour :
- leur organisation
- les renseignements et biens protégés et classifiés qui leur sont transmis
- les biens ou les objets qu'ils produisent aux termes d'un contrat
- les renseignements et biens protégés et classifiés pendant leur transmission
- les renseignements protégés et classifiés traités par moyen électronique dans leurs installations
- l'équivalent au sein d'organisations non commerciales comme les universités
Publicité
Les organisations qui détiennent une attestation du Programme de sécurité des contrats ne doivent pas divulguer leur cote de sécurité ou la mentionner dans le cadre d'activités publicitaires ou promotionnelles. De tels renseignements doivent être protégés afin de garantir que les organisations ne deviennent pas la cible d'infiltration de sûreté ou d'activité terroriste. Les organisations doivent transmettre à la DSIC toutes les demandes qu'elles reçoivent concernant leur cote de sécurité. Toutefois, un sous-traitant peut fournir à un entrepreneur principal inscrit au Programme de la sécurité des contrats une confirmation de la cote de sécurité émise à son organisation par la DSIC. Pour obtenir une confirmation écrite de leur cote de sécurité, les sous-traitants peuvent communiquer avec le Programme de la sécurité des contrats.
103. Nomination d'agents de sécurité d'entreprise et de remplaçants
Toutes les organisations qui ont besoin d'une attestation d'organisation désignée ou d'une attestation de sécurité d'installation doivent nommer un agent de sécurité d'entreprise (ASE).
Exigences minimales pour la nomination d'un agent de sécurité d'entreprise
Un ASE doit au moins :
- être un citoyen canadien ainsi qu'un employé de l'organisation
- avoir subi l'enquête de sécurité pour l'obtention d'une cote de fiabilité approfondie dans le cadre d'une vérification d'organisation désignée
- avoir subi une enquête de sécurité pour l'obtention de l'attestation de sécurité d'installation
- cette exigence comporte des exceptions pour certaines attestations de sécurité d'installations de niveau Très secret et installations de type Organisation du traité de l'Atlantique nord (OTAN)
- veuillez consulter votre agent régional de la sécurité industrielle pour obtenir de plus amples informations
- cette exigence comporte des exceptions pour certaines attestations de sécurité d'installations de niveau Très secret et installations de type Organisation du traité de l'Atlantique nord (OTAN)
- relever de cadres supérieurs clés (CSC) désignés pour toutes les questions ayant trait à la sécurité et son bureau doit se trouver au siège social canadien de cette organisation, pour qu'il puisse communiquer en personne avec les CSC relativement aux questions de sécurité
Nomination d'un agent de sécurité d'entreprise
Le chef de la direction ou un CSC désigné de l'organisation procède à la nomination. Pour nominer un ASE, l’Annexe 1-A : Formulaire de nomination d'un agent général ou d'un agent de sécurité d'entreprise – accusé de réception et engagement de Services publics et Approvisionnement Canada doit être soumis à la DSIC pour approbation. La DSIC ne discute pas des questions de sécurité ni ne remet quoi que ce soit à un ASE tant qu'elle n'a pas reçu et approuvé la nomination consignée sur le formulaire susmentionné. La nomination ne devient officielle que lorsqu'une copie remplie en bonne et due forme du formulaire a été retournée à l'organisation.
Agent de sécurité d'entreprise remplaçant (chargé d'exécuter les fonctions de l'agent de sécurité d'entreprise en son absence)
L'ASE doit désigner, parmi ses agents de sécurité d'entreprise remplaçants (ASER), un responsable qui sera chargé d'exercer ses fonctions en son absence, et en informer en conséquence la DSIC. Ce remplaçant doit être un citoyen canadien ainsi qu'un employé de l'organisation, et détenir une attestation de sécurité correspondant au niveau d'accès de l'agent de sécurité d'entreprise.
Dans l'éventualité où l'agent de sécurité d'entreprise cesserait d'être un employé de l'organisation, son remplaçant désigné assumerait toutes les responsabilités liées à la sécurité industrielle. L'organisation doit ensuite nommer un nouvel ASE dès que possible en remplissant l’Annexe 1-A : Formulaire de nomination d'un agent général ou d'un agent de sécurité d'entreprise – accusé de réception et engagement. Une organisation qui néglige de nommer un nouvel ASE détenant la cote de sécurité appropriée risque la suspension de sa vérification d'organisation désignée ou de son attestation de sécurité d'installations.
Exigences minimales pour la nomination de remplaçants supplémentaires
À l'exception des organisations composées d'une seule personne, il est impératif de nommer au moins un remplaçant à l'installation de l'organisation où se trouve le bureau de l'ASE, et au moins deux ASER pour chaque installation supplémentaire de l'organisation où sont conservés des renseignements et des biens de nature délicate.
Un ASER doit au moins :
- être un citoyen canadien ainsi qu'un employé de l'organisation
- avoir subi l'enquête de sécurité pour l'obtention d'une cote de fiabilité approfondie dans le cadre d'une vérification d'organisation désignée
- avoir subi une enquête de sécurité pour l'obtention d'une cote de fiabilité approfondie dans le cadre d'une attestation de sécurité d'installation, sans autorisation de détenir des renseignements classifiés
- avoir subi l'enquête de sécurité pour l'obtention d'une attestation de sécurité d'installation, sans autorisation de détenir des renseignements classifiés
- cette exigence comporte des exceptions pour certaines attestations de sécurité d'installations de niveau Très secret et installations de type OTAN
- veuillez consulter votre agent régional de la sécurité industrielle pour obtenir de plus amples informations
- cette exigence comporte des exceptions pour certaines attestations de sécurité d'installations de niveau Très secret et installations de type OTAN
- relever de l'agent de sécurité d'entreprise pour toutes les questions ayant trait à la sécurité
Nomination d’agents de sécurité d'entreprise remplaçants
L’ASE procède à la nomination des remplaçants de l'organisation. Pour nominer un ASER, l’Annexe 1-B : Formulaire de nomination d'un agent de sécurité d'entreprise remplaçant et accusé de réception et engagement de Services publics et Approvisionnement Canada doit être soumis à la DSIC pour approbation. DSIC ne discute pas des questions de sécurité ni ne remet quoi que ce soit à un remplaçant tant qu'elle n'a pas reçu et approuvé la nomination consignée sur le formulaire susmentionné. La nomination ne devient officielle que lorsqu'une copie remplie en bonne et due forme du formulaire a été retournée à l'organisation.
104. Attributions de l'agent de sécurité d'entreprise
- Relativement à la vérification d'organisation désignée (VOD) ou à l'attestation de sécurité d'installations (ASI), l'ASE est chargé :
- de déterminer les employés qui doivent avoir accès à des renseignements et à des biens classifiés et protégés ou à des établissements de travail protégés et classifiés et à veiller à ce qu'ils reçoivent de la documentation précise et complète sur l'enquête de sécurité
- d'établir des rapports sur l'évolution de la situation du personnel en ce qui a trait à l'état des attestations de sécurité selon les modalités exposées dans ce manuel
- s'il y a lieu, de faire subir des entrevues préventives aux employés
- de s'assurer que le personnel assiste à une séance d'information sur la sécurité dès qu'il a été avisé de son habilitation sécuritaire ou de sa cote de fiabilité en remplissant le certificat d'enquête de sécurité et profil de sécurité
- de veiller à ce que le certificat d'enquête de sécurité et profil de sécurité, soit déposé pour mettre fin à l'habilitation sécuritaire ou à la cote de fiabilité des employés qui n'ont plus besoin d'avoir accès à des renseignements et à des biens classifiés ou protégés ou à des établissements de travail dont l'accès est contrôlé conformément aux exigences des contrats
- de s'assurer que seul le personnel ayant fait l'objet d'une enquête de sécurité au niveau approprié et ayant des motifs valables d'en prendre connaissance (besoin de connaître) a accès à des renseignements et à des biens protégés et classifiés ou à des établissements de travail dont l'accès est contrôlé conformément aux exigences des contrats
- de tenir une liste à jour des employés titulaires d'une attestation de sécurité conformément au chapitre 2 du présent manuel
- de concert avec les représentants de la sécurité du client, s'assurer que le client donne, aux employés travaillant dans les établissements de ce client, de l'information sur toutes les exigences pertinentes en matière de sécurité
- de veiller à ce que les dossiers d'enquête de sécurité du personnel soient protégés comme il se doit
- de s'assurer que les formulaires de demande de visite sont remplis en bonne et due forme et présentés à qui de droit
- dans le cas des attestations de sécurité d'installation, de s'assurer que tous les cadres supérieurs clés de l'organisation, les agents de sécurité d'entreprise et les remplaçants sont munis de l'attestation de sécurité du plus haut niveau d'accès requis
- pour les attestations d'organisation désignée, de s'assurer que tous les ASE et les ASER sont munis d'une attestation de sécurité au niveau de la fiabilité
- d'informer la DSIC de tout changement dans la situation juridique ou la propriété de l'organisation, et, dans le cas des attestations de sécurité d'installations, de toute modification apportée à la liste des CSC
- d'informer au préalable la DSIC de tout déplacement physique ou de toute nouvelle construction susceptible d'avoir des répercussions sur la protection des renseignements et des biens protégés et classifiés
- de nommer tous ses remplaçants, de leur donner leurs instructions et d'assurer leur formation
- de nommer, parmi ses remplaçants nommés, celui qui exercera ses fonctions en son absence
- de réviser les exigences de sécurité définies dans la liste de vérification des exigences relatives à la sécurité (LVERS) ou dans les clauses de sécurité des contrats, et de s'assurer que toutes ces exigences sont respectées
- d'obtenir l'approbation de la DSIC avant d'attribuer en sous-traitance des contrats comportant des exigences en matière de sécurité
- Par rapport à une vérification d'organisation désignée (VOD) ou à une attestation de sécurité d'installations (ASI) assortie d'une cote de protection de documents, l'ASE est également chargé :
- de rédiger des consignes de sécurité (consultez l'Annexe 1-C : Consignes de sécurité) et de s'assurer que tout le personnel ayant accès à des renseignements et à des biens protégés et classifiés a été renseigné sur ses responsabilités en matière de sécurité dans le cadre d'un programme de sensibilisation efficace
- de nommer, s'il y a lieu, un coordonnateur de la sécurité informatique d'entreprise et des remplaçants au besoin
- de nommer, s'il y a lieu, des responsables des ressources à la sécurité des communications (COMSEC) et leurs remplaçants conformément aux dispositions du Manuel de contrôle du matériel industriel COMSEC
- de s'assurer que tous les renseignements et biens protégés et classifiés sont protégés et manipulés conformément aux dispositions du présent manuel
- de s'assurer que les agents de sécurité d'entreprise procèdent à au moins une inspection annuelle de toutes les installations de l'organisation où sont gardés des renseignements et des biens protégés et classifiés et que les rapports consécutifs à ces inspections sont conservés pendant au moins trois ans
- de produire au moins un répertoire annuel des renseignements et des biens classifiés et protégés
- de s'assurer que toutes les violations de la sécurité sont consignées et font l'objet d'une enquête ultérieure
- de s'assurer que la DSIC est immédiatement avertie de toute atteinte à la sécurité ou de toute compromission de l'information et qu'un rapport écrit lui est présenté dans les meilleurs délais. Les enquêtes sur les atteintes à la sécurité ou sur les cas de compromission de l'information sont coordonnées par la DSIC
- Pour garantir que les questions de sécurité sont abordées de la bonne façon et font l'objet d'une coordination adéquate, il est nécessaire que l'ASE soit le contact officiel avec la DSIC. Dans la plupart des cas, celui-là communiquera avec celle-ci par l'entremise du gestionnaire de la Division des opérations de sécurité industrielle. Qu'elles soient écrites ou orales, les communications avec la DSIC ne devraient être faites que par l'entremise de l'ASE, de son ou ses remplaçants ou du chef de la direction de l'organisation.
105. Agent général de sécurité d'entreprise
- Lorsqu'une organisation mère canadienne dont les installations ont fait l'objet d'une attestation de sécurité possède une ou plusieurs filiales au Canada ayant également fait l'objet d'une attestation de sécurité, elle devrait nommer un agent général de sécurité d'entreprise (AGSE) qui sera chargé globalement des questions de sécurité industrielle propres à l'administration fédérale au nom de l'ensemble de l'organisation. L'agent général est un citoyen canadien et fait rapport à un CSC désigné de l'organisation relativement à toutes les questions de sécurité. La nomination d'un agent général ne remplace pas l'obligation de disposer d'un agent de sécurité d'entreprise à chaque filiale ayant fait l'objet d'une attestation de sécurité et qui détient des renseignements ou des biens protégés et classifiés, mais elle renforce la capacité de l'organisation mère de surveiller et d'uniformiser les mesures de sécurité dans l'ensemble de l'organisation.
- L'AGSE est nommé par le chef de la direction ou le CSC désigné de l'organisation mère. Pour nominer un AGSE, l’Annexe 1-A : Formulaire de nomination d'un agent général ou d'un agent de sécurité d'entreprise – accusé de réception et engagement de Services publics et Approvisionnement Canada doit être soumis pour approbation. Elle ne devient officielle que lorsqu'une copie remplie en bonne et due forme du formulaire a été retournée à l'organisation.
- Sauf indication contraire de la DSIC, pour le remplacer et exercer ses fonctions en cas d'absence, l'AGSE désigne un de ses collègues comme remplaçant officiel et en informe la DSIC.