Élaborer un plan de sûreté pour les marchandises contrôlées

Les personnes inscrites au Programme des marchandises contrôlées doivent élaborer un plan de sûreté pour chacun des lieux de travail où des marchandises contrôlées sont examinées, possédées ou transférées.

Que comprend le plan de sûreté

Le plan de sûreté doit comprendre les éléments suivants :

• les procédures servant à contrôler l’examen, la possession et le transfert des marchandises contrôlées
• les procédures de signalement des atteintes à la sûreté et les procédures d’enquête sur ces dernières
• la description des responsabilités de l’organisation chargée de la sécurité et l’identité des responsables de la sécurité des marchandises contrôlées
• le contenu des programmes de formation offerts aux cadres, aux administrateurs, aux employés, aux travailleurs temporaires et aux étudiants étrangers
• le contenu des séances d’information sur la sécurité données aux visiteurs

Comment élaborer un plan de sûreté

Les étapes suivantes sont des pratiques exemplaires conçues pour vous aider à élaborer un plan de sûreté :

• Étape 1 : Élaboration du plan
• Étape 2 : Responsabilité du plan
• Étape 3 : Examen et approbation
• Étape 4 : Mise en œuvre
• Étape 5 : Surveillance

Étape 1 : Élaboration du plan

Ce guide a été conçu uniquement pour vous aider à élaborer votre propre plan de sûreté; il ne doit pas être utilisé comme modèle. Votre plan devrait répondre aux critères suivants :

• refléter les particularités de votre organisation et le type de marchandises contrôlées examinées, possédées ou transférées dans votre lieu de travail
• satisfaire aux exigences de sécurité énoncées dans la Loi sur la production de défense et le Règlement sur les marchandises contrôlées

Pour en savoir davantage sur l’élaboration d’un plan de sûreté :

• Communiquer avec le personnel du Programme des marchandises contrôlées

Fournir les renseignements suivants à l’égard de chaque site où vous conservez des marchandises contrôlées :

Nom de la personne et adresse du site

• Organisation de la sécurité
• Les personnes qui suivent assumeront, pour le compte de la personne inscrite, la responsabilité de la sécurité des marchandises contrôlées et des données techniques contrôlées à (insérer le nom de la personne) :
  • M./Mme (insérer le nom) est la personne autorisée
  • M./Mme (insérer le nom) est le représentant désigné
  • M./Mme (insérer le nom), titre (de chaque employé qui assume une responsabilité dans ce plan de sûreté)

Responsabilité de l’organisation chargée de la sécurité

Les personnes indiquées ci-dessus assumeront les responsabilités qui suivent :

• La personne autorisée aura, au nom de la personne inscrite, la responsabilité :
  • de s’assurer qu’un représentant désigné est nommé pour chaque établissement au Canada où se trouvent des marchandises contrôlées et/ou des données techniques contrôlées examinées, possédées ou transférées
  • d’approuver, en apposant sa signature, toute modification apportée aux renseignements indiqués dans la demande d’inscription
• Le représentant désigné aura, au nom de la personne inscrite, la responsabilité :
  • de conserver les dossiers des évaluations de sécurité les plus récentes de chaque cadre, administrateur, employé, travailleur temporaire, étudiant étranger et visiteur devant examiner, posséder ou transférer des marchandises contrôlées. De plus, il devra conserver ces dossiers et tout document à l’appui de la demande pendant une période de deux ans à compter du jour où la personne concernée a cessé d’occuper ses fonctions à ce titre
  • à l’égard de chacun des cadres, des administrateurs et employés de la personne inscrite devant accéder à des marchandises contrôlées et/ou à des données techniques contrôlées :
    • d’effectuer une évaluation de sécurité de ces personnes, au moins tous les cinq ans et avec leur consentement, conformément à l’article 15 du Règlement sur les marchandises contrôlées
    • de déterminer, en se fondant sur l’évaluation de sécurité, dans quelle mesure la personne concernée présente un risque de transférer des marchandises contrôlées et/ou des données techniques contrôlées à une personne qui n’est ni inscrite, ni exemptée d’inscription
    • de demander au Ministre d’effectuer une évaluation de sécurité concernant les individus à haut risque et fournir toute preuve ou information obtenue par le représentant désigné en vue de cette évaluation
    • de prendre en considération toute recommandation fournie par le Ministre
    • de décider dans quelle mesure la personne inscrite devrait autoriser la personne concernée à examiner, posséder ou transférer des marchandises contrôlées et/ou des données techniques contrôlées
  • de vérifier les informations contenues dans les demandes d’exemption qui leur sont fournies par les travailleurs temporaires, les étudiants étrangers et les visiteurs et de soumettre au Ministre les demandes d’exemption
• M./Mme (insérer le nom de l’employé) aura la responsabilité, au nom de la personne inscrite, de conserver et de tenir à jour, pendant la période d’inscription et pendant une période de cinq ans à compter du jour où la personne cesse d’être inscrite, des dossiers renfermant :
  • la description de toutes les marchandises contrôlées et/ou données techniques contrôlées qu’elle reçoit, la date de réception et l’identité de l’auteur du transfert
  • la description de toutes les marchandises contrôlées et/ou données techniques contrôlées qu’elle transfère, la date du transfert ainsi que l’identité et l’adresse du destinataire
  • la description du mode et de la date de disposition des marchandises contrôlées et/ou des données techniques contrôlées
• M./Mme (insérer le nom de l’employé) aura la responsabilité, au nom de la personne inscrite, de conserver une copie de la preuve visée au paragraphe 16(2) du Règlement sur les marchandises contrôlées pendant une période de deux ans à compter du jour où la personne exemptée a cessé d’avoir accès aux marchandises contrôlées et/ou aux données techniques contrôlées de la personne inscrite
• M./Mme (insérer le nom de l’employé) aura la responsabilité, au nom de la personne inscrite, d’établir et de mettre en œuvre un plan de sûreté pour chacun des établissements au Canada où la personne inscrite conserve des marchandises contrôlées et/ou des données techniques contrôlées
• M./Mme (insérer le nom de l’employé) aura la responsabilité, au nom de la personne inscrite, de donner de la formation sur la manipulation sécuritaire des marchandises contrôlées et/ou des données techniques contrôlées aux cadres, aux administrateurs, aux employés, aux travailleurs temporaires et étudiants étrangers qui sont autorisés à examiner ou à posséder ces marchandises et/ou ces données
• M./Mme (insérer le nom de l’employé) aura la responsabilité, au nom de la personne inscrite, de soumettre au Ministre tous les six mois, le nom de tout individu ayant fait l’objet d’une évaluation de sécurité par le représentant désigné, au cours des six derniers mois, ainsi que la date de naissance de l’individu et l’étendue de l’autorisation d’accès aux marchandises contrôlées
• M./Mme (insérer le nom de l’employé) aura la responsabilité, au nom de la personne inscrite, de donner des séances d’information sur la manipulation sécuritaire des marchandises contrôlées et/ou des données techniques contrôlées aux visiteurs qui sont autorisés à examiner ces marchandises et/ou ces données
• M./Mme(insérer le nom de l’employé) aura la responsabilité, au nom de la personne inscrite, de recueillir :
  • une preuve du statut de la personne, à titre de cadre, d’administrateur ou d’employé de la personne inscrite aux fins d’accès à des marchandises contrôlées et/ou à des données techniques contrôlées en vertu de l’International Traffic in Arms Regulations (disponible en anglais seulement) et du Titre 22, Parties 120 à 130 du Code of Federal Regulations (disponible en anglais seulement) (confirmation que la personne concernée est embauchée par cette personne)
  • une preuve de l’inscription et de l’admissibilité de cette personne en vertu de l’International Traffic in Arms Regulations
  • une preuve de l’admissibilité de l’individu en vertu de l’International Traffic in Arms Regulations
• M./Mme (insérer le nom de l’employé) aura la responsabilité, au nom de la personne inscrite, d’informer le programme, dans les dix jours ouvrables, de toute modification apportée aux renseignements indiqués dans la demande d’inscription

Procédures de surveillance des marchandises contrôlées

Un bref énoncé expliquant la raison pour laquelle l'entreprise utilise des marchandises contrôlées. Exemple : « L’entreprise fabrique des véhicules aériens sans pilote pour le ministère de la Défense nationale et les Forces canadiennes. »

• Examiner signifie étudier en détail ou analyser dans le but de connaître la signification ou les caractéristiques essentielles
• Posséder signifie posséder réellement, c’est-à-dire avoir un contrôle matériel direct sur une marchandise contrôlée à un moment donné, et posséder de droit, c’est-à-dire avoir le pouvoir et l’intention à un moment donné d’exercer un contrôle sur une marchandise contrôlée, directement ou par l’entremise d’une ou de plusieurs autres personnes
• Transférer signifie disposer d’une marchandise contrôlée ou en communiquer le contenu d’une quelconque manière

Dans le but de contrôler l’examen, la possession et le transfert de marchandises contrôlées et de données techniques contrôlées à (insérer le nom de la personne inscrite), les procédures qui suivent ont été mises en œuvre :

• Dans cette section, veuillez expliquer séparément chacune des procédures de manipulation des marchandises contrôlées appliquées par l’organisation pendant le processus d’appel d’offres et tout au long du cycle de vie des marchandises contrôlées. Le cycle de vie commence avec la réception des marchandises, comprend la période où l’entreprise possède les marchandises (y compris le processus de conception et de production, s’il y a lieu) et se poursuit jusqu’à la disposition finale (transfert ou aliénation) des marchandises. La procédure relative à toutes les formes de marchandises contrôlées, dont les données électroniques, les schémas techniques et les marchandises matérielles, doit être expliquée. Il faut également fournir des détails sur la protection des marchandises pendant qu’elles sont en la possession de l’entreprise

Technologie de l’information : Accès à distance

Accès à distance signifie l’échange de données avec un centre de traitement de données ou un serveur à distance au moyen d’un réseau de transmission. Une des façons les plus courantes d’offrir ce type d’accès à distance est d’utiliser un réseau privé virtuel.

Dans le but de contrôler et de protéger les renseignements relatifs à des marchandises contrôlées, il faut mettre en œuvre une norme minimale en matière de sécurité de la technologie de l’information (TI). La pratique la plus reconnue consiste à utiliser un réseau étendu propre à une entreprise ou un réseau privé virtuel, qui permet d’accéder de manière sécuritaire aux données de l’organisation en établissant un tunnel chiffré entre l’ordinateur de l’utilisateur et le réseau de l’organisation.

Si une entreprise permet à son personnel ou à une autre entité, qui est inscrite au Programme des marchandises contrôlées ou exemptée d’inscription, d’accéder à distance à des données sur les marchandises contrôlées, elle devrait tenir compte des points suivants :

• les demandes d’accès à distance devraient être examinées par le représentant désigné (ou son remplaçant) avant d’être approuvées
• l’accès à distance ne devrait être accordé qu’au besoin
• des procédures d’exploitation normalisées, qui décrivent en détail les pratiques de sécurité à appliquer, devraient être fournies aux personnes à qui un accès à distance est accordé
• l’entreprise doit utiliser des protocoles de sécurité TI/de chiffrage appropriés (réseau privé virtuel, réseau étendu, etc.) pour réduire au minimum les risques de transfert non autorisé des données relatives aux marchandises contrôlées

Pour limiter les risques d’examen, de possession ou de transfert non autorisés de marchandises contrôlées ou de données techniques contrôlées par l’entremise de l’accès à distance, les procédures suivantes doivent être respectées :

• ajouter la liste des procédures que tous les employés doivent respecter

Atteintes à la sûreté : Enquêtes et signalement

Les atteintes à la sûreté peuvent être définies comme l’examen, la possession ou le transfert non autorisé de marchandises contrôlées. Exemples d’atteintes à la sûreté : perte, dommages intentionnels, altération, piratage informatique et cyber attaque. À titre de condition d’inscription en vertu du Règlement sur les marchandises contrôlées, (insérer le nom de la personne inscrite) doit :

• signaler l’atteinte à la sûreté à la police locale s’il s’agit d’une atteinte de nature criminelle
• informer les responsables du Programme des marchandises contrôlées, dans un délai de trois jours, de toute atteinte à la sûreté en rapport avec des marchandises contrôlées et/ou des données techniques contrôlées en vous servant du formulaire d’atteinte à la sûreté
• répondre aux questions suivantes et prendre les mesures ci-dessous (vous pouvez modifier ces mesures ou en ajouter d’autres au besoin) afin de cerner la cause de l’atteinte et d’éviter qu’une telle atteinte ne survienne à nouveau :
  • qui était en cause
  • quelles étaient les marchandises contrôlées en cause
  • où l’atteinte a-t-elle eu lieu
  • quand l’atteinte s’est-elle produite
  • pourquoi s’est-elle produite
  • comment s’est-elle produite
  • documenter l’atteinte à la sûreté
  • mettre en œuvre des mesures correctives pour éviter que des atteintes à la sûreté similaires ne se reproduisent

Téléchargez le formulaire d’atteinte à la sûreté

• Formulaire d'atteinte à la sûreté

Soumettre le formulaire d’atteinte à la sûreté

• Communiquer avec le personnel du Programme des marchandises contrôlées

Renseignements supplémentaires

• Signaler un cas d’atteinte à la sûreté des marchandises contrôlées

Formation

Afin de rester au fait des questions liées aux marchandises contrôlées et aux données techniques contrôlées, les cadres, les administrateurs, les employés, les travailleurs temporaires et les étudiants étrangers devront :

• lire chaque année le plan de sûreté
• insérer la liste des autres types de formation supplémentaire pertinents pour la personne, par exemple la formation d’initiation)

Séances d’information sur la sécurité

Les visiteurs qui ne sont pas exemptés de l’inscription par le Programme des marchandises contrôlées doivent être informés qu’ils n’auront pas l’autorisation d’examiner, de posséder ou de transférer des marchandises contrôlées lors de leur visite.

Il faut rafraîchir la mémoire des visiteurs exemptés d’inscription par les responsables du programme en (veuillez préciser les moyens de communication qu’utilisera la personne inscrite et énumérer les questions de sécurité qui concernent la personne, notamment la clause de confidentialité.)

Étape 2 : Responsabilité du plan

Il incombe à la personne inscrite d’élaborer, de mettre en œuvre et de tenir à jour le plan de sûreté.

Étape 3 : Examen et approbation

Il incombe à la personne inscrite d’examiner et d’approuver le plan de sûreté.

Étape 4 : Mise en œuvre

Fixer des dates cibles et mettre en œuvre le plan de sûreté. S’assurer que des mesures de sécurité proactives et réactives ont été prises. Les cadres, les administrateurs, les employés, les travailleurs temporaires, les étudiants étrangers et les visiteurs ne doivent examiner, posséder ou transférer des marchandises contrôlées que lorsque cela est nécessaire pour s’acquitter de leurs tâches.

Étape 5 : Surveillance

Surveiller les progrès réalisés dans la mise en œuvre du plan et le réévaluer au besoin. Examiner les possibilités d’amélioration du plan et de ses mesures de sécurité, surtout lorsque les systèmes et les logiciels sont mis à niveau, que la capacité du réseau local est améliorée et qu’il y a des changements quant aux risques liés aux données. Ce processus est permanent et la personne inscrite doit continuellement réévaluer la situation à mesure que les environnements internes et externes changent.

Il est important que la personne inscrite travaille en étroite collaboration avec son personnel technique et lui fournisse au besoin l’orientation nécessaire pour garantir l’exécution du plan de sûreté.

Renseignements supplémentaires

• Établir un plan de sûreté et le mettre à jour : Lignes directrices sur l’inscription au Programme des marchandises contrôlées