Exigences en matière de sécurité
pour les fournisseurs de services
Sommaire
&
Introduction
Sommaire
En 1999, Citoyenneté et Immigration Canada (CIC) a mis au point
le Cadre d'imputabilité pour les programmes de contributions
(CIPC). Ces programmes comprenaient les suivants : Cours de langue pour
les immigrants au Canada (CLIC), Programme d'établissement
et d'adaptation des immigrants (PEAI), Programme d'accueil et Programme
d'aide au rétablissement (PAR). L'Immigration –
Système de mesure pour la reddition de comptes concernant les programmes
de contributions (iSMRP) a été conçu pour soutenir
la mesure du rendement du CIPC. L'iSMRP est un système fondé
sur Internet qui recueille des données sur les clients et sur les
services provenant des fournisseurs de services (FS) qui reçoivent
du financement sous forme de contributions.
L'information recueillie permet aux FS et à CIC d'offrir
de meilleurs services aux clients, d'accroître l'efficacité
des programmes et de montrer au public que les fonds sont dépensés
de manière responsable. L'information sur les clients recueillie
dans l'iSMRP équivaut au renseignement protégé
au gouvernement fédéral comme étant également
« de nature particulièrement délicate », c'est-à-dire
que l'on peut raisonnablement s'attendre à ce que sa
divulgation nuise de façon considérable aux particuliers
visés et qu'un minimum de mesures de protection doivent être
en place pour la préserver.
CIC est tenu de protéger les renseignements personnels sur les
clients en vertu de la législation fédérale relative
à la protection de la vie privée. Cette exigence est élargie
aux FS au moyen d'une entente de contribution. Au moment du développement
de l'iSMRP, CIC a été informé par des experts
en sécurité et en renseignements personnels de l'intérieur
et de l'extérieur que, parce qu'il s'agit d'un
système fondé sur Internet et en raison de la quantité
de renseignements sur les clients qu'il renferme, des mesures de
sécurité particulières doivent être introduites
pour protéger l'information. Par conséquent, CIC a
une obligation d'élaborer des mesures de sécurité
précises pour l'environnement iSMRP. Ces mesures de sécurité
sont décrites dans le présent document et comprennent des
exigences en matière de sécurité
de l'utilisateur, et de sécurité technologique et
matérielle. CIC fait également une série de
recommandations dont l'implantation sera laissée
à la discrétion des FS. CIC encouragera les FS ainsi que
leurs conseils d'administration (le cas échéant) à
mettre en œuvre toute politique et toute procédure supplémentaire
qu'ils jugent nécessaire à la protection des clients
et de leurs renseignements personnels.
Exigences de sécurité liée à l'utilisateur
:
CIC requiert que tous les utilisateurs obtiennent un « nom d'utilisateur
» et un « mot de passe » pour accéder à
l'iSMRP. Avant de les obtenir, les utilisateurs FS (y compris les
employés et les bénévoles) doivent subir une évaluation
de fiabilité et se révéler fiables aux yeux du directeur
général ou d'une personne autorisée. L'évaluation
de fiabilité est Exigences en matière de sécurité
pour les fournisseurs de services - iSMRP Citoyenneté et Immigration
Canada Novembre 2002 6 comparable à la « vérification
de fiabilité approfondie » du gouvernement fédéral
et sera fondée sur a) une vérification des documents/références
ou la connaissance personnelle du particulier de la part du directeur
général; et b) les résultats d'une vérification
du casier judiciaire.
Note : Les employés de longue date d'un FS, les personnes
qui ont déjà fait l'objet d'une vérification
de casier judiciaire chez un FS ou les employés d'un FS qui
sont devenus des résidents permanents l'année précédant
leur demande de nom d'utilisateur et de mot de passe sont exempts
de l'obligation de l'évaluation de fiabilité.
Exigences liées à la sécurité technologique
:
Pour protéger l'information sur les clients dans l'iSMRP
contre des menaces de l'extérieur comme celles qui proviennent
d'Internet et de menaces de l'intérieur, comme un accès
non autorisé, CIC demande aux FS d'installer un progiciel
antivirus et un coupe-feu (McAfee VirusScan 7 ou l'équivalent)
dans tous les ordinateurs autonomes qui ont accès à l'iSMRP.
Les utilisateurs sont également tenus d'installer un mot
de passe d'accès et un économiseur d'écran
protégé par mot de passe.
CIC recommande également que la protection par
antivirus et coupe-feu soit installée dans les réseaux afin
de protéger les ordinateurs réseautés.
Exigences liées à la sécurité matérielle
:
CIC demande aux utilisateurs de prendre des précautions minimales
pour éviter l'accès à l'iSMRP par des
personnes non autorisées. Cela comprend ce qui suit : veiller à
ce que les écrans des ordinateurs soient orientés de manière
à ce qu'on ne puisse les voir à partir des secteurs
d'accès publics et des fenêtres lorsqu'iSMRP
est utilisé. Cela signifie également de veiller à
ce que les noms d'utilisateurs et les mots de passe ne soient pas
affichés là où du personnel non autorisé pourrait
les voir, à ce qu'ils ne soient partagés avec personne
et à ce que les ordinateurs ne soient pas laissés sans surveillance
lorsqu'ils sont connectés à l'iSMRP.
Les exigences en matière de sécurité décrites
dans le présent document feront partie de l'entente de contribution
CIC avec les FS. CIC fournira une indemnité de démarrage
unique afin de couvrir les frais comme les vérifications
de casier judiciaire pour les utilisateurs iSMRP identifiés, le
logiciel McAfee pour les ordinateurs qui accèdent à l'iSMRP
et la période voulue pour former les utilisateurs. Des frais continus
supplémentaires associés à ces exigences pourraient
être négociés avec les bureaux de CIC locaux. Il y
aura une période de mise en place progressive de six mois
à partir du moment où les FS sont formés officiellement
pour l'utilisation de l'iSMRP – CLIC, PEAI et du Programme
d'accueil, jusqu'au Exigences en matière de sécurité
pour les fournisseurs de services - iSMRP Citoyenneté et Immigration
Canada Novembre 2002 7 moment où l'on s'attend à
ce qu'ils aient terminé la mise en oeuvre de ces exigences.
La période de mise en place pour les FS qui offrent le PAR durera
jusqu'à la signature de la prochaine entente de contribution,
ou le premier avril 2003, si ils signent une nouvelle entente en janvier
2003.
Un formulaire de rétroaction à être complété
par les FS est joint à la fin de ce document dans le but d ‘obtenir
des commentaires sur les exigences en matière de sécurité.
Des commentaires reçus serviront à déterminer si
des modifications doivent être faites.
On peut obtenir de l'orientation ou de l'aide au sujet de
ces exigences auprès des membres de l'Équipe de travail
chargée de l'imputabilité CIC dont la liste figure à
l'Annexe
A.
Introduction
En 1999, Citoyenneté et Immigration Canada (CIC) a lancé
la mise en œuvre du Cadre d'imputabilité pour les programmes
de contributions (CIPC) pour ses programmes de contributions liés
à l'établissement et au rétablissement. Ces
programmes comprenaient le Cours de langue pour les immigrants au Canada
(CLIC), le Programme d'établissement et d'adaptation
des immigrants (PEAI), le Programme d'accueil et le Programme d'aide
au rétablissement (PAR). Le CIPC a pour but d'assurer la
responsabilité de dépenses ministérielles, le contrôle
de la prestation de services et l'évaluation de l'efficacité
des programmes de contributions dans la réponse aux besoins en
établissement des nouveaux arrivants. Le CIPC comporte les cinq
composantes suivantes :
- Évaluation
- Mesure du rendement
- Processus lié aux ententes de contribution
- Cadre de contrôle de gestion
- Responsabilisation à l'échelle provinciale et
territoriale
Depuis l'an 2000, CIC a mis l'accent sur la composante de
la mesure du rendement, ce qui supposait le recours au développement
d'Immigration – Système de mesure pour la reddition
de comptes concernant les programmes de contribution (iSMRP) en collaboration
avec les fournisseurs de services (FS) qui reçoivent du financement
sous forme de contributions. L'iSMRP est un système fondé
sur Internet conçu pour recueillir des données de mesure
du rendement. Il permet aux FS de fournir des données cohérentes
et fiables sur les programmes à CIC. L'information aide les
FS et CIC à offrir une meilleure prestation de services aux clients,
à accroître l'efficacité des programmes et à
montrer au public que les fonds sont dépensés de manière
responsable. Avec l'implantation d'autres composantes Exigences
en matière de sécurité pour les fournisseurs de services
- iSMRP Citoyenneté et Immigration Canada Novembre 2002 8 du CIPC,
CIC devrait être bien en mesure de faire rapport sur les résultats
obtenus.
L'iSMRP recueille de l'information sur des clients particuliers
pour le CLIC et pour le PAR et des données globales ou individuelles
(falcutatives) sur les clients pour le PEAI et le Programme d'accueil.
L'information recueillie comprend le nom, la date de naissance,
le numéro d'immigration et les services reçus liés
aux clients. En raison du type (p. ex. de l'information personnelle)
et de la quantité d'information dans l'iSMRP, cette
dernière équivaut à des renseignements « protégés
» au gouvernement fédéral qui sont également
« de nature particulièrement délicate », ce
qui signifie que l'on pourrait s'attendre, raisonnablement,
à ce que leur divulgation entraîne de graves problèmes
pour les particuliers visés. Elle doit, par conséquent,
faire l'objet de mesures de confidentialité conformément
à certaines normes minimales.
CIC est tenu de protéger les renseignements personnels des clients
en vertu de la législation fédérale sur la protection
de la vie privée. Cette exigence est élargie aux FS par
l'intermédiaire de l'entente de contribution.
Pour assurer la protection des renseignements sur les clients dans l'iSMRP
et dans le cadre du processus de développement d'un système
fondé sur Internet, CIC a effectué un certain nombre d'évaluations
des renseignements personnels et de la sécurité. Cela comprend
une évaluation de la menace et des risques ainsi qu'une évaluation
des répercussions sur les renseignements personnels (un sommaire
est accessible à l'adresse suivante : integration-net.ca).
CIC a également tenu des consultations sur ces questions auprès
du Commissariat à la protection de la vie privée du Canada,
de partenaires de l'extérieur et de spécialistes ministériels
internes. Pour l'aider à respecter ses obligations en vertu de
la législation fédérale sur la protection de la vie
privée, on a conseillé à CIC de mettre en œuvre
des exigences particulières en matière de sécurité
pour l'environnement iSMRP. Ces exigences sont décrites dans
le présent document et comprennent des mesures liées à
la sécurité du personnel, à la sécurité
technologique et matérielle. Elles sont fondées sur la politique
actuelle du gouvernement fédéral en matière de protection
de la vie privée et de la sécurité et sont conçues
pour protéger l'information sur les clients dans les bases
de données de l'iSMRP et des FS. Il convient de remarquer
que l'adoption de ces types de mesures constitue une bonne pratique
pour tout environnement où des renseignements personnels sont recueillis
et stockés.
La Partie I du document décrit les exigences
en matière de sécurité du personnel ou des utilisateurs.
Tous les utilisateurs sont tenus d'être soumis à une
évaluation de fiabilité menée par le directeur général
(DG) des FS ou par une personne autorisée avant la demande d'un
« nom d'utilisateur » et d'un « mot de passe
» d'accès à l'iSMRP. Cette évaluation
est comparable à la « vérification de fiabilité
approfondie » du gouvernement fédéral et comprend
une vérification de la fiabilité passée de l'utilisateur
pour déterminer sa fiabilité future en relation avec la
Exigences en matière de sécurité pour les fournisseurs
de services - iSMRP Citoyenneté et Immigration Canada Novembre
2002 9 protection des renseignements sur les clients dans l'iSMRP.
Le DG basera sa décision sur les vérifications des documents
et des références ou sur ses connaissances personnelles
du particulier et des résultats d'une vérification
du casier judiciaire. Les utilisateurs qui reçoivent une évaluation
de fiabilité positive peuvent demander l'accès à
l'iSMRP.
L'évaluation ne confère au particulier
aucun statut du gouvernement fédéral en matière de
sécurité. Elle consiste à être utilisée
strictement à des fin s d'accès à l'iSMRP
et ne vise aucunement à avoir un effet quelconque sur les relations
d'emploi entre le particulier et les FS.
Les Parties II et III de ce document traitent des exigences
liées à la sécurité technologique et matérielle,
respectivement. La sécurité technologique se rapporte aux
mesures de sécurité qui ont été conçues
pour protéger l'information contre des menaces de l'extérieur,
comme celles provenant d'Internet ou contre des menaces intérieures,
comme celles provenant de particuliers qui cherchent à obtenir
un accès non autorisé.
On trouve également dans cette
partie des recommandations visant à améliorer la sécurité
technologique. La sécurité matérielle suppose la
présentation et la conception adéquates des installations
et l'utilisation de mesures visant à empêcher l'accès
non autorisé.
La partie IV traite des mesures à prendre par
le DG et (ou) les utilisateurs dans l'éventualité
d'une atteinte à la sécurité ou d'une
violation connexe chez un FS qui pourrait toucher la sécurité
de l'information sur les clients dans l'iSMRP.
Les FS sont tenus de mettre en œuvre ces exigences en matière
de sécurité en vertu de l'entente de contribution
CIC dans le cadre du processus de collecte de l'information sur
les clients pour l'iSMRP. Ils peuvent demander de l'orientation
ou de l'aide sur leur mise en oeuvre aux membres de l'Équipe
de travail chargée de l'imputabilité CIC, dont la liste
figure à l'Annexe
A.
<< précédent | contenu | suivant >>
| 