Initiatives nationales

Exigences en matière de sécurité pour les fournisseurs de services

PARTIE I : Sécurité des utilisateurs

3. Décision liée à l'évaluation de fiabilité

Lorsqu'il prend une décision en matière d'évaluation de fiabilité, on s'attend à ce que le DG donne une évaluation juste et objective qui respecte les droits du particulier. La question à laquelle il faut répondre consiste à savoir si on peut se fier au particulier qui respectera la confiance qui peut lui être accordée en lui donnant accès aux renseignements sur les clients dans l'iSMRP.

En d'autres termes, y a-t-il un motif raisonnable de croire que le particulier peut exploiter les biens et l'information à son profit personnel, négliger de protéger l'information et les biens qui lui sont confiés ou faire preuve d'un comportement qui aurait des répercussions négatives sur sa fiabilité? De telles décisions supposent une évaluation de tous les risques liés au fait d'accorder l'accès et de juger si de tels risques sont acceptables ou non.

La décision du DG selon laquelle le risque est acceptable signifie que l'utilisateur a reçu une détermination positive au sujet de l'état de fiabilité et qu'il peut demander un nom d'utilisateur et un mot de passe tels que décrits dans la section suivante.

Si le risque n'est pas acceptable, le particulier n'est pas autorisé à demander un nom d'utilisateur et un mot de passe. De plus, on doit communiquer au particulier les raisons de ce refus.

4. Évaluation de fiabilité positive

4.1 Briefing en matière de sécurité

Lorsque les utilisateurs ont reçu une évaluation de fiabilité positive, ils doivent être informés, oralement ou par écrit, de leurs responsabilités en ce qui a trait à la protection de l'information sur les clients iSMRP conformément aux :

« Exigences liées à la sécurité de l'utilisateur iSMRP » (Annexe C)

Ces exigences comprennent notamment d'informer le DG lorsqu'il y a une tentative d'accès non autorisé à l'iSMRP ou lorsque l'information sur les clients iSMRP est modifiée, endommagée ou volée. Le DG doit immédiatement transmettre tous les renseignements au sujet de ces types d'incidents à un membre de l'imputabilité CIC (Voir l'Annexe A).

4.2 Comment remplir un « Formulaire de demande/mise à jour du nom d'utilisateur et du mot de passe iSMRP »

Lorsque les utilisateurs ont reçu une évaluation de fiabilité positive et le briefing en matière de sécurité indiqué ci-dessus, le DG et l'utilisateur doivent signer le :

« Formulaire de demande/mise à jour du nom d'utilisateur et du mot de passe iSMRP » (Annexe D).

La signature du DG autorise l'utilisateur à demander un nom d'utilisateur et un mot de passe alors que la signature de l'utilisateur indique qu'il accepte de se conformer aux exigences liées à la sécurité de l'utilisateur iSMRP.

5. Dossiers d'évaluation de fiabilité

5.1 Conservation, élimination et accès

Conservation :

Les DG sont tenus de conserver un relevé du nombre, de la date d'émission et du responsable de l'émission du certificat de vérification du casier judiciaire de l'utilisateur à des fins de contrôle CIC.

Élimination :

Tous les dossiers liés à l'évaluation de fiabilité doivent être détruits deux ans après la date à laquelle l'emploi de l'utilisateur se termine.

Accès :

Tout dossier se rapportant à l'évaluation de fiabilité doit être utilisé uniquement aux fins pour lesquelles il a été colligé et ne doit être divulgué à personne (à l'exception du numéro de certificat de vérification du casier judiciaire, de la date d'émission et du responsible, lesquelles pourraient être fournies à CIC) sans le consentement de l'utilisateur.

6. Annulation d'un nom d'utilisateur et d'un mot de passe iSMRP

6.1 Comment remplir le « Formulaire d'annulation du nom d'utilisateur et du mot de passe iSMRP »

Lorsqu'une évaluation de fiabilité d'un utilisateur a été révoquée ou qu'il y a une demande d'annulation d'un « nom d'utilisateur » et d'un « mot de passe », le DG et l'utilisateur doivent signer le formulaire suivant :

« Formulaire d'annulation du nom d'utilisateur et du mot de passe iSMRP» (Annexe E)

La signature du DG autorise la demande d'annulation du nom d'utilisateur et du mot de passe alors que la signature de l'utilisateur indique qu'il comprend son engagement permanent à protéger les renseignements sur les clients iSMRP auxquels il a accès.

<< précédent | contenu | suivant >>