Exigences de sécurité relatives aux lieux de travail

Voici comment le Programme de sécurité des contrats (PSC) aidera votre organisation à respecter les exigences de sécurité visant votre lieu de travail et à obtenir une autorisation de détenir des renseignements (ADR).

Sur cette page

Pourquoi devez-vous sécuriser votre lieu de travail

Un lieu de travail sécurisé est conçu pour empêcher ou retarder l'accès non autorisé aux aires de travail, aux renseignements et aux biens de nature délicate, et pour permettre une intervention en cas d'accès non autorisé.

Si un contrat exige que votre organisation entrepose des renseignements et des biens de nature délicate du gouvernement dans au moins 1 lieu de travail, vous devez obtenir une ADR délivrée par l'intermédiaire du PSC avant d'attribuer un contrat.

En savoir plus sur l’autorisation de détenir des renseignements.

Inspections de sécurité physique

Le PSC inspecte les emplacements professionnels des organisations admissibles dans le cadre du processus d’approbation de l’ADR. L’inspection de sécurité physique déterminera ce que votre organisation doit faire pour assurer la sécurité du lieu de travail et protéger les renseignements et biens de nature délicate.

Dans le cas des demandes d’appel d'offres concurrentiels, une inspection de tous les soumissionnaires confirmés est réalisée pendant la phase d'évaluation des offres. Lorsque le soumissionnaire retenu est sélectionné, le PSC lui accorde une ADR pour la durée du contrat.

En savoir plus sur le processus d’inspection de la sécurité physique et des technologies de l’information.

Avant l'inspection : À quoi s'attendre

Pour se préparer à l'inspection, l'agent local de la sécurité industrielle (ALSI) relevant du PSC examinera :

On demandera à l’agent de sécurité d’entreprise (ASE) ou l’agent de sécurité d’entreprise remplaçant (ASER) d'examiner et de remplir une trousse des directives sur la sécurité, un questionnaire préalable à l'inspection ainsi que tout autre formulaire requis. L'ALSI vous demandera également un plan d'étage détaillé pour effectuer l'inspection de sécurité.

Pour plus de renseignement, consultez le diagramme de l’organisation des zones et exemple de plan d'étage.

Pendant l'inspection : À quoi s'attendre

L'ALSI doit prendre connaissance de ce qui suit :

Remarque

L'inspection est gratuite, cependant, votre organisation doit assumer les coûts associés à tout équipement ou travail de construction requis pour protéger les renseignements et les biens sur les lieux de travail.

Photographies

Pendant l'inspection, l'ALSI aura besoin de l'autorisation de votre organisation pour accéder à ce qui suit et photographier :

  • tous les points d'accès intérieurs et extérieurs, y compris le matériel de verrouillage
  • les armoires d'entreposage et leur emplacement
  • les portes de contrôle d'accès à la zone de travail et de sécurité (s'il y a lieu)
  • les salles de serveur
  • photos supplémentaires liées à la sécurité physique

Recommendations

Lors de l’inspection, l’ALSI fournira des recommandations à l’intention de votre ASE ou de votre ASER sur la manière d’assurer la sécurité appropriée du lieu de travail de votre organisation.

Après l'inspection : À quoi s'attendre

Votre organisation doit mettre en œuvre les recommandations du PSC pour être admissible à une ADR. Lorsque votre organisation a mis en œuvre les recommandations et que sa soumission a été retenue, le PSC fera ce qui suit :

  • réaliser le processus d’inspection
  • accorder l’ADR
  • informer votre ASE ou votre ASER, par écrit, que votre organisation possède le niveau de sécurité requis
  • autoriser votre organisation à commencer les travaux prévus dans le contrat

Les délais d’inspection varient en fonction des niveaux de sécurité et de la capacité de votre organisation à se conformer aux recommandations du PSC.

En savoir plus sur la mise en œuvre des recommandations et des mesures correctives pendant la phase d'évaluation des offres d’un processus d’approvisionnement fédéral.

Consignes de sécurité pour le personnel

Les consignes de sécurité sont présentées dans un document que votre organisation créera et utilisera pour :

Elles doivent stipuler que les employés :

Tous les employés de l'organisation doivent lire attentivement les consignes de sécurité avant de signer l'attestation à la fin du document.

Remarque

Les consignes de sécurité sont requises pour les organisations ayant obtenu une ADR. Ces consignes doivent être portées à l'attention de l'ALSI avant que l'ADR puisse être accordée.

Obtenez des renseignements sur les consignes de sécurité dans l’Annexe A : Lignes directrices sur les responsabilités des agents de sécurité d’entreprise et des agents de sécurité d'entreprise remplaçants – section V. Contenu de la sensibilisation à la sécurité du Manuel de la sécurité des contrats (MSC).

Mécanismes de contrôle de l'accès

Les mécanismes de contrôle de l'accès sont un type de dispositifs de sécurité matérielle utilisé pour protéger les renseignements et les biens. Le PSC offre des directives et des conseils sur les types de mécanismes de contrôle de l'accès nécessaires dans des lieux de travail donnés.

Voici certains mécanismes de contrôle de l'accès :

Les organisations doivent veiller à ce que tous les employés, les entrepreneurs et les sous-traitants (par exemple le personnel chargé du nettoyage et de l'entretien) détiennent une autorisation de sécurité de niveau approprié ou à ce qu'ils soient accompagnés en tout temps lorsqu'ils accèdent aux zones de sécurité.

Entreposage et armoires d'entreposage

Un ALSI du PSC formulera des recommandations en matière d'entreposage. Au besoin, votre ALSI vous aidera à commander des armoires approuvées par la GRC. De telles armoires sont requises pour l'entreposage des renseignements et des biens classifiés et désignés « Protégé C » du gouvernement fédéral.

Plan d'étage et hiérarchie des zones

Il faut dresser un plan d'étage détaillé avant la tenue d'une inspection.

Votre plan d'étage détaillé doit comprendre ce qui suit :

  • tous les points d'accès au périmètre externe de l'installation, y compris les portes et fenêtres (au niveau du sol)
  • tous les points de contrôle d'accès intérieurs de l'installation (zone de travail et zone de sécurité)
  • tous les endroits où du matériel, des renseignements ou des biens protégés ou classifiés seront affichés, traités, produits ou conservés
  • toutes les zones d'accès restreint
  • l'emplacement des armoires d'entreposage et des lieux de conservation temporaire
  • l'emplacement de tous les éléments de systèmes de détection d'intrusion (détecteurs de mouvement, clavier, contacts de porte, télévision en circuit fermé, etc.)
  • l'emplacement des serveurs, des systèmes de technologie de l'information et des périphériques

Vous devez créer une hiérarchie des zones pour établir qui peut et qui ne peut pas accéder aux renseignements et aux biens de nature délicate sur votre lieu de travail. Ces zones doivent être illustrées sur votre plan d'étage, comme on peut le voir dans les images ci-dessous.

Organisation des zones et exemple de plan d'étage

Organisation des zones et exemple de plan d'étage – La description de l'image se trouve dans le texte qui suit l'image.

Description de l'organisation des zones et de l'exemple de plan d'étage

L'organisation des zones est illustrée par des cercles. Le cercle extérieur est le plus grand et englobe les autres cercles. Plus un cercle est petit, plus les exigences de sécurité qui s'appliquent à la zone en cause sont élevées.

Le cercle extérieur représente la zone d'accès public. Il s'agit des zones où l'accès du public n'est pas restreint, comme le terrain qui entoure l'immeuble ou les corridors publics.

Le deuxième cercle représente la zone d'accueil. Il s'agit d'une zone où la transition d'une zone d'accès public à une zone d'accès restreint est délimitée et contrôlée.

Le troisième cercle représente la zone de travail. Cette zone est réservée aux employés et aux visiteurs dûment accompagnés; il peut notamment s'agir d'un espace de bureaux à aire ouverte type ou d'un local électrique.

Le quatrième cercle à partir de l'extérieur est aussi le deuxième cercle à partir de l'intérieur. Il représente la zone de sécurité. Il s'agit d'une zone réservée aux employés autorisés et aux visiteurs autorisés qui sont dûment accompagnés (par exemple un lieu où des renseignements « Secret » sont traités ou entreposés).

Le cercle le plus petit représente la zone de haute sécurité. Il s'agit d'une zone réservée aux employés autorisés détenant une attestation de sécurité de niveau approprié et aux visiteurs autorisés dûment accompagnés, comme une zone où des biens de grande valeur sont manipulés par des employés désignés.

L'exemple de plan d'étage est présenté sous la forme d'une pièce rectangulaire vue du dessus. La pièce comprend les zones suivantes :

  • une zone de travail
  • une zone d'accueil
  • une zone de sécurité dans la zone de travail
  • une zone de haute sécurité dans la zone de sécurité

L'accès à la zone de sécurité est réservé au personnel se trouvant dans la zone de travail. La zone de haute sécurité se trouve dans la zone de sécurité. L'accès à la zone de haute sécurité est réservé au personnel se trouvant dans la zone de sécurité.

On entre dans la pièce et l'on en sort par les points d'accès suivants :

  • une porte pour l'accès public :
    • elle mène directement à la zone d'accueil se trouvant dans la pièce
    • l'accès au-delà de la zone d'accueil est restreint par un point de contrôle
  • une porte pour le personnel, à laquelle l'accès est contrôlé :
    • cette porte est réservée au personnel se trouvant dans la zone de travail
  • des sorties de secours, auxquelles l'accès n'est pas recommandé et qui ne devraient permettre que de sortir de l'immeuble en cas d'urgence :
    • ces portes sont réservées au personnel se trouvant dans la zone de travail

Renseignements supplémentaires sur les zones de sécurité

Apprenez-en davantage sur :

Mentions de sécurité

Les renseignements, qu'ils soient en format papier ou électronique, doivent porter une mention indiquant qu'ils sont protégés ou classifiés, le cas échéant. Votre organisation doit respecter les normes du gouvernement sur l'annotation des renseignements protégés et classifiés.

Obtenez des renseignements sur l'annotation des renseignements protégés et classifiés dans l’Annexe C : Lignes directrices sur la protection des renseignements et des biens – section lll. Mentions de sécurité du MSC.

Destruction et déchiquetage

Les renseignements et les biens de nature délicate sont détruits à la fin de leur cycle de vie, et ce, afin d'en préserver la confidentialité. Cette pratique est requise pour les documents originaux, les copies, les versions provisoires et les notes – soit tous les documents qui comprennent des renseignements protégés et classifiés.

Déchiquetage

Comme il est indiqué dans les clauses du contrat, les renseignements et les biens protégés et classifiés peuvent être détruits en faisant appel à une entreprise de destruction tierce agréée. Sinon, votre organisation peut procéder au déchiquetage sur place si elle dispose d’une déchiqueteuse approuvée. La déchiqueteuse de votre organisation sera inspectée par l’ALSI lors de l’inspection liée à l’ADR si l’entreprise indique qu’elle effectuera le déchiquetage dans son emplacement professionnel.

Référez-vous à l’annexe A : Norme de déchiquetage de papier du gouvernement du Canada du guide de sélection de l’équipement de déchiquetage de la GRC.

Capacité de déchiquetage de documents contenant des renseignements « Protégé A » et « Protégé B »

Avec la permission du ministère client, votre organisation peut déchiqueter des renseignements « Protégé A » et « Protégé B » dans ses emplacements professionnels. L’appareil de déchiquetage doit se trouver dans la « zone de travail » de l’organisation des zones et respecter les exigences de la GRC en ce qui concerne la taille des particules déchiquetées pour le niveau des renseignements détruits.

Capacité de déchiquetage de documents contenant des renseignements « Secret » 

Avec la permission du ministère client, votre organisation peut déchiqueter des renseignements de niveau « Secret » dans ses emplacements professionnels. L’appareil de déchiquetage doit se trouver dans la « zone de sécurité » de l’organisation des zones et respecter les exigences de la GRC en ce qui concerne la taille des particules déchiquetées pour le niveau des renseignements détruits.

Pour les dispositifs de technologie de l'information, la déchiqueteuse doit être approuvée par le Centre de la sécurité des télécommunications Canada.

Renseignements et biens de niveaux « Protégé C », « Très secret » et « sécurité des communications » ainsi que renseignements et biens classifiés de l'Organisation du Traité de l'Atlantique Nord et de pays étrangers

Avec la permission du ministère client, votre organisation peut déchiqueter des renseignements de nature délicate dans la zone applicable de l’organisation des zones de ses emplacements professionnels, en utilisant un appareil de déchiquetage qui respecte les exigences en ce qui concerne la taille des particules déchiquetées pour le niveau des renseignements détruits.

Installations de déchiquetage

Le PSC mène annuellement une inspection auprès des entreprises de déchiquetage. Ces entreprises doivent obtenir une approbation de déchiquetage correspondant au niveau des documents qu'elles traitent.

Si votre organisation utilise les services d’installations de déchiquetage d’un tiers, votre ASE ou votre ASER devra initier un contrat de sous-traitance.

En savoir plus sur les exigences de sécurité des sous-traitances.

Déchiquetage mobile

Les camions de déchiquetage mobile peuvent déchiqueter des documents protégés ou d'un niveau supérieur, dans la mesure où ils respectent les normes de la GRC. De plus, les employés autorisés de votre organisation doivent être sur place pour :

  • suivre continuellement les documents
  • superviser l'ensemble du processus de destruction
  • inspecter les résidus déchiquetés

Votre ASE ou ASER doit s'assurer que l'entreprise de déchiquetage détient l'attestation de sécurité requise en vérifiant auprès du PSC.

L'entreprise de déchiquetage doit remettre un certificat de destruction une fois que les documents ont été détruits.

Si votre organisation utilise les services de camions de déchiquetage mobile d’un tiers, votre ASE ou votre ASER devra initier un contrat de sous-traitance.

En savoir plus sur les exigences de sécurité des sous-traitances.

Incinération

Le processus de destruction par incinération doit se faire dans un incinérateur approuvé par la GRC. Le simple fait de brûler des renseignements n'est pas une méthode approuvée de destruction par incinération.

Normes minimales d'entreposage, de transmission et de destruction

Dans cette section

Renseignements « Protégé A »

S'applique aux renseignements ou aux biens qui pourraient porter préjudice à une personne, à une organisation ou à un gouvernement s'ils étaient compromis.

Entreposage

  • Format papier : les renseignements doivent être conservés sous clé dans une zone de travail (par exemple, armoire suspendue verrouillée, tiroir verrouillé, bureau fermé à clé)
  • Format électronique : les documents peuvent être sauvegardés sur un disque réseau sécurisé

Transmission

  • Télécopie : les documents peuvent être transmis et reçus au moyen d'un télécopieur ordinaire situé dans une zone de travail
  • Courriel : les documents peuvent être transmis sur un réseau interne sécurisé

Destruction

  • Format papier : déchiqueteuse qui respecte la norme de déchiquetage de papier de la GRC pour les renseignements « Protégé A » 
  • Format électronique : supprimer les fichiers et vider la corbeille

Renseignements « Protégé B »

S'applique aux renseignements ou aux biens qui pourraient porter un préjudice grave à une personne, à une organisation ou à un gouvernement s'ils étaient compromis.

Entreposage

  • Format papier : les renseignements doivent être conservés dans une armoire d'entreposage verrouillée, dans une zone de travail
  • Format électronique : les renseignements peuvent être sauvegardés sur une clé USB, sur un lecteur de disque dur externe ou sur un CD et conservés dans une armoire d'entreposage verrouillée, dans une zone de travail

Transmission

  • Télécopie : les documents peuvent être transmis et reçus au moyen d'un télécopieur ordinaire situé dans une zone de travail; il doit y avoir une procédure de contrôle aux lieux de l'envoi et de la réception des documents
  • Courriel : recourir au chiffrement par infrastructure à clés publiques ou à un autre mécanisme de chiffrement approuvé

Destruction

Renseignements « Confidentiel »

S'applique aux renseignements ou aux biens qui pourraient porter préjudice à l'intérêt national s'ils étaient compromis.

Entreposage

  • Format papier : les renseignements doivent être entreposés dans un contenant de sécurité approuvé par la GRC, dans une zone de travail
  • Format électronique : les renseignements doivent être entreposés dans un contenant de sécurité approuvé par la GRC, dans une zone de travail

Transmission

  • Télécopie : les documents peuvent être transmis et reçus au moyen d'un télécopieur et d'un téléphone sécurisés munis d'un dispositif de chiffrement approuvé, dans une zone de sécurité
  • Courriel : il ne faut pas transmettre les documents classés à ce niveau par courriel

Destruction

Renseignements « Protégé C »

S'applique aux renseignements ou aux biens qui pourraient porter un préjudice extrêmement grave à une personne, à une organisation ou à un gouvernement s'ils étaient compromis.

Entreposage

  • Format papier : les renseignements doivent être entreposés dans un contenant de sécurité approuvé par la GRC, dans une zone de sécurité
  • Format électronique : les renseignements doivent être entreposés dans un contenant de sécurité approuvé par la GRC, dans une zone de sécurité

Transmission

  • Télécopie : les documents peuvent être transmis et reçus au moyen d'un télécopieur et d'un téléphone sécurisés munis d'un dispositif de chiffrement approuvé, dans une zone de sécurité
  • Courriel : il ne faut pas transmettre les documents classés à ce niveau par courriel

Destruction

Renseignements « Secret »

S'applique aux renseignements ou aux biens qui pourraient porter des préjudices graves à l'intérêt national s'ils étaient compromis.

Entreposage

  • Format papier : les renseignements doivent être entreposés dans un contenant de sécurité approuvé par la GRC, dans une zone de sécurité
  • Format électronique : les renseignements doivent être entreposés dans un contenant de sécurité approuvé par la GRC, dans une zone de sécurité

Transmission

  • Télécopie : les documents peuvent être transmis et reçus au moyen d'un télécopieur et d'un téléphone sécurisés munis d'un dispositif de chiffrement approuvé, dans une zone de sécurité
  • Courriel : il ne faut pas transmettre les documents classés à ce niveau par courriel

Destruction

Renseignements « Très secret »

S'applique aux renseignements ou aux biens qui pourraient porter un préjudice extrêmement grave à l'intérêt national s'ils étaient compromis.

Entreposage

  • Format papier : les renseignements doivent être entreposés dans un contenant de sécurité approuvé par la GRC, dans une zone de haute sécurité
  • Format électronique : les renseignements doivent être entreposés dans un contenant de sécurité approuvé par la GRC, dans une zone de haute sécurité

Transmission

  • Télécopie : les documents peuvent être transmis et reçus au moyen d'un télécopieur et d'un téléphone sécurisés munis d'un dispositif de chiffrement approuvé, dans une zone de haute sécurité
  • Courriel : il ne faut pas transmettre les documents classés à ce niveau par courriel

Destruction

Renseignements supplémentaires

Date de modification :