Politique générale relative à Ia classification de la sensibilité des renseignements
Cette politique définit les exigences et les pratiques exemplaires que le gouvernement de l’Ontario utilise pour classifier et protéger les renseignements sensibles et les systèmes d’information.
Préambule
Pour assurer la sécurité de l’information, il faut répondre aux exigences en matière de confidentialité, d’intégrité et de disponibilité associées à l’information et aux systèmes d’information.
Confidentialité
Les exigences en matière de confidentialité concernent le préjudice relatif qui découlerait d’un accès non autorisé à de l’information ou d’une diffusion accidentelle de celle ci. Il est possible de répondre à ces exigences à l’aide de divers processus opérationnels et moyens techniques.
Intégrité
Les exigences en matière d’intégrité concernent le préjudice ou le dommage qui s’ensuivrait si une ressource d’information subissait une modification non autorisée. Règle générale, il est possible de répondre à ces exigences à l’aide de moyens techniques qui empêchent l’accès non autorisé aux systèmes d’information, limitant ainsi la possibilité de modification.
Disponibilité
Les exigences en matière de disponibilité concernent le préjudice ou le dommage qui s’ensuivrait si une information particulière n’était pas continuellement mise à disposition pour un accès et une utilisation autorisés. Règle générale, il est possible de répondre à ces exigences en mettant sur pied des plans d’urgence et en déployant des efforts visant à assurer la résilience des systèmes d’information.
Bien que ces trois aspects de la sécurité de l’information soient importants, la confidentialité est l’aspect le plus susceptible d’être assuré par le comportement de l’utilisateur, tandis que, le plus souvent, on assure l’intégrité et la disponibilité de l’information par des moyens techniques.
Il convient de noter que les méthodes et le degré de protection recommandés pour assurer la confidentialité ne seront pas nécessairement identiques à ceux utilisés pour garantir l’intégrité ou la disponibilité de l’information. De même, une même ressource d’information peut nécessiter la mise en œuvre de différentes mesures de protection pour en assurer la confidentialité lorsqu’elle est créée, stockée ou partagée dans des contextes techniques différents (p. ex. des documents imprimés, des documents stockés sur une application interne, ou des documents accessibles par Internet).
Néanmoins, le type et le degré de mesures de protection recommandés pour assurer la sécurité d’une ressource d’information donnée doivent toujours être proportionnels au risque d’accès non autorisé, de diffusion accidentelle, de modification ou de non disponibilité.
Autorité
La présente politique a été émise par le Secrétariat du Conseil du Trésor et le Conseil de gestion du gouvernement en vertu de la Directive sur la gestion et l’utilisation de l’information et de la technologie de l’information (ITI) qui précise les responsabilités relatives à l’établissement, à la modification, au remplacement ou à la résiliation des politiques en matière de gestion de l’information et de technologie de l’information (ITI) et décrit des exigences opérationnelles plus détaillées pour les ministères, les groupements ITI et les organismes.
Date d’entrée en vigueur
La présente politique prend effet le 28 août 2018.
Application et portée
La présente politique s’applique à ce qui suit :
- l’information qui est créée, reçue ou conservée par le gouvernement de l’Ontario ou en son nom, et ce, sous toutes ses formes;
- les systèmes et les ressources d’information utilisés par les ministères du gouvernement de l’Ontario ou en leur nom pour créer, saisir, traiter, communiquer, transporter, diffuser, stocker ou éliminer l’information.
La présente politique s’applique à tous les ministères provinciaux, gouvernés ou non par un conseil d’administration, et les organismes consultatifs ainsi qu’à tout autre organisme au titre de la Directive concernant les organismes et les nominations à moins qu’une exemption ait été accordée par le Conseil de gestion du gouvernement.
Ces exigences s’appliquent également aux situations pour lesquelles de l’information est créée, saisie, traitée, transmise ou stockée par des partenaires de prestation de services tiers et leurs sous-traitants.
Des mesures de protection appropriées doivent être mises en œuvre pour protéger l’information, les systèmes d’information et les autres ressources de programme dans une mesure compatible avec les exigences décrites dans la présente politique ou dans d’autres politiques et lois applicables de la fonction publique de l’Ontario (FPO). Des mesures de protection supplémentaires pour les systèmes d’information peuvent également être recommandées dans une évaluation de la menace et des risques, un plan d’atténuation des risques, un rapport de gestion des vulnérabilités ou tout autre document relevant les risques en matière de sécurité de l’information.
Principes
Les énoncés suivants décrivent les principes sur lesquels la présente politique est fondée.
- L’information et les systèmes d’information sont des biens essentiels du gouvernement, comme les infrastructures physiques et les ressources financières, et doivent être protégés de manière délibérée, appropriée et cohérente tout au long de leur cycle de vie.
- Les efforts déployés pour protéger l’information doivent être proportionnels aux dommages ou préjudices éventuels qui pourraient résulter si la confidentialité, l’intégrité et la disponibilité ne sont pas assurées.
- Une analyse approfondie de tous les risques pour la sécurité des systèmes d’information peut porter non seulement sur les exigences en matière de protection de la confidentialité de l’information, mais aussi sur l’intégrité et la disponibilité de l’information.
- La réduction des risques et la gestion des coûts associés à la protection sont deux considérations importantes lors de la planification, de la sélection et de la mise en œuvre des mesures de protection. La responsabilité en ce qui a trait aux risques incombe aux ministères.
- La formation obligatoire des utilisateurs est un élément fondamental du succès d’un programme de classification de la sensibilité de l’information.
Exigences obligatoires
Classification et protection de l’information
Toutes les ressources d’information doivent être évaluées, classifiées et protégées en fonction de leur degré de sensibilité. Les degrés de sensibilité doivent être fondés sur la prise en compte des obligations juridiques et des exigences opérationnelles visant à protéger la confidentialité de l’information ainsi que des dommages et préjudices pouvant être causés par l’accès à l’information ou sa modification non autorisés ou sa divulgation accidentelle.
Dans la mesure du possible, les ressources d’information dont le degré de classification varie devraient être séparées et stockées avec des ressources d’information dont le degré de classification est semblable afin d’éviter une protection insuffisante ou excessive. Cela doit être fait de manière à respecter les exigences de la Politique générale de conservation des documents. Si des ressources d’information dont le degré de classification varie doivent coexister au sein d’un système ou si une situation ne permet pas une ségrégation technique adéquate, toutes les ressources d’information coexistantes doivent être protégées conformément au degré de classification le plus élevé établi.
Si des ressources d’information dont le degré de sensibilité est « Élevé » sont liées à des intérêts nationaux ou provinciaux ou à la sécurité provinciale ou nationale, des mesures de protection additionnelles doivent être mises en œuvre. Veuillez suivre les lignes directrices du gouvernement fédéral pour les biens et les ressources d’information classifiés.
Désignation de classification de l’information
| Degré de sensibilité | Description |
|---|---|
| Degré de sensibilité élevé | La divulgation non autorisée d’une telle information pourrait entraîner la perte de vies humaines ou avoir des conséquences sur la sécurité publique, entraîner une perte de confiance significative de la confiance du public à l’égard du gouvernement ou créer une situation embarrassante pour celui ci, causer des préjudices extrêmement graves à des particuliers ou à des entreprises, avoir des conséquences économiques majeures, permettre la mise en œuvre d’activités de sabotage ou terroristes ou bien entraîner des pertes financières ou des difficultés sociales importantes. |
| Degré de sensibilité moyen | La divulgation non autorisée d’une telle information pourrait causer de graves préjudices à des particuliers ou à des entreprises, entraîner la perte d’un avantage concurrentiel, entraîner une perte de confiance envers un programme gouvernemental, entraîner des pertes financières modérées ou causer des préjudices aux partenariats ou à la réputation. |
| Degré de sensibilité faible | La divulgation non autorisée d’une telle information pourrait causer un préjudice mineur à des particuliers, entraîner des pertes financières mineures ou causer un embarras léger ou des désagréments. |
| Non classifié | La divulgation d’une telle information n’entraînera aucun dommage ou préjudice et ne nécessite pas d’autorisation préalable. |
Afin d’indiquer qu’elles ont été classifiées, toutes les ressources d’information doivent être désignées au moyen de l’un des quatre degrés de sensibilité décrits ci-dessus. La désignation de classification appliquée à une ressource d’information en particulier indique les exigences en matière de confidentialité connexes et oriente les mesures de protection qui doivent être mises en œuvre pour assurer le maintien de la confidentialité. La sélection et l’application de la désignation appropriée supposent d’examiner attentivement les dommages et préjudices qui pourraient découler de l’accès ou de la divulgation non autorisés de cette information.
À l’heure actuelle, la FPO n’exige pas d’assigner une désignation de classification de l’information pour indiquer les exigences en matière d’intégrité et de disponibilité puisque ces aspects de la sécurité de l’information sont plus souvent réalisés au moyen de la mise en œuvre de mesures de protection ou de mesures techniques visant à protéger les systèmes d’information.
Évaluation et protection des systèmes d’information
Le degré de sensibilité de tous les systèmes d’information doit être évalué et un énoncé de sensibilité doit documenter le degré de sensibilité global de l’information et des biens en cause. L’énoncé de sensibilité, souvent élaboré dans le cadre d’une évaluation de la menace et des risques, orientera la mise en œuvre des mesures de protection visant à assurer la confidentialité, l’intégrité et la disponibilité d’un ou de plusieurs systèmes d’information.
| Degré de sensibilité | Description |
|---|---|
| Degré de sensibilité élevé | La divulgation ou la modification non autorisée ou la perte de disponibilité pourrait entraîner la perte de vies humaines ou avoir des conséquences sur la sécurité publique, entraîner une perte de confiance significative de la confiance du public à l’égard du gouvernement ou créer une situation embarrassante pour celui ci, causer des préjudices extrêmement graves à des particuliers ou à des entreprises, avoir des conséquences économiques majeures, permettre la mise en œuvre d’activités de sabotage ou terroristes ou bien entraîner des pertes financières ou des difficultés sociales importantes. |
| Degré de sensibilité moyen | La divulgation ou la modification non autorisée ou la perte de disponibilité pourrait causer de graves préjudices à des particuliers ou à des entreprises, entraîner la perte d’un avantage concurrentiel, entraîner une perte de confiance envers un programme gouvernemental, entraîner des pertes financières modérées ou causer des préjudices aux partenariats ou à la réputation. |
| Degré de sensibilité faible | La divulgation ou la modification non autorisée ou la perte de disponibilité pourrait causer un préjudice mineur à des particuliers, entraîner des pertes financières mineures ou causer un embarras léger ou des désagréments. |
| Non classifié | La divulgation, la modification ou la non disponibilité n’entraînera aucun dommage ou préjudice et ne nécessite pas d’autorisation préalable. |
Les systèmes d’information dont les exigences en matière de confidentialité sont de degré « Faible » peuvent toutefois avoir des exigences de degré « Moyen » ou « Élevé » en ce qui a trait à la protection de l’intégrité de l’information (p. ex. les sites Web qui hébergent les communiqués de presse du gouvernement pourraient ne pas contenir de renseignements personnels ou sensibles, mais doivent être protégés adéquatement contre l’accès ou la modification non autorisés). De même, il peut y avoir des exigences élevées en matière de disponibilité associées aux systèmes utilisés à l’appui de la prestation de services essentiels qui peuvent se traduire en des exigences relatives à la mise en œuvre de mesures de protection robustes pour assurer la disponibilité continue de ces systèmes, même si ceux-ci ne contiennent pas de renseignements personnels ou d’information de sensibilité élevée. Bien que l’intégrité ou la disponibilité constituent des objectifs valides en matière de sécurité, les efforts en ce sens ne doivent pas nuire aux efforts visant à assurer la confidentialité ou avoir une incidence négative sur ceux ci.
Gestion continue des risques
La classification assignée à une ressource d’information donnée doit être examinée périodiquement pour en assurer la pertinence. Le degré de sensibilité de certaines ressources d’information peut changer avec le temps et les classifications assignées doivent être modifiées pour indiquer tout changement puisque cela peut également entraîner une modification connexe des mesures requises pour protéger cette information.
Propriétaire et responsable de l’information
Les propriétaires de l’information doivent être identifiés pour tous les éléments d’information. Les propriétaires de l’information sont les personnes qui créent l’information ou celles à qui l’on a délégué la responsabilité officielle en ce qui concerne l’information. Seul le propriétaire de l’information peut classifier ou revoir la classification de l’information sensible.
En tant que responsables des renseignements personnels, les ministères du gouvernement de l’Ontario sont également responsables de la classification et de la protection des renseignements personnels des citoyens de l’Ontario. Les ministères ont l’obligation de protéger les renseignements personnels conformément aux dispositions de la Loi sur l’accès à l’information et la protection de la vie privée et de la Loi de 2004 sur la protection des renseignements personnels sur la santé qui interdisent à une organisation de divulguer ces catégories de renseignements personnels à l’exception de circonstances très spécifiques, définies et limitées.
Formation et sensibilisation
Les exigences de la présente politique doivent être communiquées à tous les employés de la FPO, ainsi qu’aux entrepreneurs et aux partenaires tiers de la prestation de services dont les ministères peuvent retenir les services à l’appui de l’exécution des programmes. Des outils d’apprentissage seront également offerts pour aider tous les utilisateurs à respecter leurs obligations quant à la mise en œuvre régulière de ces exigences.
Stockage, transmission par courriel et transport de l’information
Pour en savoir plus sur la façon de protéger de manière adéquate tous les renseignements sensibles, qu’ils soient en cours de transfert ou inactifs, veuillez consulter les lignes directrices pour la classification de la sensibilité de l’information.
Les renseignements de sensibilité élevée en format électronique doivent être chiffrés lorsqu’ils sont stockés et en cours de transfert, y compris par courriel, uniquement à l’aide de méthodes de chiffrement approuvées (pour de plus amples renseignements, veuillez consulter la norme NTI-GO 25.12 Exigences en matière de sécurité pour l’utilisation de la cryptographie).
Si des renseignements de sensibilité élevée doivent être stockés ou transportés à l’aide d’un appareil informatique mobile ou d’un appareil de stockage numérique (incluant les ordinateurs portatifs, les dispositifs USB et les disques durs portatifs), les renseignements doivent être chiffrés et manipulés conformément à l’ensemble des exigences énoncées dans la norme NTI-GO 25.10 Exigences en matière de sécurité pour les appareils mobiles.
Obligations des partenaires de la prestation de services
Les contrats et les accords sur les niveaux de service établis avec les fournisseurs de services tiers qui ont accès à l’information et aux systèmes d’information de la FPO, ou qui assurent la garde conjointe de ces éléments, doivent comprendre l’obligation de respecter les exigences de la présente politique et des lignes directrices associées. Cette obligation doit également s’appliquer à tous les sous-traitants auxquels les fournisseurs de services font appel pour offrir les services au gouvernement de l’Ontario ou aux citoyens.
Classification de l’information d’autres organisations ou administrations
Toute l’information reçue d’autres secteurs de programme, ministères, organisations ou administrations doit être protégée conformément au degré de classification qui y est associé. Si un modèle de classification différent a été utilisé, le destinataire de l’information doit clarifier les exigences relatives à la manipulation avec le propriétaire de l’information ou l’administration ayant transmis celle-ci.
Si l’information reçue d’autres organisations ou administrations ne porte pas de désignation de classification de sensibilité, elle doit être classifiée et désignée conformément à la présente politique et protégée en conséquence alors que la FPO en assure la garde et le contrôle.
Processus de tenue des dossiers appropriés pour la détermination des documents devant être conservés, transférés ou disposés
La Loi de 2006 sur les Archives publiques et la conservation des documents stipule que la conservation, le transfert ou la disposition des documents, peu importe le format, doivent être régis par un calendrier de conservation approuvé par l’archiviste de l’Ontario. Le calendrier de conservation détermine la période de conservation des documents au sein du ministère ainsi que leur disposition définitive (c.-à-d. le transfert aux Archives publiques de l’Ontario ou leur destruction). Pour de plus amples renseignements au sujet du transfert de documents électroniques ayant un intérêt archivistique, veuillez consulter la ligne directrice relative au transfert aux Archives publiques de l’Ontario des documents numériques d’archives.
Disposition appropriée de l’information
Documents imprimés
Tous les documents imprimés sensibles doivent être placés dans des contenants de disposition sécurisés fournis par le fournisseur de services de destruction sécuritaire de documents. Les documents imprimés désignés comme étant non classifiés peuvent être recyclés.
Information stockée sur des appareils informatiques ou des supports de stockage numérique
L’information stockée sur des appareils informatiques et des supports de stockage numérique doit être rendue inaccessible en utilisant le processus de nettoyage et les procédures de destruction du matériel approuvés aux fins d’utilisation au sein de la FPO. Veuillez consulter la norme NTI-GO 25.20 : Pertes par élimination et rapports d’incidents d’appareils informatisés et de supports de stockage numérique ainsi que les lignes directrices connexes.
Rôles et responsabilités
Utilisateurs
Tous les utilisateurs de l’information et des systèmes d’information dont le gouvernement de l’Ontario assure la garde ou le contrôle doivent effectuer ce qui suit :
- classifier et protéger l’information conformément aux exigences de la présente politique et des lignes directrices associées
- désigner tous les éléments d’information et les documents qu’ils créent selon les quatre degrés de sensibilité définis dans la présente politique et les lignes directrices associées
- reconnaître les degrés de sensibilité attribués aux éléments d’information créés par d’autres et protéger ces éléments en conséquence
- consulter le matériel d’apprentissage et de formation portant sur la classification de la sensibilité de l’information
- respecter les lois, les directives, les politiques, les procédures opérationnelles et les normes du gouvernement lorsqu’il s’agit d’utiliser des ressources d’ITI
- signaler toute atteinte à la sécurité de l’information ou à la vie privée réelle ou présumée à leur gestionnaire respectif rapidement et informer le Service de dépannage TI de la FPO de toute atteinte à la sécurité présumée
Responsables de programme
Tous les responsables de programme doivent effectuer ce qui suit :
- s’assurer que tous les utilisateurs de leur secteur de programme respectif connaissent la présente politique et les lignes directrices associées
- suivre la formation sur la classification de la sensibilité de l’information et s’assurer que tous leurs subordonnés directs suivent celle-ci
- s’assurer que tous les employés de leur secteur de programme respectif comprennent l’importance de la classification, de la désignation et de la protection de l’information sensible
- désigner le degré de classification de la sensibilité de l’information pour tous les éléments d’information et les systèmes d’information associés au programme et prendre les mesures nécessaires pour en assurer la sécurité en conséquence
- s’assurer que le degré de sensibilité global des ensembles de documents élaborés pour le secteur de programme ou utilisés par celui-ci est documenté et que les documents sont gérés en conséquence
- le cas échéant, s’assurer qu’un énoncé de sensibilité existe pour tous les systèmes d’information dont le secteur de programme assure le contrôle
- donner suite à toute atteinte à la sécurité de l’information ou à la vie privée signalée
Division de la cybersécurité
La Division de la cybersécurité doit effectuer ce qui suit :
- tenir à jour la présente politique et les lignes directrices associées
- fournir des interprétations et offrir une orientation en ce qui a trait à la politique, selon les besoins
- offrir des outils pour accroître la sensibilisation au sujet des exigences de la politique et aider tous les utilisateurs à respecter leurs obligations quant à la mise en œuvre de celles-ci
- fournir des services d’évaluation des risques pour la sécurité de l’information, y compris des rapports sur la classification des ressources d’information, des énoncés de sensibilité, des évaluations de la menace et des risques, des évaluations de la vulnérabilité, des essais de pénétration, etc., selon les besoins afin d’appuyer les ministères en ce qui concerne la mise en œuvre de la présente politique
- collaborer avec les Services technologiques d’infrastructure, les groupements ITI et les gestionnaires de programme pertinents pour examiner les incidents d’atteinte à la sécurité de l’information
- collaborer avec les partenaires de la FPO pour s’assurer que les outils et services de sécurité appropriés (p. ex. chiffrement des données et des courriels, ouverture de session pour les systèmes, systèmes de détection et de prévention des intrusions) ainsi que les environnements d’hébergement et de stockage sont disponibles pour permettre la protection adéquate de l’information et des systèmes d’information pour tous les degrés de sensibilité
Directeurs de l’information et groupements ITI
- concevoir et mettre en œuvre des systèmes d’ITI répondant aux exigences en matière de classification de la sensibilité de l’information, telles que désignées par le gestionnaire de programme et tenant compte de l’énoncé de sensibilité, des résultats des évaluations de sécurité et de la protection de la vie privée et de toute autre politique ministérielle applicable
- s’assurer que les membres du personnel et du groupement ITI exécutent les systèmes d’ITI conformément aux exigences opérationnelles et en respectant les classifications de sensibilité de l’information
- établir des pratiques de gestion des documents et de l’information électronique et sur papier ou offrir un soutien à cet égard
Services technologiques d’infrastructure
- collaborer avec la Division de la cybersécurité pour s’assurer que les outils et services de sécurité appropriés (p. ex. chiffrement des données et des courriels, ouverture de session pour les systèmes, systèmes de détection et de prévention des intrusions) ainsi que les environnements d’hébergement et de stockage sont disponibles pour permettre la protection adéquate de l’information et des systèmes d’information pour tous les degrés de sensibilité
- collaborer avec la Division de la cybersécurité, les groupements ITI et les gestionnaires de programme pertinents pour examiner les incidents d’atteinte à la sécurité de l’information
Division de l’information, de la protection de la vie privée et des Archives publiques
- collaborer avec la Division de la cybersécurité pour s’assurer que les exigences législatives en vertu de la Loi sur l’accès à l’information et la protection de la vie privée et de la Loi de 2006 sur les Archives publiques et la conservation des documents sont prises en compte dans les politiques, les normes et les procédures relatives à la cybersécurité
Glossaire
- Calendrier de conservation
- Un document approuvé par l’archiviste de l’Ontario qui désigne et décrit les documents créés et reçus par les organismes publics et qui établit les périodes de conservation et les mesures d’élimination définitive pour ces documents, le format dans lequel les documents doivent être conservés et quels documents doivent être conservés. Les calendriers de conservation sont composés d’un ensemble de dossiers. [Traduction] (p. 11, Politique générale de conservation des documents, 2015)
- Confidentialité
- La condition ou l’exigence de la vie privée ou du secret.
- Contrôle
- Non en possession physique de l’information, mais avec un droit ou une responsabilité sur le plan juridique ou contractuel de la traiter.
- Disponibilité
- Présent et prêt pour l’utilisation autorisée.
- Disposition
- L’acte ou le processus consistant à se débarrasser de quelque chose qui n’est plus nécessaire et qui n’a pas besoin d’être conservé.
- Divulgation non autorisée
- Toute exposition non autorisée à de l’information consignée, qu’elle soit délibérée ou accidentelle, ce qui comprend la capacité de lire seulement, ou de lire et aussi de modifier l’information.
- Divulgation
- Toute exposition à de l’information consignée, qu’elle soit délibérée ou accidentelle, autorisée ou non, ce qui comprend la capacité de lire seulement, ou de lire et aussi de modifier l’information.
- Document
- Document qui reproduit des renseignements sans égard à leur mode de transcription, que ce soit sous forme imprimée, sur film, au moyen de dispositifs électroniques ou autrement. S’entend en outre :
- de la correspondance, des notes, livres, plans, cartes, dessins, diagrammes, illustrations ou graphiques, photographies, films, microfilms, enregistrements sonores, bandes magnétoscopiques, documents lisibles par machine, de tout autre matériel documentaire sans égard à leur forme ou à leurs caractéristiques et de toute reproduction de ces éléments d’information;
- du document qui n’a pas pris forme, mais qui peut être constitué au moyen de matériel et de logiciel informatiques ou d’autre matériel de stockage de données, ainsi que des connaissances techniques normalement utilisées par une institution, à partir de documents lisibles par machine que celle-ci a en sa possession (« record »)
footnote 3
- Dommage
- Les dommages physiques, mentaux ou émotionnels causés à la réputation d’une personne ou d’une organisation, à ses actifs ou à sa capacité à servir ses clients, qui pourraient résulter d’un préjudice professionnel.
- Élimination
- La mesure finale prise relativement à un dossier lorsque sa période de conservation est terminée.
- Énoncé de sensibilité
- Une analyse de l’information ou d’un système d’information qui définit la sensibilité de l’information au sein du système et l’importance des services de soutien du système. Un énoncé de sensibilité peut également définir les exigences en ce qui a trait à la sensibilité des actifs de soutien (c.-à-d. le matériel et les logiciels, les interfaces, le personnel, les systèmes et utilitaires de soutien et les mesures de contrôle d’accès). L’énoncé de sensibilité est un composant important de l’évaluation de la menace et des risques.
- Évaluation de la menace et des risques
- Un processus officiel visant à déterminer les risques pour l’information et les systèmes d’information. Fondée sur le degré de sensibilité de l’ensemble de l’information et des actifs associés, l’évaluation de la menace et des risques permet d’évaluer la pertinence des mesures de protection actuellement mises en oeuvre pour protéger la confidentialité, l’intégrité et la disponibilité de l’information. Cette évaluation comprend également des recommandations relatives à des mesures additionnelles pour atténuer les risques ou accroître l’efficacité et l’efficience des mesures en place, s’il y a lieu.
- Évaluation des facteurs relatifs à la vie privée
- Exercice de diligence raisonnable et outil de gestion des risques. Il s’agit d’une approche proactive conçue pour aider à protéger la vie privée en cernant et en analysant les risques liés à la vie privée suffisamment tôt pour pouvoir prendre les mesures appropriées; en évitant, en éliminant ou en minimisant les répercussions négatives sur la vie privée; en se conformant à la législation pertinente en matière de vie privée; et en évaluant l’incidence plus générale en matière de vie privée.
- Garde
- En possession physique de l’information (à l’exclusion de la possession non sollicitée ou accidentelle).
- Information sensible
- Information qui, si elle était divulguée sans autorisation, causerait un préjudice (préjudice à un particulier ou une entreprise, embarras, avantage économique injuste, etc.).
- Information
- L’information consignée sous toute forme, sur tout support et à tous les stades de son cycle de vie, y compris l’information créée, consignée, transmise ou stockée sous forme électronique ou sous d’autres formes immatérielles par des moyens électroniques, magnétiques, optiques ou autres, mais ne comprenant pas de mécanisme ou de système permettant de créer, d’envoyer, de recevoir, de stocker ou de traiter de toute autre manière l’information.
- Intégrité
- La condition ou l’exigence d’assurances que l’information n’a pas été modifiée ou supprimée de manière non autorisée ou indétectable.
- Mesure de protection
- Une mesure de protection et de précaution destinée à empêcher un agent de menace de causer des dommages et des prejudices.
- Ministère
- Un ministère du gouvernement de l’Ontario. Comprend tous les groupements de l’information et de technologie de l’information (ITI) ainsi que les organismes associés.
- Non autorisé
- Sans l’autorisation du gestionnaire de programme responsable ou de son délégué.
- Non classifié
- L’information dont la consultation sans autorisation n’entraîne pas de dommage ou de prejudice.
- Organisation
- Ensemble d’une organisation ou d’une entreprise. Ce terme peut être utilisé pour désigner le gouvernement de l’Ontario, la fonction publique de l’Ontario ou une entreprise privée.
- Préjudice extrêmement grave à des particuliers ou des entreprises
- Un préjudice physique catastrophique, voire la mort, ou un préjudice financier ruineux, ou une perte permanente de réputation pour une personne, le gouvernement de l’Ontario, ou une société ou organisation tierce qui fait des affaires avec le gouvernement.
- Préjudice
- Un incident de sécurité ou une atteinte à la sécurité (p. ex. divulgation non autorisée) causant des dommages.
- Propriétaire de l’information
- La personne qui a créé l’information ou à qui l’on délègue la responsabilité officielle de l’information.
- Renseignements personnels sur la santé
- S’entend de renseignements identificatoires concernant un particulier qui se présentent sous forme verbale ou autre forme consignée si, selon le cas.
- Renseignements personnels
- Renseignements consignés ayant trait à un particulier qui peut être identifié tel que décrit dans la Loi sur l’accès à l’information et la protection de la vie privée.
- Responsable de l’information
- Une personne à qui l’on confie la responsabilité d’assurer la protection de renseignements classifiés. La personne responsable de la sécurité de l’information en fonction du degré de classification de la sensibilité de celle-ci.
- Responsable de programme
- Désigne tout directeur de programme ou rôle équivalent ayant autorité et responsabilité en vertu des lois, des règlements, des politiques ou de tout autre instrument en ce qui a trait à des activités opérationnelles particulières et aux documents opérationnels relatifs à ces activités.
- Ressource d’information
- Un ensemble de renseignements défini et géré comme une seule unité afin qu’il puisse être compris, partagé, protégé et exploité efficacement. Les ressources d’information ont une valeur, un risque, un contenu et des cycles de vie reconnaissables et gérables, p. ex. une base de données de contacts, tous les fichiers associés à un projet particulier ou toutes les données financières d’une organisation.
- Risque
- Une mesure de la portée selon laquelle une entité est menacée par une circonstance ou un événement potentiel, généralement calculée en tenant compte des effets négatifs qui surviendraient si une circonstance ou un événement se produisait, ainsi que de la probabilité qu’il se produise.
- Signature électronique
- Un mécanisme mathématique permettant de démontrer l’authenticité d’un message ou d’un document électronique, d’identifier l’expéditeur et de prouver que le message n’a pas été altéré pendant le transfert.
- Système d’information
- Tout système ou ressource technologique utilisé par les ministères du gouvernement de l’Ontario ou en leur nom pour créer, consigner, traiter, communiquer, transmettre, recevoir, publier, diffuser, stocker ou éliminer de l’information.
- Utilisateur
- Toute personne autorisée à accéder à l’information dont le gouvernement de l’Ontario assure la garde et le contrôle.
- ils constituent un programme de services au sens de la Loi de 1994 sur les services de soins à domicile et les services communautaires pour le particulier;
- ils ont trait à la fourniture de soins de santé au particulier, notamment à l’identification d’une personne comme fournisseur de soins de santé de ce dernier;
- ils ont trait à la santé physique ou mentale du particulier, y compris aux antécédents de sa famille en matière de santé;
- ils ont trait au don, par le particulier, d’une partie de son corps ou d’une de ses substances corporelles ou découlent de l’analyse ou de l’examen d’une telle partie ou substance;
- ils ont trait aux paiements relatifs aux soins de santé fournis au particulier ou à son admissibilité à ces soins ou à cette assurance;
- ils permettent d’identifier le mandataire spécial d’un particulier.
- ils sont le numéro de la carte Santé du particulier.
Notes en bas de page
- note de bas de page[1] Retour au paragraphe Les renseignements personnels doivent être classifiés au minimum au degré de sensibilité « Moyen ».
- note de bas de page[2] Retour au paragraphe Par exemple, avant la diffusion d’un communiqué de presse au sujet d’une importante annonce du gouvernement, l’information concernée peut être considérée comme étant de sensibilité très élevée. Toutefois, lorsque ce communiqué est diffusé à l’intention du public, cette même information sera désignée comme non classifiée.
- note de bas de page[3] Retour au paragraphe En vertu de la Loi sur l’accès à l’information et la protection de la vie privée.