Mesures minimales de sécurité au regard des données lors de l’utilisation de solutions technologiques

PFC : LIBRE

No de référence : IA-SI-2023-001-OP Type : Obligation - Indication d'application Statut : En vigueur Date d'entrée en vigueur : 1^er février 2023 Date limite de mise en œuvre : 1^er février 2023	Diffusion : Non restreinte Formulée par : Dirigeant principal de l'information Date de formulation : 1^er février 2023 Dernière mise à jour : S.O Référence légale : LGGRI, chapitre G-1.03, art. 7

Mise en contexte

La présente indication d’application énonce les mesures minimales de sécurité au regard des données que les organismes publics doivent appliquer lors de l’utilisation de solutions technologiques, que ces solutions soient ou non à portée gouvernementale. Les solutions d’affaires en gestion intégrée des ressources (SAGIR) et le Système automatisé de gestion des informations sur le personnel (SAGIP) sont, à titre d’exemples, des solutions à portée gouvernementale.

Elle s’inscrit, par ailleurs, dans une perspective de protection adéquate pour les renseignements personnels, dans le respect des obligations prévues à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1).

Elle s’adresse plus particulièrement aux dirigeants de l’information qui se rattachent aux organismes publics.
La présente indication d’application s’applique aux organismes publics visés à l’article 2 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (chapitre G-1.03).

Retour

Divulgation limitée au destinataire et aux organismes du portefeuille du destinataire, sur la base du « besoin de connaître »

L’information transmise peut être communiquée sur la base du « besoin de connaître » à l’organisation du destinataire et à tout autre organisme du portefeuille budgétaire du destinataire.

Le MCN se réserve le droit d’anonymiser un message reçu avec le code PFC:AMBRE afin de permettre sa diffusion auprès de destinataires non prévus par le divulgateur lorsqu’il existe un besoin de partager l’information pour se protéger ou prévenir d’autres dommages.

Divulgation limitée au destinataire et aux organismes du portefeuille du destinataire, sur la base du « besoin de connaître »

L’information transmise peut être communiquée sur la base du « besoin de connaître » à l’organisation du destinataire et à tout autre organisme du portefeuille budgétaire du destinataire.

Divulgation limitée au destinataire et à son organisation, sur la base du « besoin de connaître »

L’information transmise peut être communiquée sur la base du « besoin de connaître » à l’organisation du destinataire seulement.

Le MCN se réserve le droit « d’anonymiser » un message reçu avec le code PFC:AMBRE+STRICT afin de permettre sa diffusion auprès de destinataires non prévus par le divulgateur lorsqu’il existe un besoin de partager l’information pour se protéger ou prévenir d’autres dommages.

Divulgation limitée explicitement aux destinataires

L’information transmise est diffusée à des individus spécifiques, par exemple lors d’échanges entre participants à une réunion ou à une conversation. Aucun partage n’est autorisé. L’information doit préférablement être communiquée verbalement.

En plus du code de couleurs précisant la diffusion autorisée, le divulgateur de l’information peut préciser sous l’étiquette d’autres contraintes de diffusion.

Mesures minimales de sécurité au regard des données lors de l’utilisation de solutions technologiques

Documents