Renseignements sur les infrastructures essentielles et la gestion des urgences (IE/GU) fournis à titre confidentiel au Gouvernement du Canada - classification et mention à apposer sur les documents

Guide pour les entités du secteur privé

Renseignements sur les infrastructures essentielles et la gestion des urgences (IE/GU) fournis à titre confidentiel au Gouvernement du Canada - classification et mention à apposer sur les documents Version PDF (37 Ko)

1. Introduction

L'accès non autorisé aux renseignements de nature délicate sur les infrastructures essentielles du Canada peut nuire aux entités du secteur privé qui communiquent ces renseignements au gouvernement du Canada. C'est pourquoi la Loi sur la gestion des urgences (LGU) comporte une modification corrélative à la Loi sur l'accès à l'information (LAI) permettant au gouvernement du Canada de protéger des renseignements précis sur les infrastructures essentielles ou la gestion des urgences (IE/GU) obtenus à titre confidentiel d'un tiers.  

Les entités du secteur privé doivent être conscientes que les renseignements fournis à titre confidentiel à une institution fédérale peuvent être protégés en vertu de l'exemption concernant les IE et la GU seulement si la mention appropriée est ajoutée au document par le tiers communiquant ces renseignements.   

Pour obtenir des renseignements plus détaillés sur la modification corrélative apportée à la Loi sur l'accès à l'information qui vise à protéger les renseignements sur les IE et la GU [alinéa 20(1)b.1)], veuillez consulter la publication Échange et protection de l'information en vertu de la Loi sur la gestion des urgences. Ce document est disponible auprès de Politiques en matière d'infrastructures essentielles, Sécurité publique Canada.

Le présent guide donne des lignes directrices générales aux entités du secteur privé pour les aider à déterminer quels renseignements liés aux IE et à la GU sont de nature délicate et les renseigner sur la mention à ajouter aux documents lorsque les renseignements sont fournis à titre confidentiel au gouvernement du Canada.

2. Applicabilité

L'information fournie dans le présent guide s'applique aux entités du secteur privé qui communiquent volontairement à titre confidentiel des renseignements sur la gestion des urgences ou les infrastructures essentielles aux ministères et organismes du gouvernement du Canada.

3. Critères de confidentialité  

Pour être visés par l'exemption prévue à l'alinéa 20(1)b.1) de la Loi sur l'accès à l'information, les renseignements sur les IE et la GU doivent :   

• Être fournis à titre confidentiel à une institution fédérale par un tiers;
• porter sur l'élaboration, la mise à jour, la mise à l'essai et la mise en œuvre des plans de gestion des urgences par les institutions fédérales, au sens de l'article 2 de la Loi sur la gestion des urgences;
• porter sur la vulnérabilité des bâtiments ou ouvrages du tiers, de ses réseaux ou systèmes, y compris des réseaux et systèmes informatiques ou de communications, ou porter sur les méthodes employées pour leur protection.

4. Mention à ajouter sur les documents portant sur les IE et la GU fournis à titre confidentiel au gouvernement du Canada

Pour indiquer que les renseignements sont fournis à titre confidentiel, le tiers doit ajouter la mention qui suit sur chaque page du document avant la transmission. Le fait d'ajouter de façon uniforme la mention en question sur les documents aidera les institutions fédérales à protéger en tout temps les renseignements de ce type qu'elles reçoivent des partenaires du secteur privé.

Les documents qui contiennent des renseignements sur les IE et la GU fournis à titre confidentiel à une institution fédérale doivent comporter la mention suivante :

La mention ci-dessus (caractère et présentation facultatifs) doit paraître sur toutes les pages ou sections du document contenant des renseignements sur les IE et la GU. Une estampille ou une étiquette peuvent être utilisées.

La mention doit être placée au haut ou au bas de chaque page, et ce, de façon uniforme dans tout le document.

La taille, le format et la disposition peuvent être modifiés en fonction du document, mais le libellé doit demeurer le même.

La mention doit également figurer sur la couverture extérieure avant et arrière du document, de la reliure ou de la chemise, ainsi que sur toute page titre.

5. Détermination de la nature délicate des renseignements sur les IE ou la GU

Les entités du secteur privé doivent examiner les documents qu'elles communiquent à titre confidentiel au gouvernement du Canada pour déterminer si leur contenu répond au premier des critères susmentionnés.

Voici quelques points à considérer pour déterminer ce qui constitue des renseignements de nature délicate sur les IE et la GU :

• Quelles seraient les conséquences si, par inadvertance, les renseignements étaient fournis à un public non visé?
• Les renseignements fournissent-ils des détails sur les vulnérabilités des infrastructures essentielles, les procédures et capacités en matière de sécurité ou les mesures de protection?
• Quelqu'un pourrait-il utiliser ces renseignements pour cibler le personnel,
  les installations, les structures, les systèmes, les réseaux ou les opérations?
• Quelqu'un pourrait-il utiliser les renseignements à mauvais escient pour causer un préjudice?
• Si ces renseignements étaient combinés à de l'information rendue publique, leur utilisation pourrait-elle être dangereuse?
• Ces renseignements sont-ils normalement accessibles au public?
  Les renseignements accessibles au grand public qui n'ont fait l'objet d'aucune mesure délibérée pour en préserver le caractère confidentiel ou secret et les renseignements affichés sur un site Web public ne sont pas visés par l'exemption concernant les renseignements sur les IE et la GU; en d'autres termes, l'alinéa 20(1)b.1) de la LAI ne s'applique pas.

Voici une liste non exhaustive d'exemples de renseignements sur les IE et la GU fournis à titre confidentiel :

• évaluation des vulnérabilités/risques que comportent les systèmes et réseaux d'infrastructures physiques ou virtuels essentiels;
• évaluation des conséquences que pourraient entraîner les défaillances ou perturbations des IE, qu'elles soient physiques ou virtuelles;
• méthodes/protocoles de prévention/d'atténuation, de préparation, d'intervention ou de rétablissement portant sur les vulnérabilités des IE, ainsi que sur les perturbations et les incidents s'y rapportant;
• plans/analyses traitant de l'interdépendance des IE;
• éléments clés de plans de continuité des services ou de reprise des activités, comme les mesures particulières en vue d'obtenir des fournitures d'urgence pour poursuivre les activités essentielles, les installations de rechange permettant de maintenir les activités essentielles, la redondance des systèmes, les protocoles de communication interne en cas d'urgence, etc.;
• cartes/plans des biens, installations, nœuds de communication et réseaux informatiques essentiels, etc.;
• renseignements de nature délicate sur les activités de protection des IE et les plans d'intervention;
• mesures visant à contrer les cyberattaques ou les cyberintrusions malveillantes;
• techniques/protocoles visant à protéger les systèmes de supervision, de commande et d'acquisition des données (SCADA);
• renseignements sur les IE et la GU qui, s'ils tombaient entre les mauvaises mains, pourraient être utilisés pour perturber les services essentiels d'une organisation ou l'empêcher de reprendre ses activités après une défaillance des IE, une attaque visant les IE ou une perturbation de celles-ci;
• renseignements permettant d'identifier l'entité ayant fourni les renseignements à titre confidentiel ainsi que l'entité au nom de laquelle les renseignements ont été fournis.

6. Liste des exemptions prévues à la Loi sur l'accès à l'information

Voici la liste des exemptions prévues à la Loi sur l'accès à l'information (LAI) qui permettent aux institutions du gouvernement de refuser de divulguer de l'information dont elles ont le contrôle. Pour de plus amples renseignements sur les exemptions, veuillez consulter
la LAI à l'adresse (www.infocom.gc.ca) ou votre conseiller juridique.

• 13 - Renseignements obtenus à titre confidentiel d'autres gouvernements.
• 14 - Affaires fédéro-provinciales.
• 15 - Affaires internationales et défense.
• 16 - Enquêtes, notamment l'alinéa 16(2)c) sur la vulnérabilité de certains bâtiments ou ouvrages ou de réseaux ou systèmes divers...
• 16.1 - Examens, enquêtes ou vérifications du vérificateur général du Canada, du commissaire aux langues officielles du Canada, du Commissaire à l'information et du Commissaire à la protection de la vie privée.
• 16.2 - Enquêtes du commissaire au lobbying.
• 16.3 - Examens, enquêtes et révisions aux termes de la Loi électorale du Canada.
• 16.4 - Enquêtes du commissaire à l'intégrité du secteur public.
• 16.5 - Renseignements créés en vue de faire une divulgation au titre de la Loi sur la protection des fonctionnaires divulgateurs d'actes répréhensibles ou dans le cadre d'une enquête menée sur une divulgation en vertu de cette loi.
• 17 - Sécurité des individus.
• 18 - Intérêts économiques du Canada.
• 18.1 - Intérêts économiques de la Société canadienne des postes, d'Exportation et développement Canada, de l'Office d'investissement des régimes de pensions du secteur public et de VIA Rail Canada Inc.
• 19 - Renseignements personnels.
• 20 - Renseignements de tiers, notamment l'alinéa 20(1)b.1) pour les renseignements sur les IE ou la GU fournis à titre confidentiel...
• 20.1 - Renseignements en matière d'investissement que l'Office d'investissement des régimes de pensions du secteur public a obtenus à titre confidentiel d'un tiers.
• 20.2 - Renseignements en matière d'investissement que l'Office d'investissement du régime de pensions du Canada a obtenus à titre confidentiel d'un tiers.
• 20.4 - Contrat de services d'un artiste de spectacle ou identité d'un donateur qui a fait un don à titre confidentiel à la Corporation du Centre national des Arts.
• 21 - Activités du gouvernement.
• 22 - Examens et vérifications.
• 22.1 - Vérifications internes.
• 23 - Secret professionnel des avocats.
• 24 - Interdictions fondées sur d'autres lois.
• 26 - Refus de communication en cas de publication.

7. Objectifs de la communication des renseignements sur les IE ou la GU au gouvernement du Canada

La communication de renseignements sur les IE ou la GU entre le gouvernement du Canada et le secteur privé est essentielle pour le rôle du gouvernement, qui consiste à exercer un leadership national relativement à la gestion des urgences et à la protection des infrastructures essentielles. L'évaluation des menaces et des vulnérabilités, l'amélioration des capacités en matière d'avertissement et de rapports ainsi que l'analyse des attaques pour élaborer de meilleurs moyens de défense et d'intervention constituent les principaux objectifs de la communication de ce genre de renseignement sous le régime de la LGU.

8. Transmission de renseignements fournis à titre confidentiel au gouvernement du Canada

La transmission des renseignements sur les IE ou la GU fournis à titre confidentiel au gouvernement du Canada doit se faire sur copie papier par des moyens sûrs pouvant faire l'objet d'un suivi : courrier express, courrier certifié ou recommandé, service de messagerie. Par voie électronique, les renseignements doivent être envoyés sous format protégé, comme un document PDF verrouillé, un document protégé par un mot de passe fourni sous pli séparé, ou selon une méthode de chiffrement des données convenue avec le partenaire.

9. Personne-ressource

Pour obtenir des renseignements supplémentaires sur le guide, veuillez communiquer avec :

Directeur
Politiques en matière d'infrastructures essentielles
Sécurité publique Canada
269, avenue Laurier Ouest
Ottawa (Ontario)
Canada K1A 0P8

613-991-3583

Date de modification :

2022-09-20