Méthode 21-1 - Propriété, garde et utilisation des éléments d'information TED en administration

Entrée en vigueur : 1988-06-06

Autorisée par : Secrétaire de l'Université

PROPRIÉTÉ, GARDE ET UTILISATION DES ÉLÉMENTS D'INFORMATION TED EN ADMINISTRATION

BUT

1. Définir les responsabilités des propriétaires, des dépositaires et des utilisateurs et utilisatrices en ce qui concerne la sécurité des éléments d'information en traitement électronique des données (TED) du secteur administratif à l'Université.

GÉNÉRALITÉS

2. Les éléments d'information TED en administration doivent avoir un ou une propriétaire et un ou une dépositaire dûment identifiés, ainsi que des utilisatrices et utilisateurs autorisés.

3. La propriété est définie ici comme l'exercice d'une responsabilité de gestion à l'égard d'un élément d'information TED au nom de l'Université, avec l'obligation correspondante de rendre compte. Cela ne suppose aucun droit personnel de propriétaire à l'égard de l'élément en vertu de la loi.

4. Le degré de sécurité doit être proportionné à la valeur de l'élément d'information TED pour l'Université, y compris sa valeur immatérielle.

5. À moins d'indication contraire, l'Université est légalement propriétaire des éléments d'information TED en administration et en enseignement et recherche à l'Université. Les propriétaires et dépositaires ci-dessous jouent le rôle d'agents de l'Université.

DÉFINITIONS

6. Les éléments d'information en traitement électronique des données sont des logiciels de systèmes informatiques, des logiciels de systèmes d'application, des programmes, des données connexes et leurs transcriptions sur papier ou sur quelque autre support.

7. Il existe trois types d'éléments d'information TED.

  • a) Éléments d'information TED en enseignement et recherche. Éléments d'information TED qui sont créés, utilisés ou conservés dans un ordinateur ou sur un support d'information électronique, pour la population étudiante et le corps professoral, à des fins d'enseignement ou de recherche.
  • b) Éléments d'information TED en administration. Éléments d'information TED qui sont créés, utilisés ou conservés dans un ordinateur ou sur un support d'information électronique pour des raisons d'administration ou de gestion. À noter que les notes et autres informations TED personnelles (voir l'alinéa 8i) au sujet des étudiants et étudiantes qui sont conservées par le personnel enseignant représentent des éléments d'information TED en administration.
  • c) Éléments d'information TED privés. Éléments d'information TED qui sont créés, utilisés ou conservés dans un ordinateur ou sur un support d'information électronique pour des raisons professionnelles ou privées plutôt qu'universitaires, et dont l'Université n'est pas responsable. À noter qu'un travail d'étudiant ou d'étudiante effectué ou conservé dans un ordinateur de l'Université est un élément d'information TED privé qui appartient à l'étudiant ou à l'étudiante et non à l'Université, même si le recours à l'ordinateur pour préparer ce travail a été autorisé par l'Université.

8. Voici d'autres définitions.

  • a) Propriétaire (ou Gardien, gardienne). Personne qui a la responsabilité de gérer un élément d'information TED (voir l'alinéa 3). On dit aussi gardien ou gardienne. Il s'agit normalement de la personne qui dirige le département ou qui représente le service ou la faculté qui a créé l'élément d'information ou qui s'en sert le plus. Autrement, le créateur est propriétaire tant que la possession n'est pas attribuée à autrui.
  • b) Propriétaire de substitution. Personne autorisée à agir à titre d'agent ou d'agente du propriétaire ou de la propriétaire (exemple: administrateur des données d'une grande base de données).
  • c) Dépositaire. Entité autorisée à posséder un élément d'information TED et chargée par le ou la propriétaire d'assurer une saine protection de l'élément dans une ambiance opérationnelle permanente; il s'agit souvent du fournisseur de services informatiques.
  • d) Utilisateur, utilisatrice. Personne (ou groupe de personnes) autorisée par le ou la propriétaire d'un élément d'information TED à s'en servir à des fins universitaires approuvées.
  • e) Système de classement des éléments d'information TED. Système explicite d'énumération, de catégorisation et d'étiquetage des éléments d'information TED servant à indiquer les mesures de protection requises, conformément à la méthode 21-2.
  • f) Éléments d'information TED confidentiels. Éléments d'information TED qui sont sensibles à la divulgation et dont la diffusion, par conséquent, est limitée (voir la méthode 21-2).
  • g) Éléments d'information TED critiques. Données et applications critiques auxquelles il faut accorder la priorité en cas de rétablissement après une catastrophe (voir la méthode 21-2).
  • h) Catastrophe. Événement (incendie, inondation, évacuation d'urgence, dégâts électriques, etc.) qui entraîne une non-disponibilité prolongée des services TED.
  • i) Information TED personnelle. Information au sujet de personnes identifiables qui doit être protégée en vertu de règlements sur la vie privée ou l'accès à l'information approuvés par l'Université, et qui se présente sous forme d'élément d'information TED de l'Université.

RÔLES JUMELÉS

9. Un utilisateur ou une utilisatrice peut aussi être propriétaire ou dépositaire d'un élément d'information TED, ou les deux à la fois. Les propriétaires peuvent aussi être dépositaires.

Voici quelques exemples :

  • a) Un Centre d'informatique est propriétaire de son logiciel.
  • b) Une utilisatrice d'un ordinateur personnel en est également la propriétaire et la dépositaire.
  • c) Un nouveau dépositaire ou propriétaire est créé quand une copie électronique d'un élément d'information TED fonctionne indépendamment de l'original. Un utilisateur d'un ordinateur personnel (OP) ou d'un terminal relié à un ordinateur peut la recevoir sous forme de courrier électronique ou de fichier par l'entremise d'un réseau. Il peut s'agir d'une image à l'écran, ou d'un fichier de données téléchargé, ou encore d'un programme ou extrait téléchargé d'une base de données. La copie peut se trouver sur une disquette, un disque ou une bande. La personne qui la reçoit est dépositaire de la copie, en vertu de conditions établies par le ou la propriétaire, qui peut céder la copie tout simplement, de sorte que le ou la récipiendaire en devient propriétaire, le caractère confidentiel étant sauvegardé comme auparavant. Dès lors que l'information est manipulée ou regroupée avec d'autres données, ou que l'on en tire de nouveaux renseignements, on a créé un nouvel élément d'information TED, ainsi qu'un nouveau propriétaire ou une nouvelle propriétaire.

RESPONSABILITÉS DES PROPRIÉTAIRES

10. Le propriétaire ou la propriétaire assume les responsabilités administratives liées aux éléments d'information TED et doit :

  • a) identifier les éléments d'information TED en administration et reconnaître le ou la propriétaire;
  • b) classer les éléments d'information TED en fonction de leur caractère confidentiel (en cas de divulgation) ou critique (en cas de catastrophe) et en fonction des exigences de rétention;
  • c) informer le ou la dépositaire de l'ensemble du classement des éléments d'information TED, et renseigner les utilisateurs et utilisatrices quant aux paramètres pertinents;
  • d) autoriser l'accès;
  • e) attribuer la garde selon des conditions acceptées de part et d'autre;
  • f) fixer des contrôles commerciaux convenables;
  • g) approuver des contrôles d'applications pour l'élaboration de logiciel, ou des progiciels d'applications achetés;
  • h) accomplir des évaluations de risques ou y participer et, sous réserve d'autorisation, faire de même pour l'acceptation des risques;
  • i) élaborer des plans d'urgence;
  • j) surveiller l'observance et mener des vérifications périodiques;
  • k) étudier les infractions à la sécurité et avertir la personne responsable de la sécurité TED;
  • l) veiller à ce qu'on respecte les ententes contractuelles relatives aux éléments TED n'appartenant pas à l'Université, y compris les ententes privées, le droit d'auteur relié aux logiciels et aux ouvrages, ainsi que les dispositions des modifications de la Loi sur le droit d'auteur figurant dans le projet de loi fédéral C-60.

RESPONSABILITÉS DES DÉPOSITAIRES

11. Le ou la dépositaire est responsable de l'application des règles fixées par le ou la propriétaire. Ces règles peuvent être élaborées en collaboration avec le ou la propriétaire si le ou la dépositaire est le fournisseur de services.

12. Un ou une dépositaire qui est fournisseur de services devrait fournir des installations qui englobent :

  • a) des systèmes de sécurité qui répondent aux exigences de protection des propriétaires des éléments d'information TED;
  • b) un système de gestion efficace de l'accès aux ressources, s'il y a traitement ou stockage d'information TED confidentielle;
  • c) des systèmes de réserve et de rétablissement des données administratives (par transaction individuelle et globalement pour les fichiers et les bases de données) suivant les exigences du propriétaire ou de la propriétaire et l'approbation de la personne responsable de la sécurité TED.

13. Le ou la dépositaire est responsable envers le ou la propriétaire :

  • a) du traitement, du stockage et de la sauvegarde des éléments d'information TED;
  • b) de l'identification des personnes autorisées à consulter les données;
  • c) de la préparation de rapports réguliers sur les tentatives d'accès non autorisé et sur le ou les cas d'accès non autorisé d'avance par le ou la propriétaire.

14. Le ou la dépositaire doit :

  • a) tenir un inventaire des éléments d'information TED;
  • b) maintenir des procédures convenables de gestion des contrôles;
  • c) surveiller les contrôles de l'accès aux ressources;
  • d) limiter l'accès physique aux installations à des personnes autorisées au sein du personnel, à des personnes de l'extérieur dûment supervisées et à des étudiantes et étudiants approuvés;
  • e) préparer et tenir à jour un plan global de rétablissement des éléments d'information TED en cas de catastrophe.

RESPONSABILITÉS DES UTILISATEURS ET UTILISATRICES

15. Ces responsabilités englobent :

  • a) l'utilisation des éléments d'information TED uniquement à des fins établies par le ou la propriétaire;
  • b) la non-divulgation des éléments d'information TED confidentiels à qui que ce soit sans la permission du propriétaire ou de la propriétaire;
  • c) le respect du Code de conduite des utilisateurs et utilisatrices d'ordinateurs (voir la Méthode 21-3);
  • d) le respect des contrôles établis par les propriétaires et dépositaires.

EXCEPTION

16. La présente méthode n'admet aucune exception sans l'assentiment écrit du secrétaire de l'Université.

Publiée le 6 juin 1988

(Cabinet du secrétaire)

Haut de page