Méthode 21-2 - Système de classement des éléments d'information TED

Entrée en vigueur : 1988-06-06

Autorisée par : Secrétaire de l'Université

SYSTÈME DE CLASSEMENT DES ÉLÉMENTS D'INFORMATION TED

BUT

1. Définir un système de classement qui identifie les éléments d'information en traitement électronique des données et qui précise les besoins de protection particuliers.

GÉNÉRALITÉS

2. La sécurité des éléments d'information TED qui ont une certaine valeur suppose d'abord qu'on les identifie, qu'on en détermine la propriété, puisqu'on les étiquette en fonction du niveau et de la durée de protection souhaités.

3. Un premier classement de tous les éléments d'information TED consiste, pour le ou la propriétaire, à déterminer leur caractère confidentiel (en cas de divulgation) ou critique (en cas de perte) si une catastrophe devait se produire. Ceux qui sont ni confidentiels ni critiques sont classés non confidentiels et non critiques et ils sont exempts de tout classement ultérieur. Le ou la dépositaire du système TED qui leur sert de support peut exiger qu'on les identifie et qu'on indique toute exemption et toute période de rétention (voir l'alinéa 19).

4. Tous les éléments d'information TED en administration et en enseignement et recherche qui sont de nature confidentielle ou critique (ou qui englobent des documents essentiels) doivent être classés par leur propriétaire. Cela devrait faire l'objet d'un inventaire. Les éléments d'information TED privés peuvent être classés si le ou la propriétaire le désire, ou si les règlements (dépôt, archives) de l'Université l'exigent.

5. La propriété est définie ici comme l'exercice d'une responsabilité de gestion à l'égard d'un élément d'information TED au nom de l'Université, avec l'obligation correspondante de rendre compte. Cela ne suppose aucun droit personnel de "propriétaire" à l'égard de l'élément.

6. Les responsabilités des propriétaires et dépositaires d'éléments d'information TED en administration et en enseignement et recherche, y compris leur classement, sont décrites dans les méthodes 21-1 et 21-4 respectivement. Aucune disposition particulière ne traite des éléments d'information TED privés.

7. Les éléments d'information TED sont également des documents et, à ce titre, ils relèvent du Règlement 23. Ils doivent recevoir une période de rétention. Les propriétaires doivent ajouter ce paramètre archivistique à ceux de la sécurité TED, conformément aux procédures établies par l'archiviste en chef.

8. Un classement préliminaire d'un élément d'information TED devrait être effectué par le créateur ou la créatrice, si cette personne n'est pas propriétaire. L'autorité de modifier un classement relève uniquement des propriétaires ou de la personne qui les supervise. Un changement de propriété d'un élément d'information TED relevant exclusivement d'une même personne donc sans partage de copies en double doit être approuvé par le supérieur ou la supérieure du propriétaire ou de la propriétaire.

DÉFINITIONS

9. Les éléments d'information en traitement électronique des données englobent le logiciel des systèmes informatiques, le logiciel des systèmes d'application, les programmes, les données connexes et leurs transcriptions sur papier ou sur quelque autre support.

10. Il existe trois types d'éléments d'information TED.

  • a) Éléments d'information TED en enseignement et recherche. Éléments d'information TED qui sont créés, utilisés ou conservés dans un ordinateur ou sur un support d'information électronique, pour la population étudiante ou le corps professoral, à des fins d'enseignement ou de recherche (voir les notes des alinéas 10b et 10c).
  • b) Éléments d'information TED en administration. Éléments d'information TED qui sont créés, utilisés ou conservés dans un ordinateur ou sur un support d'information électronique pour des raisons d'administration ou de gestion. À noter que les notes et autres informations TED personnelles (voir l'alinéa 11e) au sujet des étudiants et étudiantes qui sont conservées par le personnel enseignant représentent des éléments d'information TED en administration.
  • c) Éléments d'information TED privés. Éléments d'information TED qui sont créés, utilisés ou conservés dans un ordinateur ou sur un support d'information électronique pour des raisons professionnelles ou privées plutôt qu'universitaires, et dont l'Université n'est pas responsable. (À noter qu'un travail d'étudiant ou d'étudiante effectué ou conservé dans un ordinateur de l'Université est un élément d'information TED privé qui appartient à l'étudiant ou à l'étudiante et non à l'Université, même si ce travail doit être évalué dans le cadre d'un cours et même si le recours à l'ordinateur pour préparer ce travail a été autorisé par l'Université).

11. Voici d'autres définitions.

  • a) Propriétaire (ou Gardien, Gardienne). Personne qui a la garde d'un élément d'information TED et qui en assure la gestion (voir l'alinéa 5). On dit aussi gardien ou gardienne. Il s'agit normalement de la personne qui dirige le département ou qui représente le service ou la faculté qui a créé l'élément d'information ou qui s'en sert le plus. Autrement, le créateur est propriétaire tant que la possession n'est pas attribuée à autrui.
  • b) Dépositaire. Entité autorisée à posséder un élément d'information TED et chargée par le ou la propriétaire d'assurer une saine protection de l'élément dans une ambiance opérationnelle permanente; il s'agit souvent du fournisseur de services informatiques.
  • c) Utilisateur, utilisatrice. Personne (ou groupe de personnes) autorisée par le ou la propriétaire d'un élément d'information TED à s'en servir à des fins universitaires approuvées.
  • d) Catastrophe. Événement (incendie, inondation, évacuation d'urgence, dégâts électriques, etc.) qui entraîne une non-disponibilité prolongée des services ou installations TED.
  • e) Information TED personnelle. Information au sujet de personnes identifiables qui doit être protégée en vertu de règlements sur la vie privée ou l'accès à l'information approuvés par l'Université, et qui se présente sous forme d'élément d'information TED de l'Université.

SYSTÈME DE CLASSEMENT DES ÉLÉMENTS D'INFORMATION TED

12. Pour ce qui est de la sécurité TED, les éléments d'information TED se répartissent en trois catégories: administration, enseignement et recherche, privé (voir les alinéas 10a, 10b et 10c).

13. Il convient de classer les éléments d'information TED en fonction :

  • a) de leur sensibilité à la divulgation;
  • b) de leur caractère critique en cas de catastrophe;
  • c) du besoin de les retenir.

SENSIBILITÉ À LA DIVULGATION

14. Les éléments d'information TED peuvent être sensibles à la divulgation ou ne pas l'être. Cette sensibilité évolue dans le temps, le plus souvent en diminuant. Une date d'expiration devrait accompagner tout code de sensibilité. Le nouveau classement après cette date devrait être indiqué, ou bien le besoin alors de classer de nouveau. Les éléments d'information TED actuellement destinés à un usage interne à l'Université sont appelés "confidentiels". Ils sont répartis en trois sous-catégories: hautement confidentiel, confidentiel, usage restreint (du plus sensible au moins sensible). Certains éléments d'information TED confidentiels peuvent donner lieu à des restrictions quant à la divulgation des renseignements personnels comme celles des lois ontariennes sur la vie privée (voir l'alinéa 11e). Les éléments d'information TED non confidentiels peuvent circuler à l'intérieur et à l'extérieur de l'Université (classement : usage non restreint).

15. Les éléments d'information TED confidentiels devraient être rangés dans l'une ou l'autre des catégories ci-dessous par leur propriétaire, en fonction de directives formulées à cette fin et qu'on peut obtenir de l'archiviste en chef ou de l'administrateur de la sécurité TED.

  • a) Hautement confidentiel
    1. Description : Contient des renseignements dont la divulgation non autorisée pourrait entraîner des conséquences négatives appréciables pour l'Université ou l'embarrasser considérablement aux yeux du public.
      1. Diffusion : Restreinte à des personnes désignées qui ont un réel besoin de savoir.

    Identifiée sur chaque écran, transcription ou sortie d'imprimante par la mention Hautement confidentiel et une date d'expiration correspondante. Il peut s'agir d'un code, mais la mention HAUTEMENT CONFIDENTIEL devrait figurer en toutes lettres, sous réserve de l'alinéa 15d.

  • b) Confidentiel
      1. Description : Contient des renseignements dont la divulgation non autorisée pourrait nuire à une personne ou aller à l'encontre des intérêts de l'Université (par ex. dossiers personnels ou médicaux, information financière, information privée).

    Diffusion : Se limite aux membres du personnel qui ont besoin de savoir pour accomplir leur travail.

    Identifiée expressément sur chaque écran, transcription ou sortie d'imprimante à l'aide de lettres codées signifiant Confidentiel et accompagnées d'une date d'expiration. Le terme CONFIDENTIEL devrait figurer en toutes lettres, sous réserve de l'alinéa 15d.

  • c) Usage restreint
      1. Description : Contient des renseignements qui, en soi ou sous forme publiée, sont confidentiels sur le plan personnel, technique ou administratif, et qui sont réservés à un usage interne et ne devraient pas être publiés ou diffusés à l'extérieur sauf dans un but officiel. Exemples : correspondance, notes de service, méthodes, procès-verbaux, contrats.

    Diffusion : À ne pas publier ni diffuser à l'extérieur de l'Université sauf dans un but officiel. A identifier sur chaque écran, transcription ou sortie d'imprimante à l'aide d'un code accompagné d'une date d'expiration. Les mots USAGE RESTREINT (ou USAGE INTERNE SEULEMENT) peuvent être ajoutés à la discrétion du propriétaire ou de la propriétaire ou autrement. Il convient d'accompagner le classement écrit d'une date d'expiration.

  • d) Il est parfois justifié d'éliminer les mots HAUTEMENT CONFIDENTIEL ou CONFIDENTIEL d'un document ainsi classé. Il convient alors de traiter le cas comme une acceptation de risque. Il convient que le ou la propriétaire documente le cas et suive les étapes décrites à la section 8 du règlement 116 sur l'utilisation acceptable des ressources de TI.

ASPECT CRITIQUE EN CAS DE CATASTROPHE

16. Un élément d'information TED tel qu'une application informatique ou un système informatique ou encore une collection de données est classé dans la catégorie critique ou non critique en cas de catastrophe selon l'urgence de rétablir un fonctionnement normal dans le mois qui suit. S'il peut rester non disponible jusqu'à trente jours sans grand inconvénient, il est jugé non critique. Les applications critiques de moindre priorité sont appelées semi-critiques. Dans le cadre des plans d'urgence, le ou la propriétaire précise le nombre approximatif de jours durant lequel le système ou l'application peut raisonnablement rester non disponible. Ce nombre est annexé au classement comme la période durant laquelle la récupération devrait se produire. Cette désignation se fonde sur des directives formulées à cette fin. Un comité de récupération en cas de catastrophe examine toutes les applications critiques et semi-critiques, ainsi que les temps de récupération souhaités, et recommande un niveau de priorité.

17. Il existe trois niveaux critiques pour les éléments d'information TED.

  • a) Critique : Le rétablissement doit avoir lieu dans la semaine qui suit.
  • b) Semi-critique : Le rétablissement doit se produire dans le mois qui suit la catastrophe, mais non dans la semaine qui suit.
  • c) Non critique : La non-disponibilité peut durer plus d'un mois.

18. Un système requis en moins de 24 heures représente un cas spécial et des mesures d'urgence sont élaborées en conséquence.

RÉTENTION

19. Puisque les éléments d'information TED sont des documents, il faut aussi leur attribuer une période de rétention qui permet de les éliminer tôt ou tard ou de les conserver de façon permanente pour les archives. On peut obtenir de plus amples renseignements sur cette période de rétention en communiquant avec l'archiviste en chef.

ASPECT CRITIQUE

20. Il s'agit ici du besoin de protéger les documents de l'Université afin d'y rétablir un fonctionnement normal. C'est le besoin de rétablir, de façon prioritaire, les services normalement offerts aux utilisateurs et aux utilisatrices grâce aux systèmes TED.

RÉSERVE

21. Les éléments d'information TED critiques et semi-critiques sont des documents essentiels et il faut prendre des mesures spéciales pour les protéger contre les catastrophes et permettre leur rétablissement. Les éléments d'information TED non critiques sont des documents non essentiels et aucune mesure particulière n'est prise pour les protéger.

22. Les données TED de réserve sont conservées dans une ambiance matérielle convenable sur une bande ou une disquette magnétique certifiée ou sur quelque autre support approuvé par l'administrateur de la sécurité TED.

ÉLIMINATION

23. Lorsqu'il a été décidé d'éliminer des éléments d'information TED conservés sur un support magnétique (ou optique), cela exige simplement d'effacer complètement les données ou de détruire les disquettes si leur classement courant est Hautement Confidentiel. Les copies sur papier doivent alors être déchiquetées. Le ou la propriétaire ou dépositaire doit superviser l'effacement, la destruction ou le déchiquetage dans un tel cas.

Publiée le 6 juin 1988

(Cabinet du secrétaire)

Haut de page