Date et Instance d'approbation
29 juin 2016
Comité d'administration
Modifications:
23 octobre 2024
26 mai 2026
Service Responsable:
Cabinet de la secrétaire générale
OBJET
1. Le présent règlement décrit le système employé pour classifier l’information de l’Université selon son degré de sensibilité et énonce diverses responsabilités et mesures visant à protéger l’information de l’Université.
APPLICATION
2. Le présent règlement s’interprète parallèlement au Règlement 116 – Utilisation et sécurité des biens de technologies de l’information, au Règlement 90 – Accès à l’information et protection des renseignements personnels, au Règlement 23 – Règlement sur la gestion de l’information et à d’autres règlements, méthodes administratives et directives se rapportant au traitement de l’information de l’Université.
3. Le présent règlement s’applique à l’information de l’Université ainsi qu’aux systèmes d’information et aux ressources utilisés par l’Université ou en son nom pour créer, saisir, traiter, communiquer, transporter, diffuser, stocker ou éliminer l’information de l’Université. Il s’applique également aux situations où l’information de l’Université est créée, saisie, traitée, transmise ou stockée par des fournisseurs de services tiers ou leurs sous-traitants.
DÉFINITIONS ET INTERPRÉTATION
4. Les définitions qui suivent s’appliquent au présent règlement et à toute méthode connexe.
a) « dépositaire de l’information » : Membre du personnel de l’Université ou toute autre entité engagée par l’Université qui est responsable de protéger l’information de l’Université en fonction de sa classification de sensibilité.
b) « données de recherche » : données qui sont utilisées en tant que sources principales à l’appui d’une enquête technique ou scientifique, d’une recherche, de travaux d’érudition ou de pratiques créatives et qui sont utilisées comme éléments de preuve dans un processus de recherche ou qui sont communément acceptées au sein de la communauté de recherche comme nécessaires pour valider les conclusions et les résultats de recherche. Les données de recherche peuvent être des données expérimentales, des données d’observation, des données opérationnelles, des données de tierces parties, des données du secteur public, des données de surveillance, des données traitées ou des données réaffectées. La définition des données de recherche pertinentes est très souvent contextuelle et la détermination de ce qui compte comme tel devrait être guidée par les normes disciplinaires (référence).
c) « propriétaire de l’information » : Membre du personnel de l’Université qui occupe le poste au plus haut niveau de pouvoir décisionnel en matière de gestion d’une unité et qui détient les pouvoirs d’approbation et de décision ultimes relativement à la classification de sensibilité de l’information de l’Université créée par cette unité. Dans le contexte de la recherche, la ou le propriétaire de l’information est la chercheuse ou le chercheur responsable de la recherche ainsi que de la gestion, de la protection et de l’utilisation des données issues des travaux (par exemple, la chercheuse principale ou le chercheur principal).
d) « personnes utilisatrices » : Personnes autorisées à recevoir ou à consulter de l’information de l’Université aux fins de leur emploi à l’Université ou pour s’acquitter autrement de leur mandat ou de leurs responsabilités auprès de l’Université.
e) « information de l’Université » : Éléments d’information très variés (de tous formats et supports) qui soutiennent les activités d’enseignement, de recherche, d’administration et d’autre nature de l’Université et qui sont créés, reçus ou détenus par l’Université ou en son nom, qu’ils soient stockés, en transit ou en cours d’utilisation.
f) « unité » : Faculté, école ou autre unité scolaire, service administratif ou bureau de l’Université.
5. L’interprétation du présent règlement relève de la secrétaire générale ou du secrétaire général.
CLASSIFICATION DE L’INFORMATION DE L’UNIVERSITÉ SELON SON DEGRÉ DE SENSIBILITÉ
6. Selon son degré de sensibilité, l’information de l’Université se voit assigner l’une des quatre classifications suivantes : publique, interne, confidentielle, hautement confidentielle.
| Classification | Définition | Catégorie | Exemples (non exhaustive) |
| PUBLIQUE | Renseignements destinés à un accès public non restreint. Aucun risque ou préjudice anticipé en cas de divulgation. | Institutionnel | • Données ouvertes ou librement accessibles, comme le contenu des sites Web publics • Calendriers universitaires • Communiqués de presse finaux • Renseignements sur les cours avant l’inscription (p. ex. programme, droits de scolarité, résultats d’apprentissage, descriptions et horaires des cours) • Statistiques institutionnelles diffusées ouvertement • Ressources, modèles, formulaires et demandes vierges • Régimes de rémunération et programmes d’avantages sociaux • Renseignements identifiables pour lesquels la personne concernée a explicitement consenti à une mise à la disposition publique ou pour lesquels elle n’a aucune attente en matière de vie privée |
| Recherche | Tous les exemples ci-dessus, plus : • Articles et ensembles de données en libre accès et publiés • Résumés de recherche destinés au public • Produits de recherche déposés dans des dépôts institutionnels publics (avec consentement) • Code ou modèles sous licences ouvertes • Données de recherche publiées non soumises à un embargo ou dont la période d’embargo est échue • Données accessibles au public, y compris celles provenant de bases de données (p. ex. Statistique Canada, PHSA Community Health Atlas) • Renseignements personnels pour lesquels une entité (personne physique ou organisation) a expressément consenti à leur diffusion publique | ||
| INTERNE | Renseignements non destinés à être rendus publics, dont l’accès non autorisé causerait certains dommages ou préjudices à des personnes, à des groupes et/ou à l’Université | Institutionnel | • Procédures et guides opérationnels internes • Rapports, documents de planifications et contrats • Notes de service internes et ébauches de travail • Documents budgétaires et matériel de planification stratégique • Listes du personnel contenant les coordonnées professionnelles • Schémas de réseau, d’architecture et de conception technique • Configurations techniques • Contrats et protocoles d’entente (PE) • Journaux des systèmes et schémas transactionnels • Renseignements anonymes (p. ex. issus d’un sondage) pour lesquels aucun identifiant n’a été recueilli |
| Recherche | Tous les exemples ci-dessus, plus : • Résultats de recherche non publiés ou sous embargo (par ex., manuscrits provisoires, demandes de subvention, dépôts de brevets) • Documents confidentiels pour l’évaluation par les pairs (excluant les informations personnelles) • Notes de laboratoire, modèles en cours de développement • Présentations sur des recherches en cours • Données de recherche exemptées de Comité d’éthique de la recherche sans exigences contractuelles de protection – données de recherche à faible risque ne nécessitant pas d’évaluation éthique et non restreintes contractuellement ou légalement • Données humaines non identifiables à faible sensibilité et faible risque de réidentification (par ex., données anonymisées, codées ou désidentifiées) • Données d’enquête anonymes sans identifiants collectés et présentant un risque minimal de réidentification | ||
| CONFIDENTIEL | Renseignements qui, s’ils étaient compromis, causerait un préjudice grave à des personnes, à des groupes ou à l’Université et renseignements assujettis à des obligations éthiques, juridiques, contractuelles ou réglementaires. | Institutionnel | • Renseignements personnels au sens de la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP) ou de toute autre loi applicable en matière d’accès à l’information et de protection de la vie privée • Numéros et dossiers d’étudiantes et d’étudiants • Notes et situation scolaire des étudiantes et étudiants • Dossiers de ressources humaines : salaires, évaluations du rendement, griefs • Rapports d’enquête internes relatifs à des allégations, incidents ou inconduites présentant un caractère sensible. • Données financières non-publiées • Rapports d’audit ou d’évaluation et mesures d’atténuation • Information de localisation ou de propriété relatives aux matières ou marchandises dangereuses • Enregistrements de vidéosurveillance de sécurité • Données, documents ou savoir-faire confidentiels fournis par une entreprise en vertu d’une entente de confidentialité • Numéros et dossiers des membres du personnel • Propriété intellectuelle de l’Université • Dossiers juridiques ou disciplinaires |
| Recherche | Tous les exemples ci-dessus, plus : • Données sensibles de participants désidentifiées (par ex., études sur les traumatismes, sujets stigmatisés) • Recherches régies par le Comité d’éthique de la recherche ou par des accords d’utilisation de données • Données industrielles propriétaires (protégées par des accords de non-divulgation) • Données de recherche impliquant des communautés autochtones (avec restrictions) • Recherches à potentiel commercial (avant dépôt de brevet) • Propriété intellectuelle, divulgations d’inventions et demandes de brevet avant publication • Informations confidentielles reçues pour l’évaluation par les pairs de publications ou de demandes de subvention • Données de recherche nécessitant des contrôles de sécurité renforcés imposés par des partenaires externes ou des organismes financeurs | ||
| HAUTEMENT CONFIDENTIEL | Renseignements qui, s’ils étaient compromis, causeraient un préjudice allant de grave à catastrophique à des personnes, à des groupes, à l’Université, à des gouvernements, à d’importants organismes publics ou à des enjeux d’intérêt national. | Institutionnel | • Pièces d’identité délivrées par le gouvernement (p. ex. carte santé, permis de conduire, passeport, numéro d’assurance sociale, etc.) • Renseignements personnels sur la santé au sens de la Loi sur la protection des renseignements personnels sur la santé (LPRPS) • Renseignements relatifs aux cartes de paiement • Renseignements pouvant compromettre la sûreté des personnes ou la sécurité des immeubles, systèmes ou mesures de protection de l’Université. • Données biométriques |
| Recherche | Tous les exemples ci-dessus, plus : • Données génétiques • Recherches impliquant la défense nationale, les infrastructures critiques ou la sécurité nationale • Données à haut risque provenant d’essais cliniques ou de recherches à double usage (IA/biologie) • Données de recherche présentant un potentiel confirmé de double usage • Données de recherche soumises aux contrôles à l’exportation ou au Programme des biens contrôlés • Données de recherche sous contrats gouvernementaux classifiés, soumises à des restrictions strictes et dont la divulgation pourrait compromettre la sécurité nationale ou les intérêts gouvernementaux. |
7. Certains types d’information de l’Université peuvent être non sensibles ou peu sensibles intrinsèquement ou pris isolément, mais être très sensibles s’ils sont associés à d’autres types d’information ou sont regroupés (p. ex., le numéro étudiant d’une personne combiné avec ses renseignements identificatoires). De manière générale, la classification « confidentielle » doit être assignée aux éléments d’information de l’Université qui pourraient faire l’objet de regroupements.
8. Si une collection d’information de l’Université – stockée, en transit ou en cours de transfert électronique (fichiers, bases de données, courriels et pièces jointes, classeurs, supports de sauvegarde, dispositifs de mémoire électroniques, journaux d’opérations sensibles, fichiers de configuration) – se compose d’éléments d’information comportant divers degrés de sensibilité, l’ensemble de la collection doit être classifié au degré de sensibilité le plus élevé qui y est présent. Si un sous-ensemble d’information de l’Université au sein d’une telle collection est séparé de la collection originale et se voit assigner sa propre classification de sensibilité, il doit être protégé en fonction de cette classification. Si aucune classification n’est assignée à ce sous-ensemble, celui-ci conserve la classification assignée à la collection d’information de l’Université.
DONNÉES DE RECHERCHE AUTOCHTONES
9. L’Université reconnaît la souveraineté des données de recherche autochtones. Elle affirme que les données de recherche créées dans le cadre de travaux menés avec et pour les communautés, collectivités et organisations des Premières Nations, des Inuits et des Métis doivent être gouvernées selon les modalités établies conjointement avec les autorités de gouvernance autochtones ou les partenaires autochtones concernés, conformément à leurs protocoles de gouvernance des données et à l’Énoncé de politique des trois Conseils : Éthique de la recherche avec des êtres humains (EPTC 2), chapitre 9.
RESPONSABILITÉS DES PROPRIÉTAIRES DE L’INFORMATION
10. Il incombe aux propriétaires de l’information d’assigner à l’information de l’Université créée au sein de leur unité l’une des quatre classifications de sensibilité établies dans le présent règlement. La classification doit être assignée dès que possible. L’information de l’Université conserve sa classification de sensibilité initiale jusqu’à ce que la ou le propriétaire de l’information la reclassifie, si nécessaire.
11. Les propriétaires de l’information sont également responsables de ce qui suit :
a) veiller à ce que l’information de l’Université soit utilisée et protégée conformément à la classification de sensibilité qui lui a été assignée, de même qu’aux règlements, normes et méthodes administratives de l’Université et aux règlements et lois applicables;
b) établir, relativement au traitement et à la protection de l’information de l’Université utilisée dans son unité, des lignes directrices, des méthodes administratives ou d’autres règles qui fixent des exigences équivalentes ou supérieures à celles du présent règlement (et de toute méthode adoptée en application de celui-ci);
c) consulter les personnes utilisatrices au sujet des types d’information de l’Université qu’elles traitent régulièrement, pour veiller à ce que l’information de l’Université conserve la classification de sensibilité appropriée et à ce que les mesures de contrôle restent adaptées à la classification qu’a assignée la ou le propriétaire de l’information;
d) collaborer avec les dépositaires de l’information, le personnel des TI de l’Université et d’autres personnes participant à des projets de l’Université qui se rapportent à la création, au maintien, à l’utilisation et à d’autres formes de traitement de l’information de l’Université;
e) autoriser l’accès à l’information de l’Université classifiée comme hautement confidentielle, « confidentielle » ou « interne »;
f) veiller à ce que les personnes autorisées à accéder à l’information de l’Université classifiée comme hautement confidentielle, « confidentielle » ou « interne » s’engagent par écrit à en maintenir la confidentialité et à respecter toute autre limitation d’accès à l’information de l’Université;
g) assigner à au moins une ou un dépositaire de l’information la responsabilité opérationnelle de l’information de l’Université;
h) s’assurer que les dépositaires de l’information mettent en place des contrôles de sécurité raisonnables pour protéger l’information de l’Université et les systèmes automatisés, et que les personnes utilisatrices se conforment aux procédures de protection établies;
i) consigner tout écart constaté par rapport aux mesures de contrôle générales des TI et apporter rapidement les éventuels correctifs nécessaires.
RESPONSABILITÉS DES DÉPOSITAIRES DE L’INFORMATION
12. Chaque dépositaire de l’information est responsable d’exercer une surveillance et de prendre les mesures qui s’imposent pour protéger l’information de l’Université en fonction de la classification de sensibilité que lui a assignée la ou le propriétaire de l’information.
13. Les dépositaires de l’information sont aussi responsables de ce qui suit en ce qui a trait à la classification de sensibilité assignée à l’information de l’Université :
a) comprendre et respecter le présent règlement (et les politiques et méthodes administratives adoptées en application de celui-ci) ainsi que tout autre règlement et toute méthode applicable de l’Université et toute loi applicable, afin que l’information de l’Université soit utilisée et protégée adéquatement;
b) comprendre la façon dont circule l’information de l’Université dans les processus opérationnels pertinents, qu’ils soient manuels ou automatisés;
c) mettre en place et maintenir des contrôles d’accès physiques et logiques pour faire respecter les politiques et les méthodes administratives de l’Université;
d) octroyer et révoquer des accès à l’information de l’Université, sous la direction de la ou du propriétaire de l’information;
e) mettre en place des moyens de détecter, de signaler et d’analyser rapidement les incidents comportant le contournement ou une tentative de contournement des contrôles liés à l’information de l’Université;
f) respecter les exigences de la ou du propriétaire de l’information relativement au traitement de l’information de l’Université.
RESPONSABILITÉS DES PERSONNES UTILISATRICES
14. Les personnes utilisatrices sont responsables de traiter l’information de l’Université en fonction de sa classification de sensibilité et conformément aux responsabilités énoncées dans la Méthode 20-12 – Traitement de l’information sensible.
RESPONSABILITÉS DE LA OU DU CHEF DE LA SÉCURITÉ DE L’INFORMATION
15. La ou le chef de la sécurité de l’information de l’Université est responsable de la coordination, de l’élaboration, de la mise en place et du maintien d’un programme de sécurité de l’information applicable à l’échelle de l’Université.
16. La ou le chef de la sécurité de l’information est également responsable de ce qui suit :
a) Définir l'approche globale de l'université pour la gestion des risques liés à l'information et s'assurer que les mesures de sécurité en place sont adaptées pour protéger les informations de l'université en fonction de leur niveau de sensibilité;
b) définir le degré de tolérance aux menaces pour la sécurité de l’information de l’Université;
c) élaborer, maintenir et diffuser des politiques, des normes, des lignes directrices et des méthodes administratives en matière de sécurité de l’information;
d) concevoir et mettre en place des environnements informatiques sécurisés;
e) Collaborer avec les différents intervenants pour répondre aux violations comportant une utilisation non autorisée de l’information de l’Université, et apporter son assistance à cet égard.
MESURES DE PROTECTION DE L’INFORMATION
17. La présente section dresse une liste non exhaustive et minimale de mesures à prendre pour protéger l’information de l’Université classifiée comme « hautement confidentielle », « confidentielle » ou « interne » ou dont la classification peut changer, de manière à limiter le risque qu’elle soit perdue ou volée, ou encore divulguée, consultée ou utilisée sans autorisation.
a) L’information de l’Université classifiée comme « interne » :
i. doit, si elle est stockée dans un lieu physique, être protégée par des contrôles d’accès suffisants pour détecter et empêcher tout accès par le public, les visiteuses et visiteurs ou toute autre personne non autorisée;
ii. ne doit pas être publiée, ni affichée sur un site Web, ni rendue publique d’une autre façon sans l’autorisation écrite préalable de la ou du propriétaire de l’information;
iii. doit être détruite de manière sécurisée, conformément à la Méthode 20-4 – Disposition de l’information et à l’Annexe J – Élimination des biens de TI, ou, s’il s’agit d’un document papier, doit être déchiquetée ou incinérée de manière sécurisée et conformément au calendrier de conservation des dossiers de l’Université.
b) En plus des mesures ci-dessus applicables à l’information classifiée comme « interne », l’information de l’Université classifiée comme « confidentielle » :
i. ne doit être divulguée qu’aux personnes qui ont besoin de la connaître dans l’exercice de leurs fonctions à l’Université et si la divulgation est nécessaire et justifiée pour assurer le bon déroulement des activités de l’Université, comme le détermine la ou le propriétaire de l’information;
ii. doit, si elle est stockée en format électronique, être chiffrée, conformément à l’Annexe K – Chiffrement Acceptable, et être stockée sur un serveur ou dans une base de données comportant des mesures de protection suffisantes;
iii. doit, si elle est transmise en format électronique, être chiffrée, conformément à l’Annexe K – Chiffrement Acceptable;
c) En plus des mesures ci-dessus applicables à l’information classifiée comme « confidentielle », l’information de l’Université classifiée comme « hautement-confidentielle » :
i. ne doit pas être communiquée au moyen d’outils ou de plateformes de communication non approuvés par l’université (p. ex., courriel, clavardage, textos, médias sociaux);
ii. ne doit pas être stockée sur des ordinateurs personnels, des appareils non gérés par l’Université ou des systèmes informatiques à usage général qui ne lui sont pas expressément dédiés;
iii. doit faire l’objet d’un contrôle et d’une surveillance centralisées des accès, et les journaux d’accès doivent être conservés pendant une durée conforme aux exigences applicables;
iv. doit faire l’objet d’une vérification de sa localisation et de sa résidence afin d’assurer sa conformité aux exigences légales et institutionnelles applicables, notamment en matière de résidence des données (p. ex., au Canada).
APPROBATION ET MODIFICATIONS
18. Il incombe à la secrétaire générale ou au secrétaire général d’examiner périodiquement le présent règlement et de recommander au Comité d’administration des modifications à y apporter, au besoin.
19. Les modifications apportées au présent règlement doivent être approuvées par le Comité d’administration.
20. Sous réserve de l’article 20, la secrétaire générale ou le secrétaire général de l’Université peut établir, modifier ou abroger des méthodes aux fins de l’application du présent règlement, pourvu que ces méthodes soient compatibles avec les dispositions du Règlement.
21. En consultation avec la ou le Secrétaire général(e), la vice-rectrice ou le vice-recteur à la recherche et à l’innovation peut établir, modifier ou abroger des méthodes relatives à la classification des données de recherche, pourvu que ces méthodes soient compatibles avec les dispositions du Règlement.
22. Nonobstant le paragraphe 18, la secrétaire générale ou le secrétaire général peut apporter des modifications au présent règlement sans les faire approuver par le Comité d’administration lorsque ces modifications consistent, selon le cas :
a) à mettre à jour ou à corriger le nom ou le titre d’un poste, d’une unité, d’une loi, d’un règlement, d’une politique, d’une méthode ou d’une autorité;
b) à corriger la ponctuation, la grammaire, les erreurs typographiques, le format et d’autres éléments techniques, au besoin, si la correction ne change pas le sens d’une disposition, ou à apporter une autre correction, si la présence d’une erreur et la correction à apporter sont évidentes;
c) à apporter des corrections pour rendre la formulation française ou anglaise d’une disposition plus compatible avec celle de l’autre langue;
d) à reprendre les modifications apportées à d’autres règlements, résolutions, politiques ou méthodes de l’Université à des fins d’uniformité.