État : En cours de révision
Préface
Le Conseil du Trésor encourage les personnes autorisées à utiliser les réseaux électroniques à des fins approuvées comme par exemple mener les affaires de l'État, communiquer avec d'autres personnes autorisées et avec le public, recueillir des renseignements pertinents pouvant les aider dans leurs fonctions et maîtriser les techniques d'utilisation de ces réseaux.
Les réseaux informatiques de Statistique Canada ont été installés pour faciliter les communications au sein de l'institution et entre celle-ci et ses clients, répondants et partenaires, pour accélérer le transfert des données et de l'information, pour automatiser les transactions administratives et, de façon générale, pour améliorer l'accès des employés à l'information dont ils ont besoin dans leur travail.
Le Conseil du Trésor demande que les institutions élaborent leurs propres politiques et procédures sur l'utilisation légale et acceptable des réseaux informatiques, le contrôle de leur utilisation et les responsabilités des employés et des cadres dans ce domaine. Il demande en particulier que les institutions fassent preuve de discrétion en déterminant si et sous quelles conditions leurs employés peuvent utiliser les ordinateurs du gouvernement et les réseaux informatiques à des fins personnelles.
Les politiques de sécurité de Statistique Canada prescrivent les mesures de protection et restrictions nécessaires pour protéger la confidentialité des données. Comme certaines personnes peuvent, par inadvertance ou délibérément, se servir des réseaux électroniques pour saper un milieu de travail sain, pour divulguer des renseignements sans autorisation, pour s'adonner à des activités inacceptables et illégales, la politique du Conseil du Trésor aide les institutions et les personnes autorisées à exploiter les réseaux électroniques de façon optimale et leur donne des directives concernant l'utilisation de ces derniers.
Politique
Statistique Canada a pour politique :
d'encourager l'utilisation approuvée de ses réseaux électroniques pour la bonne marche de ses affaires,
de permettre l'utilisation de ses réseaux à des fins personnelles seulement :
- durant les heures de loisirs,
- à des fins non lucratives, et
- si cela n'ajoute pas aux coûts imputés à Statistique Canada;
de traiter de façon rapide, décisive et juste toute violation de cette politique.
L'utilisation des réseaux de Statistique Canada est soumise aux limites suivantes :
Les personnes qui utilisent les réseaux ne doivent pas entreprendre la moindre activité illégale ou inacceptable (exemples dans les Annexes A et B);
Ces personnes ne doivent pas accéder aux sites et fichiers WWW, ni envoyer ou recevoir des messages par courrier électronique ni effectuer tout autre type de communication faisant intervenir des documents incitant à la haine contre des groupes identifiables, ni des documents principalement centrés sur la pornographie, la nudité ou des actes sexuels;
Elles doivent veiller soigneusement à ce que tout message personnel envoyé à travers un réseau de Statistique Canada ne représente pas les opinions de cette institution ni celles du gouvernement du Canada, et ne soit pas un sujet d'embarras pour l'institution par l'emploi, par exemple, d'un langage inconvenant, par la critique ou la défense des politiques, par des commentaires négatifs sur de tierces parties, dont les clients et répondants de Statistique Canada.
Responsabilités
Toute personne autorisée doit s'assurer qu'elle accède aux réseaux de Statistique Canada et les utilise uniquement à des fins autorisées, d'une manière responsable et informée, dans le respect de la loi, des politiques et des lignes directrices gouvernementales établies par le Conseil du Trésor et Statistique Canada,
- en sachant que tous les messages envoyés par courrier électronique à travers un réseau de Statistique Canada identifient automatiquement cette institution;
- en connaissant les questions de sécurité relatives à la technologie informatique et les problèmes de vie privée qui s'y rattachent;
- en prenant des mesures de prudence raisonnables pour contrôler l'utilisation de son mot de passe, de son code d'utilisateur ou de ses comptes informatiques.
- en se conformant à la politique de Statistique Canada pour assurer la sécurité des réseaux d'ordinateurs et de l'information électronique, et en se servant des moyens fournis par cette institution pour protéger ses outils d'information technologiques;
- en prenant des précautions pour éviter les transferts de virus dans le réseau;
- en rédigeant les messages acheminés dans un style professionnel afin d'éviter tout écart de langage qui pourrait rejaillir sur la réputation de Statistique Canada et du Gouvernement du Canada;
- en prenant des mesures raisonnables pour s'assurer que ses communications concernant les politiques, les programmes et les services sont claires et précises et qu'elles sont conformes aux politiques de Statistique Canada sur les porte-parole et les procédures à suivre pour faire des déclarations publiques;
- en consultant le directeur des Services d'accès et de contrôle des données si elle met en doute la légalité et l'acceptabilité d'une démarche conformément à la présente politique.
Il incombe aux directeurs de s'assurer que toutes les personnes autorisées dans leur division sont au courant de la présente politique.
Il incombe au directeur général de la Direction de l'informatique de fournir une formation adéquate ou de l'information sur la bonne utilisation des réseaux électroniques et d'approuver les personnes qui seront autorisées à contrôler l'utilisation de ces réseaux.
Il incombe au directeur des Services d'accès et de contrôle des données de fournir de l'information sur la présente politique et sur la bonne compréhension des usages acceptables et légaux. Il doit également examiner les cas présumés d'utilisation illégale ou inacceptable et déterminer s'il y a lieu de faire enquête.
Le statisticien en chef adjoint du Secteur des services de gestion autorise l'analyse du contenu des fichiers individuels ou du courrier électronique dans les cas où l'on soupçonne l'utilisation illégale ou inacceptable des réseaux. Il décide à qui les personnes autorisées peuvent communiquer l'information recueillie sur des individus identifiables.
Définitions
L'accès s'entend de l'entrée en communication avec un réseau électronique que Statistique Canada a fourni. L'accès à un tel réseau peut avoir lieu dans les locaux mêmes du gouvernement ou à l'extérieur de ceux-ci et le réseau peut accepter le télétravail et l'accès à distance. L'accès peut également comprendre les personnes autorisées utilisant ces réseaux électroniques à des fins personnelles pendant les heures de loisirs.
Les personnes autorisées comprennent les fonctionnaires fédéraux ainsi que les entrepreneurs et les autres personnes qui ont reçu du statisticien en chef l'autorisation d'accéder aux réseaux électroniques de Statistique Canada.
L'utilisation autorisée des réseaux électroniques couvre le travail relatif aux affaires du gouvernement, les activités professionnelles, le perfectionnement professionnel et l'utilisation à des fins personnelles pendant les heures de loisirs.
Les réseaux électroniques comprennent l'Intranet, l'Internet et tous les autres réseaux publics et privés externes mis à la disposition de Statistique Canada.
Le contrôle des réseaux électroniques recouvre toutes les mesures d'enregistrement et d'analyse subséquente de l'activité dans un système ou un réseau électroniques ou de l'utilisation d'un tel système ou réseau. Il peut comprendre l'enregistrement des comptes des utilisateurs, des sites visités, de l'information téléchargée et des ressources informatiques utilisées pour une analyse régulière du volume d'échange d'information sur les réseaux, des habitudes d'utilisation et des sites visités par des personnes ou des groupes de travail. L'information enregistrée et analysée ne comprend pas normalement le contenu du courrier électronique, des fichiers de données et des transmissions d'utilisateurs particuliers.
Une activité inacceptable s'entend de toute activité non conforme aux politiques du Conseil du Trésor ou de Statistique Canada (exemples en Annexe B).
Une activité illégale s'entend des délits criminels, des infractions à des lois fédérales et provinciales non pénales à caractère réglementaire ainsi que des actions qui rendent une personne autorisée ou Statistique Canada passible de poursuites au civil (exemples en Annexe A).
Contrôle des réseaux électroniques
Les réseaux électroniques de Statistique Canada sont régulièrement contrôlés à des fins opérationnelles pour déterminer s'ils fonctionnent de façon efficiente, pour cerner les problèmes et les régler et pour vérifier si la politique est respectée. En outre, des vérifications au hasard et périodiques des réseaux peuvent être effectuées pour des motifs opérationnels précis. Dans les deux cas, les renseignements obtenus peuvent être analysés. Les organes autorisés à exercer ce genre d'activité sont le Centre de contrôle des réseaux, la Section de soutien à l'infrastructure et la Section de sécurité informatique de la Division des services informatiques et la Section des services de sécurité du Bureau de la Division des services d'accès et de contrôle des données. Chacun devrait savoir que toute visite des sites WWW et tout message électronique sont normalement inscrits dans des dossiers identifiant l'ordinateur à partir duquel ces transmissions ont été faites. Les circuits de sécurité, les passerelles et les systèmes de Statistique Canada enregistrent les sites WWW visités et les adresses électroniques contactées et peuvent repérer l'ordinateur et l'utilisateur qui a visité ces sites ou envoyé ces messages. On peut avoir accès à ces renseignements en vertu de la Loi sur l'accès à l'information et la loi sur la protection des renseignements personnels..
L'enregistrement et les analyses de données ne vont habituellement pas jusqu'à la lecture du contenu des messages ou fichiers individuels. Toutefois, si par une plainte ou par l'analyse régulière des données on a des raisons valables de soupçonner qu'une personne autorisée utilise le réseau à mauvais escient, le cas doit être signalé au directeur des services d'accès et de contrôle des données qui décidera s'il y a lieu d'enquêter sur la question et des suites à donner à l'affaire. Ceci peut donner lieu, sans préavis, à des mesures de contrôle particulières et/ou peut inclure la lecture du contenu des messages envoyés par courrier électronique et des fichiers de données. Cependant, une telle mesure et/ou le repérage des individus par les renseignements enregistrés exigent l'approbation du statisticien en chef adjoint (Services de gestion). Cette approbation est donnée seulement lorsqu'on a des raisons valables de croire que le réseau a été utilisé de manière illégale ou inacceptable. En outre, ceux qui sont chargés de lire le contenu des communications électroniques ne peuvent agir que sur approbation du directeur général de l'informatique. Ces personnes doivent utiliser l'information obtenue seulement à des fins autorisées et en garder la confidentialité dans les limites de l'enquête.
Mesures disciplinaires
Statistique Canada signalera aux autorités policières toute activité illégale qu'elle soupçonne lorsqu'elle le juge nécessaire et peut prendre des mesures disciplinaires même s'il n'y a pas de poursuite au pénal ou au civil.
Les mesures disciplinaires qui peuvent être appliquées dans les cas d'utilisation illégale ou inacceptable des réseaux seront prises en fonction de la gravité de l'incident et des circonstances qui l'entourent. Elles peuvent comprendre la réprimande orale ou écrite, la restriction des privilèges d'accès aux réseaux, la suspension ou le congédiement.
Demandes de renseignements
Prière d'adresser toute demande de renseignements concernant la politique au directeur général de la Direction de l'informatique, au numéro 951-7114.
Annexe A - Exemples d'activités illégales
Aux fins de la présente politique, le terme "activité illégale" est pris dans son sens large de sorte à inclure les actes pouvant conduire à diverses sanctions légales
1. Actes criminels
Voici des exemples d'activités criminelles susceptibles de se produire sur les réseaux électroniques :
Pornographie juvénile : possession, téléchargement ou distribution de pornographie juvénile.
Droit d'auteur : atteinte au droit d'auteur d'autrui.
Diffamation : faire lire par d'autres un énoncé susceptible de nuire à la réputation de quelqu'un en l'exposant à la haine, au mépris ou au ridicule, ou conçu pour l'insulter.
Destruction, modification ou cryptage de données sans permission et dans l'intention d'en interdire l'accès à d'autres en ayant licitement besoin.
Accès non autorisé à un système informatique.
Piratage et autres crimes contre la sécurité informatique.
Harcèlement : envoyer des messages incitant quelqu'un à craindre pour sa sécurité ou pour celle de gens qu'il connaît.
Propagande haineuse : diffusion ou distribution de messages fomentant la haine ou incitant à la violence contre des groupes identifiables autrement que dans une conversation privée.
Interception de communications privées ou de courrier électronique sans autorisation.
Intervention dans l'utilisation légale des ordinateurs ou des données par des personnes autorisées.
Obscénité : distribution, publication ou possession de tout document obscène en vue de le distribuer
Introduction de virus dans l'intention de causer du tort.
Tentative de percer les dispositifs de sécurité des réseaux électroniques.
Autres délits divers : le Code criminel et quelques autres lois énumèrent toute une gamme d'autres délits criminels susceptibles d'être commis en totalité ou en partie grâce à l'utilisation des réseaux informatiques. Ces délits comprennent la fraude, l'extorsion, le chantage, la corruption, les paris illégaux et le trafic de drogues illégales.
2. Infractions aux lois fédérales et provinciales
Voici des exemples d'activités illégales (mais non criminelles) pouvant avoir lieu sur les réseaux électroniques :
Atteintes au droit d'auteur ou à la propriété intellectuelle : violation du droit d'auteur d'autrui et utilisation non autorisée de marques de commerce ou de brevets.
Destruction de données : destruction, modification ou falsification illégales de documents électroniques.
Divulgation de secrets industriels sans autorisation : révélation de renseignements commerciaux confidentiels communiqués à titre confidentiel par un tiers et traités comme tels par celui-ci de façon constante.
Communication non autorisée de renseignements personnels.
Communication non autorisée de données délicates.
Harcèlement : discrimination à l'égard d'une personne et fondée sur la race, l'origine nationale ou ethnique, la couleur, la religion, l'âge, l'orientation sexuelle, l'état matrimonial, la situation familiale, la déficience ou l'état de personne graciée. L'affichage de textes ou d'images sexistes, pornographiques, racistes ou homophobes indésirables au travail sur un écran d'ordinateur peut être du harcèlement.
Atteintes à la vie privée : la lecture du courrier électronique ou d'autres renseignements personnels sans permission, l'écoute des conversations privées ou l'interception du courrier électronique en transit sont des exemples d'atteintes à la vie privée.
Utilisation des deniers publics sans autorisation.
3. Activités pouvant exposer des personnes autorisées ou l'employeur à des poursuites en responsabilité civile
Voici des exemples de fautes civiles susceptibles d'être commises sur des réseaux électroniques :
Communication ou collecte non autorisées de données délicates : en plus des dispositions législatives déjà mentionnées, la communication ou la collecte non autorisée de données délicates personnels peut provoquer des poursuites au civil.
Diffamation : répandre des allégations ou des rumeurs mensongères susceptibles de porter atteinte à la réputation d'autrui.
Diffusion de renseignements inexacts : afficher des renseignements inexacts soit par négligence, soit intentionnellement.
Annexe B - Exemples d'activités inacceptables
Un certain nombre de politiques du Conseil du Trésor et de Statistique Canada s'appliquent, que l'activité inacceptable ait lieu par écrit, au téléphone, sur les réseaux informatiques, dans une conversation ou à l'aide d'un autre moyen de communication quelconque. Bien que ces activités ne soient pas nécessairement illégales, elles constituent néanmoins des infractions à ces politiques. En voici des exemples accompagnés du nom de la politique.
Consultation sans autorisation des renseignements délicats détenus par le gouvernement (Politique gouvernementale de sécurité).
Permettre l'accès du public au réseau A (Politique de sécurité informatique de Statistique Canada).
Tentative de percer les dispositifs de sécurité des systèmes informatiques, notamment en utilisant des programmes antisécurité, en se servant du mot de passe, du code d'utilisateur ou du compte informatique de quelqu'un d'autre, en donnant à quelqu'un d'autre son propre mot de passe, des renseignements sur la configuration du réseau ou des codes d'accès ou en désactivant des programmes antivirus (Politique gouvernementale de sécurité).
Congestionner et perturber les réseaux et les systèmes, notamment en envoyant des chaînes de lettres et en recevant du courrier électronique de serveurs de listes pour d'autres fins que le travail (Politique gouvernementale de sécurité).
Communication de renseignements fournis confidentiellement de l'extérieur à Statistique Canada en utilisant le courrier électronique d'Internet (Politique de sécurité informatique de Statistique Canada).
Branchement simultané d'un appareil sur le réseau A et le réseau B (Politique de sécurité informatique de Statistique Canada).
Non-annulation des droits d'accès aux systèmes de l'employé qui quitte l'institution ou qui perd son statut de fiabilité ou son attestation de sécurité (Politique gouvernementale de sécurité).
Critiques publiques et excessives de la politique gouvernementale (Code sur les conflits d'intérêt et l'après-mandat s'appliquant à la fonction publique).
Traiter, emmagasiner ou révéler des renseignements communiqués à titre confidentiel sur un réseau autre que le réseau A, à moins d'une autorisation spéciale obtenue auprès du Comité des politiques (Politique de sécurité informatique de Statistique Canada).
Fournir au personnel l'accès aux systèmes, aux réseaux ou aux applications utilisées pour le traitement des renseignements délicats avant qu'il ne fasse l'objet d'une enquête de sécurité (Politique gouvernementale de sécurité).
Présenter ses opinions personnelles comme étant celles de l'institution ou manquer autrement à son devoir de respecter les procédures de l'institution sur les déclarations publiques au sujet des positions du gouvernement (Code sur les conflits d'intérêts et l'après-mandat s'appliquant à la fonction publique).
Envoyer des messages abusifs, sexistes ou racistes à des fonctionnaires ainsi qu'à d'autres personnes (Harcèlement en milieu de travail).
Communiquer des renseignements protégés ou désignés sur des réseaux non protégés, sauf s'ils sont cryptés (Politique gouvernementale de sécurité).
Installer ou retirer sans autorisation du matériel ou des logiciels sur des ordinateurs ou des réseaux électroniques de l'État (Politique gouvernementale de sécurité).
Utiliser les réseaux électroniques du gouvernement pour des affaires commerciales personnelles, pour gain ou profit personnel, ou pour des activités politiques (Code sur les conflits d'intérêts et l'après-mandat s'appliquant à la fonction publique).
