Date et Instance d'approbation
29 juin 2016
Comité d'administration
Modifications:
23 octobre 2024
Service Responsable:
Cabinet de la secrétaire générale
OBJET
1. Le présent règlement décrit le système employé pour classifier l’information de l’Université selon son degré de sensibilité et énonce diverses responsabilités et mesures visant à protéger l’information de l’Université.
APPLICATION
2. Le présent règlement s’interprète parallèlement au Règlement 116 – Utilisation et sécurité des biens de technologies de l’information, au Règlement 90 – Accès à l’information et protection des renseignements personnels, au Règlement 23 – Règlement sur la gestion de l’information et à d’autres règlements, méthodes administratives et directives se rapportant au traitement de l’information de l’Université.
3. Le présent règlement s’applique à l’information de l’Université ainsi qu’aux systèmes d’information et aux ressources utilisés par l’Université ou en son nom pour créer, saisir, traiter, communiquer, transporter, diffuser, stocker ou éliminer l’information de l’Université. Il s’applique également aux situations où l’information de l’Université est créée, saisie, traitée, transmise ou stockée par des fournisseurs de services tiers ou leurs sous-traitants.
DÉFINITIONS ET INTERPRÉTATION
4. Les définitions qui suivent s’appliquent au présent règlement et à toute méthode connexe.
a) « dépositaire de l’information » : Membre du personnel de l’Université ou autre personne embauchée par elle qui est responsable de protéger l’information de l’Université en fonction de sa classification de sensibilité.
b) « propriétaire de l’information » : Membre du personnel de l’Université qui occupe le poste au plus haut niveau de pouvoir décisionnel en matière de gestion d’une unité et qui détient les pouvoirs d’approbation et de décision ultimes relativement à la classification de sensibilité de l’information de l’Université créée par cette unité. Dans le contexte de la recherche, la ou le propriétaire de l’information est la chercheuse ou le chercheur responsable de la recherche ainsi que de la gestion, de la protection et de l’utilisation des données issues des travaux (par exemple, la chercheuse principale ou le chercheur principal).
c) « personnes utilisatrices » : Personnes autorisées à recevoir ou à consulter de l’information de l’Université aux fins de leur emploi à l’Université ou pour s’acquitter autrement de leur mandat ou de leurs responsabilités auprès de l’Université.
d) « information de l’Université » : Éléments d’information très variés (de tous formats et supports) qui soutiennent les activités d’enseignement, de recherche, d’administration et d’autre nature de l’Université et qui sont créés, reçus ou détenus par l’Université ou en son nom, qu’ils soient stockés, en transit ou en cours d’utilisation.
e) « unité » : Faculté, école ou autre unité scolaire, service administratif ou bureau de l’Université.
5. L’interprétation du présent règlement relève de la secrétaire générale ou du secrétaire général.
CLASSIFICATION DE L’INFORMATION DE L’UNIVERSITÉ SELON SON DEGRÉ DE SENSIBILITÉ
6. Selon son degré de sensibilité, l’information de l’Université se voit assigner l’une des trois classifications suivantes : confidentielle, interne, publique.
| Classification | Degré de sensibilité | Description | Exemples (liste non-exhaustive) |
| Confidentielle | Élevé | L’information de l’Université doit être classifiée comme « confidentielle » si sa divulgation non autorisée aurait le potentiel de causer un grave préjudice aux intérêts de l’Université, à ses activités, à sa réputation ou à la vie privée d’une personne. | • Renseignements personnels au sens de la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP) ou de toute autre loi applicable en matière d’accès à l’information et de protection de la vie privée • Renseignements personnels sur la santé au sens de la Loi sur la protection des renseignements personnels sur la santé (LPRPS) • Renseignements de carte de paiement de la clientèle, lorsque l’Université agit en qualité de commerçant • Pièces d’identité délivrées par un gouvernement (p. ex., carte de santé, permis de conduire, passeport) • Numéro d’assurance sociale • Numéros et dossiers des étudiantes et étudiants • Numéros et dossiers des membres du personnel • Enregistrements des systèmes de vidéosurveillance • Information transmise à l’Université en toute confidentialité (p. ex., plaintes) • Dispositifs de validation d’identité (p. ex., outils d’authentification numériques, mots de passe, NIP, jetons, clés à puce) • Propriété intellectuelle de l’Université • Données de recherche comportant l’identification de sujets humains • Données de recherche classifiées comme confidentielles par un organisme subventionnaire ou un comité d’éthique |
| Interne | Moyen | L’information de l’Université se rapportant aux affaires internes, aux processus opérationnels et aux décisions opérationnelles doit être classifiée comme « interne » si sa divulgation non autorisée aurait le potentiel de causer un certain préjudice aux intérêts de l’Université, à ses activités ou à sa réputation. | • Méthodes administratives et guides opérationnels internes • Données concernant des matières dangereuses • Conclusions et mesures d’atténuation d’audits ou d’évaluations • Rapports, plans, contrats • Budgets et information financière • Diagrammes pour réseaux, architectures, conception technique et configurations • Journaux d’exploitation et diagrammes transactionnels • Information anonyme (p. ex., sondage) pour laquelle aucun identificateur n’a été recueilli • Données de recherche non publiques, mais non sensibles |
| Publique | Faible | L’information de l’Université doit être classifiée comme « publique » si elle est destinée au domaine public et que sa divulgation n’aurait pas le potentiel de porter atteinte aux intérêts de l’Université, à ses activités ou à sa réputation et qu’elle ne compromettrait pas la confidentialité ni la vie privée de quiconque. | • Données ouvertes ou accessibles au public • Ressources, modèles, formulaires et demandes vierges • Information sur les cours communiquée avant l’inscription (p. ex., programmes d’études, droits de scolarité, résultats d’apprentissage) • Régimes de rémunération et d’avantages sociaux • Site Web public de l’Université • Communiqués de presse en version finale • Horaires des cours ou catalogue des cours • Renseignements identificatoires que la personne concernée a explicitement consenti à rendre publics ou pour lesquels elle n’a pas d’attente de confidentialité • Données de recherche publiées non assujetties à un embargo ou dont la période d’embargo est passée |
7. Certains types d’information de l’Université peuvent être non sensibles ou peu sensibles intrinsèquement ou pris isolément, mais être très sensibles s’ils sont associés à d’autres types d’information ou sont regroupés (p. ex., le numéro étudiant d’une personne combiné avec ses renseignements identificatoires). De manière générale, la classification « confidentielle » doit être assignée aux éléments d’information de l’Université qui pourraient faire l’objet de regroupements.
8. Si une collection d’information de l’Université – stockée, en transit ou en cours de transfert électronique (fichiers, bases de données, courriels et pièces jointes, classeurs, supports de sauvegarde, dispositifs de mémoire électroniques, journaux d’opérations sensibles, fichiers de configuration) – se compose d’éléments d’information comportant divers degrés de sensibilité, l’ensemble de la collection doit être classifié au degré de sensibilité le plus élevé qui y est présent. Si un sous-ensemble d’information de l’Université au sein d’une telle collection est séparé de la collection originale et se voit assigner sa propre classification de sensibilité, il doit être protégé en fonction de cette classification. Si aucune classification n’est assignée à ce sous-ensemble, celui-ci conserve la classification assignée à la collection d’information de l’Université.
RESPONSABILITÉS DES PROPRIÉTAIRES DE L’INFORMATION
9. Il incombe aux propriétaires de l’information d’assigner à l’information de l’Université créée au sein de leur unité l’une des trois classifications de sensibilité établies dans le présent règlement. La classification doit être assignée dès que possible. L’information de l’Université conserve sa classification de sensibilité initiale jusqu’à ce que la ou le propriétaire de l’information la reclassifie, si nécessaire.
10. Les propriétaires de l’information sont également responsables de ce qui suit :
a) veiller à ce que l’information de l’Université soit utilisée et protégée conformément à la classification de sensibilité qui lui a été assignée, de même qu’aux règlements, normes et méthodes administratives de l’Université et aux règlements et lois applicables;
b) établir, relativement au traitement et à la protection de l’information de l’Université utilisée dans son unité, des lignes directrices, des méthodes administratives ou d’autres règles qui fixent des exigences équivalentes ou supérieures à celles du présent règlement (et de toute méthode adoptée en application de celui-ci);
c) consulter les personnes utilisatrices au sujet des types d’information de l’Université qu’elles traitent régulièrement, pour veiller à ce que l’information de l’Université conserve la classification de sensibilité appropriée et à ce que les mesures de contrôle restent adaptées à la classification qu’a assignée la ou le propriétaire de l’information;
d) collaborer avec les dépositaires de l’information, le personnel des TI de l’Université et d’autres personnes participant à des projets de l’Université qui se rapportent à la création, au maintien, à l’utilisation et à d’autres formes de traitement de l’information de l’Université;
e) autoriser l’accès à l’information de l’Université classifiée comme « confidentielle » ou « interne »;
f) veiller à ce que les personnes autorisées à accéder à l’information de l’Université classifiée comme « confidentielle » ou « interne » s’engagent par écrit à en maintenir la confidentialité et à respecter toute autre limitation d’accès à l’information de l’Université;
g) assigner à au moins une ou un dépositaire de l’information la responsabilité opérationnelle de l’information de l’Université;
h) s’assurer que les dépositaires de l’information mettent en place des contrôles de sécurité raisonnables pour protéger l’information de l’Université et les systèmes automatisés, et que les personnes utilisatrices se conforment aux procédures de protection établies;
i) consigner tout écart constaté par rapport aux mesures de contrôle générales des TI et apporter rapidement les éventuels correctifs nécessaires.
RESPONSABILITÉS DES DÉPOSITAIRES DE L’INFORMATION
11. Chaque dépositaire de l’information est responsable d’exercer une surveillance et de prendre les mesures qui s’imposent pour protéger l’information de l’Université en fonction de la classification de sensibilité que lui a assignée la ou le propriétaire de l’information.
12. Les dépositaires de l’information sont aussi responsables de ce qui suit en ce qui a trait à la classification de sensibilité assignée à l’information de l’Université :
a) comprendre et respecter le présent règlement (et les politiques et méthodes administratives adoptées en application de celui-ci) ainsi que tout autre règlement et toute méthode applicable de l’Université et toute loi applicable, afin que l’information de l’Université soit utilisée et protégée adéquatement;
b) comprendre la façon dont circule l’information de l’Université dans les processus opérationnels pertinents, qu’ils soient manuels ou automatisés;
c) mettre en place et maintenir des contrôles d’accès physiques et logiques pour faire respecter les politiques et les méthodes administratives de l’Université;
d) octroyer et révoquer des accès à l’information de l’Université, sous la direction de la ou du propriétaire de l’information;
e) mettre en place des moyens de détecter, de signaler et d’analyser rapidement les incidents comportant le contournement ou une tentative de contournement des contrôles liés à l’information de l’Université;
f) respecter les exigences de la ou du propriétaire de l’information relativement au traitement de l’information de l’Université.
RESPONSABILITÉS DES PERSONNES UTILISATRICES
13. Les personnes utilisatrices sont responsables de traiter l’information de l’Université en fonction de sa classification de sensibilité et conformément aux responsabilités énoncées dans la Méthode 20-12 – Traitement de l’information confidentielle et interne.
RESPONSABILITÉS DE LA OU DU CHEF DE LA SÉCURITÉ DE L’INFORMATION
14. La ou le chef de la sécurité de l’information de l’Université est responsable de la coordination, de l’élaboration, de la mise en place et du maintien d’un programme de sécurité de l’information applicable à l’échelle de l’Université.
15. La ou le chef de la sécurité de l’information est également responsable de ce qui suit :
a) définir l'approche globale de l'université pour la gestion des risques liés à l'information et s'assurer que les mesures de sécurité en place sont adaptées pour protéger les informations de l'université en fonction de leur niveau de sensibilité.
b) définir le degré de tolérance aux menaces pour la sécurité de l’information de l’Université;
c) élaborer, maintenir et diffuser des politiques, des normes, des lignes directrices et des méthodes administratives en matière de sécurité de l’information;
d) concevoir et mettre en place des environnements informatiques sécurisés;
e) collaborer avec les différents intervenants pour répondre aux violations comportant une utilisation non autorisée de l’information de l’Université, et apporter son assistance à cet égard.
MESURES DE PROTECTION DE L’INFORMATION
16. La présente section dresse une liste non exhaustive et minimale de mesures à prendre pour protéger l’information de l’Université classifiée comme « confidentielle » ou « interne » ou dont la classification peut changer, de manière à limiter le risque qu’elle soit perdue ou volée, ou encore divulguée, consultée ou utilisée sans autorisation.
a) L’information de l’Université classifiée comme « confidentielle » :
i. ne doit être divulguée qu’aux personnes qui ont besoin de la connaître dans l’exercice de leurs fonctions à l’Université et si la divulgation est nécessaire et justifiée pour assurer le bon déroulement des activités de l’Université, comme le détermine la ou le propriétaire de l’information;
ii. doit, si elle est stockée en format électronique, être protégée par un mot de passe robuste, conformément à l’Annexe D – Protection par mot de passe, et être stockée sur un serveur ou dans une base de données comportant des mesures de protection suffisantes;
iii. doit, si elle est stockée dans un lieu physique, être protégée par des contrôles d’accès suffisants pour détecter et empêcher tout accès par le public, les visiteuses et visiteurs ou toute autre personne non autorisée;
iv. ne doit pas, quand il s’agit de numéros d’assurance sociale, de renseignements personnels sur la santé ou de renseignements de carte de paiement de la clientèle, être communiquée au moyen d’outils ou de plateformes de communication non sécurisés (p. ex., courriel, clavardage, textos, médias sociaux);
v. ne doit pas être publiée, ni affichée sur un site Web, ni rendue publique d’une autre façon sans l’autorisation écrite préalable de la ou du propriétaire de l’information;
vi. doit être détruite de manière sécurisée, conformément à la Méthode 20-4 – Disposition de l’information et à l’Annexe J – Élimination des biens de TI, ou, s’il s’agit d’un document papier, doit être déchiquetée ou incinérée de manière sécurisée et conformément au calendrier de conservation des dossiers de l’Université.
b) L’information de l’Université classifiée comme « interne » :
i. doit, si elle est stockée dans un lieu physique, être protégée par des contrôles d’accès suffisants pour détecter et empêcher tout accès par le public, les visiteuses et visiteurs ou toute autre personne non autorisée;
ii. ne doit pas être publiée, ni affichée sur un site Web, ni rendue publique d’une autre façon sans l’autorisation écrite préalable de la ou du propriétaire de l’information;
iii. doit être détruite de manière sécurisée, conformément à la Méthode 20-4 – Disposition de l’information et à l’Annexe J – Élimination des biens de TI, ou, s’il s’agit d’un document papier, doit être déchiquetée ou incinérée de manière sécurisée et conformément au calendrier de conservation des dossiers de l’Université.
APPROBATION ET MODIFICATIONS
17. Il incombe à la secrétaire générale ou au secrétaire général d’examiner périodiquement le présent règlement et de recommander au Comité d’administration des modifications à y apporter, au besoin.
18. Les modifications apportées au présent règlement doivent être approuvées par le Comité d’administration.
19. La secrétaire générale ou le secrétaire général de l’Université peut établir, modifier ou abroger des méthodes aux fins de l’application du présent règlement, pourvu que ces méthodes soient compatibles avec les dispositions du Règlement.
20. Nonobstant le paragraphe 18, la secrétaire générale ou le secrétaire général peut apporter des modifications au présent règlement sans les faire approuver par le Comité d’administration lorsque ces modifications consistent, selon le cas :
a) à mettre à jour ou à corriger le nom ou le titre d’un poste, d’une unité, d’une loi, d’un règlement, d’une politique, d’une méthode ou d’une autorité;
b) à corriger la ponctuation, la grammaire, les erreurs typographiques, le format et d’autres éléments techniques, au besoin, si la correction ne change pas le sens d’une disposition, ou à apporter une autre correction, si la présence d’une erreur et la correction à apporter sont évidentes;
c) à apporter des corrections pour rendre la formulation française ou anglaise d’une disposition plus compatible avec celle de l’autre langue;
d) à reprendre les modifications apportées à d’autres règlements, résolutions, politiques ou méthodes de l’Université à des fins d’uniformité.