Approuvé Comité d'administration 2288.3, révisé par le Comité d'administration le 18 novembre 2020 par résolution 2437.2.
1. CONTEXTE
Dans le cadre de sa mission éducative, l’Université d’Ottawa acquiert, développe et maintient divers biens de technologies de l’information (TI). Ces biens sont destinés à des fins liées aux buts de l’Université, notamment le soutien direct et indirect aux missions d’enseignement, de recherche et de service, les fonctions administratives, les activités liées à la vie étudiante et sur le campus, ainsi que le libre échange des idées au sein de la communauté universitaire et entre celle-ci et les communautés locales, nationales et mondiales.
L’Université reconnaît l’importance de la sécurité de l’information et de la protection de ses biens de TI. Par conséquent, elle est résolue à préserver la confidentialité et l’intégrité de ses biens de TI et à utiliser des mesures de sécurité raisonnables, appropriées, pratiques et efficaces pour contrer l’utilisation, la modification, la divulgation et la destruction non autorisées de ses biens de TI.
L’Université d’Ottawa est également déterminée à préserver un environnement qui encourage la liberté universitaire et la liberté de la recherche en veillant à une utilisation responsable des ressources de TI.
2. BUT
Le présent règlement vise à assurer la confidentialité et l’intégrité des biens de TI de l’Université. Il favorise également l’utilisation efficace, éthique et licite des biens de TI de l’Université. Il représente le cadre général qui régit l’interprétation et l’application de toutes les autres politiques en matière d’utilisation et de sécurité de la technologie de l’information, énumérées à la section 3.2 ci-dessous et des normes ou procédures connexes.
3. INTERPRÉTATION
3.1 Les définitions qui suivent s’appliquent au présent règlement et à toute norme ou procédure établies en vertu de celui-ci :
« bien de TI » ou « biens de TI » : englobent et désignent collectivement les ressources de TI de l’Université et l’information électronique qui est stockée, qui se trouve ou qui passe dans une ressource de TI de l’Université;
« communauté universitaire » : englobe tous les employés, titulaires d’un poste d’enseignement, étudiants, entrepreneurs, visiteurs et bénévoles, qu’ils soient membres de l’Université ou de ses établissements fédérés (p. ex., l’Université Saint-Paul) ou qu’ils s’y trouvent;
« employé » : s’entend de tout membre du personnel enseignant, administratif et de soutien syndiqué ou non syndiqué, occupant un poste régulier ou contractuel (y compris les personnes dont le salaire provient de sources autres que les fonds d’exploitation de l’Université, comme des subventions, des subventions de recherche et des contrats externes);
« étudiant » : s’entend de toute personne inscrite à l’Université, à temps plein, à temps partiel ou à titre d’étudiant spécial, dans un programme de premier cycle ou d’études supérieures, y compris les résidents en médecine et les stagiaires postdoctoraux;
« ressource de TI » ou « ressources de TI » : comprennent notamment les logiciels, les systèmes, les réseaux, les ordinateurs, toute autre ressource ou matériel informatique, les serveurs (physiques ou virtuels), les dispositifs de stockage de données ou de réseau, les serveurs de courriel, les serveurs d’imprimante et de télécopieur, les systèmes téléphoniques, les supports magnétiques ou supports de réseau, et tout autre dispositif de communication qui sont possédés, exploités ou gérés par l’Université, ou encore qui sont concédés sous licence à l’Université ou exploités par une organisation externe pour le compte de l’Université;
« service de TI » ou « services de TI » : comprennent, sans s’y limiter, les services d’infrastructure, d’applications, d’architecture d’entreprise, de sécurité de l’information et de soutien aux utilisateurs finaux, qui sont fournis à l’échelle de l’Université.
3.2 Le présent règlement et toute norme ou procédure établies en vertu de celui-ci doivent être lus en parallèle avec :
- le Règlement 117 – Classification et manutention de l’information;
- le Règlement 118 – Utilisation du courrier électronique (courriel);
- le Règlement 37 – Micro-ordinateurs appartenant à l’Université d’Ottawa;
- le Règlement 45 – Communications sans fil à l’Université.
3.3 Le dirigeant principal de l’information (DPI) est responsable de l’interprétation du présent règlement et de toute norme ou procédure établies en vertu de celui-ci.
4. PORTÉE ET APPLICATION
Les dispositions du présent règlement et des normes et procédures connexes établies en vertu de celui-ci couvrent tous les biens de TI de l’Université. Les exigences du présent règlement et des normes et procédures connexes établies en vertu de celui-ci visent :
a) tous les employés, étudiants, entrepreneurs, visiteurs et bénévoles, ainsi que les membres du Bureau des gouverneurs de l’Université;
b) les organisations externes et leurs employés, entrepreneurs et représentants respectifs qui utilisent les biens ou ressources de TI de l’Université ou à qui l’accès à ces biens ou ressources a été accordé.
5. RESPONSABILITÉS
5.1 Le DPI de l’Université coordonne les ressources et les services de TI de l’Université qui habilitent les fonctions universitaires et administratives et qui soutiennent les membres du corps professoral, le personnel et les étudiants. À ce titre, le DPI élabore et met en œuvre des politiques, des normes et des procédures en consultation avec les services pertinents pour aider la communauté universitaire à se conformer au présent règlement.
Sans préjudice de la portée générale de ce qui précède, le DPI est responsable de ce qui suit :
- établir des procédures et des normes d’utilisation et de sécurité des biens de TI pour la mise en œuvre du présent règlement;
- publier et maintenir le présent règlement et les politiques, normes et procédures connexes et assurer la sensibilisation à ce règlement et à ces politiques, normes et procédures;
- assurer la garde des biens de TI;
- assurer l’encadrement de l’utilisation et de la sécurité des biens de TI dans toute l’Université;
- renseigner la communauté universitaire sur les responsabilités en matière d’utilisation et de sécurité des biens de TI.
Le DPI peut déléguer les responsabilités qui lui sont confiées dans le présent règlement ou dans les normes ou procédures établies en vertu de celui-ci; toutefois, il demeure tenu de rendre des comptes à l’égard de ces responsabilités.
5.2 Les personnes mentionnées à la section 4 du présent règlement doivent se conformer au présent règlement ainsi qu’à toutes les normes et procédures établies en vertu de celui-ci.
6. PROCÉDURES ET NORMES D’UTILISATION ET DE SÉCURITÉ DES BIENS DE TI
Les personnes mentionnées à la section 4 du présent règlement doivent se conformer aux procédures et aux normes d’utilisation et de sécurité des biens de TI établies en vertu du présent règlement. Ces procédures et normes sont énoncées sur le site des règlements et annexes.
7. CONFORMITÉ
7.1 Le DPI doit être promptement informé de tout défaut de se conformer aux exigences du présent règlement ou des normes ou procédures établies en vertu de celui-ci. Une fois par an, le DPI doit informer le Comité d’administration des cas de non-conformité importants.
7.2 L’Université prendra les mesures préventives et correctives appropriées en cas d’infraction (ou de risque d’infraction) au présent règlement ou à toute norme ou procédure établies en vertu de celui-ci et, lorsqu’il est justifié de le faire, tiendra des personnes responsables conformément aux dispositions de la convention collective applicable, aux conditions d’emploi ou autres politiques ou règlements de l’Université ou aux lois applicables.
8. EXCEPTIONS
8.1 Aucune exception au présent règlement ou à une norme ou procédure établie en vertu de celui-ci ne doit être faite sans l’autorisation préalable écrite du DPI. En règle générale, aucune exception ne sera faite à moins d’être justifiée par les motifs impérieux suivants ou par des motifs semblables :
a) un utilisateur ou une unité organisationnelle n’est pas conforme et il est impossible de remédier immédiatement à la non-conformité;
b) la conformité n’est pas possible dans le contexte d’un système qui est en voie d’être éliminé progressivement, de sorte que l’utilisateur ou l’unité organisationnelle doit provisoirement gérer le risque;
c) il existe une autre méthode d’établissement de la conformité qui offre une sécurité équivalente ou supérieure;
d) l’accès à du matériel répréhensible ou offensant est nécessaire à des fins d’étude ou de recherche approuvées par le Comité d’éthique en recherche ou le doyen compétent, sous réserve de mesures de protection suffisantes et appropriées pour limiter le matériel à des biens de TI prédéfinis.
8.2 Les exceptions visées à la section 8.1 doivent être demandées, examinées et, s’il y a lieu, accordées conformément à la procédure de demande d’exception aux règlements et normes de sécurité établie par le DPI en vertu du présent règlement.
8.3 Une fois par an, le DPI doit informer le Comité d’administration des exceptions importantes au présent règlement ou aux normes ou procédures établies en vertu de celui-ci qui ont été accordées.
9. EXAMEN ET MODIFICATIONS
9.1 Le présent règlement et les normes et procédures établies en vertu de celui-ci doivent être examinés régulièrement par le DPI, selon ce qui est jugé approprié compte tenu des changements sur le plan de la technologie ou des exigences réglementaires.
9.2 Les modifications apportées au présent règlement doivent être approuvées par le Comité d’administration sur la recommandation du vice-recteur aux finances et à l’administration.
9.3 Les modifications apportées aux procédures et normes d’utilisation et de sécurité des biens de TI établies en vertu du présent règlement doivent être approuvées par le DPI.