Conseils à l’intention des institutions fédérales sur l’utilisation des dispositifs de stockage portatifs

Mars 2014

Les dispositifs de stockage portatifs sont offerts dans une variété de modèles, de tailles et de styles. En général, l’expression « dispositif de stockage portatif » désigne tout dispositif électronique pouvant être utilisé pour stocker de l’information et pouvant être transporté facilement, tel que les périphériques qui se branchent dans un port USB (p. ex. clés USB et disques durs externes), les tablettes, les ordinateurs portatifs, les téléphones intelligents, les CD et les DVD. Étant donné que ces dispositifs sont souvent relativement petits et faciles à transporter, et qu’ils peuvent être dotés d’une énorme capacité de stockage, ils doivent être manipulés avec prudence, surtout s’ils servent à stocker des renseignements personnels.

Que doivent savoir les institutions fédérales au sujet de l’utilisation de dispositifs de stockage portatifs pour stocker des renseignements personnels?

En vertu de la Loi sur la protection des renseignements personnels, les institutions du gouvernement fédéral doivent respecter le droit des individus à la vie privée en gérant adéquatement la collecte, l’utilisation, la communication, la conservation et la suppression des renseignements personnels. Afin de se conformer à cette exigence, les institutions doivent prendre des mesures de sécurité appropriées pour protéger les renseignements personnels qu’elles recueillent contre la consultation, l’utilisation et la communication non autorisées.

Le Secrétariat du Conseil du Trésor (SCT) a établi un certain nombre de politiques et de directives qui décrivent les exigences que doit respecter le gouvernement du Canada, tant sur le plan de la sécurité que de la protection de ses fonds de renseignements personnels.

L’information et les conseils qui suivent ont été élaborés pour servir de complément aux documents du SCT et pour présenter aux organisations qui utilisent des dispositifs de stockage portatifs quelques suggestions utiles pour réduire les risques de consultation, d’utilisation et de communication non autorisées de renseignements personnels.

Comment les institutions fédérales peuvent-elles s’assurer que les renseignements personnels stockés sur des dispositifs de stockage portatifs sont protégés?

Le Commissariat à la protection de la vie privée du Canada a défini quatre types de mesures de contrôle pouvant offrir une protection contre les atteintes à la sécurité des renseignements personnels :

  • mesures de contrôle physiques;
  • mesures de contrôle technologiques;
  • mesures de contrôle administratives;
  • mesures de contrôle liées à l’application des mesures de sécurité par le personnel.

Ces mesures de contrôle s’appuient sur la Directive sur les pratiques relatives à la protection de la vie privée et sur la Politique sur la sécurité du gouvernement du SCT. Puisque les dispositifs de stockage portatifs sont généralement très faciles à retirer, à déplacer ou à égarer, nous recommandons aux institutions de s’assurer d’appliquer rigoureusement les quatre types de mesures de contrôle à la manipulation de ces périphériques lorsque ceux-ci contiennent des renseignements personnels. Nous encourageons également les institutions à consulter le site Web du SCT pour obtenir les dernières versions des politiques et des directives.

Mesures de contrôle physiques

Des mesures de contrôle physiques doivent être prises en tout temps pour protéger les dispositifs de stockage portatifs qui contiennent des renseignements personnels ou de nature délicate. Les institutions doivent, à tout le moins, veiller au respect des points suivants :

  • les dispositifs en cours d’utilisation ne sont pas laissés sans surveillance;
  • les dispositifs non utilisés sont toujours protégés par des mesures de contrôle de la sécurité physique rigoureuses, comme le rangement dans des classeurs verrouillés et des aires de stockage à accès restreint;
  • des précautions particulières sont prises lors de l’élimination ou de la destruction des dispositifs ayant atteint la fin de leur cycle de vie pour s’assurer que les données qui y étaient stockées ne sont plus accessibles.

Liste de vérification :

  • S’assurer que les mesures de sécurité physiques utilisées pour protéger les dispositifs conviennent au niveau de sensibilité de l’information qu’ils contiennent.
  • Contrôler l’accès aux aires de stockage sécurisées et aux classeurs à verrou.
  • Fournir des outils et des directives aux employés qui retirent d’une aire protégée des dispositifs portatifs, tels que des ordinateurs portatifs, afin qu’ils en assurent la protection lorsqu’ils sont en transit ou inactifs.
  • Mettre régulièrement à jour les mesures de contrôle de la sécurité physique afin de tenir compte des nouveaux outils et des nouvelles pratiques opérationnelles.
  • Effectuer régulièrement des examens de sécurité ou des inspections des biens contenant des renseignements personnels afin de s’assurer que les mesures de sécurité appropriées sont en place.
  • Appliquer les mesures d’élimination ou de destruction qui conviennent à chaque type de dispositif et au niveau de sensibilité de l’information qu’il contient.

Norme importante du SCT : Norme opérationnelle sur la sécurité matérielle

Mesures de contrôle technologiques

Des outils technologiques devraient être utilisés pour protéger les renseignements de nature délicate conservés sur des dispositifs de stockage portatifs contre toute consultation, communication, reproduction, utilisation ou modification non autorisée. Les institutions doivent, à tout le moins, veiller au respect des points suivants :

  • Tous les renseignements personnels ou de nature délicate stockés sur des dispositifs portatifs sont protégés en étant cryptés au niveau approprié;
  • Des renseignements personnels sont stockés seulement sur des dispositifs fournis par l’institution et qui respectent les normes minimales de sécurité établies par cette dernière.

Liste de vérification :

  • Choisir les mesures de contrôle technologiques qui conviennent au dispositif utilisé et au niveau de sensibilité de l’information qu’il contient.
  • Offrir aux employés une formation sur l’application des mesures de contrôle technologiques, comme le chiffrement, aux dispositifs portatifs.
  • Donner des conseils aux employés sur la façon de créer des mots de passe sûrs.
  • Balayer régulièrement les lecteurs du réseau pour repérer tout dispositif non autorisé.
  • Effectuer régulièrement des examens de sécurité ou des inspections des dispositifs contenant des renseignements personnels afin de s’assurer que les mesures de contrôle technologiques appropriées sont en place.

Norme importante du SCT : Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI)

Mesures de contrôle administratives

Les institutions doivent établir des mesures de protection procédurales qui donnent un aperçu de la façon dont sont gérés les renseignements personnels conservés sur des dispositifs de stockage portatifs tout au long de leur cycle de vie. Les institutions doivent, à tout le moins, veiller au respect des points suivants :

  • les politiques et les procédures liées à la protection des renseignements personnels conservés sur des dispositifs de stockage portatifs sont suivies dans le cadre des activités courantes;
  • des pratiques de gestion du matériel sont appliquées pour répertorier et surveiller tout dispositif susceptible d’être utilisé pour stocker ou transmettre des renseignements personnels de nature délicate;
  • les renseignements personnels et les dispositifs contenant des renseignements personnels sont recensés et portent la mention correspondant au niveau de sécurité approprié le plus élevé;
  • les dispositifs de stockage portatifs ne sont utilisés qu’en dernier ressort pour stocker et transférer des renseignements personnels.

Liste de vérification :

  • Procéder à des évaluations des facteurs relatifs à la vie privée afin de déterminer si les initiatives nécessitant l’utilisation de renseignements personnels posent des risques pour la protection de la vie privée et afin de s’assurer que les risques cernés sont atténués.
  • Effectuer des évaluations de la menace et des risques en mettant l’accent sur les risques et les préoccupations en matière de protection de la vie privée associés aux dispositifs de stockage portatifs et discuter de la façon dont ces préoccupations ont été traitées et réglées.
  • Mettre régulièrement à jour les politiques et les procédures de manière à tenir compte des activités et des processus opérationnels quotidiens.
  • Tenir à jour un inventaire exhaustif des dispositifs portatifs, par exemple en attribuant un numéro de série aux dispositifs à des fins de suivi.
  • établir des protocoles en vue de régler les problèmes de perte et de vol de dispositifs portatifs contenant des renseignements personnels.
  • Veiller à ce que les dispositifs de stockage portatifs ne soient pas utilisés pour le stockage permanent de renseignements personnels.

Directives importantes du SCT : Directive sur les pratiques relatives à la protection de la vie privée et Directive sur l’évaluation des facteurs relatifs à la vie privée

Mesures de contrôle liées à l’application des mesures de sécurité par le personnel

Les politiques ne sont efficaces que si les gens les mettent en pratique. Il est donc essentiel que les employés soient sensibilisés à la protection des renseignements personnels et à la sécurité, et qu’ils y contribuent activement. Les institutions doivent, à tout le moins, s’assurer que les employés :

  • comprennent leurs rôles et leurs responsabilités à l’égard de la gestion des renseignements personnels tout au long du cycle de vie de ces derniers;
  • comprennent leurs responsabilités à l’égard de la sécurité physique des renseignements personnels et des biens contenant des renseignements personnels;
  • reconnaissent les risques inhérents au stockage de renseignements personnels sur des dispositifs portatifs.

Liste de vérification :

  • Offrir des séances de formation régulières et obligatoires sur la sécurité et la protection des renseignements personnels.
  • Surveiller l’utilisation, par les employés, des dispositifs de stockage portatifs contenant des renseignements personnels afin de s’assurer du respect des politiques et des procédures.
  • Communiquer régulièrement avec les employés pour leur rappeler les politiques et les procédures en place, ainsi que l’importance de les mettre en pratique dans le cadre de leurs activités quotidiennes.

Lignes directrices importantes du SCT : Lignes directrices sur les atteintes à la vie privée et Lignes directrices concernant la discipline

Soyez prêts!

Même les meilleures politiques et pratiques ne peuvent éliminer complètement les risques. Des erreurs se produiront inévitablement. Assurez-vous que les employés de tous les niveaux savent quoi faire en cas de problème. Les atteintes à la vie privée doivent être traitées sans tarder conformément aux Lignes directrices sur les atteintes à la vie privée. En outre, le Commissariat à la protection de la vie privée du Canada a publié des Lignes directrices afin d’aider les institutions à tenir compte des facteurs pertinents pour traiter un éventuel cas d’atteinte à la vie privée.

Mars 2014

Date de modification :