Pour la plupart, les politiques du Conseil du Trésor ne
s'appliquent pas à un moyen de communication plutôt
qu'à un autre, puisque les politiques sont aussi valables
si l'activité inacceptable se fait par écrit, au
téléphone, sur les réseaux informatiques,
dans une conversation ou à l'aide d'un autre moyen de
communication quelconque. Il est inacceptable pour un
fonctionnaire de violer les politiques du Conseil du
Trésor, y compris les politiques institutionnelles. Les
politiques suivantes sont importantes dans le contexte de
l'utilisation des réseaux informatiques : Politique
gouvernementale de sécurité (en ce qui concerne les
normes, y compris les Normes de sécurité techniques
de la technologie de l'information); politique du
Harcèlement en milieu de travail; politique sur la
Protection des renseignements personnels et des données, y
compris le Code de protection des renseignements personnels
concernant les employés, Politique sur les
communications du gouvernement et Code régissant les
conflits d'intérêts et l'après-mandat
s'appliquant à la fonction publique. Ces textes
s'appliquent aux activités suivantes.
-
- Communiquer des renseignements protégés ou
désignés sur des réseaux non
protégés, sauf s'ils sont cryptés
(Politique gouvernementale de sécurité).
-
- Consulter sans autorisation des renseignements
délicats détenus par le gouvernement (Politique
gouvernementale de sécurité).
-
- Tenter de percer les dispositifs de sécurité
des systèmes informatiques, notamment en utilisant des
programmes antisécurité, en se servant du mot de
passe, du code d'utilisateur ou du compte informatique de
quelqu'un d'autre, en donnant son mot de passe, des
renseignements sur la configuration du réseau ou des codes
d'accès à quelqu'un d'autre ou en
désactivant des programmes antivirus (Politique
gouvernementale de sécurité).
-
- Congestionner et perturber les réseaux et les
systèmes, notamment en envoyant des chaînes de
lettres et en recevant du courrier électronique de
serveurs de listes pour d'autres fins que le travail. Ce ne sont
là que deux exemples d'utilisation abusive des ressources
à des fins personnelles (Politique gouvernementale de
sécurité).
-
- Envoyer des messages abusifs, sexistes ou racistes
à des fonctionnaires ainsi qu'à d'autres
personnes (Harcèlement en milieu de travail).
-
- Utiliser les réseaux électroniques du
gouvernement pour des affaires commerciales personnelles, pour
gain ou profit personnel, ou pour des activités
politiques (Code sur les conflits
d'intérêts et l'après-mandat s'appliquant
à la fonction publique).
-
- Faire publiquement des critiques excessives de la
politique gouvernementale (Code sur les conflits
d'intérêts et l'après-mandat s'appliquant
à la fonction publique).
-
- Présenter ses opinions personnelles comme celles de
l'institution ou manquer autrement à son devoir de se
conformer aux procédures institutionnelles sur les
déclarations publiques au sujet des positions du
gouvernement (Code sur les conflits
d'intérêts et l'après-mandat s'appliquant
à la fonction publique).
-
- Manquer à son devoir d'informer les fonctionnaires
et d'autres personnes autorisées des pratiques de
contrôle et de vérification électroniques
(Politique gouvernementale sur la sécurité et
Code sur la protection des renseignements personnels
concernant les employés).
-
- Fournir au personnel l'accès aux systèmes,
aux réseaux ou aux applications utilisées pour le
traitement de renseignements de nature délicate avant
qu'il ait fait l'objet d'une enquête de
sécurité adéquate (Politique
gouvernementale de sécurité).
-
- Négliger d'annuler les droits d'accès aux
systèmes du personnel qui quitte l'institution en raison
d'une mise en disponibilité ou de l'expiration d'un
contrat ou qui perd son statut de fiabilité ou son
attestation de sécurité (Politique
gouvernementale de sécurité).
-
- Installer ou retirer sans autorisation du matériel
ou des logiciels sur des ordinateurs ou des réseaux
électroniques de l'état (Politique
gouvernementale de sécurité).
Il faut que les personnes autorisées sachent que
l'employeur n'est pas tenu de leur permettre d'utiliser à
des fins personnelles l'accès qu'il leur donne à
ses ordinateurs, à ses réseaux électroniques
et à Internet. Si l'institution décide d'autoriser
cette utilisation personnelle, les personnes autorisées ne
doivent pas abuser d'un tel privilège. Elles devraient
aussi savoir que leurs visites aux sites du WWW et leurs
courriers électroniques laissent souvent des traces
permettant d'identifier l'ordinateur d'origine de la visite ou du
message. Les écrans de sécurité, les portes
d'accès et les systèmes de l'institution
enregistrent les sites Web et les adresses électroniques
contactés, ainsi que l'ordinateur qui a fait la visite ou
envoyé le message. Le public pourrait avoir accès
à ces renseignements en vertu de la Loi sur
l'accès à l'information et de la Loi sur la
protection des renseignements personnels, ce qui risquerait
d'embarrasser aussi bien la personne concernée que les
institutions responsables, selon la nature du site visité.
Qui plus est, les personnes autorisées doivent veiller
à ne pas donner l'impression que les déclarations
qu'elles font dans leurs messages personnels sont liées
à leurs fonctions ou approuvées par le
gouvernement.
Quand les institutions gouvernementales autorisent des
personnes à utiliser les réseaux
électroniques de l'état à des fins
personnelles pendant leurs loisirs, les institutions devraient
préciser quelles restrictions, s'il en est, s'appliquent.
Ce faisant, il est interdit aux personnes autorisées de se
livrer aux activités illégales ou inacceptables
énumérées aux annexes A et B. Le faire les
rend passibles de mesures disciplinaires, voire peut-être
d'une révocation de leurs privilèges d'accès
aux réseaux électroniques. Il est en outre interdit
aux personnes autorisées d'utiliser les réseaux
électroniques de l'état pour visiter des sites Web,
pour consulter ou télécharger des fichiers du WWW,
ou encore pour envoyer ou recevoir du courrier
électronique ou d'autres types de communications
s'inscrivant dans les catégories suivantes :
- communications incitant à la haine contre des groupes
identifiables et contenues dans des messages personnels (le
Code criminel interdit l'incitation à la haine
contre des groupes identifiables dans des conversations
publiques);
- communications essentiellement axées sur la
pornographie, sur la nudité et sur les actes sexuels (les
personnes autorisées peuvent néanmoins avoir
accès à des renseignements de cet ordre pour des
raisons valides liées à leur travail et peuvent
aussi visiter des sites essentiellement axés sur des
discussions sérieuses de questions relatives à
l'éducation et à l'orientation sexuelle).
L'institution gouvernementale qui envisage de limiter les
autres types d'expressions personnelles à partir de ses
ordinateurs ou des réseaux électroniques de
l'état devrait commencer par se demander si son objectif
est d'ordre professionnel, si une limite particulière
s'impose pour l'atteindre, si elle a soigneusement conçu
cette limite pour n'interdire que l'expression qu'elle cherche
à prévenir et enfin si elle l'a exprimée de
façon suffisamment précise pour donner aux
personnes autorisées des explications raisonnables de ce
qui est autorisé. L'institution gouvernementale
devrait aussi se demander si l'activité contestable est
assez grave pour justifier la révocation des
privilèges d'accès au réseau ou
l'affectation de ressources de l'institution à
l'application de sa politique.
Il incombe à toutes les personnes autorisées de
se prévaloir de leur accès aux réseaux
électroniques de l'état uniquement pour les
affaires de l'état et pour les fins autorisées par
l'administrateur général, comme les
activités professionnelles, le perfectionnement et les
utilisations personnelles. Dans ce contexte, les personnes
autorisées sont tenues de se servir de leur accès
aux réseaux électroniques de façon
judicieuse et digne de la confiance qu'on leur accorde. Elles
doivent respecter la loi ainsi que les politiques et lignes
directrices de l'état, telles qu'exprimées par le
Conseil du Trésor et l'institution qui les emploie. Voici
des exemples des responsabilités des personnes
autorisées à cet égard :
- prendre des mesures raisonnables pour contrôler
l'utilisation de leur mot de passe, de leur code d'identification
ou de leurs comptes informatiques, notamment assumer la
responsabilité des poursuites ou des frais
découlant d'une utilisation non autorisée des
réseaux électroniques;
- se conformer aux instructions de leur institution
destinées à assurer la sécurité des
réseaux informatiques et de l'information qu'ils
contiennent;
- se tenir au courant des questions relatives à la
sécurité de la technologie ainsi qu'à la
protection des renseignements personnels, en se servant des
caractéristiques de sécurité de la
technologie de l'information établies par l'institution et
en prenant des précautions pour éviter de
transférer des virus informatiques dans les
réseaux;
- rédiger leurs communications de façon
professionnelle, pour éviter que leur utilisation des
réseaux électroniques ne fasse mal paraître
leur institution ou le gouvernement du Canada (cela implique
qu'elles évitent d'employer des termes grossiers ou
abusifs dans leurs communications professionnelles);
- prendre des mesures raisonnables pour s'assurer que leurs
communications sur les politiques, programmes et services sont
correctes, claires et compatibles avec les politiques de
l'institution sur ses porte-parole ainsi qu'avec les
procédures à suivre pour faire des
déclarations publiques au nom de l'institution;
et
- en cas de doute concernant l'utilisation prévue des
réseaux électroniques, demander à la
personne désignée par l'institution de leur
préciser si l'utilisation envisagée est
illégale ou inacceptable, au sens de la présente
politique ou de la politique de l'institution
elle-même.
Les politiques et procédures institutionnelles
d'utilisation des réseaux électroniques devraient
clairement préciser les conditions d'exploitation et de
gestion, lesquelles :
- reflètent la présente politique;
- émettent les indications nécessaires à
la haute direction, aux gestionnaires de programme, aux
fonctionnaires et aux autres personnes autorisées; et
- font état d'instructions détaillées
sur le contrôle des réseaux
électroniques.
La Politique sur la sécurité précise que
la Charte canadienne des droits et libertés
garantit aux fonctionnaires autorisés le droit d'avoir des
attentes raisonnables quant à la protection des
renseignements personnels et ce droit s'étend au lieu de
travail. Ils sont également protégés par la
Loi sur la protection des renseignements personnels.
Contrairement au secteur privé, l'administration
fédérale est assujettie à la Charte
canadienne des droits et libertés, de sorte que sa
capacité de soumettre les personnes autorisées et
leurs effets à des perquisitions est plus limitée
que celle du secteur privé. Qui plus est, la Charte
protège les renseignements personnels concernant les
personnes, et non les biens; il s'ensuit que les personnes
autorisées ont des attentes quant à la protection
des renseignements personnels qui les concernent, même
s'ils travaillent avec des biens de l'état. C'est d'autant
plus vrai si leur institution les autorise à se servir de
la propriété de l'état à des fins
personnelles.
Les gestionnaires de l'administration fédérale
doivent respecter ces droits et concevoir leurs politiques de
contrôle de façon à concilier raisonnablement
les attentes des personnes autorisées quant à la
protection des renseignements personnels qui les concernent et le
devoir de l'état de protéger les renseignements
délicats qu'il détient ainsi que les biens de
l'état (notamment les ordinateurs et les
réseaux électroniques), de même que de
s'assurer qu'il s'acquitte de ses activités avec
efficience, en respectant la loi.
Les institutions gouvernementales peuvent contrôler
l'utilisation des biens et de l'information de l'état dans
la mesure où les personnes n'ont pas d'attentes
raisonnables quant à la protection des renseignements
personnels en ce qui concerne les activités
contrôlées. Par exemple, les personnes
autorisées peuvent avoir des attentes raisonnables quant
à la protection des renseignements personnels si leur
employeur leur a indiqué que ni les communications par
courrier électronique ni les documents personnels ne
feront l'objet de mesures de contrôle. Si l'employeur
décide d'appliquer des mesures de contrôle du
courrier électronique et de documents
électroniques, ces personnes doivent être mises au
fait des nouvelles mesures de contrôle avant qu'elles ne
soient appliquées. Ce faisant, les personnes seront
informées de ce dont elles sont en droit de s'attendre
quant à la protection des renseignements personnels.
Pour faire en sorte que les pratiques de contrôle de
l'administration gouvernementale respectent la Charte
canadienne des droits et libertés, les institutions
gouvernementales doivent définir leurs pratiques de
contrôle afin que les personnes autorisées puissent
prendre des décisions éclairées quant
à la question de savoir si elles ont une attente
raisonnable en matière de protection des renseignements
personnels et, par conséquent, sur l'endroit où
conserver les renseignements personnels qui les concernent. Afin
que les déclarations de l'état sur ses pratiques de
contrôle influent bel et bien sur les attentes raisonnables
des personnes autorisées quant à la protection des
renseignements personnels qui les concernent, les institutions
devraient donc prendre soin de définir correctement leurs
pratiques de contrôle et de communiquer efficacement cette
information aux personnes autorisées.
Lorsqu'une institution entend contrôler et analyser
l'utilisation des réseaux électroniques, elle
devrait aider les personnes autorisées à comprendre
le degré de protection des renseignements personnels dont
elles peuvent s'attendre, en leur fournissant l'information
suivante.
- L'institution va enregistrer l'identité des
utilisateurs et des ordinateurs dont ils se servent pour toutes
les opérations d'échange de données
électroniques, ce qui comprend les visites à des
sites du WWW, où les écrans de
sécurité, les portes d'accès ou les
systèmes de l'institution enregistrent
l'identité de l'ordinateur et du site
visité (il est possible, à partir de là,
d'identifier le fonctionnaire autorisé qui a
utilisé l'ordinateur). En outre, le site Web
visité enregistre souvent des renseignements analogues. De
plus, lorsqu'un utilisateur d'un réseau
gouvernemental échange du courrier électronique
avec un interlocuteur à l'extérieur des
écrans de sécurité, des portes
d'accès ou des systèmes de l'institution,
ceux-ci enregistrent les adresses électroniques de
l'expéditeur et du destinataire. Qui plus est, le
courrier électronique lui-même est stocké sur
les serveurs de fichiers de l'état, même
après que l'expéditeur ou le destinataire a
" effacé " le courrier. Enfin, une fois
qu'un courrier est envoyé au-delà des
écrans de sécurité, des portes
d'accès ou des systèmes du gouvernement, il
peut être intercepté ou modifié, à
moins d'être chiffré.
- Le public et les personnes autorisées peuvent avoir
accès aux dossiers électroniques de particuliers en
vertu de la Loi sur l'accès à l'information
et de la Loi sur la protection des renseignements
personnels, sous réserve des exceptions applicables
prévues par ces lois. Or, ces dossiers comprennent le
courrier électronique que les personnes autorisées
ont envoyé ou reçu et qui est stocké dans
les ordinateurs de l'état, ainsi que des enregistrements
indiquant les sites Web visités à l'aide des
ordinateurs des personnes autorisées (ils sont
conservés dans un journal de l'institution).
- Les institutions contrôlent les réseaux
électroniques de diverses façons. Par exemple,
elles peuvent analyser les statistiques liées à
l'utilisation globale des réseaux électroniques de
telle manière qu'il leur est impossible d'analyser leur
utilisation par une personne donnée. Toutefois, quand une
institution constate une difficulté de fonctionnement du
réseau, elle prend des mesures pour en déterminer
la cause. à cette fin, elle peut devoir analyser
l'utilisation individuelle des réseaux. Cela n'implique
pas nécessairement la lecture des fichiers de
données ou du courrier électronique des personnes
intéressées, mais peut-être l'inspection de
la taille et des types de fichiers soupçonnés
d'être la cause de la difficulté - et leur
examen -, afin d'examiner s'ils sont contaminés par
un virus. Une fois que les gestionnaires ont cerné la
source du problème, ils prennent les mesures de suivi qui
s'imposent, par exemple parler à la personne
intéressée ou à son supérieur ou aux
responsables de la sécurité de la technologie de
l'information, selon la nature du problème.
- Les responsables de l'informatique sont autorisés
à perfectionner les applications et à
vérifier les configurations des disques rigides sur les
unités de disque des ordinateurs installés dans les
bureaux des personnes autorisées. Néanmoins, et
conformément à la Politique gouvernementale de
sécurité, ils ne sont pas autorisés à
lire le courrier électronique ou les autres fichiers de
données des intéressés, à moins
d'avoir besoin de savoir ce qu'ils contiennent pour s'acquitter
de leurs tâches.
- Si, à la suite de mesures de contrôle ou d'une
plainte, on soupçonne des activités inacceptables
mais non criminelles, ou si l'institution a décidé
de ne pas poursuivre une affaire au criminel, elle devrait
renvoyer l'affaire au dirigeant compétent de l'institution
pour qu'une enquête plus poussée soit
menée.
Pour vérifier si les documents protégés
le sont convenablement, ou pour assurer le respect de la
présente politique, les fonctionnaires expressément
autorisés peuvent lire les lignes des sujets du courrier
électronique, les noms des fichiers figurant dans les
serveurs de fichiers des réseaux et les listes des sites
WWW que les fonctionnaires et d'autres personnes
autorisées ont visités. Pour les mêmes
raisons, ils peuvent aussi faire des recherches par mots
clés pour déterminer quels documents
protégés ne l'ont pas été
convenablement et pour lire des documents qu'ils
soupçonnent d'être des documents
protégés laissés sans protection. Dans tous
ces cas, ils doivent se servir d'une méthode objective
pour faire la sélection au hasard des fonctionnaires dont
ils contrôleront le courrier électronique, les
visites Web et les fichiers de données des
réseaux.
- Les institutions qui recueillent des renseignements
personnels sur les visiteurs de leurs sites du WWW devraient
afficher un avertissement sur ces sites précisant le genre
de renseignements qu'elles recueillent et à quelles fins
elles le font, en informant ces visiteurs qu'elles ont le droit
d'avoir accès aux renseignements en question en vertu de
la Loi sur la protection des renseignements
personnels.
Pour communiquer les renseignements en question de
façon efficace, les institutions peuvent avoir recours
à diverses méthodes. Elles peuvent faire
apparaître régulièrement des messages sur
l'écran d'ordinateur de chaque particulier, exiger
l'enregistrement en direct des privilèges d'utilisation
des ordinateurs, procéder à des autorisations de
sécurité et à la présélection,
faire signer des déclarations écrites par
lesquelles les personnes autorisées confirment qu'elles
comprennent leurs obligations et savent qu'on peut soumettre leur
accès à un contrôle, ainsi que placer les
versions électroniques de leur politique de contrôle
sur leur intranet ou à d'autres endroits où les
personnes autorisées peuvent prendre connaissance des
politiques en général. En outre, les institutions
pourraient fournir une version papier de la politique à
toutes les personnes autorisées, inclure cette information
dans toutes les séances de formation en informatique et
l'intégrer dans les documents d'orientation et de
formation destinés aux employés.
Les institutions gouvernementales peuvent entreprendre le
contrôle des réseaux électroniques en dehors
des pratiques de contrôle régulières du
rendement des réseaux électroniques même
quand les personnes autorisées ont des attentes
raisonnables quant à la protection des renseignements
personnels, tant et aussi longtemps que le contrôle
s'effectue de façon raisonnable. C'est-à-dire qu'il
doit : a) être autorisé par la loi; b) s'exercer de
façon raisonnable par l'autorité légale; c)
donner lieu à une perquisition menée de
façon raisonnable. Lorsque les institutions ne sont pas
sûres qu'un fait, une situation ou une pratique de
contrôle donnés sont incompatibles avec les attentes
raisonnables quant à la protection des renseignements
personnels ou si elles appliquent de façon raisonnable les
pratiques de contrôle, elles devraient consulter leurs
services juridiques. Lorsqu'elles soupçonnent des
activités criminelles, elles auront alors besoin d'une
autorisation judiciaire pour intervenir, et c'est pourquoi elles
doivent communiquer avec les organismes policiers quand l'objet
du contrôle passe d'une surveillance administrative
à une enquête sur des comportements criminels.
En plus de devoir se conformer aux exigences de la Charte
canadienne des droits et libertés, les institutions
gouvernementales doivent faire en sorte que leurs pratiques de
contrôle respectent la Loi sur les Archives nationales
du Canada, la Loi sur la protection des renseignements
personnels et la Loi sur l'accès à
l'information. Cela suppose qu'elles décrivent dans
InfoSource le genre de documents créés par
les registres automatisés et les pistes de
vérification et qu'elles précisent comment elles
comptent se servir des renseignements recueillis grâce
à leurs activités de contrôle.
Advenant que les institutions décident
d'entreprendre le contrôle des réseaux
électroniques, elles sont priées de consulter de
façon informelle le Commissariat à la protection de
la vie privée, par le biais de leur Coordonnateur pour la
protection des renseignements privés, pour revue et
commentaires.
En outre, les institutions doivent conserver les
renseignements personnels qu'elles recueillent pour des fins
administratives pendant deux ans à compter de la date de
leur dernière utilisation à cette fin, à
moins que la personne concernée ne consente à leur
élimination avant cette date; c'est la Loi sur la
protection des renseignements personnels qui l'exige. Cette
exigence distincte s'ajoute à celle de la Loi sur les
Archives nationales du Canada, qui dispose que les documents
ne doivent pas être détruits sans le consentement de
l'archiviste national. Il peut y avoir utilisation administrative
des renseignements lorsqu'une institution s'en sert pour prendre
une décision qui influe sur la personne concernée.
Quand l'institution ne se sert pas de journaux automatiques et de
pistes de vérification pour prendre des décisions
sur des personnes identifiables, la Loi sur la protection des
renseignements personnels ne l'oblige pas à conserver
de tels documents; elle peut les considérer comme
éphémères pour les fins de la Loi sur les
Archives nationales du Canada.
|