Secrétariat du Conseil du Trésor du Canada - Gouvernement du Canada
Sautez à la colonne latéraleSautez à la colonne principale
English Contactez-nous Aide Recherche Site du Canada
Quoi de neuf? À notre sujet Politiques Carte du site Accueil

Bureau des valeurs et de l’éthique de la fonction publique
Date d'entrée en vigueur
Préface
Définitions
Objectif de la politique
énoncé de la politique
Application
Obligations découlant de la politique
Contrôle
Textes de référence
Demandes de renseignements
Annexe A
Annexe B
Annexe C
Annexe D
Annexe E

Autres documents connexes
Format(s) de rechange
InstructionsRTF (79 Ko)
Version imprimable

Politique d'utilisation des réseaux électroniques

Précédent Table des matières  


Annexe B - Activités inacceptables qui, sans être nécessairement illégales, sont incompatibles avec les politiques du Conseil du Trésor (liste d'exemples non exhaustive)

Pour la plupart, les politiques du Conseil du Trésor ne s'appliquent pas à un moyen de communication plutôt qu'à un autre, puisque les politiques sont aussi valables si l'activité inacceptable se fait par écrit, au téléphone, sur les réseaux informatiques, dans une conversation ou à l'aide d'un autre moyen de communication quelconque. Il est inacceptable pour un fonctionnaire de violer les politiques du Conseil du Trésor, y compris les politiques institutionnelles. Les politiques suivantes sont importantes dans le contexte de l'utilisation des réseaux informatiques : Politique gouvernementale de sécurité (en ce qui concerne les normes, y compris les Normes de sécurité techniques de la technologie de l'information); politique du Harcèlement en milieu de travail; politique sur la Protection des renseignements personnels et des données, y compris le Code de protection des renseignements personnels concernant les employés, Politique sur les communications du gouvernement et Code régissant les conflits d'intérêts et l'après-mandat s'appliquant à la fonction publique. Ces textes s'appliquent aux activités suivantes.

  •  
  • Communiquer des renseignements protégés ou désignés sur des réseaux non protégés, sauf s'ils sont cryptés (Politique gouvernementale de sécurité).
  •  
  • Consulter sans autorisation des renseignements délicats détenus par le gouvernement (Politique gouvernementale de sécurité).
  •  
  • Tenter de percer les dispositifs de sécurité des systèmes informatiques, notamment en utilisant des programmes antisécurité, en se servant du mot de passe, du code d'utilisateur ou du compte informatique de quelqu'un d'autre, en donnant son mot de passe, des renseignements sur la configuration du réseau ou des codes d'accès à quelqu'un d'autre ou en désactivant des programmes antivirus (Politique gouvernementale de sécurité).
  •  
  • Congestionner et perturber les réseaux et les systèmes, notamment en envoyant des chaînes de lettres et en recevant du courrier électronique de serveurs de listes pour d'autres fins que le travail. Ce ne sont là que deux exemples d'utilisation abusive des ressources à des fins personnelles (Politique gouvernementale de sécurité).
  •  
  • Envoyer des messages abusifs, sexistes ou racistes à des fonctionnaires ainsi qu'à d'autres personnes (Harcèlement en milieu de travail).
  •  
  • Utiliser les réseaux électroniques du gouvernement pour des affaires commerciales personnelles, pour gain ou profit personnel, ou pour des activités politiques (Code sur les conflits d'intérêts et l'après-mandat s'appliquant à la fonction publique).
  •  
  • Faire publiquement des critiques excessives de la politique gouvernementale (Code sur les conflits d'intérêts et l'après-mandat s'appliquant à la fonction publique).
  •  
  • Présenter ses opinions personnelles comme celles de l'institution ou manquer autrement à son devoir de se conformer aux procédures institutionnelles sur les déclarations publiques au sujet des positions du gouvernement (Code sur les conflits d'intérêts et l'après-mandat s'appliquant à la fonction publique).
  •  
  • Manquer à son devoir d'informer les fonctionnaires et d'autres personnes autorisées des pratiques de contrôle et de vérification électroniques (Politique gouvernementale sur la sécurité et Code sur la protection des renseignements personnels concernant les employés).
  •  
  • Fournir au personnel l'accès aux systèmes, aux réseaux ou aux applications utilisées pour le traitement de renseignements de nature délicate avant qu'il ait fait l'objet d'une enquête de sécurité adéquate (Politique gouvernementale de sécurité).
  •  
  • Négliger d'annuler les droits d'accès aux systèmes du personnel qui quitte l'institution en raison d'une mise en disponibilité ou de l'expiration d'un contrat ou qui perd son statut de fiabilité ou son attestation de sécurité (Politique gouvernementale de sécurité).
  •  
  • Installer ou retirer sans autorisation du matériel ou des logiciels sur des ordinateurs ou des réseaux électroniques de l'état (Politique gouvernementale de sécurité).

Annexe C - Activités inacceptables quant à l'accès aux réseaux électroniques de l'état

Il faut que les personnes autorisées sachent que l'employeur n'est pas tenu de leur permettre d'utiliser à des fins personnelles l'accès qu'il leur donne à ses ordinateurs, à ses réseaux électroniques et à Internet. Si l'institution décide d'autoriser cette utilisation personnelle, les personnes autorisées ne doivent pas abuser d'un tel privilège. Elles devraient aussi savoir que leurs visites aux sites du WWW et leurs courriers électroniques laissent souvent des traces permettant d'identifier l'ordinateur d'origine de la visite ou du message. Les écrans de sécurité, les portes d'accès et les systèmes de l'institution enregistrent les sites Web et les adresses électroniques contactés, ainsi que l'ordinateur qui a fait la visite ou envoyé le message. Le public pourrait avoir accès à ces renseignements en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels, ce qui risquerait d'embarrasser aussi bien la personne concernée que les institutions responsables, selon la nature du site visité. Qui plus est, les personnes autorisées doivent veiller à ne pas donner l'impression que les déclarations qu'elles font dans leurs messages personnels sont liées à leurs fonctions ou approuvées par le gouvernement.

Quand les institutions gouvernementales autorisent des personnes à utiliser les réseaux électroniques de l'état à des fins personnelles pendant leurs loisirs, les institutions devraient préciser quelles restrictions, s'il en est, s'appliquent. Ce faisant, il est interdit aux personnes autorisées de se livrer aux activités illégales ou inacceptables énumérées aux annexes A et B. Le faire les rend passibles de mesures disciplinaires, voire peut-être d'une révocation de leurs privilèges d'accès aux réseaux électroniques. Il est en outre interdit aux personnes autorisées d'utiliser les réseaux électroniques de l'état pour visiter des sites Web, pour consulter ou télécharger des fichiers du WWW, ou encore pour envoyer ou recevoir du courrier électronique ou d'autres types de communications s'inscrivant dans les catégories suivantes :

  • communications incitant à la haine contre des groupes identifiables et contenues dans des messages personnels (le Code criminel interdit l'incitation à la haine contre des groupes identifiables dans des conversations publiques);
  • communications essentiellement axées sur la pornographie, sur la nudité et sur les actes sexuels (les personnes autorisées peuvent néanmoins avoir accès à des renseignements de cet ordre pour des raisons valides liées à leur travail et peuvent aussi visiter des sites essentiellement axés sur des discussions sérieuses de questions relatives à l'éducation et à l'orientation sexuelle).

L'institution gouvernementale qui envisage de limiter les autres types d'expressions personnelles à partir de ses ordinateurs ou des réseaux électroniques de l'état devrait commencer par se demander si son objectif est d'ordre professionnel, si une limite particulière s'impose pour l'atteindre, si elle a soigneusement conçu cette limite pour n'interdire que l'expression qu'elle cherche à prévenir et enfin si elle l'a exprimée de façon suffisamment précise pour donner aux personnes autorisées des explications raisonnables de ce qui est autorisé. L'institution gouvernementale devrait aussi se demander si l'activité contestable est assez grave pour justifier la révocation des privilèges d'accès au réseau ou l'affectation de ressources de l'institution à l'application de sa politique.

Annexe D - Responsabilités des personnes autorisées

Il incombe à toutes les personnes autorisées de se prévaloir de leur accès aux réseaux électroniques de l'état uniquement pour les affaires de l'état et pour les fins autorisées par l'administrateur général, comme les activités professionnelles, le perfectionnement et les utilisations personnelles. Dans ce contexte, les personnes autorisées sont tenues de se servir de leur accès aux réseaux électroniques de façon judicieuse et digne de la confiance qu'on leur accorde. Elles doivent respecter la loi ainsi que les politiques et lignes directrices de l'état, telles qu'exprimées par le Conseil du Trésor et l'institution qui les emploie. Voici des exemples des responsabilités des personnes autorisées à cet égard :

  • prendre des mesures raisonnables pour contrôler l'utilisation de leur mot de passe, de leur code d'identification ou de leurs comptes informatiques, notamment assumer la responsabilité des poursuites ou des frais découlant d'une utilisation non autorisée des réseaux électroniques;
  • se conformer aux instructions de leur institution destinées à assurer la sécurité des réseaux informatiques et de l'information qu'ils contiennent;
  • se tenir au courant des questions relatives à la sécurité de la technologie ainsi qu'à la protection des renseignements personnels, en se servant des caractéristiques de sécurité de la technologie de l'information établies par l'institution et en prenant des précautions pour éviter de transférer des virus informatiques dans les réseaux;
  • rédiger leurs communications de façon professionnelle, pour éviter que leur utilisation des réseaux électroniques ne fasse mal paraître leur institution ou le gouvernement du Canada (cela implique qu'elles évitent d'employer des termes grossiers ou abusifs dans leurs communications professionnelles);
  • prendre des mesures raisonnables pour s'assurer que leurs communications sur les politiques, programmes et services sont correctes, claires et compatibles avec les politiques de l'institution sur ses porte-parole ainsi qu'avec les procédures à suivre pour faire des déclarations publiques au nom de l'institution; et
  • en cas de doute concernant l'utilisation prévue des réseaux électroniques, demander à la personne désignée par l'institution de leur préciser si l'utilisation envisagée est illégale ou inacceptable, au sens de la présente politique ou de la politique de l'institution elle-même.

Annexe E - Lignes directrices sur le contrôle des réseaux électroniques

Politique institutionnelle

Les politiques et procédures institutionnelles d'utilisation des réseaux électroniques devraient clairement préciser les conditions d'exploitation et de gestion, lesquelles :

  • reflètent la présente politique;
  • émettent les indications nécessaires à la haute direction, aux gestionnaires de programme, aux fonctionnaires et aux autres personnes autorisées; et
  • font état d'instructions détaillées sur le contrôle des réseaux électroniques.

Attentes quant à la protection des renseignements personnels

La Politique sur la sécurité précise que la Charte canadienne des droits et libertés garantit aux fonctionnaires autorisés le droit d'avoir des attentes raisonnables quant à la protection des renseignements personnels et ce droit s'étend au lieu de travail. Ils sont également protégés par la Loi sur la protection des renseignements personnels. Contrairement au secteur privé, l'administration fédérale est assujettie à la Charte canadienne des droits et libertés, de sorte que sa capacité de soumettre les personnes autorisées et leurs effets à des perquisitions est plus limitée que celle du secteur privé. Qui plus est, la Charte protège les renseignements personnels concernant les personnes, et non les biens; il s'ensuit que les personnes autorisées ont des attentes quant à la protection des renseignements personnels qui les concernent, même s'ils travaillent avec des biens de l'état. C'est d'autant plus vrai si leur institution les autorise à se servir de la propriété de l'état à des fins personnelles.

Les gestionnaires de l'administration fédérale doivent respecter ces droits et concevoir leurs politiques de contrôle de façon à concilier raisonnablement les attentes des personnes autorisées quant à la protection des renseignements personnels qui les concernent et le devoir de l'état de protéger les renseignements délicats qu'il détient ainsi que les biens de l'état (notamment les ordinateurs et les réseaux électroniques), de même que de s'assurer qu'il s'acquitte de ses activités avec efficience, en respectant la loi.

Les institutions gouvernementales peuvent contrôler l'utilisation des biens et de l'information de l'état dans la mesure où les personnes n'ont pas d'attentes raisonnables quant à la protection des renseignements personnels en ce qui concerne les activités contrôlées. Par exemple, les personnes autorisées peuvent avoir des attentes raisonnables quant à la protection des renseignements personnels si leur employeur leur a indiqué que ni les communications par courrier électronique ni les documents personnels ne feront l'objet de mesures de contrôle. Si l'employeur décide d'appliquer des mesures de contrôle du courrier électronique et de documents électroniques, ces personnes doivent être mises au fait des nouvelles mesures de contrôle avant qu'elles ne soient appliquées. Ce faisant, les personnes seront informées de ce dont elles sont en droit de s'attendre quant à la protection des renseignements personnels.

Pour faire en sorte que les pratiques de contrôle de l'administration gouvernementale respectent la Charte canadienne des droits et libertés, les institutions gouvernementales doivent définir leurs pratiques de contrôle afin que les personnes autorisées puissent prendre des décisions éclairées quant à la question de savoir si elles ont une attente raisonnable en matière de protection des renseignements personnels et, par conséquent, sur l'endroit où conserver les renseignements personnels qui les concernent. Afin que les déclarations de l'état sur ses pratiques de contrôle influent bel et bien sur les attentes raisonnables des personnes autorisées quant à la protection des renseignements personnels qui les concernent, les institutions devraient donc prendre soin de définir correctement leurs pratiques de contrôle et de communiquer efficacement cette information aux personnes autorisées.

Lorsqu'une institution entend contrôler et analyser l'utilisation des réseaux électroniques, elle devrait aider les personnes autorisées à comprendre le degré de protection des renseignements personnels dont elles peuvent s'attendre, en leur fournissant l'information suivante.

  • L'institution va enregistrer l'identité des utilisateurs et des ordinateurs dont ils se servent pour toutes les opérations d'échange de données électroniques, ce qui comprend les visites à des sites du WWW, où les écrans de sécurité, les portes d'accès ou les systèmes de l'institution enregistrent l'identité de l'ordinateur et du site visité (il est possible, à partir de là, d'identifier le fonctionnaire autorisé qui a utilisé l'ordinateur). En outre, le site Web visité enregistre souvent des renseignements analogues. De plus, lorsqu'un utilisateur d'un réseau gouvernemental échange du courrier électronique avec un interlocuteur à l'extérieur des écrans de sécurité, des portes d'accès ou des systèmes de l'institution, ceux-ci enregistrent les adresses électroniques de l'expéditeur et du destinataire. Qui plus est, le courrier électronique lui-même est stocké sur les serveurs de fichiers de l'état, même après que l'expéditeur ou le destinataire a " effacé " le courrier. Enfin, une fois qu'un courrier est envoyé au-delà des écrans de sécurité, des portes d'accès ou des systèmes du gouvernement, il peut être intercepté ou modifié, à moins d'être chiffré.
  • Le public et les personnes autorisées peuvent avoir accès aux dossiers électroniques de particuliers en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels, sous réserve des exceptions applicables prévues par ces lois. Or, ces dossiers comprennent le courrier électronique que les personnes autorisées ont envoyé ou reçu et qui est stocké dans les ordinateurs de l'état, ainsi que des enregistrements indiquant les sites Web visités à l'aide des ordinateurs des personnes autorisées (ils sont conservés dans un journal de l'institution).
  • Les institutions contrôlent les réseaux électroniques de diverses façons. Par exemple, elles peuvent analyser les statistiques liées à l'utilisation globale des réseaux électroniques de telle manière qu'il leur est impossible d'analyser leur utilisation par une personne donnée. Toutefois, quand une institution constate une difficulté de fonctionnement du réseau, elle prend des mesures pour en déterminer la cause. à cette fin, elle peut devoir analyser l'utilisation individuelle des réseaux. Cela n'implique pas nécessairement la lecture des fichiers de données ou du courrier électronique des personnes intéressées, mais peut-être l'inspection de la taille et des types de fichiers soupçonnés d'être la cause de la difficulté - et leur examen -, afin d'examiner s'ils sont contaminés par un virus. Une fois que les gestionnaires ont cerné la source du problème, ils prennent les mesures de suivi qui s'imposent, par exemple parler à la personne intéressée ou à son supérieur ou aux responsables de la sécurité de la technologie de l'information, selon la nature du problème.
  • Les responsables de l'informatique sont autorisés à perfectionner les applications et à vérifier les configurations des disques rigides sur les unités de disque des ordinateurs installés dans les bureaux des personnes autorisées. Néanmoins, et conformément à la Politique gouvernementale de sécurité, ils ne sont pas autorisés à lire le courrier électronique ou les autres fichiers de données des intéressés, à moins d'avoir besoin de savoir ce qu'ils contiennent pour s'acquitter de leurs tâches.
  • Si, à la suite de mesures de contrôle ou d'une plainte, on soupçonne des activités inacceptables mais non criminelles, ou si l'institution a décidé de ne pas poursuivre une affaire au criminel, elle devrait renvoyer l'affaire au dirigeant compétent de l'institution pour qu'une enquête plus poussée soit menée.

Pour vérifier si les documents protégés le sont convenablement, ou pour assurer le respect de la présente politique, les fonctionnaires expressément autorisés peuvent lire les lignes des sujets du courrier électronique, les noms des fichiers figurant dans les serveurs de fichiers des réseaux et les listes des sites WWW que les fonctionnaires et d'autres personnes autorisées ont visités. Pour les mêmes raisons, ils peuvent aussi faire des recherches par mots clés pour déterminer quels documents protégés ne l'ont pas été convenablement et pour lire des documents qu'ils soupçonnent d'être des documents protégés laissés sans protection. Dans tous ces cas, ils doivent se servir d'une méthode objective pour faire la sélection au hasard des fonctionnaires dont ils contrôleront le courrier électronique, les visites Web et les fichiers de données des réseaux.

  • Les institutions qui recueillent des renseignements personnels sur les visiteurs de leurs sites du WWW devraient afficher un avertissement sur ces sites précisant le genre de renseignements qu'elles recueillent et à quelles fins elles le font, en informant ces visiteurs qu'elles ont le droit d'avoir accès aux renseignements en question en vertu de la Loi sur la protection des renseignements personnels.

Pour communiquer les renseignements en question de façon efficace, les institutions peuvent avoir recours à diverses méthodes. Elles peuvent faire apparaître régulièrement des messages sur l'écran d'ordinateur de chaque particulier, exiger l'enregistrement en direct des privilèges d'utilisation des ordinateurs, procéder à des autorisations de sécurité et à la présélection, faire signer des déclarations écrites par lesquelles les personnes autorisées confirment qu'elles comprennent leurs obligations et savent qu'on peut soumettre leur accès à un contrôle, ainsi que placer les versions électroniques de leur politique de contrôle sur leur intranet ou à d'autres endroits où les personnes autorisées peuvent prendre connaissance des politiques en général. En outre, les institutions pourraient fournir une version papier de la politique à toutes les personnes autorisées, inclure cette information dans toutes les séances de formation en informatique et l'intégrer dans les documents d'orientation et de formation destinés aux employés.

Les institutions gouvernementales peuvent entreprendre le contrôle des réseaux électroniques en dehors des pratiques de contrôle régulières du rendement des réseaux électroniques même quand les personnes autorisées ont des attentes raisonnables quant à la protection des renseignements personnels, tant et aussi longtemps que le contrôle s'effectue de façon raisonnable. C'est-à-dire qu'il doit : a) être autorisé par la loi; b) s'exercer de façon raisonnable par l'autorité légale; c) donner lieu à une perquisition menée de façon raisonnable. Lorsque les institutions ne sont pas sûres qu'un fait, une situation ou une pratique de contrôle donnés sont incompatibles avec les attentes raisonnables quant à la protection des renseignements personnels ou si elles appliquent de façon raisonnable les pratiques de contrôle, elles devraient consulter leurs services juridiques. Lorsqu'elles soupçonnent des activités criminelles, elles auront alors besoin d'une autorisation judiciaire pour intervenir, et c'est pourquoi elles doivent communiquer avec les organismes policiers quand l'objet du contrôle passe d'une surveillance administrative à une enquête sur des comportements criminels.

En plus de devoir se conformer aux exigences de la Charte canadienne des droits et libertés, les institutions gouvernementales doivent faire en sorte que leurs pratiques de contrôle respectent la Loi sur les Archives nationales du Canada, la Loi sur la protection des renseignements personnels et la Loi sur l'accès à l'information. Cela suppose qu'elles décrivent dans InfoSource le genre de documents créés par les registres automatisés et les pistes de vérification et qu'elles précisent comment elles comptent se servir des renseignements recueillis grâce à leurs activités de contrôle.

Advenant que les institutions décident d'entreprendre le contrôle des réseaux électroniques, elles sont priées de consulter de façon informelle le Commissariat à la protection de la vie privée, par le biais de leur Coordonnateur pour la protection des renseignements privés, pour revue et commentaires.

En outre, les institutions doivent conserver les renseignements personnels qu'elles recueillent pour des fins administratives pendant deux ans à compter de la date de leur dernière utilisation à cette fin, à moins que la personne concernée ne consente à leur élimination avant cette date; c'est la Loi sur la protection des renseignements personnels qui l'exige. Cette exigence distincte s'ajoute à celle de la Loi sur les Archives nationales du Canada, qui dispose que les documents ne doivent pas être détruits sans le consentement de l'archiviste national. Il peut y avoir utilisation administrative des renseignements lorsqu'une institution s'en sert pour prendre une décision qui influe sur la personne concernée. Quand l'institution ne se sert pas de journaux automatiques et de pistes de vérification pour prendre des décisions sur des personnes identifiables, la Loi sur la protection des renseignements personnels ne l'oblige pas à conserver de tels documents; elle peut les considérer comme éphémères pour les fins de la Loi sur les Archives nationales du Canada.

 
 
Précédent Table des matières  
Date de modification:  1998-02-24 Haut de la page Avis importants