Politique sur la gestion de la sécurité de l'information, de l'accès à l'information et de la protection des renseignements personnels

1. Contexte et objectif

1.1 Contexte

Pour accomplir sa mission, Retraite Québec recueille, génère et utilise une masse importante d'information. Cette information est principalement constituée d'information administrative et de renseignements sur sa clientèle (citoyennes et citoyens, entreprises et partenaires) et sur les membres de son personnel. Ces renseignements sont soumis à des règles de protection légale.

L'information peut également avoir une importance capitale pour l'organisation et le gouvernement. Elle se révèle donc une ressource qu'il faut protéger durant tout son cycle de vie. Toutes les composantes qui servent à gérer cette information doivent bénéficier de la sécurité adéquate, peu importe le support de conservation (papier ou numérique).

De plus, pour traiter cette information, Retraite Québec fait largement appel aux technologies de l'information. Il est donc primordial qu'elle assure la protection de ses actifs informationnels.

1.2 Objectif

La politique démontre l'engagement de Retraite Québec à l'égard de la sécurité de l'information, de l'accès à l'information et de la protection des renseignements personnels (SIAIPRP). Elle constitue le fondement de la documentation normative en cette matière.

La politique vise à définir les principes directeurs en matière de SIAIPRP qui doivent guider les membres du personnel en vue d'assurer la disponibilité, l'intégrité et la confidentialité de l'information.

2. Cadre juridique et documents de référence

Retraite Québec s'assure du respect du cadre juridique gouvernemental qui comporte des obligations en matière de sécurité de l'information, de protection de l'information et d'accessibilité aux documents. Il s'agit principalement de :

• la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ, c. A-2.1, ci-après « Loi sur l'accès »);
• la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (RLRQ, c. G-1.03);
• la Loi concernant le cadre juridique des technologies de l'information (RLRQ, c. C-1.1);
• la Loi sur les archives (RLRQ, c. A-21.1);
• la Directive gouvernementale sur la sécurité de l'information approuvée par le décret numéro 1514-2021 du 8 décembre 2021;
• la Politique de gestion intégrée de la sécurité de Retraite Québec.

3. Champ d'application

Cette politique s'adresse à l'ensemble du personnel, soit aux membres de la haute direction, aux gestionnaires, aux employées et employés ainsi qu'à toute personne qui entretient un lien professionnel avec Retraite Québec dans l'exercice de ses fonctions et responsabilités.

Elle s'applique à toute l'information détenue ou utilisée par Retraite Québec, peu importe sa localisation et le support de conservation.

4. Définitions

Afin d'assurer une certaine cohérence des termes utilisés, voici les définitions qui ont été retenues :

CERT/AQ : « Computer Emergency Response Team de l'Administration québécoise ». Équipe de réponse aux incidents de sécurité informatique qui relève du ministère de la Sécurité publique.

Détenteur : gestionnaire responsable des ressources informationnelles, conformément au Registre d'autorité.

Pour tout autre terme, les définitions du Grand dictionnaire terminologique (gdt.oqlf.gouv.qc.ca) prévalent, de même que celles du dictionnaire interne de Retraite Québec, Le mot juste, pour les termes qui y sont inclus.

5. Orientations et principes

Les énoncés qui suivent constituent les orientations (8) et les principes (30) concernant la SIAIPRP. Ils s'inspirent de la législation en vigueur et des meilleures pratiques dans le domaine. Compte tenu des risques auxquels l'information détenue par Retraite Québec est exposée, d'autres exigences peuvent s'appliquer.

5.1 Orientation 1 – Renforcer la confiance de la clientèle

Principe 1 – La SIAIPRP est assurée tout au long du cycle de vie de l'information de manière à en garantir la disponibilité, l'intégrité et la confidentialité.

Principe 2 – Les mesures mises en place pour assurer la SIAIPRP doivent contribuer au développement d'une relation basée sur le respect et la confiance.

Principe 3 – Des mesures sont mises en place pour donner accès à l'information personnelle aux citoyennes et citoyens, aux personnes dûment autorisées qui les représentent ainsi qu'aux membres du personnel.

Principe 4 – L'information publique doit être accessible facilement et rapidement, tout en étant complète et fiable.

Principe 5 – Les sondages réalisés par Retraite Québec sont sujets à une évaluation de leur nécessité et de leur aspect éthique. Les renseignements personnels recueillis ou utilisés font l'objet de mesures de protection qui assurent la vie privée des personnes visées par les consultations.

5.2 Orientation 2 – Agir de manière concertée

Principe 6 – Le modèle de gouvernance de la SIAIPRP mis en place à Retraite Québec démontre l'importance de la collaboration et de la concertation de tous les paliers de l'organisation et de l'ensemble des intervenantes et intervenants concernés.

Principe 7 – Le comité de sécurité et AIPRP, qui relève du président-directeur général (PDG), soutient ce dernier dans l'exercice de ses responsabilités et l'exécution de ses obligations.

Principe 8 – Les responsabilités en matière de SIAIPRP doivent être partagées par la haute direction et le personnel, en plus d'être appliquées par les fournisseurs et les partenaires.

5.3 Orientation 3 – Assurer le respect de la vie privée et la protection de l'information

Principe 9 – Les renseignements personnels et confidentiels, qu'ils portent sur une citoyenne, un citoyen, une entreprise ou un membre du personnel, sont recueillis et utilisés seulement s'ils sont nécessaires à l'exercice de la mission et des attributions de Retraite Québec.

Principe 10 – Les processus d'affaires et les systèmes d'information prennent en compte les règles qui permettent d'assurer la confidentialité de l'information.

Principe 11 – Des contrôles qualité et des audits sont réalisés sur les solutions d'affaires de Retraite Québec afin de maintenir un niveau de risque acceptable.

Principe 12 – Retraite Québec doit imposer des exigences aux partenaires, aux mandataires et aux fournisseurs qui ont accès aux informations permettant ainsi d'offrir des garanties comparables à celles de Retraite Québec. Des clauses contractuelles doivent préciser les règles relatives à la SIAIPRP.

Principe 13 – Les informations qui proviennent d'autres ministères, organismes ou gouvernements, obtenues en vertu d'une loi, doivent être protégées et sécurisées conformément aux lois applicables ainsi qu'aux exigences internes en matière de SIAIPRP, en vue de préserver leur confidentialité, leur disponibilité et leur intégrité.

Principe 14 – Une évaluation des facteurs relatifs à la vie privée doit être effectuée lorsque cela est nécessaire, notamment dans le cadre des projets d'acquisitions et de refonte de systèmes d'information qui impliquent la communication, la collecte ou l'utilisation de renseignements personnels conformément aux obligations légales en vigueur auxquelles Retraite Québec est assujettie.

Principe 15 – Un processus de gestion des incidents liés à la SIAIPRP est élaboré et mis en oeuvre afin de répondre aux exigences légales, de prendre les mesures raisonnables pour diminuer les risques qu'un préjudice soit causé et d'éviter que de nouveaux incidents de même nature ne se reproduisent.

5.4 Orientation 4 – S'adapter à l'évolution des menaces et des risques

Principe 16 – À l'exception d'exigences légales précises, le choix des mesures de sécurité doit s'appuyer sur la valeur de l'information et sur une évaluation des menaces et des risques auxquels l'information peut être exposée.

Principe 17 – Les exceptions à la politique ou à tout document d'encadrement doivent faire l'objet d'une évaluation de risques conformément aux règles prévues et être gérées selon les seuils organisationnels de tolérance aux risques.

Principe 18 – Les documents d'encadrement et les mesures de protection doivent être élaborés et réévalués périodiquement afin de tenir compte de la valeur de l'information, des menaces, des risques ainsi que des changements législatifs, organisationnels et technologiques.

Principe 19 – Une évaluation des risques est effectuée avant de procéder à tout changement significatif touchant la gestion de l'information.

5.5 Orientation 5 – Assurer le contrôle et la traçabilité des accès

Principe 20 – Une surveillance de l'utilisation de l'information est effectuée afin de s'assurer que l'usage qui en est fait est approprié. Les circonstances d'une telle surveillance doivent être définies et connues des utilisatrices et utilisateurs.

Principe 21 – Une trace des accès à l'information est conservée lorsque cela est nécessaire, en fonction de sa catégorisation, de manière à ce qu'une vérification des accès puisse être réalisée. Les registres des accès doivent être protégés de toute altération de façon à en assurer l'intégrité.

Principe 22 – Le milieu physique est sécurisé de manière à répondre aux besoins de protection et de sécurité de l'information qui s'y trouve.

5.6 Orientation 6 – Assurer la gestion de l'information

Principe 23 – L'information reçue ou produite par Retraite Québec est organisée et gérée de manière à en faciliter l'accès, la consultation, le repérage, l'archivage et la diffusion de façon sécuritaire.

Principe 24 – L'information détenue par Retraite Québec est inventoriée et placée sous la responsabilité des détenteurs désignés.

Principe 25 – L'information est catégorisée par son détenteur en collégialité avec le responsable de l'accès à l'information et de la protection des renseignements personnels, le responsable de la sécurité ainsi que les utilisatrices et utilisateurs.

Principe 26 – Des mesures de sécurité sont intégrées aux processus d'affaires, aux systèmes d'information et à l'infrastructure technologique qui composent les solutions d'affaires, qu'elles soient développées en interne ou acquises auprès d'un fournisseur externe. Elles assurent la disponibilité, l'intégrité et la confidentialité de l'information tout au long de son cycle de vie. Ces mesures font l'objet d'une réflexion de manière à ce que l'information soit accessible seulement aux personnes autorisées.

Principe 27 – Afin d'assurer la continuité des services essentiels, des plans qui visent à assurer la disponibilité de l'information en cas de sinistre sont établis, testés et mis à jour régulièrement.

5.7 Orientation 7 – Former et sensibiliser le personnel

Principe 28 – Le personnel de Retraite Québec et les ressources externes doivent être sensibilisés à la SIAIPRP, notamment aux dimensions éthiques et déontologiques qui s'y rapportent. Ils doivent être informés de leurs responsabilités.

5.8 Orientation 8 – Exercer un droit de regard et appliquer les sanctions

Principe 29 – Retraite Québec a droit de regard sur l'accès, l'utilisation et la communication de l'information qu'elle détient.

Principe 30 – Les membres du personnel qui enfreignent une règle relative à la SIAIPRP, notamment en consultant, en utilisant ou en communiquant de façon non autorisée un renseignement personnel, sont passibles de mesures administratives ou de sanctions disciplinaires.

Principe 31 – Les partenaires, les mandataires et les fournisseurs de services sont passibles, en cas d'infraction, de mesures administratives ou judiciaires, telles que la résiliation de leur contrat ou une poursuite judiciaire.

6. Rôles et responsabilités

6.1 Conseil d'administration et comité d'audit

Le conseil d'administration et le comité d'audit reçoivent, pour information, certains documents stratégiques en matière de SIAIPRP, dont la planification triennale de la sécurité de l'information (PTSI), le plan d'action intégré de sécurité de l'information (PAIS) et la posture des risques majeurs en matière de sécurité de l'information.

6.2 Comité de direction

Le comité de direction soutient le PDG dans ses responsabilités à l'égard de la SIAIPRP, notamment en s'assurant d'un encadrement adéquat en la matière.

6.3 Comité de sécurité et de l'accès à l'information et de la protection des renseignements personnels (Comité de sécurité et AIPRP)

Ce comité, qui relève du PDG, soutient le comité de direction quant à ses responsabilités à l'égard de la sécurité à Retraite Québec, y compris la sécurité de l'information, l'accès à l'information et la protection des renseignements personnels. À cet effet, il examine et recommande les documents qui nécessitent une approbation du PDG et s'assure du respect des règles relatives à la diffusion et à la protection des renseignements personnels.

Le comité de sécurité et AIPRP est appuyé par cinq sous-comités pour mener à bien ses responsabilités : identification, protection, détection, résilience et AIPRP.

6.4 Président-directeur général

Le PDG, assisté du comité de direction, est le premier responsable de la gestion de la sécurité de l'information, de l'accès à l'information et de la protection des renseignements personnels à Retraite Québec. À cet égard, il approuve les documents officiels et la reddition de comptes qui lui sont soumis. Il s'assure du respect des lois et des règles en matière de SIAIPRP qui sont déterminées par les autorités compétentes ainsi que de la désignation des détentrices et détenteurs des ressources informationnelles.

6.5 Chef délégué de la sécurité (CDS)

Le CDS assure la coordination de la structure matricielle de la sécurité et de l'AIPRP à Retraite Québec et, à cette fin, il préside le comité de sécurité et AIPRP. Il est responsable de veiller à ce que tous les domaines de la sécurité soient pris en compte à Retraite Québec, y compris la sécurité de l'information et la protection des renseignements personnels.

6.6 Chef délégué de la sécurité de l'information (CDSI)

Le CDSI assume, sous le lien fonctionnel du chef gouvernemental de la sécurité de l'information, les responsabilités qui découlent de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (LGGRI) et de ses textes d'application.

À ce titre, les activités liées à ses responsabilités sont les suivantes :

• Mettre en oeuvre un cadre de gouvernance qui régit la sécurité de l'information.
• Diriger le Centre opérationnel de cyberdéfense auquel il se rattache, l'opérationnaliser en demandant, lorsqu'il le juge à propos, la contribution des organismes qui s'y rattachent également et contribuer à faire évoluer l'offre de services de ce centre.
• Désigner, parmi les membres du personnel d'encadrement sous sa direction et conformément aux indications d'application du chef gouvernemental de la sécurité de l'information, une ou un responsable opérationnel de cyberdéfense dont le rôle est de voir au bon fonctionnement du Centre opérationnel de cyberdéfense.
• Mettre en oeuvre toute action requise pour la prise en charge d'un événement de sécurité.
• Élaborer, au besoin et dans un souci d'efficacité et de gestion performante des ressources informationnelles, des processus de sécurité de l'information, déployer les mesures y afférentes et assurer le suivi de leur mise en oeuvre.
• Apporter le soutien et l'accompagnement requis en matière de sécurité de l'information au moyen de conseils, d'outils et de pratiques exemplaires de sécurité de l'information ainsi que par le développement des compétences, la sensibilisation du personnel concerné par le sujet ou toute autre mesure jugée nécessaire.
• Mettre en place les comités ou les groupes de travail appropriés de concertation en matière de sécurité de l'information et en assurer la coordination.

6.7 Chef de la sécurité de l'information organisationnelle (CSIO)

Le CSIO assume la responsabilité de la prise en charge globale de la sécurité de l'information dans l'organisation. À Retraite Québec, cette fonction est assumée par le CDSI.

6.8 Responsable opérationnel de cyberdéfense (ROCD)

Le ROCD assume la responsabilité de conseiller le CDSI sur les orientations, les priorités d'action, les pratiques communes de cybersécurité, les mécanismes de reddition de comptes et l'optimisation des ressources pour l'organisation. Il a également la responsabilité de l'opérationnalisation et de l'évolution de l'offre de services du Centre opérationnel de cyberdéfense.

6.9 Centre opérationnel de cyberdéfense (COCD)

Le COCD est un centre de commandement et de coordination des opérations de cyberdéfense. Il apporte à l'organisation le soutien nécessaire dans la prise en charge des exigences en matière de cybersécurité en rendant disponibles des services centralisés, une expertise de pointe et des pratiques exemplaires en la matière.

6.10 Responsable de l'accès à l'information et de la protection des renseignements personnels (RAIPRP)

Le RAIPRP veille au respect de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels. Appuyé par le comité de sécurité et AIPRP, il recommande au PDG, en comité de direction, les documents qui nécessitent une approbation en matière d'AIPRP. De plus, il collabore avec le ROCD et le CDSI afin d'assurer la gestion de la sécurité de l'information.

6.11 Responsable de la gestion intégrée des risques (RGIR)

Le responsable de la gestion intégrée des risques s'occupe :

• de promouvoir une culture de gestion intégrée, proactive et continue des risques;
• de s'assurer qu'une vigie de l'environnement interne et externe est réalisée ainsi qu'une veille des bonnes pratiques et de réaliser un étalonnage, lorsque cela est jugé pertinent;
• de s'assurer de la communication, de la mise en oeuvre et de la cohérence de la gestion intégrée des risques dans l'organisation.

6.12 Coordonnateur organisationnel des mesures de sécurité de l'information (COMSI)

Le COMSI est responsable de l'application du processus de gestion des menaces, des vulnérabilités et des incidents de sécurité de l'information (GMVI), dans le but de soutenir le CSIO.

À ce titre, il doit :

• représenter Retraite Québec et participer activement au Réseau d'alerte gouvernemental, coordonné par l'équipe de réponse aux incidents de sécurité de l'information de l'Administration québécoise, le CERT/AQ;
• identifier les menaces, vulnérabilités et incidents qui touchent Retraite Québec, en tenir informé le CSIO et les communiquer selon les conditions définies par le processus GMVI, si nécessaire;
• s'assurer de l'élaboration, de la mise à jour et de l'application d'un plan interne de réponse aux MVI;
• s'assurer de la réalisation d'analyses de risques de sécurité;
• collaborer étroitement avec le CSIO et le ROCD en leur fournissant le soutien technique nécessaire à l'exercice de leurs responsabilités.

6.13 Détenteurs de ressources informationnelles

Les détenteurs doivent veiller à ce que les mesures de sécurité de l'information, y compris celles qui sont liées au respect des exigences légales de protection des renseignements personnels, soient mises en place et appliquées. Ils doivent aussi s'assurer de l'adéquation entre les mesures de sécurité de l'information en vigueur et les risques encourus.

6.14 Gestionnaires

Les gestionnaires sensibilisent leur personnel à la protection des renseignements personnels et à la sécurité de l'information. Ils s'assurent que leur personnel dispose de la formation pertinente à ses tâches et qu'il comprend ses responsabilités en matière de protection des renseignements personnels et de sécurité de l'information.

Ils veillent à ce que leur personnel utilise les ressources informationnelles conformément aux règles prévues dans les différents documents d'encadrement. Ils doivent à cet effet appliquer les mesures de contrôle nécessaires.

6.15 Personnel

Les membres du personnel protègent les informations mises à leur disposition en les utilisant avec discernement et aux seules fins permises. Ils les protègent aussi en ne communiquant aucun renseignement personnel, à moins d'y être autorisés. Ils détruisent les renseignements personnels conformément aux règles prévues dans les documents d'encadrement. Ils protègent de plus les informations en appliquant les mesures de sécurité prescrites.

Les membres du personnel doivent signaler sans tarder, à leur supérieure ou supérieur immédiat ou encore à une autre personne selon la procédure applicable, tout problème de sécurité ou toute défaillance.

6.16 Autres responsabilités

Les rôles et responsabilités en gestion de la sécurité de l'information, de l'accès à l'information et de la protection des renseignements personnels sont définis de manière exhaustive dans le Cadre de gestion en matière de sécurité de l'information, d'accès à l'information et de protection des renseignements personnels.

7. Dispositions finales

Responsable du document : la politique est sous la responsabilité conjointe du CDSI et du RAIPRP.

Approbation : le président-directeur général, en comité de direction, a approuvé le document le 25 juillet 2023.

Entrée en vigueur : le document entre en vigueur à la date de sa signature par le président-directeur général de Retraite Québec.

Publication : le document sera publié sur le site intranet et sur le site Web de Retraite Québec.

Mise à jour : la politique est révisée tous les trois ans, à la suite de son entrée en vigueur ou au besoin.

Historique :