Annulée - Politique d'utilisation des réseaux électroniques

Cette politique décrit les responsabilités des fonctionnaires et des gestionnaire, le comportement illégale ou inacceptable, le contröle et les mesure disciplinaires.

Cette page a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Archives

Cette politique est remplacée par : 

Voir tous les instruments inactifs

Version imprimable XML

Date d'entrée en vigueur

La politique est en vigueur à compter du 12 février 1998.

Préface

Le Conseil du Trésor encourage les personnes autorisées à utiliser les réseaux électroniques pour mener les affaires de l'état, pour communiquer avec d'autres personnes autorisées et avec le public, pour recueillir des renseignements pertinents pouvant les aider dans leurs fonctions et pour maîtriser les techniques d'utilisation de ces réseaux. étant donné que certaines personnes peuvent, par inadvertance ou délibérément, se servir des réseaux électroniques pour saper un milieu de travail sain, pour divulguer sans autorisation des renseignements classifiés ou désignés, pour s'adonner à des activités illégales, le Conseil du Trésor a décidé d'instaurer la présente politique pour aider les personnes autorisées à exploiter les réseaux électroniques de façon optimale ainsi que pour leur donner des directives concernant l'utilisation des réseaux à des fins inacceptables. La politique sert également de cadre aux institutions en matière de protection des renseignements personnels, notamment en ce qui a trait au contrôle de l'usage que font les employés des réseaux électroniques, et met l'accent, en particulier, sur l'importance pour les institutions de comprendre et de respecter les droits de leurs employés quant à la protection des renseignements personnels lorsqu'elles envisagent d'appliquer l'une ou l'autre des pratiques de contrôle dont il est question dans cette politique.

Définitions

L'accès
s'entend de l'entrée en communication avec un réseau électronique que le gouvernement fédéral a mis à la disposition des personnes autorisées. L'accès à un tel réseau peut avoir lieu dans les locaux mêmes du gouvernement ou à l'extérieur de ceux-ci et le réseau peut accepter le télétravail et l'accès à distance. Accès peut également comprendre les personnes autorisées utilisant les réseaux électroniques fournis par le gouvernement à des fins personnelles, pendant les heures de loisirs.
L'activité illégale
s'entend des actes criminels, des infractions à des lois fédérales et provinciales non pénales à caractère réglementaire ainsi que des actions qui rendent une personne autorisée ou un établissement passible de poursuites au civil. (L'annexe A en donne des exemples.)
L'activité inacceptable
s'entend de toute activité non conforme aux politiques de l'institution ou du Conseil du Trésor (voir à l'annexe B les exemples de politiques du Conseil du Trésor), ou non conforme aux restrictions de l'utilisation à des fins personnelles des réseaux, telles qu'elles sont énoncées à l'annexe C de la présente politique.
Le contrôle des réseaux électroniques
englobe toutes les mesures d'enregistrement et d'analyse subséquente de l'activité dans un système ou un réseau électroniques ou de l'utilisation d'un tel système ou réseau. Il peut comprendre l'enregistrement des comptes des utilisateurs, des activités des utilisateurs, des sites visités, de l'information téléchargée et des ressources informatiques utilisées pour une analyse régulière du volume d'échange d'information sur les réseaux, des habitudes d'utilisation et des sites visités par certains groupes de travail ou certaines personnes. L'information enregistrée et analysée ne comprend normalement pas le contenu du courrier électronique, des fichiers de données et des transmissions d'utilisateurs particuliers.
Les personnes autorisées
comprennent les fonctionnaires fédéraux ainsi que les entrepreneurs et autres personnes qui ont reçu de l'administrateur général l'autorisation d'accéder aux réseaux électroniques.
Les réseaux électroniques
sont des groupes d'ordinateurs et de systèmes informatiques capables de communiquer ensemble. Sans restreindre la généralité de ce qui précède, ils comprennent Internet, les réseaux internes d'une institution et les réseaux publics et privés externes.

Objectif de la politique

Faire en sorte que toute personne autorisée par une institution fédérale à avoir accès à des réseaux électroniques utilise ces réseaux comme il se doit.

Énoncé de la politique

Le Conseil du Trésor a pour politique de permettre aux personnes autorisée d'utiliser des réseaux électroniques pour mener les affaires de l'état, pour communiquer avec des fonctionnaires et avec le public, pour recueillir des renseignements pertinents à leurs fonctions et pour maîtriser les techniques d'utilisation de ces réseaux. Les administrateurs généraux sont tenus de promouvoir l'utilisation des réseaux électroniques dans un milieu de travail où les activités inacceptables ou illégales ne sont pas tolérées. Ils sont également tenus de réagir rapidement, équitablement et sans équivoque à toute infraction de la politique ou de la loi.

Application

En vertu des pouvoirs confiés au Conseil du Trésor par l'article 7 de la Loi sur la gestion des finances publiques, la politique s'applique à toutes les institutions et aux secteurs de la fonction publique énumérés à l'Annexe 1, Parties I et II de la Loi sur les relations de travail dans la fonction publique, aux Forces canadiennes et à la Gendarmerie royale du Canada.

Obligations découlant de la politique

Les administrateurs généraux sont tenus d'adopter des politiques et des pratiques favorables à l'utilisation convenable des réseaux électroniques. Leurs politiques doivent être compatibles avec les besoins opérationnels du milieu de travail, la Loi sur la protection des renseignements personnels, la Loi sur l'accès à l'information et la Charte canadienne des droits et libertés (notamment respecter la vie privée et la liberté d'expression).

Les institutions, qui autorisent des personnes à accéder à des réseaux électroniques pour des utilisations approuvées, doivent concevoir et appliquer des politiques et des procédures d'utilisation adéquate de ces réseaux, dont les suivantes :

Utilisations autorisées des réseaux électroniques

  • Un énoncé précisant les utilisations autorisées des réseaux électroniques - lequel peut porter sur la conduite des affaires de l'état, les activités professionnelles, le perfectionnement ou des utilisations personnelles.

Comportement illégal et inacceptable

  • Un énoncé déclarant que les activités illégales sont interdites et présentant des renseignements sur les types d'activités illégales d'utilisation des réseaux électroniques (l'annexe A en donne une liste non exhaustive).
  • Un énoncé précisant les activités d'utilisation des réseaux électroniques qui sont légales, mais néanmoins inacceptables et par conséquent interdites (les annexes B et C en donnent une liste non exhaustive).

Responsabilités des fonctionnaires

  • Un énoncé précisant les responsabilités des personnes autorisées qui utilisent les réseaux électroniques (l'annexe D en donne une liste non exhaustive).

Responsabilités de la direction

  • Un énoncé désignant un représentant de l'institution pour enquêter sur les rapports d'activités illégales ou inacceptables de personnes autorisées en ce qui a trait à l'utilisation de réseaux électroniques.
  • Un énoncé précisant quels groupes de fonctionnaires sont autorisés à analyser les registres d'utilisation des réseaux électroniques par des particuliers; les groupes de fonctionnaires, s'il en est, qui sont autorisés à analyser le contenu des fichiers de données ou du courrier électronique des personnes autorisées et à qui les fonctionnaires autorisés peuvent communiquer des renseignements sur des particuliers identifiables, et à quelles fins.
  • Un énoncé indiquant aux personnes autorisées où elles peuvent obtenir des renseignements sur l'interprétation des utilisations illégales et inacceptables.
  • Un énoncé indiquant aux personnes autorisées où elles peuvent obtenir de la formation ou des renseignements sur l'utilisation des réseaux électroniques.
  • Un énoncé informant les personnes autorisées des politiques et des procédures liées à l'utilisation des réseaux électroniques.

Mesures disciplinaires

  • Un énoncé précisant que l'institution signale toutes les activités illégales qu'elle soupçonne aux autorités policières, à moins que ses conseillers juridiques ne les considèrent comme trop mineures. Cet énoncé devrait aussi déclarer que l'institution peut prendre des mesures disciplinaires même s'il n'y a pas de poursuite au pénal ou au civil.
  • Un énoncé précisant la gamme des mesures disciplinaires que l'institution peut prendre en cas d'utilisation illégale ou inacceptable des réseaux électroniques, en fonction de la gravité de l'incident et des circonstances qui l'entourent. Ces mesures peuvent comprendre une réprimande verbale, une réprimande écrite, la restriction des privilèges d'accès aux réseaux, la suspension et le congédiement.

Contrôle des réseaux électroniques

Les réseaux électroniques peuvent être contrôlés à des fins opérationnelles, c'est-à-dire pour déterminer s'ils fonctionnent de façon efficiente, pour cerner les problèmes et les régler et pour vérifier si la politique est respectée. En outre, les institutions peuvent effectuer, de temps à autre, des vérifications au hasard des réseaux, pour des motifs opérationnels précis. Quel que soit le cas, les renseignements obtenus peuvent être analysés.

Généralement les analyses de données ne vont pas jusqu'à la lecture du contenu des messages envoyés par courrier électronique ou des fichiers de données. Toutefois, si l'institution a des raisons valables de soupçonner qu'une personne autorisée utilise le réseau à mauvais escient, en raison d'indices révélés par l'analyse régulière des données ou d'une plainte, elle doit signaler ses soupçons au dirigeant qui est responsable d'enquêter et de prendre des mesures de contrôle particulières qui peut inclure la lecture du contenu des messages envoyés par courrier électronique et les fichiers de données. Tout employé qui doit lire le contenu des communications électroniques ne peut divulguer les renseignements qui y figurent qu'à des fins autorisées. L'enquête doit être menée conformément à la Charte canadienne des droits et libertés, à la Loi sur la protection des renseignements personnels et au Code criminel.

L'institution doit tenir compte des aspects liés à la protection des renseignements personnels au moment d'établir ses pratiques de contrôle et en informer les personnes autorisées, avant leur mise en application, en leur communiquant au moins l'information suivante :

  • un énoncé expliquant ces pratiques de contrôle des réseaux électroniques, par exemple l'analyse opérationnelle des registres pour savoir quels sites Internet les personnes autorisées ont visité, ou des recherches de mots clés dans les fichiers de données stockés sur les serveurs des réseaux ou sur les dispositifs de stockage des ordinateurs des personnes autorisées;
  • un énoncé précisant que l'utilisation des réseaux électroniques est contrôlée seulement pour des fins liées au travail, par exemple, pour évaluer le rendement des systèmes ou des réseaux, protéger les ressources de l'état ou assurer l'application de ses politiques;
  • un énoncé précisant que des mesures de contrôle spéciales pourraient être autorisées sans préavis lorsqu'il y a des raisons de soupçonner qu'il y a activité illégale ou inacceptable.

Pour toute question d'ordre juridique liée à la protection des renseignements personnels, veuillez consulter l'annexe E.

Contrôle

L'institution doit effectuer des vérifications internes de sa conformité avec la politique et de l'efficacité de sa mise en oeuvre.

Le Secrétariat évalue l'efficacité et l'application de la politique grâce à des vérifications institutionnelles internes.

Textes de référence

Lois applicables

Loi sur la gestion des finances publiques, Loi sur l'accès à l'information, Loi sur la protection des renseignements personnels, la Charte canadienne des droits et libertés, Loi sur les Archives nationales du Canada, Loi sur les secrets officiels, Code criminel, Loi sur les licences d'exportation et d'importation, Loi sur la responsabilité civile de l'état et le contentieux administratif, Loi sur le droit d'auteur, Loi sur les marques de commerce, Loi sur les brevets et Loi canadienne sur les droits de la personne.

Politiques et publications du Conseil du Trésor

Code régissant les conflits d'intérêts et l'après-mandat s'appliquant à la fonction publique, politique sur le Harcèlement en milieu de travail, Politique gouvernementale de sécurité, Politique sur les communications du gouvernement, Guide d'Internet du gouvernement du Canada, politique sur la Gestion des fonds de renseignements du gouvernement, politique d'Accès à l'information, politique sur la Protection des renseignements personnels, Politique sur le télétravail et Politique sur les pertes de deniers et infractions et autres actes illégaux commis contre la Couronne.

Demandes de renseignements

Prière de communiquer les demandes de renseignements sur la politique aux agents responsables de l'administration centrale de l'institution, qui peuvent se renseigner sur son interprétation auprès du :

Dirigeant principal de l'information
Secrétariat du Conseil du Trésor du Canada
Télécopieur : (613) 957-8020


Annexe A - Activité illégale (liste d'exemples non exhaustive)

L'expression « activité illégale » peut revêtir plusieurs sens. Aux fins de la présente politique, nous l'interprétons au sens large : elle comprend donc les actes passibles de différentes peines devant les tribunaux.

Certaines activités illégales sont des actes criminels et d'autres pas, puisqu'elles peuvent être de simples infractions qui violent des lois non pénales à caractère réglementaire (seule une infime proportion des lois prévoient des actes criminels). Or, certaines lois à caractère réglementaire disposent que quiconque ne les respecte pas a commis une infraction, alors que d'autres ne prévoient pas d'infractions précises. Néanmoins, qu'il soit fait état ou non d'une infraction dans une loi à caractère réglementaire particulière, il demeure illégal de ne pas respecter une obligation établie en vertu d'une loi.

En outre, l'article 126 du Code criminel dispose que quiconque contrevient volontairement à une loi fédérale sans qu'une peine y soit expressément prévue commet un acte criminel. Les lois provinciales renferment des dispositions analogues.

Enfin, certaines activités ne sont ni des actes criminels, ni des infractions d'une loi à caractère réglementaire donnée, bien que leurs auteurs puissent être passibles de poursuites par les personnes qu'elles ont lésées. En pareil cas, les tribunaux peuvent juger que le défendeur a enfreint les lois applicables dans une province et lui imposer l'obligation de verser des dommages-intérêts au demandeur. De telles activités constituent des poursuites au civil. Quand la responsabilité civile de l'employé est retenue et que ses activités s'inscrivent dans le cadre de ses fonctions, l'employeur peut, lui aussi, devoir payer des dommages-intérêts.

Exigences de déclaration

Il convient de souligner que les institutions gouvernementales sont tenues d'informer les organismes policiers intéressés des activités illégales qu'elles soupçonnent (à moins que leurs conseillers juridiques considèrent la question comme trop mineure), en application des politiques et lignes directrices suivantes :

  • chapitre 2-1, article 16.5 de la Politique gouvernementale de sécurité (l'article 16.4 stipule que les manquements à la sécurité doivent être signalés à l'administrateur général de l'institution);
  • chapitre 4-7 de la Politique sur les pertes de fonds et infractions et autres actes illégaux commis contre la Couronne.

En outre, l'alinéa 80e) de la Loi sur la gestion des finances publiques dispose que commet une infraction quiconque

  • perçoit, gère ou dépense des deniers publics
  • sait ou soupçonne qu'une autre personne a commis une fraude contre Sa Majesté ou a enfreint la Loi sur la gestion des finances publiques, son règlement ou toute loi de recettes du Canada et
  • ne communique pas par écrit ce qu'il sait ou soupçonne à un supérieur.

Actes criminels

Voici des exemples d'activités criminelles susceptibles de se produire sur les réseaux électroniques.

Pornographie juvénile :
Avoir en sa possession, télécharger ou distribuer de la pornographie juvénile (voir l'article 163.1 du Code criminel).
Droit d'auteur :
Porter atteinte au droit d'auteur d'autrui sans raison licite - la Loi sur le droit d'auteur prévoit des poursuites au pénal et au civil en pareils cas (voir également la section sur les droits d'auteur à la rubrique portant sur les infractions de lois fédérales et provinciales).
Diffamation :
Faire lire par d'autres un énoncé susceptible de nuire à la réputation de quelqu'un en l'exposant à la haine, au mépris ou au ridicule, ou conçu pour l'insulter (voir les articles 296 à 317 du Code criminel). On peut invoquer plusieurs défenses contre une accusation de diffamation. Par exemple, l'auteur de l'énoncé peut avoir des raisons valables de croire que celui-ci est véridique et qu'il est pertinent dans le contexte d'une question d'intérêt public dont la discussion publique est avantageuse pour le public.
Piratage et autres crimes contre la sécurité informatique
  • Accès non autorisé à un système informatique : Utilisation du mot de passe ou des codes de cryptage d'autrui pour commettre une fraude ou obtenir de l'argent, des biens ou des services en faisant de fausses représentations sur un système informatique. Voir les articles suivants du Code criminel : 122 (abus de confiance par un fonctionnaire public); 380 (fraude); 361 (escroquerie); 403 (supposition frauduleuse de personne) et 342.1 (utilisation non autorisée d'ordinateur et de services informatiques).
  • Tentative de percer les dispositifs de sécurité des réseaux électroniques : Voir les dispositions suivantes du Code criminel : 342.1 (utilisation non autorisée d'ordinateur et de services informatiques); alinéa 342.1d) (utilisation, possession ou trafic de mots de passe d'ordinateur volés ou de renseignements relatifs à des cartes de crédit volées); article 342.2 (production, possession ou distribution de programmes informatiques conçus pour faciliter l'accès illégal à des systèmes informatiques) et articles 429 et 430 (méfait concernant des données).
  • Introduction de virus dans l'intention de causer du tort : Voir les articles suivants du Code criminel : 429 et 430 (méfait concernant des données) ainsi que 342.1 (utilisation non autorisée d'ordinateur et de services informatiques).
  • Destruction, modification ou cryptage de données sans autorisation, dans l'intention d'en interdire l'accès à d'autres en ayant licitement besoin : Voir les dispositions suivantes du Code criminel : articles 429 et 430 (méfait concernant des données); article 342.1 (utilisation non autorisée d'ordinateur et de services informatiques); article 129 et paragraphe 139(2) (destruction ou falsification de preuves pour faire obstacle à une enquête pénale).
  • Entrave à l'utilisation licite par d'autres de données et d'ordinateurs : Voir les articles suivants du Code criminel : 429 et 430 (méfait concernant des données); 326 (vol de service de télécommunication); 322 (vol d'équipement informatique) et 342.1 (utilisation non autorisée d'ordinateur et de services informatiques).
Harcèlement :
Envoyer, sans en avoir l'autorité légale, des messages électroniques incitant quelqu'un à craindre pour sa sécurité ou pour celle de gens qu'il connaît (voir l'article 264 du Code criminel). L'article 264.1 du Code criminel dispose que commet une infraction quiconque fait parvenir à autrui des menaces de lui causer des lésions corporelles, d'endommager ses biens ou de blesser un animal qui est lui appartient.
Propagande haineuse :
Diffuser ou distribuer des messages fomentant la haine ou incitant à la violence contre des groupes identifiables autrement que dans une conversation privée (voir l'article 319 du Code criminel).
Interception de communications privées ou de courrier électronique (en transit) :
Intercepter illégalement les communications privées de quelqu'un, ou intercepter illégalement le courrier électronique de quelqu'un (voir respectivement les articles 184 et 342.1 du Code criminel).
Obscénité :
Distribuer, publier ou avoir en sa possession en vue de le distribuer ou de l'exposer publiquement tout document obscène (p. ex. représentant des actes sexuels explicites exploitant indûment la sexualité, où il y a violence ou des enfants sont présents, ou encore où les actes sexuels sont dégradants ou déshumanisants et où il y a risque substantiel que le document pourrait inciter d'autres personnes à se livrer à des actes antisociaux). (Voir l'article 163 du Code criminel).
Divers autres crimes :
Le Code criminel et quelques autres lois prévoient toute une gamme d'autres actes criminels susceptibles d'être entièrement ou partiellement commis grâce à l'utilisation des réseaux informatiques. Par exemple, la fraude, l'extorsion, le chantage, la corruption, les paris illégaux et le trafic de drogues illégales sont tous des actes criminels qui peuvent être commis, du moins en partie, sur les réseaux électroniques.

Infractions de lois fédérales et provinciales

Voici des exemples d'activités illégales (mais non criminelles) susceptibles d'avoir lieu sur les réseaux électroniques.

Atteintes au droit d'auteur et à la propriété intellectuelle :
Violation du droit d'auteur d'autrui (la Loi sur le droit d'auteur prévoit des poursuites au pénal et au civil en pareils cas). Il est possible aussi d'utiliser sans autorisation des marques de commerce et des brevets sur les réseaux électroniques, alors que ces actes sont interdits par la Loi sur les marques de commerce.
Diffamation :
Fait de répandre des allégations ou des rumeurs mensongères nuisant à la réputation d'autrui. En plus d'être un acte criminel, la diffamation est interdite par les lois provinciales.
Destruction ou modification de données sans autorisation :
Destruction, modification ou falsification illégales de documents électroniques. Voir l'article 5 de la Loi sur les Archives nationales du Canada, les articles 6 et 12 de la Loi sur la protection des renseignements personnels, l'article 4 de la Loi sur l'accès à l'information et l'article 5 de la Loi sur les secrets officiels.
Communication non autorisée de données délicates
  • Communication de renseignements personnels : le fait de ne pas respecter la vie privée et la dignité d'un individu. L'obligation de respecter la vie privée d'une personne est exprimée dans plusieurs dispositions législatives, comme les articles 4, 5, 7 et 8 de la Loi sur la protection des renseignements personnels et le paragraphe 19(1) de la Loi sur l'accès à l'information. De nombreuses lois fédérales contiennent des dispositions interdisant la communication de renseignements de ce genre, souvent conçues pour protéger la vie privée des citoyens qui fournissent des renseignements au gouvernement (voir la liste de ces dispositions à l'Annexe II de la Loi sur l'accès à l'information). Il y a plusieurs dispositions analogues dans le Code civil et dans la Charte des droits de la personne du Québec (respectivement les articles 3 et 35 à 41, ainsi que les articles 4, 5 et 49). La Colombie-Britannique, la Saskatchewan, le Manitoba et Terre-Neuve ont aussi des lois qui prévoient des poursuites au civil en cas d'atteintes à la vie privée.
  • Divulgation de secrets industriels : Révélation non autorisée de secrets industriels, ou en réponse à une demande officielle présentée en vertu de la Loi sur l'accès à l'information, de secrets industriels ou de renseignements commerciaux confidentiels communiqués à titre confidentiel par un tiers et traités comme tels de façon constante par celui-ci. Voir les alinéas 20(1)a) et b) de la Loi sur l'accès à l'information.
  • Divulgation de renseignements gouvernementaux délicats : Communication non autorisée de renseignements gouvernementaux délicats; voir les articles 3 et 4 de la Loi sur les secrets officiels. Dans ce contexte, lorsqu'elles répondent à des demandes officielles présentées en vertu de la Loi sur l'accès à l'information, les institutions fédérales ne doivent pas communiquer de renseignements obtenus à titre confidentiel d'autres gouvernements (voir l'article 13 de la Loi sur l'accès à l'information). Les autres exceptions à cet égard prévues dans la Loi sont de nature discrétionnaire.

Il convient de souligner que les fonctionnaires et autres personnes autorisées, ainsi que le gouvernement ne sont pas passibles de poursuites en justice à l'égard des communications qu'ils ont faites de bonne foi en vertu soit de la Loi sur la protection des renseignements personnels, soit de la Loi sur l'accès à l'information.

Harcèlement :
Constitue un acte discriminatoire, « s'il est fondé sur un motif de distinction illicite, le fait de harceler un individu : a) lors de la fourniture [...] de services [...] destinés au public; c) en matière d'emploi ». Les motifs de distinction illicite sont ceux qui sont fondés sur la race, l'origine nationale ou ethnique, la couleur, la religion, l'âge, l'orientation sexuelle, l'état matrimonial, la situation de famille, la déficience ou l'état de personne graciée. Ainsi, dans certaines circonstances, afficher des images sexistes, pornographiques, racistes ou homophobes indésirables au travail, sur un écran d'ordinateur, peut constituer du harcèlement illégal. Voir l'article 14 de la Loi canadienne sur les droits de la personne.
Atteintes à la vie privée :

Lecture du courrier électronique ou d'autres renseignements personnels d'autrui sans autorisation, écoute des conversations privées ou interception du courrier électronique en transit, par exemple.

Quand un fonctionnaire ou une autre personne a le droit d'avoir des attentes raisonnables quant à la protection des renseignements personnels qui le concerne dans son courrier électronique ou dans d'autres documents personnels, l'institution - qu'elle les ait à son service ou pas - peut être coupable d'une infraction en vertu de l'article 8 de la Charte canadienne des droits et libertés (perquisitions et saisies abusives), si en l'absence d'une autorité légale, elle ne respecte pas ces attentes raisonnables.

L'institution peut aussi être réputée avoir recueilli ou utilisé illégalement des données contrairement aux articles 4, 5, 7 et 8 de la Loi sur la protection des renseignements personnels. Le gouvernement peut être passible de poursuites en dommages-intérêts quand des communications privées sont interceptées illégalement (voir les articles 16 à 20 de la Loi sur la responsabilité civile de l'état et le contentieux administratif, sur les activités de surveillance électronique exécutées par des fonctionnaires dans le cadre de leurs fonctions; en fait, l'article 20 dispose expressément que le fonctionnaire est redevable envers l'état du montant des dommages-intérêts accordé par un tribunal). Le gouvernement peut aussi être passible de poursuites en dommages-intérêts quand une communication illégale de renseignements personnels a lieu contrairement aux dispositions de diverses lois (voir la liste de ces dispositions à l'Annexe II de la Loi sur l'accès à l'information). Pour un complément d'information sur ces questions, voir l'Annexe E, qui contient un exposé sur les attentes raisonnables quant à la protection des renseignements personnels.

Utilisation des deniers publics sans autorisation :
Voir les articles suivants de la Loi sur la gestion des finances publiques : 33 (demande de paiement non autorisée); 34 (attestation non autorisée de livraison de fournitures ou de prestations de services); 78 (responsabilité des pertes résultant d'une malversation ou d'une négligence) et 80 (acceptation de pots-de-vin ou participation à des activités de corruption).

Activités pouvant exposer des personnes autorisées ou l'employeur à des poursuites en responsabilité civile

Divers comportements peuvent exposer une personne autorisée ou un employeur à des poursuites en responsabilité civile. L'employeur est réputé responsable lorsqu'un employé de la Fonction publique comment une activité illégale dans le cadre de ses fonctions. L'employé de la Fonction publique peut être tenu personnellement responsable de ses actions, même si le gouvernement fédéral en est lui aussi responsable. (La politique gouvernementale d'indemnisation des personnes autorisées, qui s'intitule Politique sur l'immunité accordée aux fonctionnaires de l'état, est pertinente dans ce contexte.) Voici des exemples de quasi-délits civils susceptibles de se produire sur les réseaux électroniques.

Communication ou collecte de données de nature délicates :
Révéler ou obtenir des renseignements de ce genre sans autorisation. En plus des dispositions législatives déjà mentionnées, la communication ou la collecte non autorisées de renseignements personnels peut provoquer, dans certaines circonstances, des poursuites au civil pour atteinte à la vie privée, nuisance ou intrusion en vertu de la common law et des poursuites analogues fondées sur le Code civil du Québec (articles 3 et 15 à 41), pour rupture de contrat ainsi que pour abus de confiance (p. ex. si des renseignements commerciaux confidentiels sont communiqués).
Diffamation :
Répandre des allégations ou des rumeurs mensongères susceptibles de porter atteinte à la réputation de quelqu'un. En plus d'être un acte criminel, la publication de edéclarations diffamatoires sans défense légale peut exposer son auteur à des poursuites au civil.
Communication de renseignements erronés :
Afficher des renseignements rronés, que ce soit par négligence ou à dessein. Ce genre de comportement peut provoquer des poursuites au civil pour fausse représentation faite avec négligence si l'on peut démontrer : a) que l'affichage a lésé des personnes et porté préjudice à des personnes qui b) s'étaient raisonnablement fondées sur les renseignements, c) que la personne ou l'institution qui a affiché les renseignements avait le devoir de s'occuper raisonnablement de la personne lésée par la fausse déclaration et d) que les erreurs étaient attribuables à leur négligence (un comportement ne répondant pas aux critères de diligence raisonnable dans les circonstances).

Annexe B - Activités inacceptables qui, sans être nécessairement illégales, sont incompatibles avec les politiques du Conseil du Trésor (liste d'exemples non exhaustive)

Pour la plupart, les politiques du Conseil du Trésor ne s'appliquent pas à un moyen de communication plutôt qu'à un autre, puisque les politiques sont aussi valables si l'activité inacceptable se fait par écrit, au téléphone, sur les réseaux informatiques, dans une conversation ou à l'aide d'un autre moyen de communication quelconque. Il est inacceptable pour un fonctionnaire de violer les politiques du Conseil du Trésor, y compris les politiques institutionnelles. Les politiques suivantes sont importantes dans le contexte de l'utilisation des réseaux informatiques : Politique gouvernementale de sécurité (en ce qui concerne les normes, y compris les Normes de sécurité techniques de la technologie de l'information); politique du Harcèlement en milieu de travail; politique sur la Protection des renseignements personnels et des données, y compris le Code de protection des renseignements personnels concernant les employés, Politique sur les communications du gouvernement et Code régissant les conflits d'intérêts et l'après-mandat s'appliquant à la fonction publique. Ces textes s'appliquent aux activités suivantes.

  • Communiquer des renseignements protégés ou désignés sur des réseaux non protégés, sauf s'ils sont cryptés (Politique gouvernementale de sécurité).
  • Consulter sans autorisation des renseignements délicats détenus par le gouvernement (Politique gouvernementale de sécurité).
  • Tenter de percer les dispositifs de sécurité des systèmes informatiques, notamment en utilisant des programmes antisécurité, en se servant du mot de passe, du code d'utilisateur ou du compte informatique de quelqu'un d'autre, en donnant son mot de passe, des renseignements sur la configuration du réseau ou des codes d'accès à quelqu'un d'autre ou en désactivant des programmes antivirus (Politique gouvernementale de sécurité).
  • Congestionner et perturber les réseaux et les systèmes, notamment en envoyant des chaînes de lettres et en recevant du courrier électronique de serveurs de listes pour d'autres fins que le travail. Ce ne sont là que deux exemples d'utilisation abusive des ressources à des fins personnelles (Politique gouvernementale de sécurité).
  • Envoyer des messages abusifs, sexistes ou racistes à des fonctionnaires ainsi qu'à d'autres personnes (Harcèlement en milieu de travail).
  • Utiliser les réseaux électroniques du gouvernement pour des affaires commerciales personnelles, pour gain ou profit personnel, ou pour des activités politiques (Code sur les conflits d'intérêts et l'après-mandat s'appliquant à la fonction publique).
  • Faire publiquement des critiques excessives de la politique gouvernementale (Code sur les conflits d'intérêts et l'après-mandat s'appliquant à la fonction publique).
  • Présenter ses opinions personnelles comme celles de l'institution ou manquer autrement à son devoir de se conformer aux procédures institutionnelles sur les déclarations publiques au sujet des positions du gouvernement (Code sur les conflits d'intérêts et l'après-mandat s'appliquant à la fonction publique).
  • Manquer à son devoir d'informer les fonctionnaires et d'autres personnes autorisées des pratiques de contrôle et de vérification électroniques (Politique gouvernementale sur la sécurité et Code sur la protection des renseignements personnels concernant les employés).
  • Fournir au personnel l'accès aux systèmes, aux réseaux ou aux applications utilisées pour le traitement de renseignements de nature délicate avant qu'il ait fait l'objet d'une enquête de sécurité adéquate (Politique gouvernementale de sécurité).
  • Négliger d'annuler les droits d'accès aux systèmes du personnel qui quitte l'institution en raison d'une mise en disponibilité ou de l'expiration d'un contrat ou qui perd son statut de fiabilité ou son attestation de sécurité (Politique gouvernementale de sécurité).
  • Installer ou retirer sans autorisation du matériel ou des logiciels sur des ordinateurs ou des réseaux électroniques de l'état (Politique gouvernementale de sécurité).

Annexe C - Activités inacceptables quant à l'accès aux réseaux électroniques de l'état

Il faut que les personnes autorisées sachent que l'employeur n'est pas tenu de leur permettre d'utiliser à des fins personnelles l'accès qu'il leur donne à ses ordinateurs, à ses réseaux électroniques et à Internet. Si l'institution décide d'autoriser cette utilisation personnelle, les personnes autorisées ne doivent pas abuser d'un tel privilège. Elles devraient aussi savoir que leurs visites aux sites du WWW et leurs courriers électroniques laissent souvent des traces permettant d'identifier l'ordinateur d'origine de la visite ou du message. Les écrans de sécurité, les portes d'accès et les systèmes de l'institution enregistrent les sites Web et les adresses électroniques contactés, ainsi que l'ordinateur qui a fait la visite ou envoyé le message. Le public pourrait avoir accès à ces renseignements en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels, ce qui risquerait d'embarrasser aussi bien la personne concernée que les institutions responsables, selon la nature du site visité. Qui plus est, les personnes autorisées doivent veiller à ne pas donner l'impression que les déclarations qu'elles font dans leurs messages personnels sont liées à leurs fonctions ou approuvées par le gouvernement.

Quand les institutions gouvernementales autorisent des personnes à utiliser les réseaux électroniques de l'état à des fins personnelles pendant leurs loisirs, les institutions devraient préciser quelles restrictions, s'il en est, s'appliquent. Ce faisant, il est interdit aux personnes autorisées de se livrer aux activités illégales ou inacceptables énumérées aux annexes A et B. Le faire les rend passibles de mesures disciplinaires, voire peut-être d'une révocation de leurs privilèges d'accès aux réseaux électroniques. Il est en outre interdit aux personnes autorisées d'utiliser les réseaux électroniques de l'état pour visiter des sites Web, pour consulter ou télécharger des fichiers du WWW, ou encore pour envoyer ou recevoir du courrier électronique ou d'autres types de communications s'inscrivant dans les catégories suivantes :

  • communications incitant à la haine contre des groupes identifiables et contenues dans des messages personnels (le Code criminel interdit l'incitation à la haine contre des groupes identifiables dans des conversations publiques);
  • communications essentiellement axées sur la pornographie, sur la nudité et sur les actes sexuels (les personnes autorisées peuvent néanmoins avoir accès à des renseignements de cet ordre pour des raisons valides liées à leur travail et peuvent aussi visiter des sites essentiellement axés sur des discussions sérieuses de questions relatives à l'éducation et à l'orientation sexuelle).

L'institution gouvernementale qui envisage de limiter les autres types d'expressions personnelles à partir de ses ordinateurs ou des réseaux électroniques de l'état devrait commencer par se demander si son objectif est d'ordre professionnel, si une limite particulière s'impose pour l'atteindre, si elle a soigneusement conçu cette limite pour n'interdire que l'expression qu'elle cherche à prévenir et enfin si elle l'a exprimée de façon suffisamment précise pour donner aux personnes autorisées des explications raisonnables de ce qui est autorisé. L'institution gouvernementale devrait aussi se demander si l'activité contestable est assez grave pour justifier la révocation des privilèges d'accès au réseau ou l'affectation de ressources de l'institution à l'application de sa politique.

Annexe D - Responsabilités des personnes autorisées

Il incombe à toutes les personnes autorisées de se prévaloir de leur accès aux réseaux électroniques de l'état uniquement pour les affaires de l'état et pour les fins autorisées par l'administrateur général, comme les activités professionnelles, le perfectionnement et les utilisations personnelles. Dans ce contexte, les personnes autorisées sont tenues de se servir de leur accès aux réseaux électroniques de façon judicieuse et digne de la confiance qu'on leur accorde. Elles doivent respecter la loi ainsi que les politiques et lignes directrices de l'état, telles qu'exprimées par le Conseil du Trésor et l'institution qui les emploie. Voici des exemples des responsabilités des personnes autorisées à cet égard :

  • prendre des mesures raisonnables pour contrôler l'utilisation de leur mot de passe, de leur code d'identification ou de leurs comptes informatiques, notamment assumer la responsabilité des poursuites ou des frais découlant d'une utilisation non autorisée des réseaux électroniques;
  • se conformer aux instructions de leur institution destinées à assurer la sécurité des réseaux informatiques et de l'information qu'ils contiennent;
  • se tenir au courant des questions relatives à la sécurité de la technologie ainsi qu'à la protection des renseignements personnels, en se servant des caractéristiques de sécurité de la technologie de l'information établies par l'institution et en prenant des précautions pour éviter de transférer des virus informatiques dans les réseaux;
  • rédiger leurs communications de façon professionnelle, pour éviter que leur utilisation des réseaux électroniques ne fasse mal paraître leur institution ou le gouvernement du Canada (cela implique qu'elles évitent d'employer des termes grossiers ou abusifs dans leurs communications professionnelles);
  • prendre des mesures raisonnables pour s'assurer que leurs communications sur les politiques, programmes et services sont correctes, claires et compatibles avec les politiques de l'institution sur ses porte-parole ainsi qu'avec les procédures à suivre pour faire des déclarations publiques au nom de l'institution; et
  • en cas de doute concernant l'utilisation prévue des réseaux électroniques, demander à la personne désignée par l'institution de leur préciser si l'utilisation envisagée est illégale ou inacceptable, au sens de la présente politique ou de la politique de l'institution elle-même.

Annexe E - Lignes directrices sur le contrôle des réseaux électroniques

Politique institutionnelle

Les politiques et procédures institutionnelles d'utilisation des réseaux électroniques devraient clairement préciser les conditions d'exploitation et de gestion, lesquelles :

  • reflètent la présente politique;
  • émettent les indications nécessaires à la haute direction, aux gestionnaires de programme, aux fonctionnaires et aux autres personnes autorisées; et
  • font état d'instructions détaillées sur le contrôle des réseaux électroniques.

Attentes quant à la protection des renseignements personnels

La Politique sur la sécurité précise que la Charte canadienne des droits et libertés garantit aux fonctionnaires autorisés le droit d'avoir des attentes raisonnables quant à la protection des renseignements personnels et ce droit s'étend au lieu de travail. Ils sont également protégés par la Loi sur la protection des renseignements personnels. Contrairement au secteur privé, l'administration fédérale est assujettie à la Charte canadienne des droits et libertés, de sorte que sa capacité de soumettre les personnes autorisées et leurs effets à des perquisitions est plus limitée que celle du secteur privé. Qui plus est, la Charte protège les renseignements personnels concernant les personnes, et non les biens; il s'ensuit que les personnes autorisées ont des attentes quant à la protection des renseignements personnels qui les concernent, même s'ils travaillent avec des biens de l'état. C'est d'autant plus vrai si leur institution les autorise à se servir de la propriété de l'état à des fins personnelles.

Les gestionnaires de l'administration fédérale doivent respecter ces droits et concevoir leurs politiques de contrôle de façon à concilier raisonnablement les attentes des personnes autorisées quant à la protection des renseignements personnels qui les concernent et le devoir de l'état de protéger les renseignements délicats qu'il détient ainsi que les biens de l'état (notamment les ordinateurs et les réseaux électroniques), de même que de s'assurer qu'il s'acquitte de ses activités avec efficience, en respectant la loi.

Les institutions gouvernementales peuvent contrôler l'utilisation des biens et de l'information de l'état dans la mesure où les personnes n'ont pas d'attentes raisonnables quant à la protection des renseignements personnels en ce qui concerne les activités contrôlées. Par exemple, les personnes autorisées peuvent avoir des attentes raisonnables quant à la protection des renseignements personnels si leur employeur leur a indiqué que ni les communications par courrier électronique ni les documents personnels ne feront l'objet de mesures de contrôle. Si l'employeur décide d'appliquer des mesures de contrôle du courrier électronique et de documents électroniques, ces personnes doivent être mises au fait des nouvelles mesures de contrôle avant qu'elles ne soient appliquées. Ce faisant, les personnes seront informées de ce dont elles sont en droit de s'attendre quant à la protection des renseignements personnels.

Pour faire en sorte que les pratiques de contrôle de l'administration gouvernementale respectent la Charte canadienne des droits et libertés, les institutions gouvernementales doivent définir leurs pratiques de contrôle afin que les personnes autorisées puissent prendre des décisions éclairées quant à la question de savoir si elles ont une attente raisonnable en matière de protection des renseignements personnels et, par conséquent, sur l'endroit où conserver les renseignements personnels qui les concernent. Afin que les déclarations de l'état sur ses pratiques de contrôle influent bel et bien sur les attentes raisonnables des personnes autorisées quant à la protection des renseignements personnels qui les concernent, les institutions devraient donc prendre soin de définir correctement leurs pratiques de contrôle et de communiquer efficacement cette information aux personnes autorisées.

Lorsqu'une institution entend contrôler et analyser l'utilisation des réseaux électroniques, elle devrait aider les personnes autorisées à comprendre le degré de protection des renseignements personnels dont elles peuvent s'attendre, en leur fournissant l'information suivante.

  • L'institution va enregistrer l'identité des utilisateurs et des ordinateurs dont ils se servent pour toutes les opérations d'échange de données électroniques, ce qui comprend les visites à des sites du WWW, où les écrans de sécurité, les portes d'accès ou les systèmes de l'institution enregistrent l'identité de l'ordinateur et du site visité (il est possible, à partir de là, d'identifier le fonctionnaire autorisé qui a utilisé l'ordinateur). En outre, le site Web visité enregistre souvent des renseignements analogues. De plus, lorsqu'un utilisateur d'un réseau gouvernemental échange du courrier électronique avec un interlocuteur à l'extérieur des écrans de sécurité, des portes d'accès ou des systèmes de l'institution, ceux-ci enregistrent les adresses électroniques de l'expéditeur et du destinataire. Qui plus est, le courrier électronique lui-même est stocké sur les serveurs de fichiers de l'état, même après que l'expéditeur ou le destinataire a " effacé " le courrier. Enfin, une fois qu'un courrier est envoyé au-delà des écrans de sécurité, des portes d'accès ou des systèmes du gouvernement, il peut être intercepté ou modifié, à moins d'être chiffré.
  • Le public et les personnes autorisées peuvent avoir accès aux dossiers électroniques de particuliers en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels, sous réserve des exceptions applicables prévues par ces lois. Or, ces dossiers comprennent le courrier électronique que les personnes autorisées ont envoyé ou reçu et qui est stocké dans les ordinateurs de l'état, ainsi que des enregistrements indiquant les sites Web visités à l'aide des ordinateurs des personnes autorisées (ils sont conservés dans un journal de l'institution).
  • Les institutions contrôlent les réseaux électroniques de diverses façons. Par exemple, elles peuvent analyser les statistiques liées à l'utilisation globale des réseaux électroniques de telle manière qu'il leur est impossible d'analyser leur utilisation par une personne donnée. Toutefois, quand une institution constate une difficulté de fonctionnement du réseau, elle prend des mesures pour en déterminer la cause. à cette fin, elle peut devoir analyser l'utilisation individuelle des réseaux. Cela n'implique pas nécessairement la lecture des fichiers de données ou du courrier électronique des personnes intéressées, mais peut-être l'inspection de la taille et des types de fichiers soupçonnés d'être la cause de la difficulté - et leur examen -, afin d'examiner s'ils sont contaminés par un virus. Une fois que les gestionnaires ont cerné la source du problème, ils prennent les mesures de suivi qui s'imposent, par exemple parler à la personne intéressée ou à son supérieur ou aux responsables de la sécurité de la technologie de l'information, selon la nature du problème.
  • Les responsables de l'informatique sont autorisés à perfectionner les applications et à vérifier les configurations des disques rigides sur les unités de disque des ordinateurs installés dans les bureaux des personnes autorisées. Néanmoins, et conformément à la Politique gouvernementale de sécurité, ils ne sont pas autorisés à lire le courrier électronique ou les autres fichiers de données des intéressés, à moins d'avoir besoin de savoir ce qu'ils contiennent pour s'acquitter de leurs tâches.
  • Si, à la suite de mesures de contrôle ou d'une plainte, on soupçonne des activités inacceptables mais non criminelles, ou si l'institution a décidé de ne pas poursuivre une affaire au criminel, elle devrait renvoyer l'affaire au dirigeant compétent de l'institution pour qu'une enquête plus poussée soit menée.

Pour vérifier si les documents protégés le sont convenablement, ou pour assurer le respect de la présente politique, les fonctionnaires expressément autorisés peuvent lire les lignes des sujets du courrier électronique, les noms des fichiers figurant dans les serveurs de fichiers des réseaux et les listes des sites WWW que les fonctionnaires et d'autres personnes autorisées ont visités. Pour les mêmes raisons, ils peuvent aussi faire des recherches par mots clés pour déterminer quels documents protégés ne l'ont pas été convenablement et pour lire des documents qu'ils soupçonnent d'être des documents protégés laissés sans protection. Dans tous ces cas, ils doivent se servir d'une méthode objective pour faire la sélection au hasard des fonctionnaires dont ils contrôleront le courrier électronique, les visites Web et les fichiers de données des réseaux.

  • Les institutions qui recueillent des renseignements personnels sur les visiteurs de leurs sites du WWW devraient afficher un avertissement sur ces sites précisant le genre de renseignements qu'elles recueillent et à quelles fins elles le font, en informant ces visiteurs qu'elles ont le droit d'avoir accès aux renseignements en question en vertu de la Loi sur la protection des renseignements personnels.

Pour communiquer les renseignements en question de façon efficace, les institutions peuvent avoir recours à diverses méthodes. Elles peuvent faire apparaître régulièrement des messages sur l'écran d'ordinateur de chaque particulier, exiger l'enregistrement en direct des privilèges d'utilisation des ordinateurs, procéder à des autorisations de sécurité et à la présélection, faire signer des déclarations écrites par lesquelles les personnes autorisées confirment qu'elles comprennent leurs obligations et savent qu'on peut soumettre leur accès à un contrôle, ainsi que placer les versions électroniques de leur politique de contrôle sur leur intranet ou à d'autres endroits où les personnes autorisées peuvent prendre connaissance des politiques en général. En outre, les institutions pourraient fournir une version papier de la politique à toutes les personnes autorisées, inclure cette information dans toutes les séances de formation en informatique et l'intégrer dans les documents d'orientation et de formation destinés aux employés.

Les institutions gouvernementales peuvent entreprendre le contrôle des réseaux électroniques en dehors des pratiques de contrôle régulières du rendement des réseaux électroniques même quand les personnes autorisées ont des attentes raisonnables quant à la protection des renseignements personnels, tant et aussi longtemps que le contrôle s'effectue de façon raisonnable. C'est-à-dire qu'il doit : a) être autorisé par la loi; b) s'exercer de façon raisonnable par l'autorité légale; c) donner lieu à une perquisition menée de façon raisonnable. Lorsque les institutions ne sont pas sûres qu'un fait, une situation ou une pratique de contrôle donnés sont incompatibles avec les attentes raisonnables quant à la protection des renseignements personnels ou si elles appliquent de façon raisonnable les pratiques de contrôle, elles devraient consulter leurs services juridiques. Lorsqu'elles soupçonnent des activités criminelles, elles auront alors besoin d'une autorisation judiciaire pour intervenir, et c'est pourquoi elles doivent communiquer avec les organismes policiers quand l'objet du contrôle passe d'une surveillance administrative à une enquête sur des comportements criminels.

En plus de devoir se conformer aux exigences de la Charte canadienne des droits et libertés, les institutions gouvernementales doivent faire en sorte que leurs pratiques de contrôle respectent la Loi sur les Archives nationales du Canada, la Loi sur la protection des renseignements personnels et la Loi sur l'accès à l'information. Cela suppose qu'elles décrivent dans InfoSource le genre de documents créés par les registres automatisés et les pistes de vérification et qu'elles précisent comment elles comptent se servir des renseignements recueillis grâce à leurs activités de contrôle.

Advenant que les institutions décident d'entreprendre le contrôle des réseaux électroniques, elles sont priées de consulter de façon informelle le Commissariat à la protection de la vie privée, par le biais de leur Coordonnateur pour la protection des renseignements privés, pour revue et commentaires.

En outre, les institutions doivent conserver les renseignements personnels qu'elles recueillent pour des fins administratives pendant deux ans à compter de la date de leur dernière utilisation à cette fin, à moins que la personne concernée ne consente à leur élimination avant cette date; c'est la Loi sur la protection des renseignements personnels qui l'exige. Cette exigence distincte s'ajoute à celle de la Loi sur les Archives nationales du Canada, qui dispose que les documents ne doivent pas être détruits sans le consentement de l'archiviste national. Il peut y avoir utilisation administrative des renseignements lorsqu'une institution s'en sert pour prendre une décision qui influe sur la personne concernée. Quand l'institution ne se sert pas de journaux automatiques et de pistes de vérification pour prendre des décisions sur des personnes identifiables, la Loi sur la protection des renseignements personnels ne l'oblige pas à conserver de tels documents; elle peut les considérer comme éphémères pour les fins de la Loi sur les Archives nationales du Canada.

Date de modification :