Home
Contact us
Site map
Québec.ca
FAQ
Français
Ministère de l'Emploi et de la Solidarité sociale
Advanced search
Consolidated Statutes and Regulations
Consolidated Statutes
Consolidated Regulations
Annual Statutes and Regulations
Annual Statutes
Annual Regulations
Additional information
Québec Official Publisher
What’s new?
Information note
Policy of the Minister of Justice
Laws: Amendments
Laws: Provisions not in force
Laws: Provisions brought into force
Annual Statutes: PDF versions since 1996
Regulations: Amendments
Annual Regulations: PDF versions since 1996
Court Decisions
G-1.03, r. 1
- Règlement sur les modalités et conditions d’application des articles 12.2 à 12.4 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement
Table of contents
Occurrences
0
Current Version
Full text
Updated to 29 June 2022
This document has official status.
non en vigueur
chapitre
G-1.03, r. 1
Règlement sur les modalités et conditions d’application des articles 12.2 à 12.4 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement
GOUVERNANCE ET GESTION — ARTICLES 12.2 À 12.4
Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement
(chapitre G-1.03, a. 22.1.1)
.
G-1.03
29
06
juin
2022
28
07
juillet
2022
SECTION
I
DISPOSITIONS INTRODUCTIVES
1296-2022, sec. I
D. 1296-2022, sec. I
.
1
.
Dans le présent règlement, on entend par:
1
°
«
événement de sécurité
»
: toute forme d’atteinte, présente ou appréhendée, telle une cyberattaque ou une menace à la confidentialité, à l’intégrité ou à la disponibilité d’une information ou d’une ressource informationnelle sous la responsabilité d’un organisme public;
2
°
«
intervenant en cybersécurité
»
: le chef gouvernemental de la sécurité de l’information, le chef délégué de la sécurité de l’information ou un membre du personnel d’un organisme public affecté à des fonctions dans le domaine de la cybersécurité;
3
°
«
Loi
»
: la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (
chapitre G-1.03
);
4
°
«
ministre
»
: le ministre de la Cybersécurité et du Numérique;
5
°
«
unité administrative spécialisée en sécurité de l’information
»
: le Centre gouvernemental de cyberdéfense visé à l’article 12.5 de la Loi ou un centre opérationnel de cyberdéfense visé à l’article 9 de la Directive gouvernementale sur la sécurité de l’information (D. 1514-2021, 2021-12-18).
1296-2022
D. 1296-2022
,
a.
1
.
2
.
Le présent règlement s’applique aux organismes publics visés à l’article 2 de la Loi.
1296-2022
D. 1296-2022
,
a.
2
.
SECTION
II
OBLIGATIONS EN SÉCURITÉ DE L’INFORMATION
1296-2022, sec. II
D. 1296-2022, sec. II
.
3
.
Un organisme public doit gérer efficacement la sécurité des ressources informationnelles et de l’information qu’il détient, notamment en mettant en place des mesures de cybersécurité, y compris des mécanismes de cyberdéfense, pour assurer la prise en charge diligente des événements de sécurité.
Un organisme public doit également respecter les bonnes pratiques en matière de sécurité de l’information afin de réduire les risques d’atteinte à un niveau acceptable.
1296-2022
D. 1296-2022
,
a.
3
.
4
.
Une équipe proactive en cyberdéfense doit être constituée et maintenue au sein d’une unité administrative spécialisée en sécurité de l’information. Une telle équipe est chargée de mettre à l’épreuve les mesures de cybersécurité applicables, y compris les mécanismes de cyberdéfense, et de voir au traitement des événements de sécurité liés à la cybersécurité.
1296-2022
D. 1296-2022
,
a.
4
.
5
.
Le Centre gouvernemental de cyberdéfense visé à l’article 12.5 de la Loi peut offrir ses services à une autre unité administrative spécialisée en sécurité de l’information ou à un organisme public pour réaliser des activités de cybersécurité, par exemple, des tests d’intrusion.
1296-2022
D. 1296-2022
,
a.
5
.
6
.
Un organisme public doit, lors de chaque événement de sécurité, évaluer le risque lié à un tel événement en considérant notamment la sensibilité de la ressource informationnelle ou de l’information concernée, les conséquences appréhendées de son utilisation et la probabilité qu’elle soit utilisée notamment à des fins préjudiciables.
1296-2022
D. 1296-2022
,
a.
6
.
SECTION
III
COMMUNICATIONS ENTRE INTERVENANTS EN CYBERSÉCURITÉ
1296-2022, sec. III
D. 1296-2022, sec. III
.
7
.
Les communications prévues au troisième alinéa de l’article 12.2 et à l’article 12.3 de la Loi doivent être effectuées par tout moyen qui offre une protection adéquate. Elles peuvent être effectuées à l’aide de systèmes automatisés prenant la forme, par exemple, de bulletins ou d’alertes.
Lorsqu’un événement de sécurité est lié à la cybersécurité, les activités permettant les communications visées au premier alinéa sont menées par les intervenants en cybersécurité dans le cadre de leurs responsabilités respectives.
Pour un tel événement, les communications visées au premier alinéa doivent se fonder sur l’obligation de prendre des mesures de cybersécurité afin de se conformer aux bonnes pratiques généralement reconnues par les référentiels internationaux, comme les normes ISO ou le référentiel du National Institute of Standards and Technology (NIST).
1296-2022
D. 1296-2022
,
a.
7
.
8
.
Les renseignements faisant l’objet des communications visées à l’article 7 peuvent comprendre un renseignement personnel.
Lorsqu’un renseignement personnel peut être communiqué sous une forme ne permettant pas d’identifier directement la personne concernée, il doit être communiqué sous cette forme.
Lorsqu’il existe des motifs de croire qu’il y a urgence d’agir en matière de cybersécurité ou qu’il existe un danger que soit causé un préjudice irréparable à une ressource informationnelle ou à une information sous la responsabilité d’un organisme public, le deuxième alinéa ne s’applique pas. En ce cas, les organismes publics se communiquent le renseignement personnel concerné par l’intermédiaire de leurs intervenants en cybersécurité, en appliquant des mesures propres à assurer la confidentialité d’un tel renseignement.
Il y a urgence lorsqu’il s’agit de corriger les impacts d’un événement de sécurité ou encore d’en réduire les risques en raison notamment de la gravité des conséquences appréhendées. Un logiciel malveillant, l’hameçonnage ou une fuite d’informations peut, par exemple, être une cause de l’urgence.
1296-2022
D. 1296-2022
,
a.
8
.
9
.
Les communications visées à la présente section sont au bénéfice de l’organisme public responsable d’assurer la sécurité de ses ressources informationnelles et de l’information qu’il détient ou au bénéfice de la personne concernée par le renseignement personnel faisant l’objet d’une atteinte ou d’un risque d’atteinte.
1296-2022
D. 1296-2022
,
a.
9
.
SECTION
IV
COMMUNICATIONS À L’EXTÉRIEUR DU QUÉBEC
1296-2022, sec. IV
D. 1296-2022, sec. IV
.
10
.
Une entente visée à l’article 12.4 de la Loi, concernant la communication de renseignements à l’extérieur du Québec, doit remplir les conditions suivantes:
1
°
identifier les représentants autorisés pour mener les communications entre les parties;
2
°
limiter l’accès aux renseignements qu’aux représentants autorisés, lorsque ces renseignements sont nécessaires à l’exercice de leurs fonctions;
3
°
inclure des mesures de protection et de sécurité propres à assurer la protection des renseignements qui seront communiqués;
4
°
prévoir des obligations liées à la conservation ou à la destruction de ces renseignements;
5
°
prévoir que le ministre soit avisé sans délai de toute violation ou tentative de violation par toute personne de l’une ou l’autre des obligations prévues à l’entente et de tout événement susceptible de porter atteinte au caractère confidentiel de ces renseignements.
1296-2022
D. 1296-2022
,
a.
10
.
SECTION
V
DISPOSITIONS TRANSITOIRE ET FINALE
1296-2022, sec. V
D. 1296-2022, sec. V
.
11
.
Toute entente visée à l'article 12.4 de la Loi, conclue avec toute personne ou tout organisme au Canada ou à l'étranger avant le 28 juillet 2022 et approuvée par un décret pris en vertu du premier alinéa de l'article 3.8 de la Loi sur le ministère du Conseil exécutif (
chapitre M-30
), est réputée remplir les conditions énoncées à l'article 10.
1296-2022
D. 1296-2022
,
a.
11
.
12
.
(Omis).
1296-2022
D. 1296-2022
,
a.
12
.
RÉFÉRENCES
D. 1296-2022, 2022 G.O. 2, 4327
Copy
Select this element
Select parent element
Unselect all
Copy to Drafting
Copy to LAW
Copy to Clipboard
×
To copy : Ctrl+C
0
Contact us
Site map
Québec.ca
Accessibility
Privacy policy
© Gouvernement du Québec
Selections
×
Show
Selections in current document
All selections in the collection
Selected elements
Delete all selections
Show selections
Cyberlex
×
Version 2.2.4.0