G-1.03, r. 1 - Règlement sur les modalités et conditions d’application des articles 12.2 à 12.4 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement

Texte complet
À jour au 28 juillet 2022
Ce document a valeur officielle.
chapitre G-1.03, r. 1
Règlement sur les modalités et conditions d’application des articles 12.2 à 12.4 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement
Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement
(chapitre G-1.03, a. 22.1.1).
SECTION I
DISPOSITIONS INTRODUCTIVES
D. 1296-2022, sec. I.
1. Dans le présent règlement, on entend par:
1°  «événement de sécurité» : toute forme d’atteinte, présente ou appréhendée, telle une cyberattaque ou une menace à la confidentialité, à l’intégrité ou à la disponibilité d’une information ou d’une ressource informationnelle sous la responsabilité d’un organisme public;
2°  «intervenant en cybersécurité» : le chef gouvernemental de la sécurité de l’information, le chef délégué de la sécurité de l’information ou un membre du personnel d’un organisme public affecté à des fonctions dans le domaine de la cybersécurité;
3°  «Loi» : la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (chapitre G-1.03);
4°  «ministre» : le ministre de la Cybersécurité et du Numérique;
5°  «unité administrative spécialisée en sécurité de l’information» : le Centre gouvernemental de cyberdéfense visé à l’article 12.5 de la Loi ou un centre opérationnel de cyberdéfense visé à l’article 9 de la Directive gouvernementale sur la sécurité de l’information (D. 1514-2021, 2021-12-18).
D. 1296-2022, a. 1.
2. Le présent règlement s’applique aux organismes publics visés à l’article 2 de la Loi.
D. 1296-2022, a. 2.
SECTION II
OBLIGATIONS EN SÉCURITÉ DE L’INFORMATION
D. 1296-2022, sec. II.
3. Un organisme public doit gérer efficacement la sécurité des ressources informationnelles et de l’information qu’il détient, notamment en mettant en place des mesures de cybersécurité, y compris des mécanismes de cyberdéfense, pour assurer la prise en charge diligente des événements de sécurité.
Un organisme public doit également respecter les bonnes pratiques en matière de sécurité de l’information afin de réduire les risques d’atteinte à un niveau acceptable.
D. 1296-2022, a. 3.
4. Une équipe proactive en cyberdéfense doit être constituée et maintenue au sein d’une unité administrative spécialisée en sécurité de l’information. Une telle équipe est chargée de mettre à l’épreuve les mesures de cybersécurité applicables, y compris les mécanismes de cyberdéfense, et de voir au traitement des événements de sécurité liés à la cybersécurité.
D. 1296-2022, a. 4.
5. Le Centre gouvernemental de cyberdéfense visé à l’article 12.5 de la Loi peut offrir ses services à une autre unité administrative spécialisée en sécurité de l’information ou à un organisme public pour réaliser des activités de cybersécurité, par exemple, des tests d’intrusion.
D. 1296-2022, a. 5.
6. Un organisme public doit, lors de chaque événement de sécurité, évaluer le risque lié à un tel événement en considérant notamment la sensibilité de la ressource informationnelle ou de l’information concernée, les conséquences appréhendées de son utilisation et la probabilité qu’elle soit utilisée notamment à des fins préjudiciables.
D. 1296-2022, a. 6.
SECTION III
COMMUNICATIONS ENTRE INTERVENANTS EN CYBERSÉCURITÉ
D. 1296-2022, sec. III.
7. Les communications prévues au troisième alinéa de l’article 12.2 et à l’article 12.3 de la Loi doivent être effectuées par tout moyen qui offre une protection adéquate. Elles peuvent être effectuées à l’aide de systèmes automatisés prenant la forme, par exemple, de bulletins ou d’alertes.
Lorsqu’un événement de sécurité est lié à la cybersécurité, les activités permettant les communications visées au premier alinéa sont menées par les intervenants en cybersécurité dans le cadre de leurs responsabilités respectives.
Pour un tel événement, les communications visées au premier alinéa doivent se fonder sur l’obligation de prendre des mesures de cybersécurité afin de se conformer aux bonnes pratiques généralement reconnues par les référentiels internationaux, comme les normes ISO ou le référentiel du National Institute of Standards and Technology (NIST).
D. 1296-2022, a. 7.
8. Les renseignements faisant l’objet des communications visées à l’article 7 peuvent comprendre un renseignement personnel.
Lorsqu’un renseignement personnel peut être communiqué sous une forme ne permettant pas d’identifier directement la personne concernée, il doit être communiqué sous cette forme.
Lorsqu’il existe des motifs de croire qu’il y a urgence d’agir en matière de cybersécurité ou qu’il existe un danger que soit causé un préjudice irréparable à une ressource informationnelle ou à une information sous la responsabilité d’un organisme public, le deuxième alinéa ne s’applique pas. En ce cas, les organismes publics se communiquent le renseignement personnel concerné par l’intermédiaire de leurs intervenants en cybersécurité, en appliquant des mesures propres à assurer la confidentialité d’un tel renseignement.
Il y a urgence lorsqu’il s’agit de corriger les impacts d’un événement de sécurité ou encore d’en réduire les risques en raison notamment de la gravité des conséquences appréhendées. Un logiciel malveillant, l’hameçonnage ou une fuite d’informations peut, par exemple, être une cause de l’urgence.
D. 1296-2022, a. 8.
9. Les communications visées à la présente section sont au bénéfice de l’organisme public responsable d’assurer la sécurité de ses ressources informationnelles et de l’information qu’il détient ou au bénéfice de la personne concernée par le renseignement personnel faisant l’objet d’une atteinte ou d’un risque d’atteinte.
D. 1296-2022, a. 9.
SECTION IV
COMMUNICATIONS À L’EXTÉRIEUR DU QUÉBEC
D. 1296-2022, sec. IV.
10. Une entente visée à l’article 12.4 de la Loi, concernant la communication de renseignements à l’extérieur du Québec, doit remplir les conditions suivantes:
1°  identifier les représentants autorisés pour mener les communications entre les parties;
2°  limiter l’accès aux renseignements qu’aux représentants autorisés, lorsque ces renseignements sont nécessaires à l’exercice de leurs fonctions;
3°  inclure des mesures de protection et de sécurité propres à assurer la protection des renseignements qui seront communiqués;
4°  prévoir des obligations liées à la conservation ou à la destruction de ces renseignements;
5°  prévoir que le ministre soit avisé sans délai de toute violation ou tentative de violation par toute personne de l’une ou l’autre des obligations prévues à l’entente et de tout événement susceptible de porter atteinte au caractère confidentiel de ces renseignements.
D. 1296-2022, a. 10.
SECTION V
DISPOSITIONS TRANSITOIRE ET FINALE
D. 1296-2022, sec. V.
11. Toute entente visée à l'article 12.4 de la Loi, conclue avec toute personne ou tout organisme au Canada ou à l'étranger avant le 28 juillet 2022 et approuvée par un décret pris en vertu du premier alinéa de l'article 3.8 de la Loi sur le ministère du Conseil exécutif (chapitre M-30), est réputée remplir les conditions énoncées à l'article 10.
D. 1296-2022, a. 11.
12. (Omis).
D. 1296-2022, a. 12.
RÉFÉRENCES
D. 1296-2022, 2022 G.O. 2, 4327