Directives administratives
de nature administrative

Services infonuagiques

Code numérique : ADM-16
Responsable de la diffusion : Chef des Technologies et de l'expérience numérique
Groupes ou secteurs ou fournisseurs de services consultés : Direction générale
Entrée en vigueur : 21 octobre 2020
Dernière révision :
Fréquence de révision : Cette directive est révisée et validée annuellement

Dans le présent document, le genre masculin est utilisé afin d'alléger le texte et se veut inclusif et utilisé autant pour désigner les femmes, les hommes et le genre neutre.

Table des matières

1. Préambule

L’offre de services infonuagiques s’est multipliée et est aujourd’hui facilement accessible sur Internet. Ces services sont de nature très variée et un utilisateur peut souscrire à un service gratuit ou payant en quelques clics. Afin de respecter ses obligations en matière de cybersécurité et de protection des renseignements personnels et de la vie privée, le Collège doit encadrer l’utilisation de ces services. Le processus d’évaluation couvrira aussi l’intégrité des données critiques, la redondance entre les différents systèmes et les enjeux de soutien technique.

2. Objet

La Cité souhaite adresser les divers enjeux liés aux services infonuagiques en établissant certaines règles simples pour encadrer la souscription et l’utilisation des services infonuagiques.

3. Destinataires

La directive s’applique à tous les membres du personnel à temps plein et à temps partiel travaillant sur les lieux du Collège La Cité ou à domicile et qui ont accès aux infrastructures technologiques du Collège ou qui manipule des données sous la responsabilité de celui-ci. 

La directive s’applique aux partenaires, sous-traitants et autres organismes se voyant confier l’accès à des infrastructures technologiques ou à des données sous la responsabilité du Collège. 

4. Définitions

Infonuagique : Utilisation de serveurs informatiques distants par l'intermédiaire d'un réseau, généralement Internet, pour stocker des données ou les exploiter. 

Cloud : Terme anglais très répandu qui est synonyme d’infonuagique. 

Souscription : Abonnement à un service infonuagique. 

Données critiques : Renseignements personnels ou confidentiels qui sont, par exemple, de nature financière ou pouvant contenir des données sensibles sur des étudiants, candidats, membres du personnel à temps plein et à temps partiel du Collège et partenaires d’affaires, comme le nom, le prénom, le numéro de matricule, la date de naissance et le numéro d’assurance sociale. 

Utilisateur autorisé : Toute personne ayant obtenu l’autorisation du Collège à accéder à son infrastructure technologique et à l’utiliser. Ceci fait référence à tout étudiant inscrit, à temps plein ou à temps partiel, à tout membre du personnel à temps plein et à temps partiel du Collège, tout employé des services associés, tous les membres du Conseil d’administration, tous les membres des divers comités, tous les bénévoles et visiteurs à qui un responsable autorisé par le Collège a accordé un statut d'utilisateur. 

5. Principes généraux

Cette directive s’applique à l’utilisation de n’importe quel service infonuagique nécessitant ou non une souscription préalable, qu’il soit payant ou gratuit de manière totale ou limitée ainsi qu’à tout type de contrats de licence confondu.

Les solutions de stockage, de partage de documents, de collaboration, de communication ou autres introduisent un certain nombre d’enjeux. Par exemple, il faut évaluer ces services dans un contexte de sécurité, d’intégrité des données critiques et de protection des renseignements personnels qui y seront déposés. Il faut aussi éviter la redondance entre les différents services et en contrôler les coûts, et finalement, des enjeux de soutien technique doivent aussi être considérés. 
 
Toute utilisation ou souscription à un service infonuagique doit être préalablement approuvée par le Collège.  En collaboration avec l’utilisateur, le secteur des Technologies de l’information en fait l’évaluation dans un contexte de sécurité, d’intégrité des données et de protection des renseignements personnels. Ce principe est applicable à l’utilisation ou à la souscription à un service infonuagique incluant l’achat, l’abonnement ou l’adhésion (gratuite, payante, ou de type « freemium ») à un tel service. 

Un utilisateur qui souscrit à un service infonuagique avec un compte personnel ne doit pas utiliser ce même compte dans le cadre de ces activités pour le Collège. Par exemple, mais sans s’y limiter, un utilisateur possédant un compte personnel pour un service infonuagique de stockage de documents ne doit pas utiliser ce compte pour stocker des documents appartenant au Collège.

L’utilisation d’un service infonuagique accordée par le Collège n’est valide que pour le contexte pour lequel elle a été approuvée. Toute modification des conditions d’octroi de l’autorisation requiert l’obtention d’un nouvel accord (voir section Modalités). Afin de connaître les services infonuagiques approuvés par le Collège, l’utilisateur doit se référer au document disponible sur le portail des employés intitulé Liste des applications infonuagiques approuvées. Le document est mis à jour de façon périodique et peut être mis à jour sans préavis par le secteur des Technologies de l’information. 

En utilisant un service infonuagique approuvé par le Collège, l’utilisateur comprend que peu importe si le fournisseur de la solution infonuagique héberge les données au Canada ou dans un autre pays, par exemple aux États-Unis, le Collège est l’ultime responsable des renseignements personnels qui sont partagés avec le fournisseur et le Collège demeure responsable des modalités adoptées pour en assurer la sécurité.

Par conséquent, il est impératif que le Collège informe au préalable les individus des modalités d’une entente conclue entre le Collège et le fournisseur de services, s’il opte pour une solution infonuagique où les données ne sont pas hébergées au Canada.

En utilisant un service infonuagique approuvé par le Collège, l’utilisateur comprend que le secteur des Technologies de l’information du Collège pourrait en être l’administrateur et que l’accès d’un utilisateur à ce service pourrait être restreint ou supprimé, en tout temps, par le secteur des Technologies de l’information. 

6. Modalités  

 Demande d’un nouveau service infonuagique 

Un utilisateur qui souhaite obtenir un accès à un service infonuagique ne se trouvant pas dans la Liste des applications infonuagiques approuvées, doit obligatoirement procéder aux étapes suivantes pour obtenir l’approbation.

  1. Remplir le formulaire de demande d’acquisition d’un service infonuagique.
  2. Le secteur des Technologies de l’information, en collaboration avec les demandeurs, évaluera les besoins.
  3. L’évaluation de la plateforme proposée se fera selon les critères suivants :
    • Obligation en matière de cybersécurité et de protection des renseignements personnels
    • Intégrité des données critiques, l’intégration aux systèmes existants
    • Redondance entre les différents systèmes
    • Enjeux de soutien technique
    • Coût total annuel estimé
  4. Révision des résultats de l’étude avec les demandeurs et ajustement, s’il y a lieu.
  5. Recommandation à la Direction générale :
    • Toute demande ne répondant pas aux critères ci-haut mentionnés doit obligatoirement être présentée au Comité tactique qui se réserve le droit d’accepter ou de refuser toute demande jugée non essentielle ou pouvant compromettre la sécurité ou les intérêts du Collège.

7. Enquête et discipline

Le Collège se réserve le droit d’enquêter sur toute allégation d’acte répréhensible ou de communiquer tout cas d’acte illicite aux autorités policières compétentes. 

8. Directives, politiques ou procédures reliées

  • ADM-10 : Utilisation de l’infrastructure technologique
  • GEN-09 : Accès à l’information et à la protection de la vie privéeLe Collège se réserve le droit de réviser ou de modifier la présente directive, lorsque jugé nécessaire et sans préavis.

9. Révision de la directive

Le Collège se réserve le droit de réviser ou de modifier la présente directive, lorsque jugé nécessaire et sans préavis.