Accueil
Nous joindre
Plan du site
Québec.ca
FAQ
English
Recherche avancée
Lois et règlements codifiés
Lois codifiées
Règlements codifiés
Lois et règlements annuels
Lois annuelles
Règlements annuels
Information complémentaire
L’Éditeur officiel du Québec
Quoi de neuf?
Note d’information
Politique du ministre de la Justice
Lois : Modifications
Lois : Dispositions non en vigueur
Lois : Entrées en vigueur
Lois annuelles : Versions PDF depuis 1996
Règlements : Modifications
Règlements annuels : Versions PDF depuis 1996
Décisions des tribunaux
G-1.03, r. 1
- Règlement sur les modalités et conditions d’application des articles 12.2 à 12.4 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement
Table des matières
Loi habilitante
1
Alphanumérique
Titre
G-1.03
Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement
Occurrences
0
Texte complet
À jour au 27 mai 2024
Ce document a valeur officielle.
chapitre
G-1.03, r. 1
Règlement sur les modalités et conditions d’application des articles 12.2 à 12.4 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement
GOUVERNANCE ET GESTION — ARTICLES 12.2 À 12.4
Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement
(chapitre G-1.03, a. 22.1.1)
.
G-1.03
29
06
juin
2022
28
07
juillet
2022
SECTION
I
DISPOSITIONS INTRODUCTIVES
1296-2022, sec. I
D. 1296-2022, sec. I
.
1
.
Dans le présent règlement, on entend par:
1
°
«
événement de sécurité
»
: toute forme d’atteinte, présente ou appréhendée, telle une cyberattaque ou une menace à la confidentialité, à l’intégrité ou à la disponibilité d’une information ou d’une ressource informationnelle sous la responsabilité d’un organisme public;
2
°
«
intervenant en cybersécurité
»
: le chef gouvernemental de la sécurité de l’information, le chef délégué de la sécurité de l’information ou un membre du personnel d’un organisme public affecté à des fonctions dans le domaine de la cybersécurité;
3
°
«
Loi
»
: la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (
chapitre G-1.03
);
4
°
«
ministre
»
: le ministre de la Cybersécurité et du Numérique;
5
°
«
unité administrative spécialisée en sécurité de l’information
»
: le Centre gouvernemental de cyberdéfense visé à l’article 12.5 de la Loi ou un centre opérationnel de cyberdéfense visé à l’article 9 de la Directive gouvernementale sur la sécurité de l’information (D. 1514-2021, 2021-12-18).
1296-2022
D. 1296-2022
,
a.
1
.
2
.
Le présent règlement s’applique aux organismes publics visés à l’article 2 de la Loi.
1296-2022
D. 1296-2022
,
a.
2
.
SECTION
II
OBLIGATIONS EN SÉCURITÉ DE L’INFORMATION
1296-2022, sec. II
D. 1296-2022, sec. II
.
3
.
Un organisme public doit gérer efficacement la sécurité des ressources informationnelles et de l’information qu’il détient, notamment en mettant en place des mesures de cybersécurité, y compris des mécanismes de cyberdéfense, pour assurer la prise en charge diligente des événements de sécurité.
Un organisme public doit également respecter les bonnes pratiques en matière de sécurité de l’information afin de réduire les risques d’atteinte à un niveau acceptable.
1296-2022
D. 1296-2022
,
a.
3
.
4
.
Une équipe proactive en cyberdéfense doit être constituée et maintenue au sein d’une unité administrative spécialisée en sécurité de l’information. Une telle équipe est chargée de mettre à l’épreuve les mesures de cybersécurité applicables, y compris les mécanismes de cyberdéfense, et de voir au traitement des événements de sécurité liés à la cybersécurité.
1296-2022
D. 1296-2022
,
a.
4
.
5
.
Le Centre gouvernemental de cyberdéfense visé à l’article 12.5 de la Loi peut offrir ses services à une autre unité administrative spécialisée en sécurité de l’information ou à un organisme public pour réaliser des activités de cybersécurité, par exemple, des tests d’intrusion.
1296-2022
D. 1296-2022
,
a.
5
.
6
.
Un organisme public doit, lors de chaque événement de sécurité, évaluer le risque lié à un tel événement en considérant notamment la sensibilité de la ressource informationnelle ou de l’information concernée, les conséquences appréhendées de son utilisation et la probabilité qu’elle soit utilisée notamment à des fins préjudiciables.
1296-2022
D. 1296-2022
,
a.
6
.
SECTION
III
COMMUNICATIONS ENTRE INTERVENANTS EN CYBERSÉCURITÉ
1296-2022, sec. III
D. 1296-2022, sec. III
.
7
.
Les communications prévues au troisième alinéa de l’article 12.2 et à l’article 12.3 de la Loi doivent être effectuées par tout moyen qui offre une protection adéquate. Elles peuvent être effectuées à l’aide de systèmes automatisés prenant la forme, par exemple, de bulletins ou d’alertes.
Lorsqu’un événement de sécurité est lié à la cybersécurité, les activités permettant les communications visées au premier alinéa sont menées par les intervenants en cybersécurité dans le cadre de leurs responsabilités respectives.
Pour un tel événement, les communications visées au premier alinéa doivent se fonder sur l’obligation de prendre des mesures de cybersécurité afin de se conformer aux bonnes pratiques généralement reconnues par les référentiels internationaux, comme les normes ISO ou le référentiel du National Institute of Standards and Technology (NIST).
1296-2022
D. 1296-2022
,
a.
7
.
8
.
Les renseignements faisant l’objet des communications visées à l’article 7 peuvent comprendre un renseignement personnel.
Lorsqu’un renseignement personnel peut être communiqué sous une forme ne permettant pas d’identifier directement la personne concernée, il doit être communiqué sous cette forme.
Lorsqu’il existe des motifs de croire qu’il y a urgence d’agir en matière de cybersécurité ou qu’il existe un danger que soit causé un préjudice irréparable à une ressource informationnelle ou à une information sous la responsabilité d’un organisme public, le deuxième alinéa ne s’applique pas. En ce cas, les organismes publics se communiquent le renseignement personnel concerné par l’intermédiaire de leurs intervenants en cybersécurité, en appliquant des mesures propres à assurer la confidentialité d’un tel renseignement.
Il y a urgence lorsqu’il s’agit de corriger les impacts d’un événement de sécurité ou encore d’en réduire les risques en raison notamment de la gravité des conséquences appréhendées. Un logiciel malveillant, l’hameçonnage ou une fuite d’informations peut, par exemple, être une cause de l’urgence.
1296-2022
D. 1296-2022
,
a.
8
.
9
.
Les communications visées à la présente section sont au bénéfice de l’organisme public responsable d’assurer la sécurité de ses ressources informationnelles et de l’information qu’il détient ou au bénéfice de la personne concernée par le renseignement personnel faisant l’objet d’une atteinte ou d’un risque d’atteinte.
1296-2022
D. 1296-2022
,
a.
9
.
SECTION
IV
COMMUNICATIONS À L’EXTÉRIEUR DU QUÉBEC
1296-2022, sec. IV
D. 1296-2022, sec. IV
.
10
.
Une entente visée à l’article 12.4 de la Loi, concernant la communication de renseignements à l’extérieur du Québec, doit remplir les conditions suivantes:
1
°
identifier les représentants autorisés pour mener les communications entre les parties;
2
°
limiter l’accès aux renseignements qu’aux représentants autorisés, lorsque ces renseignements sont nécessaires à l’exercice de leurs fonctions;
3
°
inclure des mesures de protection et de sécurité propres à assurer la protection des renseignements qui seront communiqués;
4
°
prévoir des obligations liées à la conservation ou à la destruction de ces renseignements;
5
°
prévoir que le ministre soit avisé sans délai de toute violation ou tentative de violation par toute personne de l’une ou l’autre des obligations prévues à l’entente et de tout événement susceptible de porter atteinte au caractère confidentiel de ces renseignements.
1296-2022
D. 1296-2022
,
a.
10
.
SECTION
V
DISPOSITIONS TRANSITOIRE ET FINALE
1296-2022, sec. V
D. 1296-2022, sec. V
.
11
.
Toute entente visée à l'article 12.4 de la Loi, conclue avec toute personne ou tout organisme au Canada ou à l'étranger avant le 28 juillet 2022 et approuvée par un décret pris en vertu du premier alinéa de l'article 3.8 de la Loi sur le ministère du Conseil exécutif (
chapitre M-30
), est réputée remplir les conditions énoncées à l'article 10.
1296-2022
D. 1296-2022
,
a.
11
.
12
.
(Omis).
1296-2022
D. 1296-2022
,
a.
12
.
RÉFÉRENCES
D. 1296-2022, 2022 G.O. 2, 4327
Copier
Sélectionner cet élément
Sélectionner l'élément parent
Désélectionner tous les éléments
Copier vers Rédaction
Copier vers LAW
Copier vers le presse-papier
×
Pour copier : Ctrl+C
0
Nous joindre
Plan du site
Québec.ca
Accessibilité
Politique de confidentialité
© Gouvernement du Québec
Sélections
×
Afficher
Les sélections du document courant
Toutes les sélections de la collection
Fragments sélectionnés
Supprimer toutes les sélections
Afficher les sélections
Cyberlex
×
Version 2.2.0.3