Politiques et pratiques du gouvernement du Québec en matière de droits d'auteur sur les programmes d'ordinateur et les banques de données

10 août 1992

INTRODUCTION ET HISTORIQUE

À l'automne 1980, le gouvernement du Québec adoptait un énoncé de politique sur le droit d'auteur dans lequel il prenait l'engagement, entre autres, de respecter la Loi sur le droit d'auteur et de s'assurer que ses réseaux en feraient autant. De plus, le Québec encourageait la protection des programmes d'ordinateur, banques de données et compilations dans le cadre de la législation canadienne du droit d'auteur.

En avril 1988, le gouvernement du Québec adoptait les principes directeurs devant guider l'acquisition et la gestion des droits d'auteur par l'administration publique ainsi que l'utilisation de matériel protégé appartenant à des tiers par cette même administration publique. Le Québec s'engageait à ne pas acquérir plus de droits que ceux nécessaires à la poursuite de ses fins et à dissuader toute acquisition globale et universelle des droits d'auteur sur le matériel commandé ou acheté.

D'ici les prochains mois, ce même gouvernement mettra en place des normes devant régir l'acquisition et la gestion de droits par l'État et toute utilisation par quelque ministère ou organisme public de matériel protégé.

Aussi, dès 1984, le gouvernement incitait le réseau de l'éducation à convenir d'ententes avec les titulaires de droits relativement à la reproduction et à l'utilisation, notamment, des programmes d'ordinateur. Les ministères de l'Éducation et de l'Enseignement supérieur et de la Science investissent chaque année des millions de dollars soit dans la conception et la production de matériel informatique destiné à l'éducation, soit dans l'obtention de licences d'utilisation de programmes d'ordinateur par les établissements d'enseignement. De même, les ministères québécois des Communications et de l'Industrie, du Commerce et de la Technologie octroient de l'aide aux entreprises oeuvrant dans les technologies de l'information afin de développer de nouveaux produits et d'en assurer la diffusion.

Dans ce contexte, afin de ne pas annihiler les investissements de l'État, il va de soi que soit garanti le respect du droit d'auteur par le personnel de la fonction publique.

Enfin, pour compléter cette introduction, soulignons que l'une des recommandations de la politique culturelle du gouvernement du Québec, déposée en juin 1992, à savoir la conclusion d'ententes entre l'administration publique et les titulaires de droits quant à l'utilisation de leurs oeuvres :

<<Compte tenu de l'importance que le gouvernement veut accorder à l'AMÉLIORATION DES CONDITIONS DE VIE PROFESSIONNELLE DES CRÉATEURS ET DES ARTISTES, il s'engage à :

· Signer des protocoles d'entente qui lieront les ministères et les organismes mandataires du gouvernement, d'une part, et les organismes représentant les créateurs, d'autre part, afin d'assurer le versement de compensations pour l'utilisation des oeuvres des créateurs et des artistes.>>

Dans la présente communication, nous voudrions exposer sommairement les politiques globales, pratiques ou directives adoptées au chapitre de la conception et de la commercialisation des banques d'information gouvernementale et du respect des droits d'auteur sur les programmes d'ordinateur par les ministères des Affaires culturelles ou des Communications. Ces normes s'étendront à l'ensemble de l'administration publique à la suite de l'adoption des normes gouvernementales d'acquisition et de gestion de droits d'auteur. De plus, l'accès à l'information gouvernementale présuppose que celle-ci est exacte et fait l'objet de diverses mesures de sécurité, d'où l'importance du projet de directive préparé par le Québec relativement à la sécurité de l'information et des technologies de l'information. Nous en ferons également la présentation et en préciserons les balises.

NORMES GOUVERNEMENTALES D'ACQUISITION ET DE GESTION DE

DROITS D'AUTEUR

Dans l'introduction, nous avons fait référence à un projet de normes devant être adopté par le gouvernement du Québec en matière d'acquisition, d'utilisation et de gestion de droits d'auteur. Nous élaborerons davantage sur ce document car il encadre les politiques et directives dont se sont dotés divers ministères jusqu'à ce jour relativement au respect des droits d'auteur sur les programmes d'ordinateur et les banques de données.

Déjà, en avril 1988, le Conseil des ministres du gouvernement du Québec avait édicté différentes balises à la gestion et à l'acquisition de droits d'auteur par l'administration publique. À titre d'exemple, le gouvernement, pour toute exploitation d'une oeuvre qui ne relève pas de ses fins habituelles, doit acquérir les droits ou se faire autoriser les utilisations nécessaires de manière spécifique et expresse; les droits ainsi acquis doivent faire l'objet de clauses contractuelles étayées précisant, notamment, la nature, la destination et la durée d'une telle acquisition; le gouvernement doit respecter l'intégrité des oeuvres des créateurs et négocier avec ces derniers ou se faire autoriser toute modification, le cas échéant, à ces oeuvres; des normes doivent être adoptées en matière d'acquisition, d'utilisation et de gestion de droits d'auteur par les ministères et organismes publics.

Ces principes devaient être intégrés dans les activités quotidiennes des ministères et organismes publics et couvrir l'ensemble des interventions de l'administration publique, qu'il s'agisse d'un contrat de services professionnels, d'un concours, d'une commande, etc.

Quant aux normes qui devaient être préparées, elles l'ont été et elles visent toute acquisition en matière de droits d'auteur, que ce soit lors de l'utilisation d'une oeuvre dont le droit appartient à une tierce personne ou lors de l'acquisition d'une oeuvre, notamment par contrat de services. Les normes s'appliquent au gouvernement, à ses ministères et aux organismes publics désignés par le gouvernement et ce, selon l'article 14, paragraphe 10, de la Loi sur le ministère des Communications. Elles feront partie des règles incontournables dans l'attribution de contrats de services professionnels par le gouvernement du Québec, le Conseil du trésor en assurant la surveillance et requérant des ministères et organismes des rapports de mise à exécution desdites normes.

Parmi les principales règles, lesquelles visent l'ensemble des oeuvres couvertes par la Loi sur le droit d'auteur, y incluant les programmes d'ordinateur, énumérons celles-ci :

Toute acquisition par cession de droit d'auteur ou toute acquisition de licence de droit d'auteur doit être constatée dans un écrit.

L'écrit doit identifier l'oeuvre ou l'ensemble des oeuvres et le nom de l'auteur et mentionner toute cession, partielle ou totale, de droit d'auteur ou tout octroi de licence de droit d'auteur, les fins, la durée ou le mode de détermination de la durée et l'étendue territoriale pour lesquels la cession est accordée ou la licence octroyée, la considération ou contrepartie monétaire en échange de la cession ou de la licence, les garanties accordées, le caractère exclusif ou non, transférable ou non, de la licence.

Des règles strictes visent les modes d'acquisition de droits d'auteur. Ainsi, toute acquisition doit se faire en priorité par l'obtention d'une cession partielle ou d'une licence; l'acquisition par cession totale constitue un mode exceptionnel d'acquisition.

En ce qui concerne les droits moraux, c'est-à-dire le droit au respect de son nom par l'auteur et le droit au respect de l'intégrité de l'oeuvre, les normes contiennent des dispositions particulières.

À titre d'illustration, toute modification d'une oeuvre doit préalablement être autorisée par écrit par l'auteur de cette oeuvre. Toute utilisation d'une oeuvre à des fins de promotion d'un produit, d'une cause, d'un service ou d'une institution doit également être pré-autorisée par écrit par l'auteur de l'oeuvre. Le nom de ce dernier, ou son pseudonyme, doit apparaître dans et sur tout exemplaire d'une oeuvre divulguée par le gouvernement. Toutefois, cette obligation ne s'applique pas aux documents d'orientation ou de politique gouvernementale, aux rapports de commissions d'enquête, aux mémoires, aux directives, aux normes et, compte tenu des usages raisonnables, à toute autre oeuvre. Enfin, au chapitre des droits moraux, le gouvernement s'engage à ne pas exiger d'un auteur qu'il renonce à ses droits moraux.

Ajoutons finalement qu'une disposition particulière vise le versement de redevances à un auteur dont l'oeuvre commercialisée a généré des revenus, à l'exception de l'oeuvre réalisée par un employé de l'administration publique, dans le cadre et au cours de ses fonctions.

Voilà donc les grandes orientations qui doivent entourer l'ensemble des activités gouvernementales en matière de droits d'auteur. Celles-ci seront incorporées dans un guide de gestion destiné aux gestionnaires de l'administration. Un projet de directive globale sur le respect du droit d'auteur est en préparation. En voici quelques éléments :

<<Le respect de la Loi sur le droit d'auteur est autant une responsabilité individuelle qu'une responsabilité de l'organisme.

L'organisme et ses employés reconnaissent l'importance du respect du droit d'auteur et s'engagent à respecter la Loi sur le droit d'auteur ainsi que les modalités d'utilisation des oeuvres protégées contenues dans les ententes avec les titulaires de droits.

L'organisme et ses unités administratives doivent mettre en place pour chaque secteur les mécanismes de gestion assurant le respect du droit d'auteur.

L'organisme met à la disposition de son personnel les oeuvres protégées nécessaires au bon fonctionnement de ses opérations en conformité avec le respect du droit d'auteur.

L'organisme met à la disposition de son personnel les informations utiles et nécessaires pour qu'il puisse se conformer à la présente <<directive ou politique administrative>>.

Le premier dirigeant de l'organisme (président, ministre, directeur général) est la personne autorisée par cession ou par licence de droit d'auteur pour permettre l'utilisation d'oeuvres protégées, même si les acquisitions sont effectuées par les unités administratives.

Les unités administratives doivent prévoir dans les contrats qu'ils concluent avec des fournisseurs de biens (location d'équipements) et de services (contractuels) des garanties à l'effet que ces derniers se conforment aux dispositions de la Loi sur le droit d'auteur.

Seuls des exemplaires dûment autorisés d'oeuvres protégées ou les copies prévues par la loi ou par le droit d'utilisation sont utilisés par l'organisme et son personnel.

Toute acquisition par cession de droit d'auteur ou toute acquisition de licence de droit d'auteur doit être constatée dans un écrit signé par le titulaire du droit d'auteur ou par son agent dûment autorisé.

Toute acquisition en matière de droit d'auteur se fait en priorité par l'obtention d'une cession partielle de droit d'auteur ou d'une licence de droit d'auteur.

L'acquisition par cession totale du droit d'auteur constitue un mode exceptionnel d'acquisition.>>

RESPECT DES DROITS D'AUTEUR SUR LES PROGRAMMES D'ORDINATEUR

Nul n'ignore l'ampleur de la reproduction non autorisée de programmes d'ordinateur, laquelle se produit à tous les échelons de la société et par n'importe quel individu. Même l'administration publique québécoise n'est pas sans reproche.

En effet, dans son rapport de 1991, le Vérificateur général du Québec faisait état des conclusions de ses travaux d'enquête dans divers ministères et organismes publics quant aux titres de propriété de ces ministères et organismes sur les logiciels qu'ils utilisaient ou qui étaient installés dans les micro-ordinateurs. Les conclusions du Vérificateur général sont assez effarantes, eu égard aux seuls ministères et organismes qui ont fait l'objet d'un certain contrôle.

Ces conclusions ont amené divers ministères, dont ceux des Affaires culturelles et des Communications à élaborer des politiques administratives et directives afin d'assurer le respect du droit d'auteur sur les programmes d'ordinateur utilisés par le personnel de l'administration publique. Une telle intervention, entre autres, du ministère québécois des Communications se justifiait car ce dernier avait contribué au financement d'une campagne visant le respect du droit d'auteur.

Pour ceux qui ignorent de quoi il s'agit, CADAPSO et le Conseil de l'industrie électronique du Québec (CIEQ) avaient entrepris une vaste campagne de sensibilisation auprès des éditeurs et producteurs de logiciels et des utilisateurs de telles oeuvres pour que cesse la piraterie des logiciels. La campagne intitulée <<Un logiciel... ça s'achète>> a connu un vif succès car, en plus des objectifs d'information et d'éducation, elle proposait certaines règles déontologiques devant assujettir les éditeurs de logiciels face à leurs clients et à leurs concurrents et également les utilisateurs desdits logiciels, lesquels pouvaient adhérer à une convention à cet effet. De plus, ces règles déontologiques touchaient certains rapports professionnels entre des contractants ou employés et leurs partenaires ou employeurs.

Une politique administrative type d'un ministère relativement aux programmes d'ordinateur comporte des objectifs, des normes et, ce qui est beaucoup plus important pour le respect de ces normes et l'atteinte des objectifs, des modalités d'application et d'exécution par le personnel de l'administration publique.

Ainsi, au chapitre des principes généraux, y sont mentionnés les suivants;:

1. La reconnaissance de l'importance du respect du droit d'auteur sur les logiciels et des modalités d'utilisation de ces logiciels, selon les ententes conclues avec les fournisseurs;
2. Chaque ministère doit établir un cadre de gestion du respect du droit d'auteur en matière de logiciels et chaque direction générale doit établir les mécanismes de gestion du respect du droit d'auteur;
3. Chaque ministère met à la disposition de son personnel des logiciels en conformité avec le droit d'auteur;
4. Chaque ministère demeure le seul titulaire des droits d'utilisation des logiciels, même si ceux-ci sont acquis par l'ensemble des unités administratives;
5. Chaque unité administrative s'assure que les fournisseurs de biens ou de services se conforment à la présente politique administrative lorsqu'ils concluent un contrat de services avec un ministère;
6. Enfin, et ce sont peut-être les objectifs les plus importants, toute copie illégale de logiciel doit être détruite et seuls des logiciels ou des copies prévues par la loi sont installés, peu importe si les équipements sont acquis ou loués par un ministère ou s'ils appartiennent à des employés ou des contractuels.

1. Chaque ministère acquiert et installe des exemplaires de logiciels en remplacement de copies non autorisées;
2. Les logiciels acquis ainsi que leurs droits d'utilisation sont consignés dans un registre centralisé;
3. Le nombre autorisé d'utilisateurs simultanés d'un logiciel est contrôlé par le responsable de l'application de la politique administrative dans chaque direction générale; une vérification annuelle de la conformité des logiciels utilisés est effectuée.

Ainsi, le directeur général doit s'assurer que tous ses employés respectent intégralement la politique administrative et il doit élaborer, mettre en place et diffuser auprès de ses employés les mécanismes de gestion sur l'utilisation des logiciels pour le respect du droit d'auteur... Chaque unité administrative doit informer et sensibiliser ses employés sur le respect du droit d'auteur en matière de logiciels, respecter intégralement la politique administrative et s'assurer du respect intégral de celle-ci dans les contrats de services ou les commandes de biens conclus avec les fournisseurs; cette unité doit aussi conserver les disquettes originales, les preuves d'acquisition et les droits d'utilisation du logiciel, de son annihilation ou du droit d'auteur correspondant.

Quant aux employés, ils doivent respecter intégralement la politique administrative en utilisant et en installant seulement des logiciels conformes au droit d'auteur. Des pouvoirs de surveillance sont assurés par la Direction des ressources informatiques et par celle de la vérification interne.

Ainsi, la Direction des ressources informatiques assure un rôle de coordonnateur dans l'application de la politique, conseille les directions générales, élabore des mécanismes de gestion, conçoit et maintient le registre centralisé, dont il a été fait mention précédemment, et maintient à jour la liste des responsables d'application de la politique. Quant à la Direction de la vérification interne, elle vérifie la conformité des logiciels utilisés et prépare un état annuel de la situation sur l'application de la politique administrative.

CONCEPTION, PRODUCTION ET COMMERCIALISATION DES BANQUES

D'INFORMATION GOUVERNEMENTALE

À l'intention des responsables des technologies de l'information des ministères et organismes publics, le gouvernement du Québec commandait une étude au professeur Victor Nabhan sur les droits d'auteur inhérents à la conception, la production et la diffusion de banques de données, notamment celles incluant de l'information gouvernementale. En outre de cet outil d'information accompagné de clauses contractuelles fort précises, le ministre québécois des Communications créait en 1990 un comité de travail afin de lui proposer une politique sur la commercialisation des banques d'information gouvernementale. Le comité a remis son rapport en février 1991, lequel a été entériné par le gouvernement du Québec qui a fait sienne la proposition de politique de commercialisation des banques de données des organismes publics. Nous en présenterons sommairement les grandes recommandations. Le groupe de travail proposait que diverses mesures législatives soient adoptées pour renforcer la protection qu'accorde le droit d'auteur aux documents produits par les organismes publics, ainsi qu'une politique de commercialisation des banques. Le grand principe mis de l'avant est l'affirmation du droit d'auteur par les organismes publics : <<toute diffusion des banques de données des organismes publics doit établir clairement les droits d'auteur de ces organismes sur les documents qu'ils produisent...>>. Le groupe de travail sur la commercialisation des banques de données des organismes publics recommandait, notamment, au ministre des Communications que soient adoptées des mesures législatives pour <<renforcer la protection qu'accorde le droit d'auteur aux documents produits par les organismes publics>>, ainsi qu'une <<Politique de commercialisation des banques de données des organismes publics...>>, à laquelle seraient assujettis les organismes publics visés par la Loi sur l'accès.

Quant à la politique de commercialisation soumise et approuvée par le gouvernement du Québec, elle stipule qu'une banque de données produite par un organisme public ou pour son compte est une oeuvre protégée par le droit d'auteur, que sa diffusion commerciale ou gratuite s'exerce sous réserve des droits relatifs à la propriété intellectuelle, que l'organisme qui ne détient pas de tels droits doit négocier une licence d'utilisation ou un contrat de cession et que l'organisme est responsable de la qualité et de l'intégrité de la banque qu'il diffuse.

D'autres dispositions du projet de politique de commercialisation visent plus particulièrement la commercialisation, en tant que telle, et ses modalités.

Ainsi l'organisme public est responsable du maintien de l'accès à la banque qu'il choisit de diffuser et il peut conclure une entente de diffusion gratuite avec une entreprise privée ou un organisme public dont le mandat est le renseignement aux citoyens. En cas d'une diffusion commerciale d'une banque de données, celle-ci doit, entre autres, répondre à certains critères dont une tarification de récupération des coûts de création et de collecte des données, une tarification de recouvrement des coûts d'adaptation et de commercialisation, un mode de diffusion assurant la sécurité des systèmes et des applications gouvernementales, une diffusion fondée sur le principe de la non-exclusivité.

Toute diffusion commerciale qui serait effectuée par une tierce personne au nom d'un organisme public doit faire l'objet d'une entente de diffusion commerciale qui doit comprendre divers points dont le prix de la concession originale, la tarification détaillée des diverses utilisations concédées, l'établissement de redevances, les conditions de paiement du prix de la concession originale et des redevances, les conditions de réutilisation, les mécanismes de contrôle de la qualité de l'information, l'obligation d'indication de la source des données par tout distributeur, etc.

Pour pouvoir assurer la mise en oeuvre de la commercialisation des banques d'information gouvernementale, il est proposé que le ministère des Communications maintienne un inventaire des banques présentant un potentiel commercial, qu'il offre aux organismes publics des services spécialisés de divers ordres relativement à la commercialisation des banques, qu'il propose une stratégie de diffusion et de distribution et, enfin, que soit garanti le développement d'une expertise québécoise dans le domaine des communications et que soit favorisée l'implantation de technologies reliées au secteur des communications en vue de susciter des retombées positives sur les plans culturel, social et économique.

La directive mentionnée précédemment sur le respect du droit d'auteur suggère diverses lignes directrices visant à conseiller les organismes lors de la production et la diffusion d'une banque de données. En voici quelques-unes;:

<<L'insertion d'oeuvres dans une banque de données relève du droit de reproduction au sens de la Loi sur le droit d'auteur.

L'utilisation d'oeuvres intégrales ou de parties importantes d'oeuvres protégées requiert l'autorisation préalable par écrit du droit.

La traduction d'oeuvres protégées nécessite aussi l'autorisation préalable par écrit du titulaire du droit.

La confection de résumés bona fide ainsi que d'abrégés est libre.

Les oeuvres insérées dans une banque de données doivent être accompagnées d'une mention du nom de leurs auteurs.

L'autorisation de reproduire une oeuvre dans une banque de données n'emporte par l'autorisation de la modifier de manière préjudiciable à l'honneur ou à la réputation de l'auteur.

La compilation est protégée en tant que telle, en raison du travail de sélection, d'ordonnancement ou d'assemblage des données et ceci, indépendamment et isolément du statut des éléments qui la composent. L'organisme titulaire du droit d'auteur sur une banque de données ne peut ni se voir refuser un droit d'auteur sur la compilation, sous prétexte qu'elle est constituée de matière non protégée par le droit d'auteur, ni prétendre utiliser lui-même, sans autorisation, les matériaux la composant qui font l'objet d'un droit d'auteur appartenant à autrui.

Lorsque l'organisme fait confectionner la banque de données par contrat ou commande, il doit se faire attribuer par voie contractuelle les droits d'auteur nécessaires à l'exploitation future qu'il envisage. Même s'il est titulaire des droits d'auteur sur la banque de données, l'organisme doit respecter le <<droit de signature>> de ses employés ou, inversement, leur droit à l'anonymat.

L'organisme titulaire du droit d'auteur sur une banque de données ne saurait altérer ou modifier la banque de manière préjudiciable à l'honneur ou à la réputation du ou des auteurs.

Afin de se ménager un maximum de souplesse en vue de modifications futures à la banque de données, l'organisme devrait obtenir le consentement à cette fin des auteurs concernés.

L'organisme doit obtenir les autorisations contractuelles nécessaires qui lui permettent d'utiliser lui-même et conformément à ses besoins, la banque de données constituée.

Au cas où la banque de donnée est destinée à une diffusion auprès du public, l'organisme doit aussi obtenir les autorisations qui lui permettent d'en assurer l'utilisation par des tiers.

Dans ses relations avec les tiers utilisateurs de la banque de données, il appartient à l'organisme de délimiter, par voie contractuelle et de façon précise, les utilisations qu'il entend permettre aux tiers sur sa banque.

SÉCURITÉ DE L'INFORMATION ET DES TECHNOLOGIES DE L'INFORMATION

Le Conseil du trésor a récemment soumis à la consultation des organismes publics un projet de directive en vue de renforcer la sécurité de l'information gouvernementale. Ce projet deviendra directive au cours des prochains mois et amènera les organismes publics à adopter - ou pour plusieurs à améliorer - des mesures de sécurité de l'information et des technologies de l'information.

L'information étant plus accessible et, de ce fait, plus vulnérable, et étant susceptible d'altération ou de manipulation, il importe d'assurer une sécurité adéquate de cette information par l'adoption de principes et de règles de conduite, des pratiques et des mesures de prévention tant des actifs informationnels des organismes que des voies d'accès à ces actifs; il est également impératif de garantir le bon fonctionnement de ces mêmes actifs, de définir les obligations du personnel des organismes, ainsi que de prévoir l'élimination ou l'aliénation des banques d'information.

Les objectifs du projet de directive sont notamment énumérés à l'article 5 :
<<

• la création, la modification ou le maintien d'une banque d'information électronique doit être réalisée exclusivement par les personnes habilitées par le détenteur;
• la conservation, l'aliénation ou l'élimination d'une banque d'information électronique doit se faire selon les règles prévues à la Loi sur les archives (L.R.Q., c. A-21.1);
• en cas d'altération ou de destruction non désirée d'une banque d'information électronique, celle-ci doit être remise dans un état jugé acceptable par le détenteur;
• la création, l'acquisition, la modification ou le maintien d'un système d'information ou d'une technologie de l'information doit se faire selon les exigences du détenteur, et l'utilisation des fonctions doit être réservée aux personnes habilitées par le détenteur;
• les technologies de l'information et les installations doivent être protégées contre les sinistres, le vol, l'altération, la destruction de même que contre toute utilisation ou modification non autorisée par le détenteur.

Parmi les définitions essentielles, notons celles-ci :

<<actif informationnel>> : une banque d'information électronique, un système d'information, une technologie de l'information ou une installation, ou un ensemble de ces éléments, acquis ou constitué par un ministère ou un organisme;

<<détenteur>> : le gestionnaire désigné comme responsable d'un actif informationnel nécessaire à l'administration de ses activités;

<<fournisseur>> : une corporation, une société, une coopérative ou une personne physique faisant affaires et en mesure de contracter avec le gouvernement, une unité administrative d'un ministère ou d'un organisme ou tout fonds spécial qui fournit des services ou des biens à un détenteur, à un utilisateur ou à un autre fournisseur;

<<technologie de l'information>> : tout logiciel, tout matériel électronique ou toute combinaison de ces éléments utilisés pour recueillir, emmagasiner, traiter, communiquer, protéger ou détruire de l'information sous toute forme textuelle, symbolique, sonore et visuelle;

<<utilisateur>> : une corporation, une société, une coopérative ou une personne physique à l'extérieur du gouvernement ou toute unité administrative d'un ministère ou d'un organisme qui fait usage d'une banque d'information électronique, d'un système d'information ou d'une technologie de l'information.

Le projet de directive prévoit l'implantation d'un plan gouvernemental de sécurité de même que la mise en oeuvre de mesures de sécurité dans chaque organisme public. Ce dernier mettra au point un plan opérationnel de sécurité, le réalisera et en évaluera le fonctionnement :

<<La gestion de la sécurité doit être assumée dès les études et analyses pouvant conduire à l'acquisition ou à la constitution d'un actif informationnel, pendant toute la durée de son utilisation et de sa conservation et jusqu'à son aliénation ou son élimination inclusivement...

La planification du domaine de l'information et des technologies de l'information de chaque ministère et organisme doit couvrir le volet sécurité.

Un plan opérationnel relatif à la sécurité doit être mis au point. Ce plan indique, entre autres, les projets de développement, d'amélioration ou d'application des mesures de sécurité et les activités courantes à réaliser par chaque intervenant, les résultats anticipés et les ressources allouées...

Les nouvelles mesures de sécurité ou les améliorations aux mesures existantes, prévues au plan opérationnel, doivent être élaborées, développées, acceptées et implantées. L'implantation doit être accompagnée d'une documentation, d'une formation et d'une sensibilisation appropriées.

Afin d'assurer cette mise en oeuvre, des mécanismes de suivi de gestion et de contrôle doivent être mis en place, tant à l'égard de l'élaboration et de l'implantation des mesures que de leur application systématique et continue...

L'évaluation et la vérification interne prévues pour les activités de programmes gouvernementaux doivent inclure le volet de la sécurité de façon à établir, entre autres :

• le degré de conformité de la sécurité et de sa gestion aux dispositions de la présente directive;
• l'efficacité, l'efficience et l'économie des mesures de sécurité mises en place, en regard des objectifs fixés;
• l'existence de mécanismes appropriés pour exercer les fonctions de gestion de la sécurité (planification, mise en oeuvre, contrôle, évaluation, organisation).>>

Ainsi, le détenteur doit, entre autres, voir à la mise en place et à l'application des mesures de sécurité et habiliter les fournisseurs et les utilisateurs. Les fournisseurs doivent :

• protéger les actifs informationnels dont on leur a confié la garde, d'après les exigences du détenteur ou de l'utilisateur selon le cas;
• pour les actifs informationnels dont ils sont les détenteurs, assumer toutes les responsabilités qui y sont associées;
• voir à ce que tous les fournisseurs à qui ils font appel se conforment aux exigences de sécurité que commande la situation.

• collaborer avec le détenteur à la planification de la sécurité, notamment en identifiant les risques encourus;
• participer à l'élaboration, la mise en place et l'application des mesures de sécurité le concernant;
• voir à ce que leurs fournisseurs se conforment aux exigences de sécurité formulées par le détenteur.

Enfin, la directive fera l'objet d'un bilan de sa mise en oeuvre dans les deux premières années de son implantation et d'une évaluation au plus tard cinq ans après son adoption.

CONCLUSION

Par ses politiques, normes et projets de directive en matière de technologies de l'information, le gouvernement du Québec désire assurer un plus grand accès à l'information gouvernementale, accès sécuritaire à une information fiable, et le respect des droits des créateurs et créatrices. Il se veut également avant-gardiste et exemplaire autant à l'échelle canadienne qu'internationale. Fier de partager l'expertise acquise, le Québec est aussi à l'écoute des améliorations qui peuvent être apportées à ses orientations et politiques.