ADM-16 Services infonuagiques
Directives administratives
de nature administrative
- ADM-00 Développement et révision des directives et procédures administratives
- ADM-01 Planification annuelle et financière
- ADM-02 Gestion des risques
- ADM-03 Droits de signature pour les chèques
- ADM-04 Frais de déplacement, de séjour et de représentation au Canada, aux États-Unis et à l’international
- ADM-06 Placements
- ADM-07 Carte d’identité – employé
- ADM-09 Utilisation des appareils de communication sans fil
- ADM-10 Utilisation de l’infrastructure technologique
- ADM-12 Gestion des espaces au Collège
- ADM-13 Solde impayé et recouvrement des frais d’études
- ADM-15 Règles relatives aux demandes de remboursement des dépenses de boissons alcoolisées
- ADM-16 Services infonuagiques
- ADM-17 Postvention en cas de suicide
- ADM-18 Détermination du statut d’emploi
Services infonuagiques
Code numérique : ADM-16
Responsable de la diffusion :
Chef des Technologies et de l'expérience numérique
Groupes ou secteurs ou fournisseurs de services consultés :
Bureau de la Présidence-direction générale
Vice-présidence à l’Enseignement et à la réussite scolaire
Vice-présidence des Services administratifs
Vice-présidence des Ressources humaines et culture organisationnelle
Vice-présidence du Développement des affaires et des services aux étudiants
Entrée en vigueur : 21 octobre 2020
Dernière révision : 23 janvier 2024
Fréquence de révision : Cette directive est révisée et validée annuellement
Table des matières
1. Préambule
L’offre de services infonuagiques s’est multipliée et est aujourd’hui facilement accessible sur Internet. Ces services sont de nature très variée et un.e utilisateur.rice peut souscrire à un service gratuit ou payant en quelques clics. Afin de respecter ses obligations en matière de cybersécurité et de protection des renseignements personnels et de la vie privée, le Collège doit encadrer l’utilisation de ces services. Le processus d’évaluation couvrira aussi l’intégrité des données critiques, la redondance entre les différents systèmes et les enjeux de soutien technique.
2. Objet
Cette directive porte sur les divers enjeux liés aux services infonuagiques. Elle établit certaines règles simples pour encadrer la souscription et l’utilisation des services infonuagiques.
3. Destinataires
La directive s’applique à tous les membres du personnel à temps plein et à temps partiel travaillant sur les lieux du Collège La Cité ou à domicile et qui ont accès aux infrastructures technologiques du Collège ou qui manipulent des données sous la responsabilité de celui-ci.
La directive s’applique aux partenaires, sous-traitants et autres organismes se voyant confier l’accès à des infrastructures technologiques ou à des données sous la responsabilité du Collège.
4. Définitions
Infonuagique : Utilisation de serveurs informatiques distants par l'intermédiaire d'un réseau, généralement Internet, pour stocker des données ou les exploiter.
Cloud : Terme anglais très répandu qui est synonyme d’infonuagique.
Souscription : Abonnement à un service infonuagique.
Données critiques : Renseignements personnels ou confidentiels qui sont, par exemple, de nature financière ou pouvant contenir des données sensibles sur des étudiant.e.s, des candidat.e.s, des membres du personnel à temps plein et à temps partiel du Collège et des partenaires d’affaires, comme le nom, le prénom, le numéro de matricule, la date de naissance et le numéro d’assurance sociale.
Utilisateur autorisé : Toute personne ayant obtenu l’autorisation du Collège à accéder à son infrastructure technologique et à l’utiliser. Ceci fait référence à tout.e étudiant.e inscrit.e, à temps plein ou à temps partiel, à tout membre du personnel à temps plein et à temps partiel du Collège, tout.e employé.e des services associés, tous les membres du Conseil d’administration, tous les membres des divers comités, tous les bénévoles et visiteurs à qui un.e responsable autorisé.e par le Collège a accordé un statut d'utilisateur.trice.
5. Principes Généraux
Cette directive s’applique à l’utilisation de n’importe quel service infonuagique nécessitant ou non une souscription préalable, qu’il soit payant ou gratuit de manière totale ou limitée ainsi qu’à tout type de contrats de licence confondu.
Les solutions de stockage, de partage de documents, de collaboration, de communication ou autres introduisent un certain nombre d’enjeux. Par exemple, il faut évaluer ces services dans un contexte de sécurité, d’intégrité des données critiques et de protection des renseignements personnels qui y seront déposés. Il faut aussi éviter la redondance entre les différents services et en contrôler les coûts, et finalement, des enjeux de soutien technique doivent aussi être considérés.
Toute utilisation ou souscription à un service infonuagique doit être préalablement approuvée par le Collège. En collaboration avec l’utilisateur.trice, le secteur des Technologies de l’information en fait l’évaluation dans un contexte de sécurité, d’intégrité des données et de protection des renseignements personnels. Ce principe est applicable à l’utilisation ou à la souscription à un service infonuagique incluant l’achat, l’abonnement ou l’adhésion (gratuite, payante, ou de type « freemium ») à un tel service.
Un.e utilisateur.trice qui souscrit à un service infonuagique avec un compte personnel ne doit pas utiliser ce même compte dans le cadre de ces activités pour le Collège. Par exemple, mais sans s’y limiter, un.e utilisateur.trice possédant un compte personnel pour un service infonuagique de stockage de documents ne doit pas utiliser ce compte pour stocker des documents appartenant au Collège.
L’utilisation d’un service infonuagique accordée par le Collège n’est valide que pour le contexte pour lequel elle a été approuvée. Toute modification des conditions d’octroi de l’autorisation requiert l’obtention d’un nouvel accord (voir section Modalités). Afin de connaître les services infonuagiques approuvés par le Collège, l’utilisateur.trice doit se référer au document disponible sur le portail des employé.e.s intitulé Liste des applications infonuagiques approuvées. Le document est mis à jour de façon périodique et peut être révisé sans préavis par le secteur des Technologies de l’information.
En utilisant un service infonuagique approuvé par le Collège, l’utilisateur.trice comprend que peu importe si le fournisseur de la solution infonuagique héberge les données au Canada ou dans un autre pays, par exemple aux États-Unis, le Collège est l’ultime responsable des renseignements personnels qui sont partagés avec le fournisseur et le Collège demeure responsable des modalités adoptées pour en assurer la sécurité.
Par conséquent, il est impératif que le Collège informe au préalable les individus des modalités d’une entente conclue entre le Collège et le fournisseur de services, s’il opte pour une solution infonuagique où les données ne sont pas hébergées au Canada.
En utilisant un service infonuagique approuvé par le Collège, l’utilisateur.trice comprend que le secteur des Technologies de l’information du Collège pourrait en être l’administrateur et que l’accès d’un.e utilisateur.trice à ce service pourrait être restreint ou supprimé, en tout temps, par le secteur des Technologies de l’information.
6. Modalités
Demande d’un nouveau service infonuagique
Un.e utilisateur.trice qui souhaite obtenir un accès à un service infonuagique ne se trouvant pas dans la Liste des applications infonuagiques approuvées, doit obligatoirement procéder aux étapes suivantes pour obtenir l’approbation.
- Remplir le formulaire de demande d’acquisition d’un service infonuagique.
- Évaluer les besoins avec le secteur des Technologies de l’information.
- Évaluer la plateforme proposée en tenant compte des critères suivants :
- Obligation en matière de cybersécurité et de protection des renseignements personnels
- Intégrité des données critiques, l’intégration aux systèmes existants
- Redondance entre les différents systèmes
- Enjeux de soutien technique
- Coût total annuel estimé
- Présenter les résultats de l’étude aux demandeur.euse.s et procéder à des ajustements, s’il y a lieu.
- Faire une recommandation à la direction générale.
Toute demande ne répondant pas aux critères ci-haut mentionnés doit obligatoirement être présentée au Comité tactique qui se réserve le droit d’accepter ou de refuser toute demande jugée non essentielle ou pouvant compromettre la sécurité ou les intérêts du Collège.
7. Enquête et discipline
Le Collège se réserve le droit d’enquêter sur toute allégation d’acte répréhensible ou de communiquer tout cas d’acte illicite aux autorités policières compétentes.
8. Directives, politiques ou procédures reliées
- ADM-10 Utilisation de l’infrastructure technologique
- GEN-09 Accès à l’information et à la protection de la vie privée
9. Révision de la directive
Le Collège se réserve le droit de réviser ou de modifier la présente directive, lorsque jugé nécessaire, et ce, sans préavis.