Cartes d'identité / Insignes d'accès - Guide de sécurité matérielle Publication de l'organisme-conseil G1-006

La page est créée Patrice Collin
 
CONTINUER À LIRE
Guide de sécurité matérielle
Publication de l’organisme-conseil              G1-006

      Cartes d'identité /
      Insignes d'accès

                      Sous-direction de la sécurité technique
                                      Opérations techniques
                            Gendarmerie royale du Canada
                                            Émis : juin 1992
                                         Révisé : juillet 2006
Publication de l’organisme-conseil                                                                  G1-006

               Les suggestions, les révisions et les commentaires relatifs au présent guide
   devraient être envoyés à l’officier responsable, Sous-direction de la sécurité technique, Opérations
     techniques, Gendarmerie royale du Canada, 1426, boul. St. Joseph, Ottawa, Ontario K1A 0R2

                                              Remerciements

 La GRC désire remercier les ministères/organismes suivants pour leur soutien et leur aide technique lors
        de la préparation du présent guide : Service correctionnel du Canada, Transports Canada,
 Service canadien du renseignement de sécurité, Société canadienne des postes, Centre de la sécurité des
               télécommunications, Travaux publics et Services gouvernementaux Canada
                                     et Ressources naturelles Canada

               © Gouvernement du Canada, Gendarmerie royale du Canada (GRC), 2006
                    1200, promenade Vanier, Ottawa (Ontario) Canada K1A 0R2

La présente publication peut être reproduite intégralement sans frais à des fins éducatives et personnelles
 seulement. Toutefois, l’autorisation écrite de la GRC est requise pour utiliser ce document sous forme
                           révisée ou d’extraits, ou à des fins commerciales.

GRC Sous-direction de la sécurité technique                                                     juillet 2006
Publication de l’organisme-conseil                                                                                                   G1-006

                                               TABLE DES MATIÈRES

1    Introduction .......................................................................................................................... 1

2    Portée et application ............................................................................................................ 1

3    Définitions ............................................................................................................................. 2

4    Procédures de contrôle d’accès ......................................................................................... 3

5    Types de carte ...................................................................................................................... 3

    5.1    Cartes d’identité ............................................................................................................... 3
    5.2    Insignes d’accès (électroniques et non mécaniques) ...................................................... 4
    5.3    Combinaison de carte d’identité et d’insigne d’accès ...................................................... 6

6    Caractéristiques de sécurité ............................................................................................... 7

7    Gestion du système ............................................................................................................. 7

    7.1    Manipulation..................................................................................................................... 7
    7.2    Récupération des cartes perdues .................................................................................... 8
    7.3    Sensibilisation de l’employé ............................................................................................. 8

ANNEXE A – MEILLEURES PRATIQUES .................................................................................. 1

ANNEXE B – TABLEAU DES EXIGENCES LIÉES AUX CARTES Error! Bookmark not defined.

ANNEXE C – PROCÉDURES DE VÉRIFICATION RECOMMANDÉES...................................... 1

ANNEXE D – SPÉCIFICATIONS TECHNIQUES DE LAMINATION ........................................... 1

GRC Sous-direction de la sécurité technique                            i                                                         juillet 2006
Publication de l’organisme-conseil                                                                      G1-006

1 Introduction
La Politique du gouvernement sur la sécurité (PGS) présente les exigences relatives à la protection du
personnel, de l’actif, des renseignements et des opérations du gouvernement. Les menaces proférées à
l’endroit du Canada et des pays étrangers, y compris la violence faite aux employés, l’accès non autorisé,
le vol, la fraude, le vandalisme et d’autres actes malveillants, pourraient être atténuées ou complètement
enrayées si les personnes ayant des intentions malveillantes ne réussissent pas à accéder aux sites du
gouvernement. De même, il est essentiel pour les opérations du gouvernement que son personnel ainsi que
les autres personnes autorisées soient en mesure de signaler leur statut dans le cadre d’un processus
d’identification qui inspire la confiance autant du secteur public que privé.

Les activités criminelles transnationales, les activités relatives au renseignement étranger et le terrorisme
continuent à évoluer en raison des changements de la situation internationale. Par conséquent, les
gouvernements et les organisations du monde entier s’orientent de plus en plus vers des solutions de
contrôle d’accès beaucoup plus rigides afin de réduire les menaces toujours plus grandissantes. Le présent
guide de sécurité s’ajoute aux autres documents d’organismes principaux, tels que le Guide de la GRC
G1-024 – Contrôle de l'accès et les normes de la PGS, notamment la Norme opérationnelle sur la sécurité
matérielle, et devrait être lu en se référent à ces documents. Conformément aux articles 10.1, 10.8 et 10.11
de la PGS et à la Norme opérationnelle de sécurité – niveaux de préparation des installations du
gouvernement fédéral, le présent guide de sécurité matérielle fournit des renseignements et des conseils
visant à répondre aux exigences de base en matière de sécurité matérielle en ce qui concerne les cartes
d’identité et les insignes d’accès.

Bien que les exigences de base soient élaborées pour répondre à différents types de scénario, certains
ministères et organismes peuvent être confrontés à diverses menaces selon la nature de leurs activités, leur
emplacement ou l’attirance qu’exerce leur actif. Parmi les exemples, on compte les locaux de police ou
les établissements militaires, les services de santé, les laboratoires, les installations de recherche de nature
délicate, les musées, les comptoirs de services, les bureaux dans les zones à forte criminalité et les
établissements à l’étranger. Ces entités peuvent nécessiter l’adoption de mesures de sécurité plus
rigoureuses, axées sur les résultats de l’évaluation de la menace et des risques (EMR).

2 Portée et application
Tous les employés du gouvernement doivent obtenir une carte d’identité qui présente au moins le nom du
ministère ou de l’organisme pour lequel l’employé travaille, le nom et la photo de l’employé, un numéro
de carte unique et une date d’expiration. De plus, l’insigne d’accès présente l’état d’autorisation de
l’employé, du visiteur, de l’agent contractuel, du personnel de service et ainsi de suite qui a un besoin
évident du ministère ou de l’organisme, ou une « appartenance » à celui-ci, et qui montre clairement son
statut d’employé ou de non employé. Le présent guide fournit des directives qui permettent de répondre à
ces exigences minimales et il présente également des critères techniques, des suggestions, des exemples,
des meilleures pratiques et d’autres mesures de nature pertinente.

Le présent guide donne un aperçu des exigences de base concernant les systèmes de cartes d’identité et
d’insignes d’accès (manuels et assistés par ordinateur ou automatisés). Il présente également les
préoccupations en matière de sécurité qui doivent être abordées sur le plan de l’élaboration, de la
sélection, de la mise en œuvre et de l’administration de tous les systèmes de cartes d’identités ou

GRC Sous-direction de la sécurité technique            1                                            juillet 2006
Publication de l’organisme-conseil                                                                            G1-006

d’insigne d’accès. De plus, on y définit les directives minimales1 sur les systèmes de cartes et d’insignes
pour les ministères ou les organismes qui souhaitent se doter d’un tel système de contrôle d’accès.

Le présent document offre également des renseignements qui contribuent à ce que les ministères et les
organismes fassent appliquer la Norme opérationnelle de sécurité - niveaux de préparation des
installations du gouvernement fédéral du Secrétariat du Conseil du Trésor (SCT) lorsqu’elle porte sur les
exigences liées aux procédures de contrôle d’accès et aux cartes d’identité.

3 Définitions
Carte d’identité (Identification card) - un document fourni par un ministère ou une organisation pour en
identifier le détenteur. Elle ne doit pas être confondue avec l’insigne d’accès, car ils n’ont pas la même
finalité ni le même aspect physique.

Employé (Employee) - une personne employée par un ministère ou une organisation du gouvernement en
question dans le cadre d’un emploi pour une durée indéterminée, une période déterminée, d’un
détachement ou d’un emploi occasionnel.

Insigne d’accès (Access badge) - un document fourni par un ministère ou une organisation qui permet de
reconnaître visuellement la zone ou l'installation ou le complexe auquel le détenteur est autorisé à avoir
     2
accès . Il ne doit pas être confondu avec la carte d’identité, car ils n’ont pas la même finalité ni le même
aspect physique.

Membre affilié (Affiliation) - des ministères et des organisations peuvent émettre des cartes d’identité ou
des insignes d’accès afin de définir l’affiliation d’autres groupes de personnes de l’organisation. Par
exemple, des étudiants, des bénévoles ou des membres du personnel d’un cabinet ministériel.

Travailleur contractuel (Individual under contract) - un travailleur externe (c’est-à-dire qui n’est pas un
employé), y compris les agents contractuels, les personnes de métier, les experts-conseils et les employés
d’organismes, qui peut avoir fait l’objet d’une vérification ou non selon la durée du travail à accomplir et
l’accès requis.

Visiteur (Visitor) - une personne qui ne travaille pas pour le ministère ou l’organisation du
gouvernement, occupant l’établissement ou le complexe hôte, et qui a une raison légitime d’être sur les
lieux et qui doit faire l’objet d’une vérification par le système de contrôle d’accès en vigueur.

1 Les évaluations de la menace et des risques (EMR) des ministères et des organismes peuvent nécessiter des
procédures plus rigoureuses.
2 L’accès aux biens classifiés ou protégés est fondé sur le principe du « besoin de connaître », en plus de devoir
posséder le niveau d’autorisation de sécurité approprié.

GRC Sous-direction de la sécurité technique               2                                                juillet 2006
Publication de l’organisme-conseil                                                                   G1-006

4 Procédures de contrôle d’accès
L’efficacité du contrôle d’accès est meilleure lorsque les employés se distinguent facilement des autres
personnes sur les lieux. Afin d’y arriver, une procédure doit être mise en place en vue de permettre une
vérification rapide et efficace pour que les membres affiliés, les employés, les travailleurs contractuels et
les visiteurs soient examinés au moyen du contrôle d’accès. Ce processus se fait habituellement selon une
des méthodes suivantes :

        reconnaissance personnelle (pour les plus petites installations);
        cartes d’identité et insignes d’accès;
        procédures administratives;
        escortes;
        équipements techniques.

Bien que la méthode de contrôle d’accès en fonction de la reconnaissance personnelle soit une stratégie
acceptée dans certaines circonstances, il faut faire preuve de prudence lorsqu’elle est la seule méthode sur
laquelle on se fie. De plus, cette méthode de contrôle d’accès n’empêche pas le devoir du ministère ou de
l’organisation d’émettre des cartes d’identité aux employés. Pour obtenir de plus amples renseignements
sur le contrôle d’accès, veuillez consulter le Guide en matière de sécurité, G1-024 Contrôle de l'accès de
la GRC.

5 Types de carte
Dans le présent document, on examine les types de carte suivants :

        cartes d’identité;
        insignes d’accès (électroniques ou non mécaniques);
        combinaison de carte d’identité et d’insigne d’accès.

5.1   Cartes d’identité
5.1.1 Généralités
La méthode généralement utilisée pour identifier le personnel comme des employés ou des représentants
d’un ministère ou d’une organisation est appliquée au moyen de cartes d’identité. Les employés doivent
toujours garder leur carte sur eux. Les cartes d’identité doivent seulement être remises aux personnes
ayant satisfait aux exigences de vérification de la Politique du gouvernement sur la sécurité (PGS) du
Secrétariat du Conseil du Trésor. Cette procédure doit être terminée avant que les personnes exercent les
fonctions liées à leur travail. Une seule carte d’identité par employé doit être remise à un moment donné,
à moins qu’une recommandation n’ait été faite dans le cadre de l’EMR.

Le ministère ou l’organisation qui doit émettre une carte d’identité à une personne qui ne correspond pas
exactement à la définition habituelle d’un employé (c.-à-d. un étudient, un bénévole ou un travailleur
contractuel) peut, s’il le souhaite, utiliser un champ « affiliation ». Ce champ détermine le classement de
l’employé et assure sa vérifiabilité dans le cadre d’un examen visuel. Une bordure pleine ou à motif peut
être utilisée autour de la photo en vue de déterminer l’affiliation. La bordure ne doit pas cacher la photo.

5.1.2 Caractéristiques physiques
Au minimum, la carte d’identité doit comprendre le nom ainsi qu’une photographie couleur ou une image
numérique du détenteur, le nom de l’organisation ou du ministère émetteur, la date d’expiration (cinq ans
après la date d’émission) et un numéro propre à la carte. Un ministère ou une organisation qui souhaite

GRC Sous-direction de la sécurité technique           3                                           juillet 2006
Publication de l’organisme-conseil                                                                     G1-006

ajouter des renseignements doit s’assurer que chaque élément est valable en vertu de la législation sur les
droits de la personne et de la Loi sur la protection des renseignements personnels, c’est-à-dire que l’ajout
de ces renseignements, tels que la grandeur, le poids, la couleur des cheveux et la date de naissance,
répond à un besoin réel. Il est interdit d’inscrire le numéro d’assurance sociale d’une personne sur une
carte d’identité.

La photographie du détenteur devrait être un portrait de trois-quarts de la tête et du haut des épaules
(consultez l’annexe A – Meilleures pratiques). Le détenteur devrait être photographié de nouveau tous les
cinq ans au moins. Lorsque son apparence a changé, p. ex. la barde, la moustache, la couleur des cheveux
ou le poids), la photographie et les renseignements doivent être mis à jour immédiatement ou à la
discrétion de l’autorité du ministère ou de l’organisation.

Tous les renseignements présentés sur les pièces ou les cartes doivent être imprimés sans effacement ni
correction. Consultez l’annexe D – Tableau des exigences liées aux cartes, pour obtenir un résumé des
exigences en vigueur.

5.2   Insignes d’accès (électroniques et non mécaniques)
5.2.1 Généralités
Le détenteur doit toujours porter son insigne d’accès lorsqu’il est dans l’établissement ou le complexe. Il
est parfois nécessaire de déterminer rapidement et de façon efficace si les membres affiliés, les employés,
les travailleurs contractuels ou les visiteurs possèdent l’autorisation d’accéder à l’établissement ou au
complexe ou à un secteur. Cette vérification est habituellement effectuée au moyen d’un insigne d’accès.
Un insigne d’accès indique également si les membres affiliés, les employés, les travailleurs contractuels
ou les visiteurs ont fait l’objet d’un examen adéquat au moyen des procédures de contrôle d’accès.

L’insigne d’accès d’un employé doit comprendre une photo du détenteur. L’insigne d’accès consiste en
une preuve d’autorisation seulement. Les étapes supplémentaires visant à vérifier l’identité d’une
personne, telles que de présenter une pièce d’identité ou d’autres documents de validation de
l’identification, doivent être suivies lorsque la situation le justifie (consultez l’annexe B – Procédures de
vérification recommandées).

Il peut être nécessaire de recourir à un personnel de contrôle au point d’entrée afin de s’assurer que les
personnes qui entrent dans la zone à accès réglementé portent les insignes requises. La carte peut
également être combinée avec un système de contrôle d’accès électronique qui permet l’accès au
détenteur. Consultez le Guide en sécurité matérielle G1-024 « Contrôle de l’accès » de la GRC pour
obtenir de plus amples renseignements.

Dans le cas des insignes d’accès électroniques, le système de contrôle d’accès peut assumer une partie ou
l’ensemble de la responsabilité visant à déterminer le droit d’accès d’une personne.

5.2.2 Caractéristiques physiques
L’insigne d’accès doit au moins avoir les dimensions qui correspondent à la norme de l’industrie, afin de
permettre d’y ajouter une photo ou une image numérique du détenteur beaucoup plus grande que celle
d’une carte d’identité. L’insigne doit essentiellement avoir une photographie ou une image numérique
grande et claire, ainsi qu’un code pour permettre au personnel de contrôle de pouvoir rapidement établir à
quel établissement le détenteur a accès. L’insigne d’accès doit être plus grand s’il est nécessaire de
vérifier visuellement l’insigne de loin. L’insigne d’accès électronique a les dimensions qui correspondent
à la norme de l’industrie et il faut tenir compte de ce facteur lorsqu’on établit le format de présentation
des renseignements qui apparaissent sur l’insigne. L’insigne d’accès non mécanique ne comprend aucune

GRC Sous-direction de la sécurité technique           4                                            juillet 2006
Publication de l’organisme-conseil                                                                       G1-006

technologie qu’on retrouve dans une carte d’accès électronique et il peut être de dimension supérieure
afin de faciliter la visibilité de loin.

L’insigne d’accès devrait identifier visiblement l’organisation ou le ministère émetteur à l’aide
d’écussons, d’emblèmes et d’acronymes. Lorsque l’EMR révèle des vulnérabilités exploitables, des codes
discrets, tels que des lettres ou des dessins facilement reconnaissables par le personnel autorisé, devraient
être utilisés pour différencier les insignes de ceux des autres ministères ou organisations, et les données
présentées sur l’insigne d’accès ne devrait pas être liées à une installation ou à un complexe particulier.

Des caractéristiques visibles peuvent indiquer la zone à laquelle l’employé, la personne de métier et le
visiteur a accès. Ce peut être les couleurs, la forme de l’insigne, les codes (p. ex. des chiffres, des lettres et
des bandes) ou toute combinaison de ces caractéristiques qui peut facilement faire savoir au personnel
autorisé que le détenteur a reçu l’autorisation adéquate au moyen d’un système de contrôle d’accès de
l’installation, du complexe ou du secteur. Il faut faire preuve de prudence lorsqu’on choisit cette option,
car l’identification visible d’une autorisation particulière peut constituer un risque accru pour les
renseignements et l’actif qui se trouvent dans cette zone. Pour obtenir de plus amples renseignements sur
ces zones, veuillez consulter le Guide en sécurité matérielle G1-026 « Établissement des zones de sécurité
matérielle » de la GRC.

Tous les renseignements présentés sur les insignes ou les pièces ajoutées doivent être imprimés sans
effacement ni correction.

5.2.3 Insigne d’accès pour l’employé
Cet insigne sert à établir clairement que le détenteur est un employé autorisé à accéder à l’installation, au
complexe ou à la zone, à l’aide d’un portrait de trois-quarts ou d’une image numérique de la tête et du
haut des épaules. Cette dernière devrait couvrir au moins 50 % de l’avant de l’insigne.

L’insigne d’accès pour l’employé devrait indiquer le nom de l’employé ainsi que la date d’expiration et
montrer que l’employé est autorisé à accéder à l’installation, au complexe ou à la zone. Grâce à
l’utilisation de caractéristiques, telles que les combinaisons de couleur, l’insigne d’accès pour l’employé
peut également accorder l’accès à un employé temporaire ou à un travailleur contractuel. Toute
combinaison des caractéristiques mentionnées à la section précédente peut être utilisée afin de définir
davantage l’autorisation et la reconnaissance du détenteur. L’insigne d’accès pour l’employé doit contenir
des chiffres qui sont uniques et qui doivent être renouvelés tous les cinq ans au moins. Chaque employé
doit se voir remettre un seul insigne d’accès à la fois. Si un nouvel insigne d’accès doit être émis, les
procédures en place doivent permettre de déterminer les étapes à suivre, y compris l’émission d’un
nouveau numéro unique à l’insigne.

L’insigne d’accès pour l’employé qui concerne les zones d’opérations peut être retiré de la zone, de
l’installation ou du complexe pour lequel il a été émis s’il y a une raison opérationnelle qui le justifie. Il
est possible qu’il y ait des exceptions à cette règle si l’EMR fait savoir que la menace posée par une
personne qui serait en possession d’un insigne perdu ou volé compromettrait les mécanismes de sécurité
en place. Lorsqu’un employé a l’autorisation de sortir de l’installation, du complexe et de la zone avec
son insigne, on doit lui faire part de ses responsabilités ainsi que des directives liées aux procédures de
sécurité recommandées à cet effet, c’est-à-dire de garder son insigne hors de la vue ou en sûreté dans un
contenant à sa demeure.

5.2.4 Insigne d’accès pour le travailleur contractuel
L’insigne d’accès pour le travailleur contractuel ne comporte généralement pas de photographie ni de
nom, mais elle indique clairement que le détenteur est une personne autorisée. On utilise habituellement

GRC Sous-direction de la sécurité technique             5                                             juillet 2006
Publication de l’organisme-conseil                                                                       G1-006

des caractéristiques, telles que de la couleur, des lettres ou des chiffres, pour faire savoir cette
autorisation. Lorsqu’une personne a fit l’objet avec succès d’une enquête de sécurité, mais qu’elle ne
relève pas directement du ministère ou de l’organisation, un insigne d’accès avec photo doté des couleurs
et des codes à barres appropriés à l’arrière-plan peut être émis. Chaque insigne d’accès doit comprendre
un numéro unique, propre à l’insigne.

L’autorisation d’accès est indiquée au moyen de méthodes présentées à l’annexe C – Procédures de
vérification recommandées. La politique du ministère ou de l’organisation doit établir si les personnes de
métier nécessitent d’être escortées et sous quelles conditions l’accès sera permis.

L’insigne d’accès pour le personnel de métier ne doit pas quitter l’installation ou le complexe pour lequel
il a été émis et il doit être retourné au bureau délivreur à la fin de chaque visite. On devrait garder un
registre afin d’identifier le détenteur, l’organisation qu’il représente, le but de sa visite et la personne à qui
il a rendu visite.

5.2.5 Insigne d’accès pour le visiteur
L’insigne d’accès pour le visiteur ne comporte généralement pas de photographie ni de nom, mais il
indique clairement que le détenteur est un visiteur autorisé du ministère ou de l’organisation. Un insigne
peut également être émis pour un visiteur sur lequel on précise que la personne a reçu une autorisation
temporaire d’accéder un secteur particulier. Cette autorisation est habituellement indiquée au moyen de
caractéristiques telles que de la couleur, des lettres et des chiffres sur la pièce ajoutée ou l’insigne.

L’insigne d’accès pour le visiteur doit comprendre un nombre unique à l’insigne en vue d’assurer le suivi
et l’inventaire. Lorsque l’EMR révèle l’existence de vulnérabilités exploitables, les visiteurs devraient
être accompagnés lorsqu’ils entrent et circulent dans une zone réservée d’une installation ou d’un
complexe (dans les zones de travail, de sécurité et de haute sécurité).

L’insigne d’accès quotidien ou pour le visiteur ne doit pas quitter l’installation ou le complexe pour
lequel il a été émis et doit être retourné au bureau délivreur à la fin de la visite. On doit garder un registre
afin d’identifier le détenteur de l’insigne, l’organisation qu’il représente, le but de sa visite et la personne
qui fait l’objet de la visite.

5.3    Combinaison de carte d’identité et d’insigne d’accès
Certains ministères ou organisations souhaiteront peut-être combiner les exigences de la carte d’identité à
celles de l’insigne d’accès sous la forme d’une seule preuve d’identité. La combinaison de ces exigences
est possible lorsque l’EMR et les exigences opérationnelles du ministère ou de l’organisation le
permettent, par exemple si l’EMR révèle que la menace posée par une personne en possession d’une carte
d’identité et d’un insigne d’accès perdus ou volés est négligeable. La combinaison de la carte d’identité et
de l’insigne d’accès devrait :

        satisfaire, au recto, aux exigences de la carte d’identité et de l’insigne d’accès, et être plus
        rigoureuse sur la question des exigences prioritaires parmi les deux;
        être renouvelée tous les cinq ans ou lorsque l’apparence du détenteur a changé (l’exigence des
        cinq ans est la plus rigoureuse des deux).

Veuillez consulter l’annexe B – Tableau des exigences liées aux cartes, où l’on présente un sommaire des
exigences en vigueur pour les cartes.

GRC Sous-direction de la sécurité technique             6                                             juillet 2006
Publication de l’organisme-conseil                                                                         G1-006

6 Caractéristiques de sécurité
Les sections précédentes du présent guide de sécurité portent sur les directives minimales à suivre
concernant les systèmes de cartes d’identité et d’insignes d’accès. Toutefois, une EMR peut exiger des
caractéristiques de sécurité supplémentaires, telles que celles qui suivent :

          une proportion différente de plastique et de résine dans les matériaux laminés, s’il y a lieu;
          des filigranes;
          des gravures et des clichés au laser;
          des dessins optiques qui sont difficiles à altérer ou à modifier;
          des hologrammes;
          des codes visibles seulement au moyen d’un certain éclairage.

Les caractéristiques de sécurité intégrées de doivent pas :

          causer des défauts;
          masquer les renseignements imprimés;
          nuire à l’accès aux données lisibles par machine.

7 Gestion du système
7.1     Manipulation
Chaque ministère ou organisation doit se doter de directives pour assurer la bonne manipulation des cartes
d’identité et des insignes d’accès. Ces directives devraient permettre les activités qui suivent :

      a) Vérifier, au moment de la délivrance, la concordance entre la personne à qui les papiers d’identité
         sont remis et la personne qui a fait l’objet d’une enquête sur les antécédents et s’assurer qu’elle a
         bien fait une demande de permis d’accès, ayant été approuvée par l’autorité compétente.
      b) Établir un processus de délivrance et de récupération des cartes d’identité et des insignes d’accès.
         Ce processus doit comprendre l’inscription des renseignements suivants : date d’émission,
         identité du détenteur, numéro propre à la carte ou à l’insigne et, s’il y a lieu, niveau d’habilitation
         ou de vérification de la fiabilité du détenteur, lorsqu’une mise à jour est nécessaire et la date de
         récupération de la carte ou de l’insigne.
      c) Énoncer les modalités à respecter concernant la vérification de l’authenticité d’une carte ou d’un
         insigne détenu par un membre du personnel, telles que conserver un registre de signatures dans un
         journal.
      d) Énoncer les modalités à respecter concernant le retrait justifié d’une carte ou d’un insigne.
      e) Préciser comment signaler le mauvais usage, l’endommagement, la perte ou le vol d’une carte ou
         d’un insigne.
      f) S’assurer qu’un nouveau numéro unique est émis avec la carte dans le cas de l’émission d’une
         carte ou d’un insigne de remplacement à la suite d’une perte ou d’un vol présumé.
      g) Effectuer une vérification d’une carte d’accès perdue ou volée afin de déterminer les antécédents
         relatifs à l’utilisation de la carte depuis que la perte ou le vol de la carte a été signalé.
      h) Lorsqu’on signale la perte ou le vol d’une carte, le ministère ou l’organisation doit rapidement
         prendre les mesures nécessaires en vue de désactiver la carte.
      i) Assurer le retrait d’une carte ou d’un insigne à la fin de l’emploi, d’un contrat ou lorsque son
         utilisation n’est plus requise, et s’assurer que les papiers d’identité sont utilisables jusqu’à la date
         d’expiration ou la cessation d’emploi seulement.

GRC Sous-direction de la sécurité technique             7                                            juillet 2006
Publication de l’organisme-conseil                                                                   G1-006

      j) S’assurer que l’ensemble de l’équipement nécessaire à l’émission des cartes et des insignes est
         protégé physiquement à un niveau égal à celui des données et de l’actif classifiés ou désignés
         auxquels il donne accès. De plus, des mesures supplémentaires peuvent être requises selon une
         EMR.
      k) Assurer l’établissement d’un processus qui empêchera la sortie des insignes d’accès d’une
         installation ou d’un complexe ou d’une zone de sécurité et de sécurité élevée lorsqu’une EMR
         l’exige.
      l) Établir un processus qui permet la destruction de toutes les cartes et de tous les insignes expirés
         ou endommagés.
      m) S’assurer qu’il n’est pas possible pour un seul fonctionnaire, au cours du processus, d’émettre des
         papiers d’identité à une personne.
      n) S’assurer qu’aucun justificatif d’identité n’est émis de nouveau à une personne pour une
         quelconque raison jusqu’à ce que l’identité de la personne ne soit validée et que cette personne ait
         toujours l’autorisation de posséder ces justificatifs d’identité.

7.2        Récupération des cartes perdues
La politique actuelle de la Société canadienne des postes (SCP) n’assure pas la livraison des cartes
d’identité d’un ministère ou d’une organisation qui sont déposées dans les boîtes aux lettres, même si les
cartes sont accompagnées d’une adresse. Cependant, les ministères et les organisations peuvent mettre en
place un genre de protocole d’entente (PE) avec la Société canadienne des postes afin d’assurer la
récupération de leurs cartes d’identité.

7.3        Sensibilisation de l’employé
Le ministère ou l’organisation devrait disposer d’un programme de sensibilisation à la sécurité visant à
s’assurer que tous les employés connaissent le système de cartes d’identité ou d’insignes d’accès de
l’installation ou du complexe, ainsi que leurs responsabilités face à la bonne marche d’un tel système. Ce
programme devrait porter sur la gestion du système, les différents types de cartes et d’insignes (c.-à-d.
membre affilié, travailleur contractuel, employé et visiteur), l’accès autorisé par type d’insigne, le bon
usage d’une carte ou d’un insigne, les responsabilités du détenteur, le port de la carte ainsi que la marche
à suivre lorsque les procédures ou le règlement ne sont pas respectés ou que le détenteur perd sa carte ou
son insigne.

Dans le cadre du programme, on devrait également rappeler aux employés qu’ils sont une partie
intégrante du programme de sécurité, et on devrait y présenter les étapes à suivre s’ils ont connaissance
qu’une personne ne possédant pas d’insigne d’accès se trouve dans une zone à accès réglementé.

GRC Sous-direction de la sécurité technique           8                                           juillet 2006
Publication de l’organisme-conseil                                                                     G1-006

ANNEXE A – MEILLEURES PRATIQUES

Les mesures de protection proposées ci-dessous représentent les meilleures pratiques dont les ministères
ou les organisations peuvent tirer profit afin d’augmenter l’efficacité de leur programme de sécurité.

1.      Le port de l’insigne

Tous les membres du personnel doivent afficher de façon visible leur insigne en tout temps lorsqu’ils se
trouvent dans une zone à accès réglementé.

L’insigne d’accès devrait être porté à la hauteur de poitrine, ce qui permet de facilement comparer le
visage du détenteur avec la photographie sur l’insigne. L’insigne d’accès qui est à l’envers ou qui est
porté à la taille ne permet pas de déterminer rapidement et avec efficacité si la photographie sur la carte
correspond à la personne qui porte l’insigne.

Un employé peut hésiter à confronter une personne qui semble porter un insigne d’accès même s’il n’est
pas facilement visible. Une politique selon laquelle on exige que l’insigne soit porté autour du cou
encourage les employés à participer aux procédures de contrôle d’accès. Si les préoccupations en matière
de santé et de sécurité sont liées au port de l’insigne autour du cou (c.-à-d. travailler près de l’équipement
lourd), il faudra établir des mesures de rechange.

Des cordons, des ficelles à bobine rétractable et des crochets mousqueton, entre autres, utilisés pour tenir
les insignes ne devraient pas être dotés de signes uniques reconnaissables du ministère ou de
l’organisation.

L’insigne d’accès pour l’employé aux zones de sécurité et de sécurité élevée ne doit pas être retiré de
l’installation ou du complexe pour lequel il a été émis et il peut même être réservé à la zone pour laquelle
il a été émis, si l’EMR.

2.      Exigences en matière de photographie

La photographie qui apparaît sur l’insigne devrait être la plus grande possible afin de permettre une
vérification visuelle rapide. La photographie de la personne devrait être tout en couleur, devrait présenter
le visage, la tête et le haut des épaules de la personne, et la tête devrait occuper une grande partie du cadre
de la photographie. Sur un insigne de grandeur qui correspond à la norme de l’industrie, la photographie
fait habituellement 40 % de la surface de l’insigne et les renseignements 60 %. Toutefois, une
photographie de cette grandeur ne donne pas suffisamment de temps au personnel pour comparer la
photographie au détenteur avant que celui-ci ne soit passé ou avant de lui parler. Il faudrait donc
préconiser l’augmentation de la dimension des photographies.

Les photographies devraient être mises à jour tous les cinq (5) ans pour les cartes d’identité, les insignes
d’accès et les insignes et cartes combinés. La résolution minimale de la photographie est de 300 points au
pouce (DPI), mais on recommande une résolution mieux définie.

Des accessoires qui couvrent la tête et qui en dissimulent une partie (c.-à-d. des casquettes de baseball,
des foulards ou des fichus carrés) ne doivent pas être portés, à moins qu’ils ne consistent en une
obligation d’ordre religieux.

GRC Sous-direction de la sécurité technique          B-1                                           juillet 2006
Publication de l’organisme-conseil                                                                     G1-006

Si l’employé porte habituellement des lunettes, il peut les porter lorsqu’il se fait photographier, mais les
lunettes de soleil ne sont pas permises, à moins que l’employé possède un certificat médical qui
l’autorisent à les porter.

Les couleurs de l’arrière-plan doivent être neutres et elle doivent créer un contraste avec le teint de la
personne afin de faciliter l’observation de la photographie.

3.      Insigne d’accès pour le visiteur et le travailleur contractuel

Une personne qui doit accéder à l’installation ou au complexe doit faire l’objet d’une vérification
d’identité par le personnel de sécurité avant qu’on lui remette un insigne d’accès. Les membres du
personnel sont tenus de signer au nom du visiteur et du travailleur contractuel et ils doivent assumer la
responsabilité liée à l’insigne d’accès.

Par opposition à l’insigne d’accès doté d’une photographie, l’insigne d’accès pour le visiteur et le
travailleur contractuel peut être utilisé par un certain nombre de personnes. Afin de s’assurer que cette
carte représente bien une personne disposant d’une cote de sécurité appropriée, il est nécessaire d’assurer
un contrôle efficace du nombre d’insignes d’accès et du lieu où se trouve chacun d’eux.

4.      Modifications apportées à la carte

Le ministère ou l’organisation peut choisir de perforer un trou dans la carte afin de permettre d’y insérer
un cordon. Le ministère ou l’organisation doit s’assurer qu’une telle modification est surveillée de près
avec la collaboration du fournisseur ou du fabricant afin d’assurer l’intégrité absolue des données
inscrites sur la carte.

On recommande aux ministères et aux organisations de s’assurer qu’une telle modification :

        ne compromet pas les exigences ni les caractéristiques liées à la durabilité
        n’annule pas la garantie du fabricant de cartes ou d’autres revendications pour un produit;
        ne modifie pas et n’entrave pas les renseignements imprimés, ainsi que la photo; et
        n’endommage pas la technologie lisible à la machine, telle qu’une antenne intégrée et n’y fait pas
        obstacle.

GRC Sous-direction de la sécurité technique          B-1                                            juillet 2006
Publication de l’organisme-conseil                                                                      G1-006

ANNEXE B – TABLEAU DES EXIGENCES LIÉES AUX CARTES
                                                                                     Carte ou
                                                             Carte combinée 1
                                                                                      insigne
                                                             (carte d’identité et
                                           Insigne                                   pour le
                                                               insigne d’accès
                           Carte        d’accès pour                                 visiteur        Carte ou
                                                              non mécanique)
    Champs de           d’identité       l’employé                                                 insigne pour
     données               pour             (non                                     Carte ou       le membre
                                                             Carte combinée 2
                        l’employé       mécanique ou                                  insigne          affilié
                                                             (carte d’identité et
                                        électronique)                                 pour le
                                                               insigne d’accès
                                                                                    travailleur
                                                                électronique)
                                                                                    contractuel
    Nom de la
                       Obligatoire        Conseillé             Obligatoire         Optionnel 4    Obligatoire
     personne
 Signature de la
                       Conseillé 1       Optionnel              Conseillé 1         Optionnel 4    Conseillé 1
     personne
Photographie en
couleur ou image       Obligatoire        Conseillé             Obligatoire         Optionnel 4    Obligatoire
    numérique
      Nom de
l’organisation ou
                       Obligatoire        Conseillé             Obligatoire         Obligatoire    Obligatoire
   du ministère
     émetteur
 Privilège du lieu
    – couleurs,          Jamais         Optionnel 5             Optionnel 5         Optionnel 5    Optionnel 5
   forme, codes
Date d’expiration     Obligatoire 2      Conseillé 2           Obligatoire 2        Obligatoire2   Obligatoire2
Numéro propre à
                       Obligatoire       Obligatoire            Obligatoire         Obligatoire    Obligatoire2
   la carte
                                         Optionnel
                                          (mois et
Date de naissance      Optionnel 3         année                Optionnel 3           Jamais         Jamais
                                        seulement) 3
Cartes et insignes
                                               Consultez la section 7
 perdus ou volés
NOTE: Tous les renseignements doivent être imprimés sans effacement ni correction.
1
  – Même si cet élément est conseillé, certains ministères ou certaines organisations peuvent choisir de ne
     pas apposer de signature sur la carte d’identité, la carte combiné ou la carte ou l’insigne pour le
     membre affilié (si elle est jugée nécessaire sur le plan opérationnel).
2
  – Cinq (5) ans à partir de la date d’émission.
3
  – S’assurer que chaque élément peut être justifié en vertu de la législation sur les droits de la personne et
de la Loi sur la protection des renseignements personnels.
4
  – Les ministères devraient adapter cette exigence en fonction de la fréquence des visites et de la durée
des contrats.
5
  – Il est recommandé de ne pas inscrire le lieu de l’établissement sur l’insigne d’accès.

GRC Sous-direction de la sécurité technique            B-1                                           juillet 2006
Publication de l’organisme-conseil                                                                     G1-006

ANNEXE C – PROCÉDURES DE VÉRIFICATION RECOMMANDÉES

Le besoin en matière de carte d’identité et d’insigne d’accès est présenté dans la Norme opérationnelle de
sécurité – niveaux de préparation des installations du gouvernement fédéral du SCT. Selon la norme, le
niveau de préparation 1 nécessite « le contrôle obligatoire aux points d’entrée de toutes les installations
fédérales, y compris à l’accueil des visiteurs ». Les cartes d’identité et les insignes d’accès ont
d’importantes répercussions sur la mise en vigueur de la norme de préparation. Pour ces motifs, la version
complète de la norme doit être examinée par le truchement de l’agent de sécurité pour le ministère.

Voici un exemple dans lequel on montre comment l’utilisation de cartes d’identité et d’insignes permet
d’assurer le respect de la norme.

Vérification visuelle de l’identité

Une personne (en l’occurrence, le personnel de sécurité comme on l’utilise ultérieurement) doit effectuer
une vérification visuelle de l’identité du détenteur et déterminer si cette personne a le droit de franchir le
point de contrôle. Voici la série d’étapes à effectuer dans le cadre du processus d’authentification visuelle.

1.      Le personnel de sécurité au point de contrôle d’accès doit déterminer si la carte est authentique et
        si elle a été modifiée d’une quelconque façon.

2.      Le personnel de sécurité doit comparer les caractéristiques du visage du détenteur avec celles de
        la photographie afin de s’assurer qu’elles correspondent l’une à l’autre.

3.      Le personnel de sécurité doit vérifier la date d’expiration de la carte afin de s’assurer que la carte
        est toujours valide.

4.      Le personnel de sécurité doit comparer les caractéristiques physiques du détenteur avec celles qui
        sont décrites sur la carte (s’il y a lieu).

5.      Le personnel de sécurité doit obtenir la signature du détenteur et la comparer avec celle qui figure
        sur la carte (s’il y a lieu).

6.      Le personnel de sécurité doit déterminer s’il accorde le droit d’accès au détenteur en examinant
        au moins un élément de données sur la carte (p. ex. le nom, l’affiliation de l’employé,
        l’identificateur d’emploi, le numéro de série de la carte de l’organisme, l’identification du
        fournisseur ou le nom de l’organisme).

GRC Sous-direction de la sécurité technique          C-1                                           juillet 2006
Publication de l’organisme-conseil                                                                     G1-006

ANNEXE D – SPÉCIFICATIONS TECHNIQUES DE LAMINATION

La carte d’identité doit être aussi grande qu’une carte de crédit, soit de 2,125 po x 3,375 po (54 mm x
86 mm), et être munie d’un recouvrement (habituellement de plastique) protecteur robuste, transparent et
laminé à chaud interdisant les falsifications et les altérations. La carte est habituellement faite de papier
bond blanc no 4, de 90 g/m2 selon la norme 9-GP-1M de l’Office des normes générales du Canada, avec
des planchettes de couleur.

L’insigne d’accès doit être muni d’un recouvrement (habituellement de pratique) protecteur robuste,
transparent et laminé à chaud interdisant les falsifications et les altérations (habituellement du papier
photographique).

Il existe diverses qualités de laminés. Cependant, selon les exigences minimales, le polyester doit être de
0,007 po (0,178 mm) et la résine de 0,003 po (0,076 mm) pour une épaisseur totale de 0,02 po (0,51 mm),
sans la carte. Les matériaux qui couvrent et protègent à peine la carte ne devraient pas être utilisés pour
les cartes d’identité et les insignes d’accès. Le laminé utilisé doit endommager le resto et le verso de la
carte si l’on tentait de l’altérer ou de l’enlever.

NOTA : L’utilisation d’une technologie de lamination pour les cartes d’identité ou les insignes d’accès
comporte certaines vulnérabilités et certains risques inhérents. Si vous utilisez ou prévoyez utiliser une
technologie de lamination, il est fortement recommandé d’effectuer une EMR.

GRC Sous-direction de la sécurité technique          D-1                                           juillet 2006
Vous pouvez aussi lire