Cartes d'identité / Insignes d'accès - Guide de sécurité matérielle Publication de l'organisme-conseil G1-006
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Guide de sécurité matérielle
Publication de l’organisme-conseil G1-006
Cartes d'identité /
Insignes d'accès
Sous-direction de la sécurité technique
Opérations techniques
Gendarmerie royale du Canada
Émis : juin 1992
Révisé : juillet 2006Publication de l’organisme-conseil G1-006
Les suggestions, les révisions et les commentaires relatifs au présent guide
devraient être envoyés à l’officier responsable, Sous-direction de la sécurité technique, Opérations
techniques, Gendarmerie royale du Canada, 1426, boul. St. Joseph, Ottawa, Ontario K1A 0R2
Remerciements
La GRC désire remercier les ministères/organismes suivants pour leur soutien et leur aide technique lors
de la préparation du présent guide : Service correctionnel du Canada, Transports Canada,
Service canadien du renseignement de sécurité, Société canadienne des postes, Centre de la sécurité des
télécommunications, Travaux publics et Services gouvernementaux Canada
et Ressources naturelles Canada
© Gouvernement du Canada, Gendarmerie royale du Canada (GRC), 2006
1200, promenade Vanier, Ottawa (Ontario) Canada K1A 0R2
La présente publication peut être reproduite intégralement sans frais à des fins éducatives et personnelles
seulement. Toutefois, l’autorisation écrite de la GRC est requise pour utiliser ce document sous forme
révisée ou d’extraits, ou à des fins commerciales.
GRC Sous-direction de la sécurité technique juillet 2006Publication de l’organisme-conseil G1-006
TABLE DES MATIÈRES
1 Introduction .......................................................................................................................... 1
2 Portée et application ............................................................................................................ 1
3 Définitions ............................................................................................................................. 2
4 Procédures de contrôle d’accès ......................................................................................... 3
5 Types de carte ...................................................................................................................... 3
5.1 Cartes d’identité ............................................................................................................... 3
5.2 Insignes d’accès (électroniques et non mécaniques) ...................................................... 4
5.3 Combinaison de carte d’identité et d’insigne d’accès ...................................................... 6
6 Caractéristiques de sécurité ............................................................................................... 7
7 Gestion du système ............................................................................................................. 7
7.1 Manipulation..................................................................................................................... 7
7.2 Récupération des cartes perdues .................................................................................... 8
7.3 Sensibilisation de l’employé ............................................................................................. 8
ANNEXE A – MEILLEURES PRATIQUES .................................................................................. 1
ANNEXE B – TABLEAU DES EXIGENCES LIÉES AUX CARTES Error! Bookmark not defined.
ANNEXE C – PROCÉDURES DE VÉRIFICATION RECOMMANDÉES...................................... 1
ANNEXE D – SPÉCIFICATIONS TECHNIQUES DE LAMINATION ........................................... 1
GRC Sous-direction de la sécurité technique i juillet 2006Publication de l’organisme-conseil G1-006 1 Introduction La Politique du gouvernement sur la sécurité (PGS) présente les exigences relatives à la protection du personnel, de l’actif, des renseignements et des opérations du gouvernement. Les menaces proférées à l’endroit du Canada et des pays étrangers, y compris la violence faite aux employés, l’accès non autorisé, le vol, la fraude, le vandalisme et d’autres actes malveillants, pourraient être atténuées ou complètement enrayées si les personnes ayant des intentions malveillantes ne réussissent pas à accéder aux sites du gouvernement. De même, il est essentiel pour les opérations du gouvernement que son personnel ainsi que les autres personnes autorisées soient en mesure de signaler leur statut dans le cadre d’un processus d’identification qui inspire la confiance autant du secteur public que privé. Les activités criminelles transnationales, les activités relatives au renseignement étranger et le terrorisme continuent à évoluer en raison des changements de la situation internationale. Par conséquent, les gouvernements et les organisations du monde entier s’orientent de plus en plus vers des solutions de contrôle d’accès beaucoup plus rigides afin de réduire les menaces toujours plus grandissantes. Le présent guide de sécurité s’ajoute aux autres documents d’organismes principaux, tels que le Guide de la GRC G1-024 – Contrôle de l'accès et les normes de la PGS, notamment la Norme opérationnelle sur la sécurité matérielle, et devrait être lu en se référent à ces documents. Conformément aux articles 10.1, 10.8 et 10.11 de la PGS et à la Norme opérationnelle de sécurité – niveaux de préparation des installations du gouvernement fédéral, le présent guide de sécurité matérielle fournit des renseignements et des conseils visant à répondre aux exigences de base en matière de sécurité matérielle en ce qui concerne les cartes d’identité et les insignes d’accès. Bien que les exigences de base soient élaborées pour répondre à différents types de scénario, certains ministères et organismes peuvent être confrontés à diverses menaces selon la nature de leurs activités, leur emplacement ou l’attirance qu’exerce leur actif. Parmi les exemples, on compte les locaux de police ou les établissements militaires, les services de santé, les laboratoires, les installations de recherche de nature délicate, les musées, les comptoirs de services, les bureaux dans les zones à forte criminalité et les établissements à l’étranger. Ces entités peuvent nécessiter l’adoption de mesures de sécurité plus rigoureuses, axées sur les résultats de l’évaluation de la menace et des risques (EMR). 2 Portée et application Tous les employés du gouvernement doivent obtenir une carte d’identité qui présente au moins le nom du ministère ou de l’organisme pour lequel l’employé travaille, le nom et la photo de l’employé, un numéro de carte unique et une date d’expiration. De plus, l’insigne d’accès présente l’état d’autorisation de l’employé, du visiteur, de l’agent contractuel, du personnel de service et ainsi de suite qui a un besoin évident du ministère ou de l’organisme, ou une « appartenance » à celui-ci, et qui montre clairement son statut d’employé ou de non employé. Le présent guide fournit des directives qui permettent de répondre à ces exigences minimales et il présente également des critères techniques, des suggestions, des exemples, des meilleures pratiques et d’autres mesures de nature pertinente. Le présent guide donne un aperçu des exigences de base concernant les systèmes de cartes d’identité et d’insignes d’accès (manuels et assistés par ordinateur ou automatisés). Il présente également les préoccupations en matière de sécurité qui doivent être abordées sur le plan de l’élaboration, de la sélection, de la mise en œuvre et de l’administration de tous les systèmes de cartes d’identités ou GRC Sous-direction de la sécurité technique 1 juillet 2006
Publication de l’organisme-conseil G1-006
d’insigne d’accès. De plus, on y définit les directives minimales1 sur les systèmes de cartes et d’insignes
pour les ministères ou les organismes qui souhaitent se doter d’un tel système de contrôle d’accès.
Le présent document offre également des renseignements qui contribuent à ce que les ministères et les
organismes fassent appliquer la Norme opérationnelle de sécurité - niveaux de préparation des
installations du gouvernement fédéral du Secrétariat du Conseil du Trésor (SCT) lorsqu’elle porte sur les
exigences liées aux procédures de contrôle d’accès et aux cartes d’identité.
3 Définitions
Carte d’identité (Identification card) - un document fourni par un ministère ou une organisation pour en
identifier le détenteur. Elle ne doit pas être confondue avec l’insigne d’accès, car ils n’ont pas la même
finalité ni le même aspect physique.
Employé (Employee) - une personne employée par un ministère ou une organisation du gouvernement en
question dans le cadre d’un emploi pour une durée indéterminée, une période déterminée, d’un
détachement ou d’un emploi occasionnel.
Insigne d’accès (Access badge) - un document fourni par un ministère ou une organisation qui permet de
reconnaître visuellement la zone ou l'installation ou le complexe auquel le détenteur est autorisé à avoir
2
accès . Il ne doit pas être confondu avec la carte d’identité, car ils n’ont pas la même finalité ni le même
aspect physique.
Membre affilié (Affiliation) - des ministères et des organisations peuvent émettre des cartes d’identité ou
des insignes d’accès afin de définir l’affiliation d’autres groupes de personnes de l’organisation. Par
exemple, des étudiants, des bénévoles ou des membres du personnel d’un cabinet ministériel.
Travailleur contractuel (Individual under contract) - un travailleur externe (c’est-à-dire qui n’est pas un
employé), y compris les agents contractuels, les personnes de métier, les experts-conseils et les employés
d’organismes, qui peut avoir fait l’objet d’une vérification ou non selon la durée du travail à accomplir et
l’accès requis.
Visiteur (Visitor) - une personne qui ne travaille pas pour le ministère ou l’organisation du
gouvernement, occupant l’établissement ou le complexe hôte, et qui a une raison légitime d’être sur les
lieux et qui doit faire l’objet d’une vérification par le système de contrôle d’accès en vigueur.
1 Les évaluations de la menace et des risques (EMR) des ministères et des organismes peuvent nécessiter des
procédures plus rigoureuses.
2 L’accès aux biens classifiés ou protégés est fondé sur le principe du « besoin de connaître », en plus de devoir
posséder le niveau d’autorisation de sécurité approprié.
GRC Sous-direction de la sécurité technique 2 juillet 2006Publication de l’organisme-conseil G1-006
4 Procédures de contrôle d’accès
L’efficacité du contrôle d’accès est meilleure lorsque les employés se distinguent facilement des autres
personnes sur les lieux. Afin d’y arriver, une procédure doit être mise en place en vue de permettre une
vérification rapide et efficace pour que les membres affiliés, les employés, les travailleurs contractuels et
les visiteurs soient examinés au moyen du contrôle d’accès. Ce processus se fait habituellement selon une
des méthodes suivantes :
reconnaissance personnelle (pour les plus petites installations);
cartes d’identité et insignes d’accès;
procédures administratives;
escortes;
équipements techniques.
Bien que la méthode de contrôle d’accès en fonction de la reconnaissance personnelle soit une stratégie
acceptée dans certaines circonstances, il faut faire preuve de prudence lorsqu’elle est la seule méthode sur
laquelle on se fie. De plus, cette méthode de contrôle d’accès n’empêche pas le devoir du ministère ou de
l’organisation d’émettre des cartes d’identité aux employés. Pour obtenir de plus amples renseignements
sur le contrôle d’accès, veuillez consulter le Guide en matière de sécurité, G1-024 Contrôle de l'accès de
la GRC.
5 Types de carte
Dans le présent document, on examine les types de carte suivants :
cartes d’identité;
insignes d’accès (électroniques ou non mécaniques);
combinaison de carte d’identité et d’insigne d’accès.
5.1 Cartes d’identité
5.1.1 Généralités
La méthode généralement utilisée pour identifier le personnel comme des employés ou des représentants
d’un ministère ou d’une organisation est appliquée au moyen de cartes d’identité. Les employés doivent
toujours garder leur carte sur eux. Les cartes d’identité doivent seulement être remises aux personnes
ayant satisfait aux exigences de vérification de la Politique du gouvernement sur la sécurité (PGS) du
Secrétariat du Conseil du Trésor. Cette procédure doit être terminée avant que les personnes exercent les
fonctions liées à leur travail. Une seule carte d’identité par employé doit être remise à un moment donné,
à moins qu’une recommandation n’ait été faite dans le cadre de l’EMR.
Le ministère ou l’organisation qui doit émettre une carte d’identité à une personne qui ne correspond pas
exactement à la définition habituelle d’un employé (c.-à-d. un étudient, un bénévole ou un travailleur
contractuel) peut, s’il le souhaite, utiliser un champ « affiliation ». Ce champ détermine le classement de
l’employé et assure sa vérifiabilité dans le cadre d’un examen visuel. Une bordure pleine ou à motif peut
être utilisée autour de la photo en vue de déterminer l’affiliation. La bordure ne doit pas cacher la photo.
5.1.2 Caractéristiques physiques
Au minimum, la carte d’identité doit comprendre le nom ainsi qu’une photographie couleur ou une image
numérique du détenteur, le nom de l’organisation ou du ministère émetteur, la date d’expiration (cinq ans
après la date d’émission) et un numéro propre à la carte. Un ministère ou une organisation qui souhaite
GRC Sous-direction de la sécurité technique 3 juillet 2006Publication de l’organisme-conseil G1-006 ajouter des renseignements doit s’assurer que chaque élément est valable en vertu de la législation sur les droits de la personne et de la Loi sur la protection des renseignements personnels, c’est-à-dire que l’ajout de ces renseignements, tels que la grandeur, le poids, la couleur des cheveux et la date de naissance, répond à un besoin réel. Il est interdit d’inscrire le numéro d’assurance sociale d’une personne sur une carte d’identité. La photographie du détenteur devrait être un portrait de trois-quarts de la tête et du haut des épaules (consultez l’annexe A – Meilleures pratiques). Le détenteur devrait être photographié de nouveau tous les cinq ans au moins. Lorsque son apparence a changé, p. ex. la barde, la moustache, la couleur des cheveux ou le poids), la photographie et les renseignements doivent être mis à jour immédiatement ou à la discrétion de l’autorité du ministère ou de l’organisation. Tous les renseignements présentés sur les pièces ou les cartes doivent être imprimés sans effacement ni correction. Consultez l’annexe D – Tableau des exigences liées aux cartes, pour obtenir un résumé des exigences en vigueur. 5.2 Insignes d’accès (électroniques et non mécaniques) 5.2.1 Généralités Le détenteur doit toujours porter son insigne d’accès lorsqu’il est dans l’établissement ou le complexe. Il est parfois nécessaire de déterminer rapidement et de façon efficace si les membres affiliés, les employés, les travailleurs contractuels ou les visiteurs possèdent l’autorisation d’accéder à l’établissement ou au complexe ou à un secteur. Cette vérification est habituellement effectuée au moyen d’un insigne d’accès. Un insigne d’accès indique également si les membres affiliés, les employés, les travailleurs contractuels ou les visiteurs ont fait l’objet d’un examen adéquat au moyen des procédures de contrôle d’accès. L’insigne d’accès d’un employé doit comprendre une photo du détenteur. L’insigne d’accès consiste en une preuve d’autorisation seulement. Les étapes supplémentaires visant à vérifier l’identité d’une personne, telles que de présenter une pièce d’identité ou d’autres documents de validation de l’identification, doivent être suivies lorsque la situation le justifie (consultez l’annexe B – Procédures de vérification recommandées). Il peut être nécessaire de recourir à un personnel de contrôle au point d’entrée afin de s’assurer que les personnes qui entrent dans la zone à accès réglementé portent les insignes requises. La carte peut également être combinée avec un système de contrôle d’accès électronique qui permet l’accès au détenteur. Consultez le Guide en sécurité matérielle G1-024 « Contrôle de l’accès » de la GRC pour obtenir de plus amples renseignements. Dans le cas des insignes d’accès électroniques, le système de contrôle d’accès peut assumer une partie ou l’ensemble de la responsabilité visant à déterminer le droit d’accès d’une personne. 5.2.2 Caractéristiques physiques L’insigne d’accès doit au moins avoir les dimensions qui correspondent à la norme de l’industrie, afin de permettre d’y ajouter une photo ou une image numérique du détenteur beaucoup plus grande que celle d’une carte d’identité. L’insigne doit essentiellement avoir une photographie ou une image numérique grande et claire, ainsi qu’un code pour permettre au personnel de contrôle de pouvoir rapidement établir à quel établissement le détenteur a accès. L’insigne d’accès doit être plus grand s’il est nécessaire de vérifier visuellement l’insigne de loin. L’insigne d’accès électronique a les dimensions qui correspondent à la norme de l’industrie et il faut tenir compte de ce facteur lorsqu’on établit le format de présentation des renseignements qui apparaissent sur l’insigne. L’insigne d’accès non mécanique ne comprend aucune GRC Sous-direction de la sécurité technique 4 juillet 2006
Publication de l’organisme-conseil G1-006 technologie qu’on retrouve dans une carte d’accès électronique et il peut être de dimension supérieure afin de faciliter la visibilité de loin. L’insigne d’accès devrait identifier visiblement l’organisation ou le ministère émetteur à l’aide d’écussons, d’emblèmes et d’acronymes. Lorsque l’EMR révèle des vulnérabilités exploitables, des codes discrets, tels que des lettres ou des dessins facilement reconnaissables par le personnel autorisé, devraient être utilisés pour différencier les insignes de ceux des autres ministères ou organisations, et les données présentées sur l’insigne d’accès ne devrait pas être liées à une installation ou à un complexe particulier. Des caractéristiques visibles peuvent indiquer la zone à laquelle l’employé, la personne de métier et le visiteur a accès. Ce peut être les couleurs, la forme de l’insigne, les codes (p. ex. des chiffres, des lettres et des bandes) ou toute combinaison de ces caractéristiques qui peut facilement faire savoir au personnel autorisé que le détenteur a reçu l’autorisation adéquate au moyen d’un système de contrôle d’accès de l’installation, du complexe ou du secteur. Il faut faire preuve de prudence lorsqu’on choisit cette option, car l’identification visible d’une autorisation particulière peut constituer un risque accru pour les renseignements et l’actif qui se trouvent dans cette zone. Pour obtenir de plus amples renseignements sur ces zones, veuillez consulter le Guide en sécurité matérielle G1-026 « Établissement des zones de sécurité matérielle » de la GRC. Tous les renseignements présentés sur les insignes ou les pièces ajoutées doivent être imprimés sans effacement ni correction. 5.2.3 Insigne d’accès pour l’employé Cet insigne sert à établir clairement que le détenteur est un employé autorisé à accéder à l’installation, au complexe ou à la zone, à l’aide d’un portrait de trois-quarts ou d’une image numérique de la tête et du haut des épaules. Cette dernière devrait couvrir au moins 50 % de l’avant de l’insigne. L’insigne d’accès pour l’employé devrait indiquer le nom de l’employé ainsi que la date d’expiration et montrer que l’employé est autorisé à accéder à l’installation, au complexe ou à la zone. Grâce à l’utilisation de caractéristiques, telles que les combinaisons de couleur, l’insigne d’accès pour l’employé peut également accorder l’accès à un employé temporaire ou à un travailleur contractuel. Toute combinaison des caractéristiques mentionnées à la section précédente peut être utilisée afin de définir davantage l’autorisation et la reconnaissance du détenteur. L’insigne d’accès pour l’employé doit contenir des chiffres qui sont uniques et qui doivent être renouvelés tous les cinq ans au moins. Chaque employé doit se voir remettre un seul insigne d’accès à la fois. Si un nouvel insigne d’accès doit être émis, les procédures en place doivent permettre de déterminer les étapes à suivre, y compris l’émission d’un nouveau numéro unique à l’insigne. L’insigne d’accès pour l’employé qui concerne les zones d’opérations peut être retiré de la zone, de l’installation ou du complexe pour lequel il a été émis s’il y a une raison opérationnelle qui le justifie. Il est possible qu’il y ait des exceptions à cette règle si l’EMR fait savoir que la menace posée par une personne qui serait en possession d’un insigne perdu ou volé compromettrait les mécanismes de sécurité en place. Lorsqu’un employé a l’autorisation de sortir de l’installation, du complexe et de la zone avec son insigne, on doit lui faire part de ses responsabilités ainsi que des directives liées aux procédures de sécurité recommandées à cet effet, c’est-à-dire de garder son insigne hors de la vue ou en sûreté dans un contenant à sa demeure. 5.2.4 Insigne d’accès pour le travailleur contractuel L’insigne d’accès pour le travailleur contractuel ne comporte généralement pas de photographie ni de nom, mais elle indique clairement que le détenteur est une personne autorisée. On utilise habituellement GRC Sous-direction de la sécurité technique 5 juillet 2006
Publication de l’organisme-conseil G1-006
des caractéristiques, telles que de la couleur, des lettres ou des chiffres, pour faire savoir cette
autorisation. Lorsqu’une personne a fit l’objet avec succès d’une enquête de sécurité, mais qu’elle ne
relève pas directement du ministère ou de l’organisation, un insigne d’accès avec photo doté des couleurs
et des codes à barres appropriés à l’arrière-plan peut être émis. Chaque insigne d’accès doit comprendre
un numéro unique, propre à l’insigne.
L’autorisation d’accès est indiquée au moyen de méthodes présentées à l’annexe C – Procédures de
vérification recommandées. La politique du ministère ou de l’organisation doit établir si les personnes de
métier nécessitent d’être escortées et sous quelles conditions l’accès sera permis.
L’insigne d’accès pour le personnel de métier ne doit pas quitter l’installation ou le complexe pour lequel
il a été émis et il doit être retourné au bureau délivreur à la fin de chaque visite. On devrait garder un
registre afin d’identifier le détenteur, l’organisation qu’il représente, le but de sa visite et la personne à qui
il a rendu visite.
5.2.5 Insigne d’accès pour le visiteur
L’insigne d’accès pour le visiteur ne comporte généralement pas de photographie ni de nom, mais il
indique clairement que le détenteur est un visiteur autorisé du ministère ou de l’organisation. Un insigne
peut également être émis pour un visiteur sur lequel on précise que la personne a reçu une autorisation
temporaire d’accéder un secteur particulier. Cette autorisation est habituellement indiquée au moyen de
caractéristiques telles que de la couleur, des lettres et des chiffres sur la pièce ajoutée ou l’insigne.
L’insigne d’accès pour le visiteur doit comprendre un nombre unique à l’insigne en vue d’assurer le suivi
et l’inventaire. Lorsque l’EMR révèle l’existence de vulnérabilités exploitables, les visiteurs devraient
être accompagnés lorsqu’ils entrent et circulent dans une zone réservée d’une installation ou d’un
complexe (dans les zones de travail, de sécurité et de haute sécurité).
L’insigne d’accès quotidien ou pour le visiteur ne doit pas quitter l’installation ou le complexe pour
lequel il a été émis et doit être retourné au bureau délivreur à la fin de la visite. On doit garder un registre
afin d’identifier le détenteur de l’insigne, l’organisation qu’il représente, le but de sa visite et la personne
qui fait l’objet de la visite.
5.3 Combinaison de carte d’identité et d’insigne d’accès
Certains ministères ou organisations souhaiteront peut-être combiner les exigences de la carte d’identité à
celles de l’insigne d’accès sous la forme d’une seule preuve d’identité. La combinaison de ces exigences
est possible lorsque l’EMR et les exigences opérationnelles du ministère ou de l’organisation le
permettent, par exemple si l’EMR révèle que la menace posée par une personne en possession d’une carte
d’identité et d’un insigne d’accès perdus ou volés est négligeable. La combinaison de la carte d’identité et
de l’insigne d’accès devrait :
satisfaire, au recto, aux exigences de la carte d’identité et de l’insigne d’accès, et être plus
rigoureuse sur la question des exigences prioritaires parmi les deux;
être renouvelée tous les cinq ans ou lorsque l’apparence du détenteur a changé (l’exigence des
cinq ans est la plus rigoureuse des deux).
Veuillez consulter l’annexe B – Tableau des exigences liées aux cartes, où l’on présente un sommaire des
exigences en vigueur pour les cartes.
GRC Sous-direction de la sécurité technique 6 juillet 2006Publication de l’organisme-conseil G1-006
6 Caractéristiques de sécurité
Les sections précédentes du présent guide de sécurité portent sur les directives minimales à suivre
concernant les systèmes de cartes d’identité et d’insignes d’accès. Toutefois, une EMR peut exiger des
caractéristiques de sécurité supplémentaires, telles que celles qui suivent :
une proportion différente de plastique et de résine dans les matériaux laminés, s’il y a lieu;
des filigranes;
des gravures et des clichés au laser;
des dessins optiques qui sont difficiles à altérer ou à modifier;
des hologrammes;
des codes visibles seulement au moyen d’un certain éclairage.
Les caractéristiques de sécurité intégrées de doivent pas :
causer des défauts;
masquer les renseignements imprimés;
nuire à l’accès aux données lisibles par machine.
7 Gestion du système
7.1 Manipulation
Chaque ministère ou organisation doit se doter de directives pour assurer la bonne manipulation des cartes
d’identité et des insignes d’accès. Ces directives devraient permettre les activités qui suivent :
a) Vérifier, au moment de la délivrance, la concordance entre la personne à qui les papiers d’identité
sont remis et la personne qui a fait l’objet d’une enquête sur les antécédents et s’assurer qu’elle a
bien fait une demande de permis d’accès, ayant été approuvée par l’autorité compétente.
b) Établir un processus de délivrance et de récupération des cartes d’identité et des insignes d’accès.
Ce processus doit comprendre l’inscription des renseignements suivants : date d’émission,
identité du détenteur, numéro propre à la carte ou à l’insigne et, s’il y a lieu, niveau d’habilitation
ou de vérification de la fiabilité du détenteur, lorsqu’une mise à jour est nécessaire et la date de
récupération de la carte ou de l’insigne.
c) Énoncer les modalités à respecter concernant la vérification de l’authenticité d’une carte ou d’un
insigne détenu par un membre du personnel, telles que conserver un registre de signatures dans un
journal.
d) Énoncer les modalités à respecter concernant le retrait justifié d’une carte ou d’un insigne.
e) Préciser comment signaler le mauvais usage, l’endommagement, la perte ou le vol d’une carte ou
d’un insigne.
f) S’assurer qu’un nouveau numéro unique est émis avec la carte dans le cas de l’émission d’une
carte ou d’un insigne de remplacement à la suite d’une perte ou d’un vol présumé.
g) Effectuer une vérification d’une carte d’accès perdue ou volée afin de déterminer les antécédents
relatifs à l’utilisation de la carte depuis que la perte ou le vol de la carte a été signalé.
h) Lorsqu’on signale la perte ou le vol d’une carte, le ministère ou l’organisation doit rapidement
prendre les mesures nécessaires en vue de désactiver la carte.
i) Assurer le retrait d’une carte ou d’un insigne à la fin de l’emploi, d’un contrat ou lorsque son
utilisation n’est plus requise, et s’assurer que les papiers d’identité sont utilisables jusqu’à la date
d’expiration ou la cessation d’emploi seulement.
GRC Sous-direction de la sécurité technique 7 juillet 2006Publication de l’organisme-conseil G1-006
j) S’assurer que l’ensemble de l’équipement nécessaire à l’émission des cartes et des insignes est
protégé physiquement à un niveau égal à celui des données et de l’actif classifiés ou désignés
auxquels il donne accès. De plus, des mesures supplémentaires peuvent être requises selon une
EMR.
k) Assurer l’établissement d’un processus qui empêchera la sortie des insignes d’accès d’une
installation ou d’un complexe ou d’une zone de sécurité et de sécurité élevée lorsqu’une EMR
l’exige.
l) Établir un processus qui permet la destruction de toutes les cartes et de tous les insignes expirés
ou endommagés.
m) S’assurer qu’il n’est pas possible pour un seul fonctionnaire, au cours du processus, d’émettre des
papiers d’identité à une personne.
n) S’assurer qu’aucun justificatif d’identité n’est émis de nouveau à une personne pour une
quelconque raison jusqu’à ce que l’identité de la personne ne soit validée et que cette personne ait
toujours l’autorisation de posséder ces justificatifs d’identité.
7.2 Récupération des cartes perdues
La politique actuelle de la Société canadienne des postes (SCP) n’assure pas la livraison des cartes
d’identité d’un ministère ou d’une organisation qui sont déposées dans les boîtes aux lettres, même si les
cartes sont accompagnées d’une adresse. Cependant, les ministères et les organisations peuvent mettre en
place un genre de protocole d’entente (PE) avec la Société canadienne des postes afin d’assurer la
récupération de leurs cartes d’identité.
7.3 Sensibilisation de l’employé
Le ministère ou l’organisation devrait disposer d’un programme de sensibilisation à la sécurité visant à
s’assurer que tous les employés connaissent le système de cartes d’identité ou d’insignes d’accès de
l’installation ou du complexe, ainsi que leurs responsabilités face à la bonne marche d’un tel système. Ce
programme devrait porter sur la gestion du système, les différents types de cartes et d’insignes (c.-à-d.
membre affilié, travailleur contractuel, employé et visiteur), l’accès autorisé par type d’insigne, le bon
usage d’une carte ou d’un insigne, les responsabilités du détenteur, le port de la carte ainsi que la marche
à suivre lorsque les procédures ou le règlement ne sont pas respectés ou que le détenteur perd sa carte ou
son insigne.
Dans le cadre du programme, on devrait également rappeler aux employés qu’ils sont une partie
intégrante du programme de sécurité, et on devrait y présenter les étapes à suivre s’ils ont connaissance
qu’une personne ne possédant pas d’insigne d’accès se trouve dans une zone à accès réglementé.
GRC Sous-direction de la sécurité technique 8 juillet 2006Publication de l’organisme-conseil G1-006 ANNEXE A – MEILLEURES PRATIQUES Les mesures de protection proposées ci-dessous représentent les meilleures pratiques dont les ministères ou les organisations peuvent tirer profit afin d’augmenter l’efficacité de leur programme de sécurité. 1. Le port de l’insigne Tous les membres du personnel doivent afficher de façon visible leur insigne en tout temps lorsqu’ils se trouvent dans une zone à accès réglementé. L’insigne d’accès devrait être porté à la hauteur de poitrine, ce qui permet de facilement comparer le visage du détenteur avec la photographie sur l’insigne. L’insigne d’accès qui est à l’envers ou qui est porté à la taille ne permet pas de déterminer rapidement et avec efficacité si la photographie sur la carte correspond à la personne qui porte l’insigne. Un employé peut hésiter à confronter une personne qui semble porter un insigne d’accès même s’il n’est pas facilement visible. Une politique selon laquelle on exige que l’insigne soit porté autour du cou encourage les employés à participer aux procédures de contrôle d’accès. Si les préoccupations en matière de santé et de sécurité sont liées au port de l’insigne autour du cou (c.-à-d. travailler près de l’équipement lourd), il faudra établir des mesures de rechange. Des cordons, des ficelles à bobine rétractable et des crochets mousqueton, entre autres, utilisés pour tenir les insignes ne devraient pas être dotés de signes uniques reconnaissables du ministère ou de l’organisation. L’insigne d’accès pour l’employé aux zones de sécurité et de sécurité élevée ne doit pas être retiré de l’installation ou du complexe pour lequel il a été émis et il peut même être réservé à la zone pour laquelle il a été émis, si l’EMR. 2. Exigences en matière de photographie La photographie qui apparaît sur l’insigne devrait être la plus grande possible afin de permettre une vérification visuelle rapide. La photographie de la personne devrait être tout en couleur, devrait présenter le visage, la tête et le haut des épaules de la personne, et la tête devrait occuper une grande partie du cadre de la photographie. Sur un insigne de grandeur qui correspond à la norme de l’industrie, la photographie fait habituellement 40 % de la surface de l’insigne et les renseignements 60 %. Toutefois, une photographie de cette grandeur ne donne pas suffisamment de temps au personnel pour comparer la photographie au détenteur avant que celui-ci ne soit passé ou avant de lui parler. Il faudrait donc préconiser l’augmentation de la dimension des photographies. Les photographies devraient être mises à jour tous les cinq (5) ans pour les cartes d’identité, les insignes d’accès et les insignes et cartes combinés. La résolution minimale de la photographie est de 300 points au pouce (DPI), mais on recommande une résolution mieux définie. Des accessoires qui couvrent la tête et qui en dissimulent une partie (c.-à-d. des casquettes de baseball, des foulards ou des fichus carrés) ne doivent pas être portés, à moins qu’ils ne consistent en une obligation d’ordre religieux. GRC Sous-direction de la sécurité technique B-1 juillet 2006
Publication de l’organisme-conseil G1-006
Si l’employé porte habituellement des lunettes, il peut les porter lorsqu’il se fait photographier, mais les
lunettes de soleil ne sont pas permises, à moins que l’employé possède un certificat médical qui
l’autorisent à les porter.
Les couleurs de l’arrière-plan doivent être neutres et elle doivent créer un contraste avec le teint de la
personne afin de faciliter l’observation de la photographie.
3. Insigne d’accès pour le visiteur et le travailleur contractuel
Une personne qui doit accéder à l’installation ou au complexe doit faire l’objet d’une vérification
d’identité par le personnel de sécurité avant qu’on lui remette un insigne d’accès. Les membres du
personnel sont tenus de signer au nom du visiteur et du travailleur contractuel et ils doivent assumer la
responsabilité liée à l’insigne d’accès.
Par opposition à l’insigne d’accès doté d’une photographie, l’insigne d’accès pour le visiteur et le
travailleur contractuel peut être utilisé par un certain nombre de personnes. Afin de s’assurer que cette
carte représente bien une personne disposant d’une cote de sécurité appropriée, il est nécessaire d’assurer
un contrôle efficace du nombre d’insignes d’accès et du lieu où se trouve chacun d’eux.
4. Modifications apportées à la carte
Le ministère ou l’organisation peut choisir de perforer un trou dans la carte afin de permettre d’y insérer
un cordon. Le ministère ou l’organisation doit s’assurer qu’une telle modification est surveillée de près
avec la collaboration du fournisseur ou du fabricant afin d’assurer l’intégrité absolue des données
inscrites sur la carte.
On recommande aux ministères et aux organisations de s’assurer qu’une telle modification :
ne compromet pas les exigences ni les caractéristiques liées à la durabilité
n’annule pas la garantie du fabricant de cartes ou d’autres revendications pour un produit;
ne modifie pas et n’entrave pas les renseignements imprimés, ainsi que la photo; et
n’endommage pas la technologie lisible à la machine, telle qu’une antenne intégrée et n’y fait pas
obstacle.
GRC Sous-direction de la sécurité technique B-1 juillet 2006Publication de l’organisme-conseil G1-006
ANNEXE B – TABLEAU DES EXIGENCES LIÉES AUX CARTES
Carte ou
Carte combinée 1
insigne
(carte d’identité et
Insigne pour le
insigne d’accès
Carte d’accès pour visiteur Carte ou
non mécanique)
Champs de d’identité l’employé insigne pour
données pour (non Carte ou le membre
Carte combinée 2
l’employé mécanique ou insigne affilié
(carte d’identité et
électronique) pour le
insigne d’accès
travailleur
électronique)
contractuel
Nom de la
Obligatoire Conseillé Obligatoire Optionnel 4 Obligatoire
personne
Signature de la
Conseillé 1 Optionnel Conseillé 1 Optionnel 4 Conseillé 1
personne
Photographie en
couleur ou image Obligatoire Conseillé Obligatoire Optionnel 4 Obligatoire
numérique
Nom de
l’organisation ou
Obligatoire Conseillé Obligatoire Obligatoire Obligatoire
du ministère
émetteur
Privilège du lieu
– couleurs, Jamais Optionnel 5 Optionnel 5 Optionnel 5 Optionnel 5
forme, codes
Date d’expiration Obligatoire 2 Conseillé 2 Obligatoire 2 Obligatoire2 Obligatoire2
Numéro propre à
Obligatoire Obligatoire Obligatoire Obligatoire Obligatoire2
la carte
Optionnel
(mois et
Date de naissance Optionnel 3 année Optionnel 3 Jamais Jamais
seulement) 3
Cartes et insignes
Consultez la section 7
perdus ou volés
NOTE: Tous les renseignements doivent être imprimés sans effacement ni correction.
1
– Même si cet élément est conseillé, certains ministères ou certaines organisations peuvent choisir de ne
pas apposer de signature sur la carte d’identité, la carte combiné ou la carte ou l’insigne pour le
membre affilié (si elle est jugée nécessaire sur le plan opérationnel).
2
– Cinq (5) ans à partir de la date d’émission.
3
– S’assurer que chaque élément peut être justifié en vertu de la législation sur les droits de la personne et
de la Loi sur la protection des renseignements personnels.
4
– Les ministères devraient adapter cette exigence en fonction de la fréquence des visites et de la durée
des contrats.
5
– Il est recommandé de ne pas inscrire le lieu de l’établissement sur l’insigne d’accès.
GRC Sous-direction de la sécurité technique B-1 juillet 2006Publication de l’organisme-conseil G1-006
ANNEXE C – PROCÉDURES DE VÉRIFICATION RECOMMANDÉES
Le besoin en matière de carte d’identité et d’insigne d’accès est présenté dans la Norme opérationnelle de
sécurité – niveaux de préparation des installations du gouvernement fédéral du SCT. Selon la norme, le
niveau de préparation 1 nécessite « le contrôle obligatoire aux points d’entrée de toutes les installations
fédérales, y compris à l’accueil des visiteurs ». Les cartes d’identité et les insignes d’accès ont
d’importantes répercussions sur la mise en vigueur de la norme de préparation. Pour ces motifs, la version
complète de la norme doit être examinée par le truchement de l’agent de sécurité pour le ministère.
Voici un exemple dans lequel on montre comment l’utilisation de cartes d’identité et d’insignes permet
d’assurer le respect de la norme.
Vérification visuelle de l’identité
Une personne (en l’occurrence, le personnel de sécurité comme on l’utilise ultérieurement) doit effectuer
une vérification visuelle de l’identité du détenteur et déterminer si cette personne a le droit de franchir le
point de contrôle. Voici la série d’étapes à effectuer dans le cadre du processus d’authentification visuelle.
1. Le personnel de sécurité au point de contrôle d’accès doit déterminer si la carte est authentique et
si elle a été modifiée d’une quelconque façon.
2. Le personnel de sécurité doit comparer les caractéristiques du visage du détenteur avec celles de
la photographie afin de s’assurer qu’elles correspondent l’une à l’autre.
3. Le personnel de sécurité doit vérifier la date d’expiration de la carte afin de s’assurer que la carte
est toujours valide.
4. Le personnel de sécurité doit comparer les caractéristiques physiques du détenteur avec celles qui
sont décrites sur la carte (s’il y a lieu).
5. Le personnel de sécurité doit obtenir la signature du détenteur et la comparer avec celle qui figure
sur la carte (s’il y a lieu).
6. Le personnel de sécurité doit déterminer s’il accorde le droit d’accès au détenteur en examinant
au moins un élément de données sur la carte (p. ex. le nom, l’affiliation de l’employé,
l’identificateur d’emploi, le numéro de série de la carte de l’organisme, l’identification du
fournisseur ou le nom de l’organisme).
GRC Sous-direction de la sécurité technique C-1 juillet 2006Publication de l’organisme-conseil G1-006 ANNEXE D – SPÉCIFICATIONS TECHNIQUES DE LAMINATION La carte d’identité doit être aussi grande qu’une carte de crédit, soit de 2,125 po x 3,375 po (54 mm x 86 mm), et être munie d’un recouvrement (habituellement de plastique) protecteur robuste, transparent et laminé à chaud interdisant les falsifications et les altérations. La carte est habituellement faite de papier bond blanc no 4, de 90 g/m2 selon la norme 9-GP-1M de l’Office des normes générales du Canada, avec des planchettes de couleur. L’insigne d’accès doit être muni d’un recouvrement (habituellement de pratique) protecteur robuste, transparent et laminé à chaud interdisant les falsifications et les altérations (habituellement du papier photographique). Il existe diverses qualités de laminés. Cependant, selon les exigences minimales, le polyester doit être de 0,007 po (0,178 mm) et la résine de 0,003 po (0,076 mm) pour une épaisseur totale de 0,02 po (0,51 mm), sans la carte. Les matériaux qui couvrent et protègent à peine la carte ne devraient pas être utilisés pour les cartes d’identité et les insignes d’accès. Le laminé utilisé doit endommager le resto et le verso de la carte si l’on tentait de l’altérer ou de l’enlever. NOTA : L’utilisation d’une technologie de lamination pour les cartes d’identité ou les insignes d’accès comporte certaines vulnérabilités et certains risques inhérents. Si vous utilisez ou prévoyez utiliser une technologie de lamination, il est fortement recommandé d’effectuer une EMR. GRC Sous-direction de la sécurité technique D-1 juillet 2006
Vous pouvez aussi lire
