Documente Academic
Documente Profesional
Documente Cultură
Avertissement
Vous tes invits soumettre vos commentaires auprs du coordonnateur rgional de la scurit des actifs informationnels de
votre Agence.
Si vous lutiliser comme rfrence, vous tes pris d'ajouter, aprs le numro et le titre du guide, la mention guide approuv,
version [1.3] du [2006-09-22] .
STATUT :
APPROBATION :
M. Jacques Bergeron
Titre :
Socit : Groupe Conseil GSR
TCRSAI
Novembre 2005
Nathalie Malo
ASSS Lanaudire
Alain Boisvert
ASSS Estrie
Jacques Bergeron
Jean Laterrire
Sogique
Pierre P. Tremblay
MSSS
Dans ce document, le gnrique masculin est utilis pour simplifier la lecture du texte, mais
s'applique autant pour le fminin que pour le masculin.
ii
Pour toute question ou commentaire, veuillez communiquer avec votre coordonnateur rgional de
la scurit de l'information.
Remerciements
Lquipe de ralisation tient remercier toutes les personnes ayant collabor avec elle.
diteur :
Direction des ressources informatiques, ministre de la Sant et des Services sociaux, Qubec, 2006
Toute reproduction totale ou partielle de ce document est autorise condition den mentionner la source
Numro de classification :
Date de publication:
Date de mise en vigueur :
OCTOBRE 2006
2006-09-25
Historique du document :
Version
Date
Modification
Par
1,1
2004-02-12
Jacques Bergeron
1,2
2005-06-15
Jacques Bergeron
1,3
2005-10-24
Jacques Bergeron
2006-03-17
Pierre P. Tremblay
2006-09-22
Pierre P. Tremblay
Catgorisation du document :
Disponibilit : niveau 1 bas
Intgrit : niveau 2 - moyen
Confidentialit : niveau 1 - bas
Diffusion du document :
Diffusion : Internet
Adresse Internet :
www.msss.gouv.qc.ca
Conservation : 5 ans aprs le remplacement par une nouvelle version
Nom du fichier source du document : MSSS04-021 Guide de catgorisation v1,3 vapprouve 2006-1005.doc
iii
Demande de modification
Numro : 003
Date
2005-10-08
Demande par
PSI RSSS
Organisme
MSSS
Description de la demande :
Ajuster le guide de la catgorisation des documents et autres actifs informationnels aux fins de la protection
des renseignements personnels et de la scurit en fonction des changements apports au processus de
catgorisation qui fut simplifi en regroupant les documents par processus daffaires.
Raison :
Les documents impliqus dans un mme processus daffaires doivent gnralement avoir les mmes valeurs
de catgorisation en terme de disponibilit. En regroupant les documents par processus daffaires lopration
de catgorisation est grandement simplifie puisque le nombre de processus daffaires est dun ordre de
magnitude de moins que le nombre de document.
Suggestion :
Liste des changements entre la version 2006-02-28 et 2006-03-17 :
Anick Monette/RR/Reg13/SSSS : les exemples dans le tableau Disponibilit de lannexe 1 la page 55 pour
le niveau 3 sont errons. Par exemple que les documents soumis un dlai de conservation nest pas un
critre par la catgorisation un niveau 3 de disponibilit (D). Par exemple, une facture paye dil y a 2 ans a
une catgorisation de D=1 donc peut tre envoye un entrept lextrieur.
Liste des changement entre la version 2006-03-29 et 2006-09-22 :
Daniel.Pelletier@msss.gouv.qc.ca :
Formules pour le calculs des % de disponibilit ajouter au
MSSS04-21
iv
CONTEXTE .......................................................................................................................................... 1
2.
3.
4.
PROCESSUS DE CATGORISATION.............................................................................................. 19
4.1 PLANIFICATION DU PROJET ET ORGANISATION DU PROJET ...................................................................... 20
4.1.1 Runion du comit de PRP et de scurit et dfinition du projet .............................................. 20
4.1.2 Prsentation du projet la direction gnrale ........................................................................... 20
4.1.3 Prparation du projet ................................................................................................................. 21
4.1.4 Coordination de lquipe de projet............................................................................................. 21
4.1.5 Runion de dmarrage .............................................................................................................. 21
4.2 PRPARATION DE LEXERCICE DE CATGORISATION ............................................................................... 23
4.2.1 Recensement des informations et identification des units administratives ............................. 23
4.2.2 Valider l'tendue de la catgorisation........................................................................................ 25
4.2.3 Prise de contact avec les dtenteurs......................................................................................... 25
4.2.4. Le recensement des lois sectorielles........................................................................................ 28
4.2.5 La vrification lassujettissement du secteur des ententes contractuelles .......................... 30
4.2.6. La vrification des directives propres au secteur ..................................................................... 31
4.3 PRISE DE LINVENTAIRE DES DOCUMENTS .............................................................................................. 32
4.3.1 Les fondements ......................................................................................................................... 32
4.3.2 Les techniques de documentation des processus daffaires..................................................... 37
4.3.3 Exemple dapplication................................................................................................................ 39
4.4 CATGORISATION DES DOCUMENTS OU GROUPES DE DOCUMENTS ......................................................... 46
4.4.1 Prparation lexercice ............................................................................................................. 46
4.4.2 Le processus de catgorisation ................................................................................................. 48
4.4.3 Dfinition et explications des seuils dimpact ............................................................................ 48
4.4.4 valuer les seuils dimpact ........................................................................................................ 51
4.4.5 Formulaire utilis ....................................................................................................................... 52
4.4.6 Exemple dapplication................................................................................................................ 54
4.5 CONSIGNATION DES RSULTATS ........................................................................................................... 57
4.5.1 Critres de slection .................................................................................................................. 57
4.5.2 Exemple dapplication................................................................................................................ 60
4.6 ANALYSE ET VALIDATION DES RSULTATS.............................................................................................. 62
4.7 PRSENTATION ET APPROBATION DES RSULTATS ................................................................................. 63
5.
CONCLUSION.................................................................................................................................... 64
ANNEXE 2 LEXIQUE.................................................................................................................................. 75
ANNEXE 3 LISTE DES PRINCIPALES LOIS RGISSANT LE RSEAU SOCIOSANITAIRE
QUBCOIS OU AYANT UN IMPACT SUR LA PROTECTION DES RENSEIGNEMENTS
PERSONNELS............................................................................................................................................ 85
ANNEXE 4 EXEMPLAIRE DU.................................................................................................................... 87
FORMULAIRE DINVENTAIRE ET DE CATGORISATION ............................................................... 87
ANNEXE 5 EXEMPLAIRE DE LA .............................................................................................................. 89
MATRICE DE CATGORISATION ...................................................................................................... 89
vi
1. Contexte
Les tablissements et organismes du domaine de la sant et des services sociaux sont tenus
plusieurs obligations concernant les documents et autres actifs informationnels qu'ils ont en leur
possession, qu'ils contrlent ou qu'ils alimentent, notamment dassurer la protection des
renseignements personnels et leur scurit. Ils ont donc prendre les mesures requises afin
dassurer ces documents une protection adquate compte tenu de ces obligations. De plus,
tant en raison des exigences relatives aux informations sensibles quen raison des impratifs de
bonne gestion et des rgles d'thique rgissant les professionnels de la sant, la protection des
renseignements personnels et la scurit des documents et autres actifs informationnels1
demeure une proccupation majeure des intervenants oeuvrant dans le domaine de la sant.
tant donn limportance stratgique des systmes dinformation utiliss par les tablissements
et les organismes2, de mme que la nature sensible des renseignements quils traitent, la
scurisation des documents et autres actifs informationnels devient un enjeu stratgique pour le
rseau sociosanitaire.
Dans cette perspective, le ministre de la Sant et des Services sociaux a rcemment adopt le
Cadre global de gestion des actifs informationnels appartenant aux tablissements du
rseau de la sant et des services sociaux Volet sur la scurit (appel ci-aprs
Cadre global-Volet scurit ). Le Cadre global-Volet scurit vise communiquer les
attentes, les obligations et les rles de chacun des intervenants en matire de scurit des
documents et autres actifs informationnels. ce titre, les tablissements ont notamment
l'obligation de se doter d'une politique de scurit. Le ministre a aussi labor un document
portant sur la protection des renseignements personnels. Ce document sintitule Cadre global
de gestion des actifs informationnels appartenant aux tablissements du rseau de la
sant et des services sociaux Volet sur la protection des renseignements personnels
et dnote l'inclusion de la dimension protection des renseignements personnels dans
lapproche de scurit. Ce second volet inclut la Politique nationale de protection des
renseignements personnels des tablissements du rseau de la sant et des services
sociaux .
1
2
Les notions de document , de document technologique et d actif informationnel sont dfinies au lexique.
Dans un souci d'allgement du texte, nous utiliserons uniquement le terme tablissements pour dsigner l'ensemble des
organisations du secteur sociosanitaire assujetti l'application du Cadre global, art. 2.
Afin de les appuyer dans leurs efforts, le ministre a cr en octobre 2001 la Table des
coordonnateurs rgionaux en scurit afin dchanger et de partager quant aux enjeux relis
au dploiement du Cadre global en gnral. Or, la responsabilit de scuriser les actifs
informationnels revient aux dtenteurs respectifs de ces actifs. Afin de supporter les
tablissements, la Socit de gestion informatique SOGIQUE inc. a t mandate pour
dvelopper une trousse destine accompagner et supporter les tablissements dans
limplantation du Cadre global.
En aot 2002, le ministre autorisait une tude afin de mettre au point une politique sur la
protection des renseignements personnels. Les tablissements publics sont, en effet, en ce qui
concerne les renseignements et documents qui sont en leur possession, lis par des devoirs et
obligations noncs dans les lois, davantage que les entreprises prives. Ds lors, pour les
tablissements, les impratifs de protection des renseignements personnels et de scurit ne
sont pas uniquement des risques grer mais sont galement des obligations formelles pour
lesquelles il leur incombe de prendre les moyens consquents.
Cest dans ce contexte que le prsent guide de Catgorisation des documents et autres actifs
informationnels aux fins de la protection des renseignements personnels et de la scurit a
t dvelopp. Le terme Catgorisation utilis dans ce document est employ au sens de
Classification dans le Cadre global.
Le guide s'inspire, pour des fins de cohrence et d'uniformit, de la structure du Guide relatif la
catgorisation des documents technologiques en matire de scurit, version 1.2 du 26 octobre
2003, labor sous l'gide du Secrtariat du Conseil du trsor (SCT), auquel les tablissements
ne sont pas par ailleurs formellement subordonns.
2. Objectif du guide
2.1 Objectif
Lobjectif du prsent guide est de fournir aux tablissements une mthodologie et des outils leur
permettant dinventorier les actifs informationnels, selon la gravit des impacts rsultant dun
bris de scurit ou de protection des renseignements personnels (PRP) pour lune ou lautre des
trois obligations faites aux tablissements : 1) la disponibilit de linformation, 2) lintgrit
de linformation et 3) la confidentialit de linformation3.
Les tablissements du rseau de la sant et des services sociaux dtiennent des actifs
informationnels, documents ou autres dossiers. La nature des informations contenues par ceuxci assujettit les tablissements des obligations juridiques et professionnelles, que ce soit de
par la nature personnelle ou confidentielle de certaines informations ou par des obligations
dcoulant de textes spcifiques. Les actions ou les inactions des tablissements sont encadres
par le droit.
De plus, la nature de certaines informations manipules peut, en cas de problmes lis ces
informations, mettre en pril la capacit de ltablissement remplir adquatement sa mission.
Ce dernier peut galement tre expos des consquences conomiques ou sociales.
La catgorisation de linformation permet de :
Dfinir clairement les types dactifs informationnels pour lesquels un niveau de protection
particulier est requis ;
Identifier les actifs informationnels qui seront slectionns afin deffectuer lanalyse de
risques (cette activit est couverte dans le troisime guide intitul Guide dlaboration
dun plan directeur de scurit de linformation - Trousse doutils ) et prciser quelles
dimensions seront retenues pour les fins danalyse (dimensions de disponibilit,
dintgrit et de confidentialit) ;
Ces trois lments sont reprsents par lacronyme DIC tout au long de ce texte.
2.2 Audience
Ce guide sadresse principalement aux personnes suivantes :
2.3 Limitations
La disparit entre les tablissements et les diffrents stades d'avancement des activits de
gestion, relies la protection des renseignements personnels et la scurit de l'information,
au sein de chacun des tablissements, fait en sorte que le guide devra tre adapt et ne devra
en aucun cas se substituer au jugement professionnel des intervenants. Il faut toutefois rappeler
que les lois imposent aux tablissements des devoirs lgard des actifs informationnels qui
sont en leur possession. Les mesures de protection des renseignements personnels et de
scurit appropries aux enjeux doivent donc imprativement tre mises en place pour
s'assurer du respect des obligations juridiques et mdicales des tablissements.
2.4 Soutien
Les Agences de dveloppement de rseaux locaux de services de sant et de services sociaux
ont le mandat de supporter les tablissements dans leur dmarche dlaboration de politiques
de PRP et de scurit de linformation.
Mission organisationnelle
Guide de rdaction
dune politique de scurit
de linformation
tape 1) Politique de
scurit
Prsent guide
tape 2) Catgorisation
des actifs informationnels
tape 3b)
tat de la situation
actuelle
Adqua
tion
Risques intolrables
Guide dlaboration
dun plan directeur de
scurit de linformation
Plan directeur
Normes et
procdures
implanter
Outils
techniques
Manires de
faire et gestion
de la scurit
cette fin, lanalyse de risques permet de dterminer quels sont les risques les plus probables
qui peuvent se matrialiser et affecter un tablissement. Quand elle, lvaluation de la
situation actuelle (tape 3b) permet de dterminer si les mesures de PRP et de scurit mises
en place permettent dadresser adquatement les risques identifis. Enfin, le plan directeur
(tape 3c) vise laborer des actions correctrices si les mesures sont inadquates et en
tablir la priorit.
La dmarche de catgorisation sert ainsi tablir la valeur de tous les actifs informationnels
dtenus par un tablissement et recenser ceux pour lesquels une analyse de risques sera
effectue. De plus, la dmarche de catgorisation permet de cibler les scnarios de risques en
fonction des dimensions retenues pour chacun des actifs informationnels. Ces dimensions sont :
1. La disponibilit de linformation ;
2. Lintgrit de linformation ;
3. La confidentialit de linformation.
Ces trois dimensions sont dfinies dans une section ultrieure.
Les rsultats de la dmarche de catgorisation servent dintrants lanalyse de risques et
ltat de la situation actuelle. La figure 2 illustre ces concepts.
Catgorisation
Analyse de risques
catgorisation :
ltablissement en matire de
disponibilit, dintgrit et de
confidentialit de lactif
informationnel;
lanalyse de risques :
Actifs informationnels
catgoriss selon
lintensit des
obligations de
ltablissement
valuation de la situation
actuelle
Bas
Moyen
lev
Trs lev
matrialisation du risque;
Les contrles dapplication permettent habituellement datteindre ces objectifs. Les contrles
daccs spcifiques aux applications sont galement importants considrer.
Linformation inscrite/enregistre doit tre autorise. cette fin, linformation ne
doit pas tre fausse, non authentique ou avoir t modifie de faon
intentionnelle.
Encore ici, les contrles daccs spcifiques sont considrer pour atteindre cet objectif.
Cette dimension est applicable autant pour les documents sur support papier que les documents
lectroniques enregistrs dans les bases de donnes de ltablissement.
La confidentialit de linformation
Selon la dfinition provenant du Cadre global, la confidentialit est la proprit que possde
une donne ou une information dont laccs et lutilisation sont rserves des
personnes ou entits dsignes et autorises.
La divulgation de linformation doit tre effectue des personnes autorises selon les rgles
tablies par lorganisme. De plus, les obligations de PRP sont incluses dans la dimension de
confidentialit.
10
Le site Internet (et les composantes rattaches comme le systme, la base de donnes,
le serveur et la salle informatique);
12
3.
La catgorisation de linformation est un processus important qui exige, pour tre men bien,
lengagement de la direction gnrale ainsi que la collaboration et le soutien de plusieurs
intervenants de ltablissement, tels que :
- Les gestionnaires des units administratives utilisatrices des actifs informationnels ;
- Les responsables de PRP et de scurit ;
- Les utilisateurs principaux (ou pilotes) ;
- Le dirigeant de ltablissement ou son reprsentant.
Conseil dadministration et direction gnrale
En tant que premier acteur, le conseil dadministration de ltablissement doit exprimer
clairement, par le biais de la direction gnrale, sa volont de mener terme le projet de
catgorisation des documents en matire de PRP et de scurit et dimplanter un processus
continu de catgorisation, par exemple si un nouveau systme dinformation est implant. Le
directeur gnral doit prciser par crit (ou autrement) la dcision de raliser le projet de
catgorisation tous les niveaux de ltablissement.
Comit de PRP et de scurit de ltablissement
Limplication de ce comit est primordiale. Ce dernier est responsable du projet de catgorisation
auprs de la direction gnrale de ltablissement. Il informe celle-ci du droulement du projet.
Pour ce faire, des runions priodiques doivent avoir lieu avec le charg de projet.
13
Charg de projet
Le charg de projet est une personne nomme par la direction gnrale de ltablissement afin
de prendre en charge la dmarche de catgorisation, cest--dire planifier, organiser, diriger et
contrler les activits de catgorisation.
14
Direction
gnrale
RSAI
Charg de projet
quipe de projet
quipe de
Validation
Gestionnaires
responsables
(QUI SONT ULTIMEMENT RESPONSABLES
DE LA COTE TABLIE)
Comit directeur de projet
quipe de
Collaborateurs
Conseiller juridique
Archiviste
Administrateurs de systmes
Vrificateur interne
quipe de
Dtenteurs
Personnes cls des units administratives
Responsables des processus et de ltablissement de la cote
15
16
ateliers de travail pour remplir la matrice de catgorisation, commenter les documents de travail
et proposer au besoin des solutions.
Le responsable des services informatiques doit tre considr comme un dtenteur. Il est
dtenteur des actifs informationnels suivants :
1. Les quipements informatiques centraliss ;
2. Les quipements de tlcommunication ;
3. Les logiciels de base et les utilitaires ;
4. Les logiciels communs (courriels) ;
5. Les outils de dveloppement et de gestion des environnements ;
6. Les systmes de gestion de bases de donnes ;
7. Les logiciels de support (copies de scurit) ;
8. Les imprimantes (si limpression est centralise) ;
9. La documentation des systmes (applicatifs et de base).
17
Lapport de son expertise lquipe de projet de base pour des questions spcifiques ;
Il est galement important que les dtenteurs et les gestionnaires des units administratives
vises par la catgorisation (ou leur reprsentant dsign) participent un atelier de travail afin
de valider lvaluation des documents de leur unit.
18
4.
PROCESSUS DE CATGORISATION
Lactivit de catgorisation est une tape pralable qui permettra dattribuer chaque
document papier ou lectronique une cote dimpact refltant les obligations qui y sont
associes et son importance pour le bon fonctionnement de ltablissement. Tel que mentionn
auparavant, les rsultats de la catgorisation seront utiliss comme intrants la phase de
lanalyse des risques prvue dans le Guide dlaboration du plan directeur de scurit de
linformation - Guide Trousse doutils . Le processus de catgorisation comprend sept tapes
qui sont prsentes la figure 4.
19
20
21
22
Objectifs stratgiques ;
Organigramme de lorganisation ;
Politique de confidentialit ;
Plan de classification ;
23
Unit administrative
Approvisionnement / Installations matrielles
Laboratoire
Dpartement de mdecine gnrale
Mdecine / Hospitalisation
Services ambulatoires/Urgence
Psychiatrie
Dittique
Accueil
Radiologie
Comptabilit
Dtenteur principal
M. Hach
Mme Locas
Dr Dubois
Dr Bergeron
Mme Ladouceur
Mme Binette
Mme Lague
Mme Leblanc
Mme Corbrau
M. Vachon
Tableau 1 : Liste des units administratives et des dtenteurs viss par lexercice
Gnralement, toutes les units administratives de ltablissement seront vises par cet
exercice. Les autres documents permettent de connatre les exigences lgales auxquelles est
24
doivent pas tre inclus dans lexercice de catgorisation et de confirmer lidentification des
dtenteurs de chacune des units administratives.
25
Selon la complexit de lunit daffaires, cette rencontre pourrait tre jumele avec la deuxime
26
rencontre.
27
sociaux (Lsss) mais l'ensemble de leurs obligations nest pas encadr par ce seul texte. La Loi
sur l'accs aux documents des organismes publics et sur la protection des renseignements
6
personnels (ci-aprs la Loi sur laccs) s'applique gnralement en ce qui a trait aux documents
qui ne font pas partie des dossiers d'usagers. Elle trouve galement application dans le cadre
de relations avec des entits de droit priv, dans le cadre dimpartition de services par exemple.
7
La Loi sur la protection des renseignements personnels dans le secteur priv doit galement
tre considre.
8
La Loi sur les archives confre aux tablissements l'obligation de crer un calendrier de
conservation des documents et il faut s'assurer que la catgorisation met en oeuvre ces rgles.
9
Les textes relatifs la protection de la jeunesse de mme que La Loi sur le curateur public,
peuvent avoir un impact sur les modalits de traitement et de divulgation d'informations.
10
dclarations qui doivent tre pris en compte pour s'assurer de la disponibilit des informations
ncessaires au respect de la Loi.
5
6
7
8
9
L.R.Q. S-4.2
L.R.Q. A-2.1
L.R.Q. P-39.1
L.R.Q. A-21.1
La Loi sur la protection de la jeunesse (L.R.Q. c. P-34.1) ou la Loi sur les jeunes contrevenants, rcemment remplace par la Loi
sur le systme de justice pnale pour les adolescents.
28
L.R.Q. S-2.2. D'autres textes connexes seraient consulter: la Loi sur les laboratoires mdicaux, la conservation des organes,
des tissus, des gamtes et des embryons et la disposition des cadavres , L.R.Q. I-0.2, et la Loi sur les services prhospitaliers
durgence, L.R.Q. S-6.2.
29
Ces lments dinformation influenceront lvaluation des impacts sur le DIC et guideront
ltablissement au moment de la slection des mcanismes de scurit mettre en place, tels
que la journalisation, lauthentification, la signature numrique, la notarisation, etc.
On peut notamment consulter louvrage intitul Accs linformation - Loi annote, jurisprudence, analyse et commentaires,
Doray, Raymond et Charrette, Franois, Yvon Blais, 2002.
30
31
structure
commune.
Les
supports
peuvent
donc
tre
33
Nom du dtenteur :
Nom du document :
Papier :
lectronique :
Prsence de PRP?
Inscrit au calendrier
de conservation :
Nom du document :
Papier :
lectronique :
Prsence de PRP?
Inscrit au calendrier
de conservation :
Nom du document :
Papier :
lectronique :
Prsence de PRP?
Inscrit au calendrier
de conservation :
Nom du document :
Papier :
lectronique :
Prsence de PRP?
Inscrit au calendrier
de conservation :
Nom du document :
Papier :
lectronique :
Prsence de PRP?
Inscrit au calendrier
de conservation :
Localisation
Nom du processus :
Catgorisation du
Commentaires
Moyen de transmission :
processus :
Commentaires :
Moyens de transmission :
Partie B: CATGORISATION
CRITRES
CATGORISATION
Bas
EXPLICATIONS/EXIGENCES SPCIFIQUES
Trs lev
DISPONIBILIT
INTGRIT
CONFIDENTIALIT
34
Le nom du dtenteur ;
peuvent
tre
obtenues
par
le
service
informatique.
35
Par exemple :
Le dossier usager serait le groupe de documents regroupant
les informations sur un usager;
Le dossier demploy regrouperait les informations sur les
employs et pourrait tre papier ou lectronique.
36
Une faon simple didentifier les documents papier et lectronique utiliss ou manipuls
lintrieur dun processus daffaires consiste dcrire le processus du dbut la fin de son
cycle.
La figure 5 illustre une faon graphique de documenter un processus
Moyen
physique
Naissance de
linformation
Collecte de
linformation
Moyen
lectronique
Transmission
de
linformation
Moyen
lectronique
Saisie de
linformation
Banque de
Donnes
(documents)
Document
physique
Transmission
lectronique
Traitement de
Linformation
Logiciel
Document
externe
Serveur
Rapports
Endroit o sont
entreposs
les rapports
(ou disposition)
Salle informatique
37
Le recensement des documents et des composantes de support doit tre fait en comprenant
bien les activits lies au processus. La plupart des processus ont une chane de
traitement . Par exemple :
Naissance de linformation
Saisie du document
Traitement de linformation
Destruction de linformation
38
39
Nom du document :
Requte-papier
Papier :
lectronique :
Prsence de PRP?
OUI
Inscrit au calendrier
de conservation : N
Nom du document :
Requte-saisie
Papier :
lectronique :
Prsence de PRP?
OUI
Inscrit au calendrier
de conservation : N
Nom du document :
Requte rsultatsenregistrement
Nom du document :
Requte rsultatsimprime
Nom du document :
Papier :
lectronique :
Prsence de PRP?
OUI
Inscrit au calendrier
de conservation :N
Papier :
lectronique :
Prsence de PRP?
OUI
Inscrit au calendrier
de conservation : N
Papier :
lectronique :
Prsence de PRP?
Inscrit au calendrier
de conservation :
Localisation
SoftLab
Nom du processus :
Commentaires
Moyen de transmission :
processus :
Commentaires :
CATGORISATION
Bas
EXPLICATIONS/EXIGENCES SPCIFIQUES
Trs lev
DISPONIBILIT
INTGRIT
CONFIDENTIALIT
40
de
protection
de
linfrastructure
(le
systme
Une unit daffaires peut tre dcoupes en plusieurs processus daffaires. Par exemple, lunit
administrative Ressources Humaines peut tre constitue des processus suivants :
1. Dotation et embauche
2. Rmunration
3. Communication aux employs
4. valuation et rendement
5. Dpart
41
42
Moyen
physique
Naissance de
linformation
Collecte de
linformation
Moyen
lectronique
Transmission
de
linformation
Moyen
lectronique
Saisie de
linformation
Banque de
Donnes
(documents)
Document
physique
Transmission
lectronique
Traitement de
Linformation
Logiciel
Document
externe
Rapports
Serveur
Endroit o sont
entreposs
les rapports
(ou disposition)
Salle informatique
43
44
Naissance de linformation ;
Saisie du document ;
Traitement de linformation ;
Destruction de linformation.
On remarque que linventaire des documents tient compte galement des composantes qui les
soutiennent tant au niveau physique quau niveau lectronique. En effet, le processus de
catgorisation permet didentifier les documents physiques et lectroniques qui sont importants
ou non pour ltablissement. Ainsi, si un document papier est important, ses composantes sont
galement importantes; il faudra dterminer o se trouve le document (classeur, local) pour
ensuite effectuer une analyse de risques sur ces composantes et revoir les mcanismes de
protection des composantes qui soutiennent le document physique. Dans le mme ordre dide,
si un document lectronique devient important :
45
Lanalyse de risques sera faite sur chaque composante supportant le document lectronique.
catgoriss
de
limportance
des
informations
46
Les tablissements pourront alors tablir les mesures mettre en place parmi celles qui sont
gnralement appliques, compte tenu du contexte dutilisation et des valeurs attribues leurs
attributs.
Un domaine dactivits peut, au cours de son cycle de vie, avoir un niveau de confidentialit
lev pour une priode donne et tre public pour une autre priode. Normalement, la
catgorisation doit tre revue au cours du cycle de vie. Autrement, on attribue la valeur la plus
leve de son cycle de vie.
De
se
rappeler
que
les
actifs
informatiques
seront
47
48
Poursuites ventuelles ;
Etc.
Pour chaque lment, il est convenu que les niveaux de chaque attribut suivront l'chelle
prsente au tableau 4:
49
Niveau 1
Niveau 2
Niveau 3
Niveau 4
50
Lannexe 1 prsente une dfinition dtaille des seuils dimpact pour chacun des objectifs du
DIC et fournit des exemples appropris. Il est important pour lquipe de projet de bien matriser
le contenu de cette annexe et dy rfrer constamment lors de lexercice de catgorisation.
Lquipe de projet ainsi que le dtenteur utilisent cette fin le formulaire prvu cette fin en
compltant la partie pour chaque document recens et en compltant galement la partie du
bas, une fois les valuations individuelles des documents ralises. Lquipe de projet se rfre
aux dfinitions dtailles et aux exemples prsents lannexe 1. laide de la dfinition des
seuils dimpact, on attribue une valeur aux attributs du DIC pour chaque document ou groupe de
documents viss. La valeur globale du processus daffaires prendra la valeur la plus leve de
chacune des dimensions du DIC.
daffaires.
Lvaluation
individuelle
des
seuils
pour
lintgrit
et
pour
la
confidentialit;
pour
lIntgrit
et
pour
la
Confidentialit;
pour
lIntgrit
et
pour
la
Confidentialit
Lvaluation globale du processus prendra la plus grande valeur
rencontre pour chaque document soit : 3 pour D, 3 pour I et 3
pour C. Comme nous le verrons plus loin, le 3e document na
pas une grande importance, son valuation tant de 2
globalement.
51
52
Nom du dtenteur :
Nom du document :
Papier :
lectronique :
Prsence de PRP?
Inscrit au calendrier
de conservation :
Nom du document :
Papier :
lectronique :
Prsence de PRP?
Inscrit au calendrier
de conservation :
Nom du document :
Papier :
lectronique :
Prsence de PRP?
Inscrit au calendrier
de conservation :
Nom du document :
Papier :
lectronique :
Prsence de PRP?
Inscrit au calendrier
de conservation :
Nom du document :
Papier :
lectronique :
Prsence de PRP?
Inscrit au calendrier
de conservation :
Localisation
Nom du processus :
Catgorisation du
Commentaires
Moyen de transmission :
processus :
Commentaires :
Moyens de transmission :
Partie B: CATGORISATION
CRITRES
CATGORISATION
Bas
EXPLICATIONS/EXIGENCES SPCIFIQUES
Trs lev
DISPONIBILIT
INTGRIT
CONFIDENTIALIT
53
54
Nom du document :
Prescription papier
Nom du document :
Prescription saisie
Nom du document :
Liste des ordonnances
Nom du document :
tiquettes
Nom du document :
Papier :
lectronique :
Prsence de PRP?
OUI
Inscrit au calendrier
de conservation : N
Papier :
lectronique :
Prsence de PRP?
OUI
Inscrit au calendrier
de conservation : N
Papier :
lectronique :
Prsence de PRP?
OUI
Inscrit au calendrier
de conservation :N
Papier :
lectronique :
Prsence de PRP?
OUI
Inscrit au calendrier
de conservation : N
Papier :
lectronique :
Prsence de PRP?
Inscrit au calendrier
de conservation :
Localisation
Oracle-NTserveur NT10
CGSI
Prescriptions papiers
Nom du processus :
Catgorisation du
Commentaires
Moyen de transmission :
processus :
Commentaires :
CATGORISATION
Bas
EXPLICATIONS/EXIGENCES SPCIFIQUES
Trs lev
DISPONIBILIT
INTGRIT
CONFIDENTIALIT
55
Il
sagit
de
dterminer
les
impacts
sur
Intgrit
Confidentialit
56
57
Unit
administrative
Processus
daffaires
Dtenteur
Documents ou
Systmes
Localisation
Gestion
Type de
Seuils
groupes de
dinformation
(serveurs/
centralise (O
document (P ou
dimpact
composantes)
ou N)
E)
documents
Intrant/Extrant
58
Date de
cration/MAJ
slectionn
Document
Cette matrice prsente une vue densemble des documents qui ont t catgoriss.
La consignation des rsultats permet de voir, pour chaque document, les cotes attribues. Il
sagit maintenant didentifier ceux qui seront slectionns pour lanalyse de risques.
La slection des documents, qui seront utiliss pour une analyse de risques, a comme critre de
ne retenir que ceux dont la cote est de 3 ou 4, dans au moins un des objectifs du DIC. cette
fin, la colonne document slectionn prcise les documents effectivement slectionns.
Pour tre plus clair, il se peut que le dossier usager (qui est un
document) soit utilis par deux units administratives ou quil soit prsent
dans deux systmes diffrents. Par exemple, un systme peut maintenir
le dossier usager (mise jour) et les donnes de ce mme dossier
peuvent tre dverses dans un autre systme (un entrept de donnes
par exemple). Deux valuations peuvent alors en ressortir :
Document
Dossier
usager
Dossier
usager
Systme
Document
Dossier usager
Dossier usager
59
60
Unit
administrative
Processus
daffaires
Dtenteur
Documents ou
Systmes
Localisation (serveurs/
groupes de
dinformation
composantes)
Intrant
Extrant
documents
Pharmacie
Prescriptions
Robinson
Prescriptions
Pharmacie
Prescriptions
Robinson
Prescriptions
CGSI
UX-04/Salle info
Index/
Chart-maxx
Gestion
Type de
Seuils
Processus
Date de
centralise
document
dimpact
slectionn
cration/MAJ
(O ou N)
(P ou E)
OUI
OUI
OUI
OUI
OUI
patient
Pharmacie
Prescriptions
Approvisionnement
Achats
Hach
Bons de
Maestro
NT-U01/Salle info
SAP
NON
NON
Commande
Approvisionnement
Achats
Dittique
Gestion
des
Lague
Restrictions
des
Lague
Menus
UX-09/Salle info
menus
Dittique
Gestion
menus
Dittique
Gestion
MenuPlus
UX-10/Salle info
Index/
NON
patient
des
menus
61
62
Pour les tablissements qui ont planifi la ralisation dun tat de la situation de leur PRP et de
leur scurit ainsi que dune analyse de risques, ce serait le moment appropri de les faire avant
de dterminer les mcanismes appliquer. cette fin, se rfrer au Guide dlaboration du plan
directeur de scurit de linformation. En effet, lexercice de catgorisation ninclut pas
lvaluation de scnarios de risques spcifiques et ne tient pas compte des mcanismes dj en
place au sein de ltablissement.
De ce fait, les tablissements ayant cern des besoins de protection importants auront avantage
raliser une analyse de risques approfondie afin de dterminer lcart entre les mcanismes
que ltablissement a dj en place et les mcanismes qui devraient tre mis en place. Cela leur
permettra de cerner plus prcisment leurs besoins en fonction du contexte dutilisation, du
niveau des seuils de catgorisation retenus ltape prcdente et dexercer ainsi une
slectivit accrue dans le choix des mcanismes de PRP et de scurit mettre en place en
fonction de leur environnement et de leur contexte dutilisation spcifique.
cette tape, il sagit pour ltablissement de slectionner les mcanismes de PRP et de
scurit appropris correspondant aux fonctions de scurit requises pour protger les
documents et les systmes dinformation au niveau dtermin au cours de lexercice de
catgorisation et rpondant aux exigences lgales releves prcdemment.
63
5.
Conclusion
Une dmarche visant faciliter la ralisation des travaux requis par la catgorisation des
documents et actifs informationnels ;
Pour chacune des tapes, des encadrs qui rsument les activits ;
Un lexique (annexe 2) ;
64
Ce guide ne peut cependant pas couvrir tous les cas possibles et sappliquer de manire
intgrale pour tous les documents ou actifs informationnels quun tablissement voudrait
catgoriser. Il sera ncessaire que chaque tablissement ladapte en fonction de son contexte
particulier.
Il offre cependant une srie d'outils qui peuvent servir de barme afin de permettre une quipe
de projet de procder la catgorisation de linformation de son tablissement et dobtenir la
base dinformation ncessaire pour procder lvaluation des risques et la dtermination des
mcanismes qui devront tre implants.
65
66
Disponibilit
Niveau 1
Il est acceptable qu'en cas de
problmes, le systme dinformation
ne soit pas disponible pendant une
priode prolonge. Aucun impact sur
les oprations de ltablissement.
La panne ou l'inaccessibilit de
l'information sont gales ou
suprieures 48
heures.
Niveau 2
En cas de problmes, la priode de
non disponibilit peut tre leve sans
causer de problmes significatifs aux
oprations dun tablissement.
Cependant, au-del dune certaine
priode dindisponibilit, les oprations
de ltablissement pourraient tre
perturbes sans toutefois nuire sa
mission.
Niveau 3
En cas de problmes, une courte
priode dindisponibilit est
permise au-del de laquelle la
mission de ltablissement
pourrait tre srieusement
affecte.
Des mesures doivent tre prises
pour identifier et corriger les
causes du dlai.
Niveau 4
Le systme doit continuellement
tre disponible. Un effort constant
doit tre consenti pour s'assurer
d'une disponibilit maximale.
La panne ou l'inaccessibilit de
l'information sont infrieures 48
heures.
La panne ou l'inaccessibilit de
l'information sont infrieures
30 secondes (99.999% de
disponibilit). la limite, le
systme ne peut tre indisponible
Exemples:
Documents usage interne
Notamment s'ils existent
concurremment sous format
papier :
- Liste d'employs
- Catalogues de centres
documentaires
- Formulaires, documents
types
Notamment si leur disponibilit
ou leur perte n'a pas de
consquences immdiates :
- Statistiques d'utilisation
d'un site Internet
- Statistiques et donnes
consolides
- Comptes rendus et
contenus de
prsentations de
sminaires internes
67
Dossiers de la clientle
Ententes avec les
fournisseurs de soins et de
services
Systme dinformation et
bases de donnes qui
servent directement la
clientle ex.SIIATH,
SIURGI, DSIE.
Systmes de soins
N.B.
Si chacune des composantes possde une disponibilit de 99,9 %, la disponibilit totale sera de 99,7 %. Ce qui est nettement insuffisant pour
supporter le niveau requis.
Si chacune des composantes possde une disponibilit de 99,9 %, la disponibilit totale sera de 99,9999999 %. Ce qui permet de rencontrer les
attentes en autant que les composantes ne soient pas du mme lot. Car la probabilit de pannes dans le mme intervalle de temps MTBF est lev.
68
Le tableau suivant prsente les temps de non disponibilit par anne selon le % de disponibilit.
% de disponibilit
98
99
99,9
99,99
99,999
99,9999
69
Intgrit
Niveau 1
La nature des informations pourrait
tre compromise sans que les
rpercussions ne dpassent les
activits internes de l'administration.
Niveau 2
La nature des informations
pourrait tre compromise
sans que les rpercussions
ne dpassent les activits
administratives ou d'affaires.
Des mesures doivent tre
prises pour identifier les
ventuelles pertes d'intgrit.
Niveau 3
Des informations critiques
pourraient tre
compromises.
Il peut en dcouler des
consquences mdicales
et/ou juridiques graves.
Des mesures doivent tre
prises pour identifier et
corriger les causes de
l'incident.
Niveau 4
La nature des informations pouvant
affecter la vie ou la sant d'individus est
compromise.
Il peut en dcouler des consquences
mdicales et/ou juridiques graves.
Un effort constant doit tre consenti pour
s'assurer de l'intgrit maximale de ces
systmes.
Exemples:
Informations
de
nature Documents dinformation
administrative sans consquences
de gestion, tels que :
mdicales ou juridiques :
- Volume et types de
- Organigrammes
demandes de
- Inventaires
services de la
- Listes d'employs
clientle
- Informations
mdicales et/ou
financires
ncessaires la
planification
- Documents relatifs
aux horaires de
travail
N.B.
Lors de lvaluation du seuil dimpact en matire dintgrit, il importe de considrer la valeur juridique et le besoin
dirrvocabilit du document technologique.
70
En effet, la Loi concernant le cadre juridique des technologies de linformation prvoit que le document technologique, dont
lintgrit est assure, a la mme valeur juridique quun document sur support papier, dans la mesure o il respecte par
ailleurs les mmes rgles de droit (par exemple, la signature des parties un acte sous seing priv)12.
Au moment de lanalyse du contexte, des contraintes et des exigences prvues ltape 2, les exigences en matire
dirrvocabilit auront normalement t tablies. Il sagit ici de vrifier plus spcifiquement le besoin dirrvocabilit pour le
groupe de documents faisant lobjet de lvaluation. On se questionnera notamment sur les lments suivants :
Sil existe des besoins dirrvocabilit et de signature, ceux-ci pourront tre inscrits dans la colonne Explications/Exigences
spcifiques de la partie B du Formulaire dinventaire et de catgorisation.
12
71
Confidentialit
Niveau 1
Les informations sont de
nature publique. Aucune
barrire l'accs n'est
requise.
Niveau 2
Les informations ne sont pas
assujetties une obligation
de confidentialit et/ou sont
divulgues par
l'tablissement.
Niveau 3
Les informations sont
confidentielles en vertu d'un
rgime juridique. Une
barrire l'accs doit exister
pour s'assurer que les accs
sont contrls.
Niveau 4
Les informations sont confidentielles en vertu d'un rgime
juridique et trs sensibles une divulgation ventuelle. Une
barrire l'accs doit exister pour s'assurer que les accs
sont contrls et journaliss et que les informations sont
encryptes.
Exemples:
72
Lvaluation de limpact en matire de confidentialit devrait notamment tenir compte des exigences prvues par la Lssss et par la
Loi sur laccs.
Renseignements personnels
Lorsque les documents contiennent des renseignements personnels, le seuil dimpact en matire de confidentialit doit normalement
tre valu niveau lev (impact grave) .
Cependant, dans la mesure o la divulgation ou la modification non autorise de renseignements personnels pourrait mettre en pril
la scurit ou la sant physique ou psychologique de personnes, le seuil dimpact pourrait tre de niveau trs lev (extrmement
grave). On peut penser ici la divulgation du fait quune personne agit titre dinformateur pour une enqute criminelle13 ou aux
coordonnes des personnes bnficiant du programme de protection des tmoins. On peut aussi penser la divulgation du fait
quune personne est atteinte du VIH ou la divulgation de certains diagnostics psychiatriques, lesquels pourraient lui occasionner un
prjudice trs grave.
13
Dans de tels cas, des textes comme la Loi sur la protection de l'information, L.R.C. c. O-5, pourraient trouver application.
73
Documents confidentiels
La Lssss prvoit que les dossiers des usagers sont confidentiels, plus gnralement la Loi sur laccs prvoit que certains
documents doivent demeurer confidentiels alors que dautres documents peuvent demeurer confidentiels au choix de
ltablissement.
Le seuil dimpact de la confidentialit des documents qui doivent demeurer confidentiels pourrait tre au minimum de niveau lev
(impact grave). Cependant, limpact pourrait tre de niveau trs lev (extrmement grave) pour certains documents, notamment
ceux dont la divulgation risque davoir des incidences sur ladministration de la justice ou la scurit publique14.
Quant aux documents qui peuvent demeurer confidentiels au choix de ltablissement, limpact pourrait tre au minimum de niveau
moyen (limit) et pourrait tre plus lev, selon le type de documents viss. Au moment de lexercice de catgorisation, il ne sagit
pas ncessairement pour ltablissement de prendre une dcision dfinitive quant au caractre confidentiel ou non de ce type de
documents. Cette dcision est habituellement prise dans le cadre prcis dune demande daccs linformation. Nanmoins, lon
pourra par prudence considrer de choisir dappliquer un minimum de protection aux documents pouvant tre confidentiels advenant
que ltablissement dcide subsquemment de ne pas les rendre publics.
14
Articles 28, 29 et 29.1 de la Loi sur laccs ainsi que la Loi sur la protection de l'information.
74
Annexe 2 Lexique
75
dinformations
lectroniques :
collection
dinformations
lectroniques
76
77
78
est intelligible sous forme de mots, de sons ou dimages. Linformation peut tre rendue
au moyen de tout mode dcriture, y compris dun systme de symboles transcriptibles
sous forme de mots, de sons ou dimages ou en un autre systme de symboles.
Document technologique : une information dlimite et structure de faon logique sur
un support faisant appel aux technologies de linformation, intelligible sous forme de
mots, de sons ou dimages. Est assimile au document technologique toute banque de
donnes dont les lments structurants permettent la cration de documents par la
dlimitation ou la structuration de linformation qui y est inscrite.
Donne : lment de base constitutif dun renseignement, dune information.
Donne confidentielle : donne qui ne peut tre communique ou rendue accessible
quaux personnes ou autres entits autorises.
Donne nominative : information relative une personne physique identifie ou
identifiable.
Donne publique : donne ne faisant pas lobjet de restriction daccs.
Donne sensible : donne dont la divulgation, laltration, la perte ou la destruction
risquent de paralyser ou de mettre en pril soit un service, soit lorganisation elle-mme
qui, de ce fait, devient vulnrable.
Droit dauteur : droit exclusif que dtient un auteur ou son reprsentant dexploiter une
uvre pendant une dure dtermine.
quipement informatique : ordinateurs, mini-ordinateurs, micro-ordinateurs, postes de
travail informatiss et leurs units ou accessoires priphriques de lecture,
demmagasinage, de reproduction, dimpression, de communication, de rception et de
traitement de linformation et tout quipement de tlcommunications.
Exploitation informatique : unit administrative qui a comme tche dassurer le bon
fonctionnement, le dveloppement et lentretien des services informatiques de
ltablissement.
Fournisseur prestataire tiers : corporation, socit, cooprative ou personne
physique faisant affaires et tant en mesure de contracter avec le gouvernement, une
unit administrative dun tablissement ou tout fonds spcial qui fournit des services ou
des biens un dtenteur, un utilisateur ou un autre fournisseur.
79
80
81
Personne : une personne physique ou une personne morale de droit public ou de droit
priv.
Personnel : ensemble des ressources humaines, rmunres ou non, qui assument la
mission de ltablissement.
Plan de reprise aprs sinistre : document qui prvoit toutes les circonstances
entranant une interruption de service des actifs informationnels ainsi que toutes les
mesures applicables afin dassurer, sur site ou hors site, les services essentiels.
Plan de sauvegarde : plan contenant les rgles dtailles et strictes relatives tous les
aspects de la sauvegarde informatique (responsabilit, exhaustivit, cohrence, fichiers
stratgiques, nombre de gnrations, cycles de rotation, confection, supports, transport,
lieu dentreposage, dure dentreposage, accessibilit, exploitabilit, contrles et
validation).
Politique de protection des renseignements personnels : nonc des droits et
obligations des tablissements et des personnes lgard de la protection des
renseignements personnels.
Politique de scurit : nonc gnral manant de la direction dune organisation et
indiquant la ligne de conduite adopte relativement la scurit, sa mise en uvre et
sa gestion.
Progiciel : ensemble complet de programmes informatiques munis de documents,
conus pour tre fournis plusieurs utilisateurs et commercialiss en vue dune mme
application ou dune mme fonction.
Processus : regroupement dvnements daffaires, agencs selon une logique de
cration de valeur, excuts dans le but de livrer un rsultat (dfinition CT architecture
dentreprise gouvernementale .
Programme informatique : srie de fonctions et de dfinitions en langage machine ou
dans un langage plus volu.
Registre d'autorits : contient les titres de fonctions (rles) de l'organisation et prcise
les pouvoirs qui sont dlgus leur titulaire.
Renseignement : synonyme dinformation.
82
public :
rseau
partag
par
plusieurs
organisations
et
appartenant
83
de
ces
lments
utiliss
pour
recueillir,
emmagasiner,
traiter,
ensemble
des
procds
lectroniques
de
transmission
dinformation distance.
Traitement de linformation ou traitement des donnes : ensemble des oprations
effectues automatiquement sur des donnes afin den extraire certains renseignements
qualitatifs ou quantitatifs.
Transaction : opration impliquant une modification de linformation.
Transmission dinformation : action de transporter une information dun metteur vers
un rcepteur.
Utilisateur : personne, groupe ou entit administrative qui fait usage dun ou de
plusieurs actifs informationnels appartenant aux tablissements du rseau de la sant et
des services sociaux.
Utilisation : terme qui recouvre, le cas chant, lensemble des vnements constituant
le cycle de vie de linformation, soit la collecte, laccs ou la consultation, la modification
ou la rectification, la communication ou la transmission et la conservation, y inclus
larchivage ou la destruction.
Vrification : valuation cible dune situation problmatique ou juge risque et ne
visant que les actifs informationnels en cause.
Virus : programme insr dans un systme informatique afin de causer des dommages
nuisibles et nfastes.
84
85
86
ANNEXE 4 Exemplaire du
Formulaire dinventaire et de catgorisation
87
Nom du dtenteur :
Nom du document :
Papier :
lectronique :
Prsence de PRP?
Inscrit au calendrier
de conservation :
Nom du document :
Papier :
lectronique :
Prsence de PRP?
Inscrit au calendrier
de conservation :
Nom du document :
Papier :
lectronique :
Prsence de PRP?
Inscrit au calendrier
de conservation :
Nom du document :
Papier :
lectronique :
Prsence de PRP?
Inscrit au calendrier
de conservation :
Nom du document :
Papier :
lectronique :
Prsence de PRP?
Inscrit au calendrier
de conservation :
Localisation
Nom du processus :
Catgorisation du
Commentaires
Moyen de transmission :
processus :
Commentaires :
Moyens de transmission :
Partie B: CATGORISATION
CRITRES
CATGORISATION
Bas
EXPLICATIONS/EXIGENCES SPCIFIQUES
Trs lev
DISPONIBILIT
INTGRIT
CONFIDENTIALIT
88
Annexe 5 Exemplaire de la
Matrice de catgorisation
89
Unit
administrative
Processus
daffaires
Dtenteur
Documents ou
Systmes
Localisation
Gestion
Type de
Seuils
Processus
Date de
groupes de
dinformation
(serveurs/
centralise
document
dimpact
slectionn
cration/MAJ
composantes)
(O ou N)
(P ou E)
documents
Intrant
Extrant
90
Unit
Domaine
Documents
Systmes
administrative
dactivits
ou groupes
dinformation
Serveur
Dtenteur
Type de
Seuils
document
dimpact
Document
de
slectionn
documents
Papier
lectronique
D
91