Politique de sécurité, de confidentialité et de l’intelligence artificielle – octobre 2025

FC Morissette Consulting respecte ses engagements dans le cadre du programme ProServices du GdC afin de protéger l’information de ses clients.  

Respecter ces engagements signifie :

  • Maintenir un contrôle / autorisation de sécurité approprié de l’organisation via le programme de sécurité des contrats (PSC) du SPAC.
  • S’assurer que tout le personnel qui accède à des informations sensibles ou protégées a un statut de sécurité valide.
  • Appliquer des contrôles de sécurité informatique appropriés lors du traitement, du stockage, de la transmission ou de l’accès à des informations protégées ou classifiées.
  • Ne pas traiter ou stocker électroniquement des informations protégées/classifiées à moins que l’approbation écrite ne soit accordée par les autorités du GdC.
  • En cas de sous-traitance, ne le faire qu’avec une autorisation écrite préalable lorsque la sous-traitance implique des exigences de sécurité GdC.
  • Adhérer aux exigences de sauvegarde des documents (physiques et électroniques) telles que spécifiées dans les clauses contractuelles.
  • Maintenir la surveillance, l’examen et la préparation à l’audit des contrôles de sécurité / confidentialité pendant l’exécution du contrat.

Gestion de l’information des clients – sécurité et confidentialité

Pour gérer l’information et les données de mes clients sainement, cela signifie que : 

  • J’ai une cote de sécurité de niveau secret (valable jusqu’en février 2035).
  • Je ne stocke que des livrables sensibles et des données des clients sur des plateformes approuvées par le client. Cela signifie généralement les plates-formes GdC (par exemple, GCdocs, GC SharePoint, GC Teams) sont conçues pour gérer des informations protégées B ou supérieures. Les clients me donnent généralement accès à ces plates-formes via le matériel émis par le client, GdC VPN et/ou l’accès au réseau.
  • Toute information des clients que je détiens, possède ou gère est limitée aux informations protégées A ou non classifiées. Ces informations des client sont stockées sur mes comptes Microsoft 365 et OneDrive, qui sont conformes aux normes de sécurité du gouvernement du Canada. Ces plates-formes sont approuvées pour les informations protégées A (et dans certains cas protégées B), mais dans ma propre pratique, je limite le stockage à la protection A uniquement. Toutes les données sont cryptées, contrôlées par l’accès et protégées conformément aux exigences du programme de sécurité des contrats de SPAC.
  • Je ne détiens pas, ne possède pas ou ne gère pas les informations protégées B ou supérieures du client, ou classées en matière de sécurité, sur mes systèmes.
  • Si un client m’envoie par inadvertance des informations protégées B ou supérieures, ou classées en matière de sécurité, je l’informerai de la situation et je suivrai ses conseils pour résoudre le problème à sa satisfaction.
  • En cas de doute, je clarifie la sensibilité et le niveau de classification de l’information avec les clients.

Utilisation de l’intelligence artificielle – qualité, sécurité et confidentialité

En tant que fournisseur de ProServices, je reconnais que le gouvernement du Canada fait évoluer son approche de l’intelligence artificielle (IA). Pour maintenir la confiance et la conformité, j’applique les principes suivants lors de l’utilisation d’outils d’IA dans la prestation de services :

  • Je divulgue quand et comment les outils d’IA sont utilisés pour accélérer et soutenir les livrables contractuels.
  • Les résultats assistés par l’IA utilisés pour ensuite accélérer et soutenir les livrables sont examinés, validés et approuvés par moi pour assurer l’exactitude, l’équité et la pertinence.
  • Je reste entièrement responsable des livrables finaux au client, que les outils d’IA aient ou non soutenu le travail.

Pour appuyer les projets de mes clients, cela signifie que:

  • J’utilise parfois des outils d’IA (ex. Comptes ChaptGPT, Gemini, Perplexity) pour accélérer le développement de travaux non classifiés et anonymisés (ex. recherche et analyse, rédaction de modèles, analyse des cadres publics, création de matériel de formation).
  • Les résultats assistés par l’IA servent généralement de premier brouillon ou de base pour mon travail ultérieur visant à développer un produit final.
  • Tous les produits finaux sont développés, édités, finalisés, validés et approuvés par moi avant la livraison aux clients.
  • Aucune information protégée B ou supérieure, ou classée en matière de sécurité, n’est saisie dans les outils d’IA.
  • Pour les informations protégées A ou non classifiées saisies dans les outils d’IA – aucune information identifiable sur l’organisation ou le client (ex. noms, e-mails, dossiers RH, données financières) n’est saisie dans les outils d’IA.
  • Pour les informations protégées A ou non classifiées saisies dans les outils d’IA – j’anonymise les informations dans la mesure du possible (ex. « Organisation X », « Équipe XYZ » ou « Employé A/B » au lieu de vrais noms ou titres).

J’utilise des outils d’IA pour accélérer mon travail et réduire le coût pour les clients. Je ne facture les clients que pour le travail effectué, conformément aux conditions contractuelles. Si un client m’ordonne de ne pas utiliser d’outils d’IA pour soutenir son projet, je facturerai la totalité du temps et des efforts nécessaires pour livrer comme demandé.

Je mets à jour mes pratiques en matière de sécurité, de confidentialité et d’IA périodiquement afin de les aligner sur l’évolution des directives et exigences du Conseil du Trésor et du PSPC dans ces domaines.