Politique de partage des données

30 juin 2017

1. Objet – La présente politique établit les modalités selon lesquelles les agences d’État (l’Agence ou les Agences) peuvent obtenir l’accès aux outils de productivité des technologies de l’information d’entreprise qui permettent aux Agences de partager ou de diffuser des données et/ou des informations avec ou à des personnes à l’intérieur et à l’extérieur du gouvernement de l’État, dans le cadre de la mission de l’Agence.
2. Aperçu – De nombreux organismes ont demandé au Bureau de mettre en place divers outils de productivité permettant le partage et la diffusion de données et d'informations avec des personnes, tant à l'intérieur qu'à l'extérieur de l'administration publique. Le Bureau entend rendre ces outils accessibles aux organismes d'État afin de leur permettre de partager et de diffuser efficacement des données et des informations et ainsi réduire leurs coûts administratifs. Toutefois, étant donné la facilité de partage des données avec le monde entier offerte par ces outils, le Bureau a jugé nécessaire, dans l'intérêt de l'État, d'établir des procédures et des exigences régissant leur utilisation et leur gestion par les organismes.
3. Champ d’application – La présente politique s’applique à tous les organismes qui ont accès aux différents outils de productivité mis à leur disposition par le Bureau et qui les utilisent. Ces outils permettent aux organismes de partager ou de diffuser des données et/ou des informations avec des personnes, tant à l’intérieur qu’à l’extérieur de l’administration publique. Les organismes sont encouragés à adopter des normes et politiques complémentaires régissant l’utilisation de ces outils de productivité, en fonction de leurs besoins opérationnels et des lois, règles et réglementations applicables. Ces normes et politiques complémentaires peuvent compléter la présente politique, sans toutefois la modifier. En cas de conflit entre la présente politique et une norme ou politique adoptée par un organisme, la présente politique prévaut.
4. Définitions – Les termes en majuscules non définis dans le présent document ont la même signification que celle qui leur est attribuée par l’article 8B.1 du Code de l’Iowa et les règles administratives correspondantes. Certains termes utilisés dans la présente politique sont définis comme suit :
   • 4.1 Les outils de productivité des technologies de l'information d'entreprise ou les outils de productivité désignent les applications, les logiciels, les programmes, les modules et les composants mis à disposition par le Bureau pour être utilisés par les agences qui facilitent le partage ou la diffusion de données et/ou d'informations (y compris, mais sans s'y limiter, les données ou les informations hébergées dans ou sur des documents, des feuilles de calcul, des présentations ou des sites Web) avec ou à des personnes à l'intérieur et à l'extérieur du gouvernement de l'État, tels que Google Docs, Google Drive, Google Sites ou Google Groups.
   • 4.2 Administrateur qualifié désigne un employé, un agent, une filiale, un entrepreneur indépendant ou un autre tiers désigné par l'Agence concernée pour créer, gérer et/ou administrer des outils de productivité au nom d'une Agence.
5. Politique de partage des données/informations
   • 5.1. Accès aux outils de productivité. Pour obtenir l’accès aux outils de productivité, une agence doit :
     • 5.1.1. Désigner un ou plusieurs administrateurs qualifiés. À cette fin, une personne au sein de l'agence concernée et ayant reçu l'autorité déléguée à cet effet doit fournir le ou les noms et autres informations demandées concernant ce ou ces administrateurs qualifiés au Bureau à l'adresse cio@iowa.gov .
     • 5.1.2. Un organisme ne peut désigner que le nombre minimal d'administrateurs qualifiés nécessaires à la gestion efficace des outils de productivité qu'il utilise. Un administrateur qualifié peut être chargé de superviser l'utilisation de tous les outils de productivité de son organisme, ou seulement d'une partie de ceux-ci. Toutefois, chaque outil de productivité utilisé par l'organisme doit avoir un administrateur qualifié désigné, responsable de sa gestion et de sa supervision.
   • 5.2. Responsabilités de l'administrateur qualifié. L'administrateur qualifié est responsable de la gestion et de la supervision des pratiques de partage et de diffusion des données et des informations de son organisme, au moyen des outils de productivité pour lesquels il a été désigné administrateur qualifié. À cette fin, l'administrateur qualifié doit :
     • 5.2.1. Posséder une compréhension approfondie des fonctionnalités de partage et de contrôle d’accès associées aux outils de productivité qu’ils ont été chargés de gérer et de superviser, ainsi que des conséquences potentielles liées au défaut du personnel de l’Agence d’utiliser correctement ces fonctionnalités ;
     • 5.2.2. Assurer la formation et répondre aux questions du personnel de l’Agence concernant l’utilisation appropriée des fonctionnalités de partage et de contrôle d’accès associées aux outils de productivité qu’ils ont été chargés de gérer et de superviser, ainsi que les conséquences potentielles liées à une mauvaise utilisation de ces fonctionnalités ;
     • 5.2.3. Établir et mettre à jour périodiquement des normes et politiques supplémentaires propres à l'Agence régissant l'utilisation des outils de productivité qu'ils ont été chargés de gérer et de superviser, conformément à la mission de leur Agence et aux lois, règles et réglementations applicables ;
     • 5.2.4. Surveiller et superviser l’utilisation des outils de productivité qui leur ont été confiés par le personnel de l’Agence afin de s’assurer que ces outils de productivité sont utilisés conformément aux normes, politiques, lois, règles et réglementations applicables relatives au partage et à la diffusion de données et/ou d’informations et prendre des mesures pour remédier à toute non-conformité identifiée.
   • 5.3. Conditions générales d'utilisation.
     • 5.3.1. Responsabilité de l’organisme . L’organisme qui choisit d’utiliser les outils de productivité mis à disposition par le Bureau est seul responsable de tous les risques associés aux données ou aux informations mises à la disposition des personnes, tant à l’intérieur qu’à l’extérieur du gouvernement de l’État, y compris, mais sans s’y limiter :
       • 5.3.1.1. Toutes les données et/ou informations qu'elle télécharge, soumet, stocke, envoie, reçoit et/ou met autrement à la disposition des personnes à l'intérieur et à l'extérieur du gouvernement de l'État par le biais de ces outils de productivité, y compris, mais sans s'y limiter, en veillant à ce que ces données ou informations soient mises à disposition conformément aux normes, politiques, lois, règles et réglementations applicables ;
       • 5.3.1.2. Modérer tout contenu intégré ou autrement mis à disposition par le biais de ces outils de productivité, y compris, mais sans s'y limiter, l'approbation et la suppression du contenu ;
       • 5.3.1.3. Gérer et superviser tout média social incorporé ou intégré à ces outils de productivité, y compris, mais sans s'y limiter, Twitter, Facebook, LinkedIn ou Google+ ;
       • 5.3.1.4. Toute utilisation et/ou tous les risques associés à toutes applications, logiciels, programmes, modules et composants tiers incorporés ou intégrés aux Outils de productivité.
     • 5.3.2. Droit du Bureau d'examiner le contenu.
       • 5.3.2.1. Sauf disposition contraire d'un protocole d'entente ou d'un autre accord intergouvernemental entre le Bureau et un organisme, d'un formulaire de confidentialité signé par le Bureau ou un organisme, ou de toute loi, règle ou réglementation applicable, l'utilisation des outils de productivité par un organisme implique son consentement et son autorisation pour le Bureau d'examiner tout contenu téléchargé, soumis, stocké, envoyé, reçu et/ou mis à disposition par le biais de ces outils, afin de déterminer si ce contenu a été rendu accessible à des agents de l'État ou au public en violation des normes et politiques informatiques applicables, et/ou de toute loi, règle ou réglementation. Si le Bureau constate qu'un tel contenu a été rendu accessible en violation des normes et politiques informatiques applicables, et/ou de toute loi, règle ou réglementation, ou s'il semble constituer une publication ou une diffusion non autorisée ou involontaire d'informations sensibles ou confidentielles, le Bureau en informera sans délai l'organisme concerné et collaborera avec lui pour résoudre le problème. Le Bureau peut immédiatement supprimer ou désactiver le contenu litigieux sans préavis à l'organisme concerné. à condition que le Bureau notifie l'Agence de cette mesure dès que cela sera raisonnablement possible.
       • 5.3.2.2. Nonobstant ce qui précède, une Agence qui choisit d'utiliser les Outils de productivité mis à disposition par le Bureau demeure seule responsable de tout contenu mis à disposition par le biais de ces Outils de productivité, comme indiqué à la section 5.3.1 ci-dessus, et les Agences ne doivent pas présumer que le Bureau examinera leur utilisation de ces Outils de productivité ou tout contenu mis à disposition par leur intermédiaire afin de les dispenser de la nécessité de gérer indépendamment le contenu de manière responsable et conformément aux normes, politiques, lois, règles ou réglementations applicables.
       • 5.3.3. Normes et politiques informatiques supplémentaires. Nonobstant toute disposition contraire de la présente politique, celle-ci ne constitue pas la seule norme ou politique informatique applicable à la gestion et/ou à l’administration par un organisme des outils de productivité, ni aux données ou informations partagées ou diffusées par ou via ces outils. À titre d’exemple, les normes ou politiques informatiques supplémentaires suivantes peuvent également s’appliquer :
         • 5.3.3.1. Classification des données ;
         • 5.3.3.2. Gestion des données ;
         • 5.3.3.3. Norme de sécurité des applications Web ;
         • 5.3.3.4. Système de gestion de contenu Web ;
         • 5.3.3.5. Conception Web ;
         • 5.3.3.6. Notes relatives à la politique des pages Web ;
         • 5.3.3.7. Accessibilité du site Web.
6. Fournisseurs et prestataires. La présente politique s'applique aux employés, agents, affiliés, sous-traitants et autres tiers travaillant pour le compte des prestataires des agences, dans la mesure où ces derniers utilisent les outils de productivité pour accéder, créer, gérer, partager et/ou diffuser des données ou des informations pour le compte des agences.
7. Mises à jour. La présente politique sera révisée au moins tous les deux ans et mise à jour au besoin.
8. Date d'entrée en vigueur. La présente politique entrera en vigueur le 1er juillet 2017.
9. Application. Cette politique sera appliquée conformément aux règles 11-25.11 et 11-117.11 du Code administratif de l'Iowa et aux articles 8B.21(1)(d), (f) et (h), 8B.23(1) et 8B.24(1) du Code de l'Iowa.
10. Dérogation. Les articles 11-25.11(2) et 11-117.11(3) du Code administratif de l'Iowa, ainsi que l'article 8B.21(5) du même code, prévoient des dérogations aux normes et politiques. Toute demande de dérogation aux exigences de la présente politique doit être adressée par écrit au directeur des systèmes d'information de l'État à l' adresse cio@iowa.gov.