Guide du règlement sur la cybersécurité des fournisseurs à Winnipeg

Technologie et données Manitoba 4 min de lecture · publié 11 février 2026 Flag of Manitoba

Winnipeg, Manitoba exige que les fournisseurs respectent les attentes en matière de cybersécurité et de protection des données lorsqu'ils fournissent des services ou traitent des données de la ville dans le cadre de contrats municipaux. Ce guide explique les clauses contractuelles typiques en matière de cybersécurité, où trouver les règles d'approvisionnement de la ville, comment fonctionnent l'application et les recours, et les mesures pratiques que les fournisseurs doivent prendre avant et pendant l'exécution. Il s'adresse aux fournisseurs, aux responsables des approvisionnements et aux gestionnaires de contrats qui doivent aligner leurs propositions et leurs opérations sur les attentes en matière de sécurité de l'information de la Ville de Winnipeg.

Portée et instruments applicables

Les exigences de cybersécurité pour les fournisseurs sont généralement mises en œuvre au moyen de documents d'approvisionnement (DP, DEM), des conditions générales standard et des annexes de sécurité propres au contrat plutôt que par un règlement autonome. Les fournisseurs doivent s'attendre à des obligations concernant la confidentialité des données, la notification des violations, le chiffrement, les contrôles d'accès et les droits d'audit dans le cadre des contrats municipaux. Les règles d'achat et les exigences pour les fournisseurs de la Ville de Winnipeg sont publiées par le service Purchasing & Materials Management de la Ville[1].

Examinez les annexes de sécurité de chaque appel d'offres avant de soumissionner.

Sanctions et application

L'application municipale de la cybersécurité repose principalement sur le contrat : la Ville applique les recours prévus au contrat et la politique d'approvisionnement plutôt que des amendes réglementaires pénales. Les montants précis des amendes, pénalités journalières ou sanctions monétaires statutaires pour les incidents de cybersécurité sont généralement non précisés sur la page citée ; les recours contractuels et les actions civiles sont les voies habituelles.

  • Recours financiers : résiliation du contrat, compensation sur les paiements ou réclamations en dommages-intérêts si des pertes surviennent ; montants spécifiques non précisés sur la page citée.
  • Escalade : remédiation lors du premier incident, plans d'action correctifs, et les récidives peuvent entraîner suspension ou résiliation ; calendriers d'escalade spécifiques non précisés sur la page citée.
  • Sanctions non monétaires : suspension d'accès, ordres de correction de vulnérabilités, audits judiciaires et suspension ou résiliation de contrat.
  • Autorité d'application et plaintes : la responsabilité incombe au service contractant de la Ville et à Purchasing & Materials Management ; les plaintes relatives à la conformité des fournisseurs sont traitées par l'administrateur de contrat et le bureau des approvisionnements.
  • Recours et délais : les décisions d'approvisionnement et les mesures contractuelles peuvent faire l'objet d'un examen interne ou d'une contestation formelle en vertu des politiques d'approvisionnement de la Ville ; les délais pour les contestations ou appels sont énoncés dans les documents d'approvisionnement ou la politique et ne sont pas précisés sur la page citée.
  • Moyens de défense et discrétion : la Ville peut accepter des mesures d'atténuation comme des plans de remédiation, des sous-traitances approuvées ou des contrôles transitoires si cela est expressément permis dans le contrat.
Ce sont les conditions contractuelles plutôt que le règlement municipal qui définissent généralement les sanctions en cybersécurité pour les fournisseurs.

Violations courantes et conséquences typiques

  • Absence de chiffrement des données sensibles en transit ou au repos — peut entraîner la suspension immédiate de l'accès aux données et l'obligation de remédier.
  • Notification tardive ou absence de notification d'une violation — peut entraîner des actions correctives et des réclamations en dommages-intérêts.
  • Sous-traitance non autorisée ou accès non autorisé — peut conduire à la résiliation du contrat et à l'exclusion des futurs marchés publics.

Formulaires et demandes

Les formulaires spécifiques à la sécurité ou à la vie privée sont généralement propres à chaque appel d'offres (annexes de sécurité, preuves de contrôles ou questionnaires de sécurité des fournisseurs). Les formulaires généraux d'enregistrement des fournisseurs et d'approvisionnement de la Ville sont publiés par Purchasing & Materials Management ; aucun formulaire unique et général sur la cybersécurité des fournisseurs n'est spécifié sur la page citée.

Étapes pratiques de conformité pour les fournisseurs

  • Examinez les annexes de sécurité et les conditions contractuelles avant de soumissionner et confirmez les contrôles requis dans votre offre.
  • Mettez en place des contrôles techniques de base : MFA, chiffrement, journalisation, gestion des correctifs et principe du moindre privilège.
  • Maintenez des procédures d'intervention en cas d'incident et de notification des violations conformes aux délais contractuels et aux obligations provinciales.
  • Désignez un contact sécurité pour le contrat et fournissez ses coordonnées dans les soumissions lorsque demandé.
  • Prévoyez des audits par des tiers ou des preuves de conformité si le contrat exige des évaluations indépendantes.
Conservez les preuves de contrôles et des évaluations tierces prêtes pour les audits contractuels.

FAQ

Les règlements de Winnipeg précisent-ils des normes de cybersécurité pour les fournisseurs ?
Non ; les attentes en matière de cybersécurité sont normalement définies dans les documents d'approvisionnement et les conditions contractuelles plutôt que par un règlement municipal distinct.
Qui applique les obligations de cybersécurité dans un contrat municipal ?
Le service contractant de la Ville avec Purchasing & Materials Management applique les recours contractuels et les mesures de conformité.
Que se passe-t-il si un fournisseur provoque une violation de données ?
Attendez-vous à des recours contractuels comme la remédiation, des réclamations en dommages-intérêts, une suspension ou une résiliation ; des obligations provinciales en matière de vie privée peuvent aussi s'appliquer.

How-To

  1. Avant de soumissionner, lisez l'annexe de sécurité de l'appel d'offres et notez les livrables exigés.
  2. Comparez vos contrôles actuels aux exigences contractuelles et identifiez les lacunes.
  3. Soumettez les preuves de contrôles demandées et fournissez un contact sécurité nommé.
  4. En cas de violation, appliquez votre plan d'intervention et notifiez la Ville selon les termes du contrat.

Points clés

  • Les obligations de cybersécurité pour les fournisseurs sont définies par le contrat ; lisez attentivement les appels d'offres.
  • Préparez preuves et plans d'intervention avant la contractualisation pour réduire les risques et les délais.

Aide et ressources

Catégories

Gouvernance et administration générales Sécurité publique Santé publique et bien-être Urbanisme et zonage Logement et normes de construction Transports Protection de l’environnement Parcs et espaces publics Affaires et protection du consommateur Fiscalité et finances Travail et emploi Éducation Droits civils et équité Élections et financement des campagnes Événements et usages spéciaux Enseignes et publicité Services publics et infrastructures Technologie et données