Règlement municipal de London : exigences de sécurité des fournisseurs pour les systèmes tiers

Technologie et données Ontario 4 min de lecture · publié 12 février 2026 Flag of Ontario

London, Ontario exige que les organisations concluant des contrats avec la ville respectent des attentes précises en matière de sécurité et de confidentialité lorsque des systèmes tiers traitent des données municipales ou se connectent aux réseaux de la municipalité. Ce guide résume les règles d'approvisionnement applicables, les contrôles informatiques et de confidentialité, les voies d'application et les étapes pratiques que les fournisseurs et le personnel municipal doivent suivre pour réduire les risques, protéger les renseignements personnels et maintenir la continuité des services.

Portée et attentes minimales

Les systèmes tiers incluent les services cloud, les plateformes hébergées, les logiciels sous-traités et les fournisseurs de services gérés qui stockent, transmettent ou traitent des informations de la ville. Les attentes de base couvrent généralement la classification des données, le chiffrement en transit et au repos, les contrôles d'accès, la notification d'incident et les clauses contractuelles pour la confidentialité et la responsabilité. Pour les règles d'approvisionnement et les obligations des fournisseurs, consultez le cadre d'achat de la Ville de London.[1]

Confirmez les clauses contractuelles et les exigences de traitement des données avant l'intégration d'un fournisseur.

Évaluation des risques et intégration

Avant l'approbation, les fournisseurs doivent remplir un questionnaire de sécurité et fournir des preuves de contrôles : rapports SOC 2 ou équivalents, diagrammes de flux de données, normes de chiffrement et plan d'intervention en cas d'incident documenté. Les services informatiques et les achats de la ville coordonnent généralement l'examen; les évaluations techniques peuvent inclure des analyses de vulnérabilité et des résumés de tests d'intrusion demandés par l'équipe informatique de la ville.[2]

  • Remplir le questionnaire de sécurité et fournir des attestations.
  • Signer les conditions contractuelles couvrant la confidentialité et le droit d'audit.
  • Fournir la preuve des contrôles techniques (chiffrement, MFA, journalisation).

Sanctions et application

Les amendes et les sanctions monétaires spécifiques pour les violations de sécurité des fournisseurs ou la non-conformité ne sont pas indiquées dans un seul règlement municipal consolidé; l'application se fait généralement par le biais de recours contractuels et des règles d'achat municipales applicables.[1] Lorsqu'une violation de la vie privée implique des renseignements personnels, les obligations provinciales en vertu de la LFIP peuvent s'appliquer et entraîner une surveillance ou des ordonnances provinciales; les montants d'amendes spécifiques ne sont pas indiqués sur les pages citées.[2]

La résiliation du contrat et les ordres de redressement sont des issues fréquentes en cas de manquement aux obligations d'approvisionnement.

Escalade et sanctions :

  • Amendes monétaires : non précisées sur la page citée; les recours sont habituellement contractuels.[1]
  • Escalade : avis initial, plan d'action correctif, suspension ou résiliation en cas de non-conformité continue (plages non précisées).[3]
  • Sanctions non monétaires : ordonnances correctives, suspension d'accès, résiliation, demandes de dommages-intérêts et renvoi aux autorités de réglementation en cas de violation de la vie privée.

Formulaires et demandes

Aucun formulaire public standard de "permis de sécurité fournisseur" n'est répertorié sur les pages publiques d'approvisionnement; l'intégration des fournisseurs utilise généralement des questionnaires spécifiques à l'approvisionnement et des annexes contractuelles administrés par le service des Achats.[3]

Violations courantes

  • Absence de chiffrement des données personnelles en transit ou au repos.
  • Notification d'incident retardée ou insuffisante.
  • Accès non autorisé dû à des contrôles d'accès faibles ou l'absence de MFA.
Documentez les preuves de contrôles lors de l'approvisionnement pour éviter des retards d'intégration courants.

Étapes d'action pour les fournisseurs et le personnel municipal

  • Fournisseurs : préparez les rapports SOC, les détails de chiffrement et un plan d'incident avant la soumission de l'offre.
  • Personnel municipal : soumettez les évaluations d'impact sur la vie privée au contact Accès & Vie privée et impliquez la sécurité informatique tôt.[2]
  • En cas de non-conformité, appliquez rapidement les recours contractuels et documentez les délais de correction.

FAQ

Qui applique les exigences de sécurité des fournisseurs pour les contrats municipaux ?
Le bureau des Achats de la Ville, conjointement avec les Services des technologies de l'information et le bureau Accès & Vie privée, coordonnent l'application et les recours contractuels.[3]
Existe-t-il des amendes publiées pour les violations de sécurité des fournisseurs ?
Les montants d'amendes spécifiques pour les violations de sécurité des fournisseurs ne sont pas publiés sur les pages d'approvisionnement ou informatiques de la ville; l'application est généralement contractuelle et peut impliquer des obligations provinciales en matière de confidentialité le cas échéant.[1]
Quelle documentation un fournisseur doit-il fournir lors de l'intégration ?
Les documents typiques comprennent des questionnaires de sécurité, des attestations (SOC 2 ou équivalent), des détails de chiffrement, des plans d'intervention en cas d'incident et des listes de sous-traitants.

How-To

  1. Identifier si le service stockera ou traitera des données de la Ville de London et classifier la sensibilité des données.
  2. Remplir le questionnaire de sécurité de la ville et rassembler les preuves requises (rapports SOC, spécifications de chiffrement).
  3. Soumettre les documents requis avec votre offre d'approvisionnement ou le profil fournisseur au service des Achats.
  4. Répondre aux demandes d'examen de la sécurité informatique et fournir les preuves de correction dans les délais demandés.
  5. En cas d'incident, suivre les délais de notification prévus au contrat et informer immédiatement le bureau Accès & Vie privée.

Points clés

  • Impliquer les Achats et l'informatique dès le début réduit les retards d'intégration.
  • Fournir des attestations tierces et une documentation claire sur les flux de données.

Help and Support / Resources

  1. [1] City of London - Purchasing By-law and procurement framework
  2. [2] City of London - Information Technology Services (security and policies)
  3. [3] City of London - Business procurement and supplier information

Catégories

Gouvernance et administration générales Sécurité publique Santé publique et bien-être Urbanisme et zonage Logement et normes de construction Transports Protection de l’environnement Parcs et espaces publics Affaires et protection du consommateur Fiscalité et finances Travail et emploi Éducation Droits civils et équité Élections et financement des campagnes Événements et usages spéciaux Enseignes et publicité Services publics et infrastructures Technologie et données