Exigences de cybersécurité pour les entrepreneurs à Toronto - règlement

Technologie et données Ontario 4 min de lecture · publié 11 février 2026 Flag of Ontario

À Toronto, Ontario, les entrepreneurs travaillant pour la Ville doivent respecter les attentes en matière de cybersécurité et de protection des données définies dans les politiques d'approvisionnement et de confidentialité de la Ville. Ce guide explique l'origine de ces exigences, quels services municipaux les appliquent, les contrôles contractuels typiques, les obligations de signalement en cas d'incident et les étapes pratiques à suivre avant d'entamer des travaux. Il résume les instructions officielles aux fournisseurs et les implications des régimes provinciaux en matière de confidentialité afin que les entrepreneurs puissent soumissionner, se conformer et réagir aux incidents tout en protégeant les données personnelles et municipales.

Portée et instruments applicables

Les attentes de la Ville en matière de cybersécurité pour les contrats sont établies par les conditions d'approvisionnement, les exigences pour les fournisseurs et les politiques d'information et de confidentialité de la Ville. Elles sont mises en œuvre par la Division des achats et approvisionnement et les services d'information et de technologie; l'orientation principale figure sur les pages d'approvisionnement et de confidentialité de la Ville de Toronto[1][2]. Les obligations provinciales pour le traitement des renseignements personnels, y compris les obligations municipales en vertu de la MFIPPA, s'appliquent également aux données détenues par les entrepreneurs[3].

Exigences contractuelles typiques

  • Annexes de sécurité et clauses contractuelles exigeant la confidentialité, les normes de traitement des données et la notification des incidents.
  • Preuves de contrôles comme ISO/IEC 27001, rapports SOC 2 ou documentation équivalente lorsque la Ville le demande.
  • Exigences pour la gestion des vulnérabilités, la configuration sécurisée et le contrôle des accès pour les systèmes traitant des données municipales.
  • Dispositions d'assurance et de responsabilité couvrant les incidents cyber lorsque spécifiées dans les documents d'approvisionnement.
Lisez les pages du fournisseur et de confidentialité de la Ville avant de soumettre une offre.

Sanctions et application

L'application relève principalement des remèdes contractuels administrés par la Division des achats et approvisionnement et de la supervision par les responsables informatiques et de la confidentialité de la Ville; les amendes statutaires précises pour les atteintes à la cybersécurité ne figurent pas sur les pages générales d'approvisionnement ou de confidentialité et ne sont donc pas précisées sur les pages citées[1][2]. Les régimes provinciaux comme la MFIPPA créent des obligations pour le traitement des renseignements personnels mais n'énoncent pas d'amendes contractuelles municipales sur les pages de la Ville citées ici[3].

  • Amendes monétaires dans les clauses contractuelles : non précisées sur la page citée.
  • Escalade : les contrats permettent généralement des avis, des délais de correction, la résiliation pour violation et des réclamations pour dommages; les calendriers d'escalade précis ne sont pas précisés sur la page citée.
  • Sanctions non monétaires : ordres de correction, suspension ou résiliation du contrat, retenue de paiements et exigence de remédiation des vulnérabilités.
  • Autorités appliquant les règles et voies de plainte : Division des achats et approvisionnement et contacts informatiques/confidentialité de la Ville; voir les pages d'approvisionnement et de confidentialité pour les contacts officiels[1][2].
  • Appels et révisions : les voies de recours et d'appel sont régies par les clauses contractuelles ou les procédures de règlement des différends en approvisionnement; les délais précis ne sont pas précisés sur les pages citées.
Si vous suspectez une violation, signalez-la immédiatement au contact de la Ville indiqué dans votre contrat.

Demandes et formulaires

Les soumissions formelles utilisent généralement l'inscription des fournisseurs, les formulaires d'appel d'offres et les annexes de sécurité publiées avec chaque avis d'approvisionnement; le portail d'approvisionnement indique les formulaires requis et comment les soumettre via les pages de processus d'approvisionnement de la Ville[1]. Si un formulaire de cybersécurité spécifique est requis, il figurera dans les documents d'approvisionnement pour cette sollicitation; sinon, aucun formulaire universel unique en matière de cybersécurité n'est publié sur les pages générales citées.

Comment les entrepreneurs doivent se conformer

  • Effectuer une évaluation des risques documentée pour les données et systèmes de la Ville.
  • S'assurer que les clauses contractuelles et les annexes de sécurité sont examinées et acceptées avant l'attribution.
  • Mettre en œuvre des contrôles techniques : correctifs, MFA, chiffrement, journalisation et accès au moindre privilège.
  • Maintenir des capacités de réponse aux incidents et notifier la Ville conformément aux délais contractuels.
Conservez des preuves des contrôles et des audits pour les vérifications de conformité contractuelle.

FAQ

Qui applique les obligations de cybersécurité pour les contrats de la Ville ?
La Division des achats et approvisionnement de la Ville, conjointement avec les responsables informatiques et de la confidentialité de la Ville, applique les obligations contractuelles de cybersécurité; les coordonnées figurent sur les pages d'approvisionnement et de confidentialité.[1][2]
Existe-t-il des amendes légales pour les incidents de cybersécurité ?
Les amendes municipales précises pour la cybersécurité ne sont pas précisées sur les pages générales d'approvisionnement ou de confidentialité; des régimes provinciaux comme la MFIPPA peuvent s'appliquer au traitement des renseignements personnels.[1][3]
Quelles sont les étapes immédiates en cas d'incident ?
Suivre la clause de notification d'incident du contrat, préserver les preuves médico-légales, informer immédiatement le contact de la Ville et coopérer pour la remédiation et le signalement.

How-To

  1. Examinez l'annexe de sécurité et les clauses contractuelles avant de soumissionner.
  2. Effectuez un cartographie des données et une évaluation des risques pour les données de la Ville auxquelles vous accéderez ou que vous stockerez.
  3. Mettez en œuvre les contrôles techniques et organisationnels requis (MFA, chiffrement, journalisation).
  4. Documentez et testez les procédures de réponse aux incidents; informez immédiatement la Ville en cas d'incident.
  5. Conservez les preuves de conformité, les audits et les rapports pour les examens de conformité contractuelle.

Points clés

  • Les contrats municipaux comportent des attentes en cybersécurité même si les amendes exactes ne sont pas publiées sur les pages générales.
  • Les entrepreneurs doivent documenter les contrôles, conserver les preuves et être prêts à notifier et remédier aux incidents.
  • Utilisez les contacts officiels d'approvisionnement et de confidentialité pour les questions et le signalement d'incidents.[1][2]

Assistance et ressources

  1. [1] City of Toronto - Doing Business with the City
  2. [2] City of Toronto - Privacy and Access
  3. [3] Municipal Freedom of Information and Protection of Privacy Act (MFIPPA)

Catégories

Gouvernance et administration générales Sécurité publique Santé publique et bien-être Urbanisme et zonage Logement et normes de construction Transports Protection de l’environnement Parcs et espaces publics Affaires et protection du consommateur Fiscalité et finances Travail et emploi Éducation Droits civils et équité Élections et financement des campagnes Événements et usages spéciaux Enseignes et publicité Services publics et infrastructures Technologie et données