Guide des exigences en cybersécurité pour les entrepreneurs à Montréal

Technologie et données Quebec 4 min de lecture · publié 11 février 2026 Flag of Quebec

Ce guide explique comment les entrepreneurs travaillant avec la Ville de Montréal, Québec doivent répondre aux attentes municipales en matière de cybersécurité et de protection des données. Il résume les exigences contractuelles courantes, qui fait respecter les règles au niveau municipal, comment documenter la conformité et des étapes pratiques pour les soumissions, les contrats de services et les travaux opérationnels qui touchent les systèmes municipaux ou les données des citoyens. Lisez ceci pour préparer des plans de sécurité, des attestations fournisseurs et des procédures de signalement d’incident requises lors de la contractualisation avec Montréal.

Vue d’ensemble des attentes de cybersécurité pour les fournisseurs

Les équipes d’approvisionnement et de gestion de contrats de Montréal s’attendent à ce que les entrepreneurs protègent les données et les systèmes de la ville conformément aux termes de leur contrat, aux politiques municipales applicables et à tout annexe technique jointe aux appels d’offres (AO) ou aux conventions de service. Les contrôles techniques spécifiques et les obligations de gestion des données sont généralement définis dans les documents contractuels et les annexes techniques plutôt que dans un seul règlement public; les entrepreneurs doivent examiner attentivement les documents d’approvisionnement et préparer des preuves de contrôles tels que les restrictions d’accès, le chiffrement, la journalisation et la réponse aux incidents.

  • Préparer un plan écrit de sécurité de l’information conforme aux exigences du contrat.
  • Documenter les rôles pour l’accès aux données, la conservation et l’élimination sécurisée.
  • Appliquer le principe du moindre privilège, l’authentification multifacteur et le transport chiffré pour les données de la ville.
  • Inclure un contact pour la réponse aux incidents et un délai initial de signalement dans le contrat.
Vérifiez l’annexe cybersécurité du contrat avant de commencer les travaux.

Sanctions et application

Montréal applique les termes contractuels et les obligations réglementaires par l’entremise des équipes d’approvisionnement et de gestion des contrats; lorsqu’il y a des enjeux de sécurité publique ou de confidentialité, d’autres instances municipales ou provinciales peuvent être impliquées. La page d’approvisionnement de la ville décrit les processus contractuels et les recours dont dispose la municipalité pour non-conformité[1].

  • Montants des amendes : non précisé sur la page citée[1].
  • Escalade : le traitement des premières, répétées ou continuelles infractions n’est pas précisé sur la page citée[1].
  • Sanctions non monétaires : résiliation de contrat, retenue de paiement, ordres correctifs et obligation de remédier aux lacunes de sécurité sont utilisés comme recours contractuels; les mesures précises dépendent du libellé du contrat et de l’examen par l’unité d’approvisionnement.
  • Autorité : approvisionnement/gestion des contrats de la Ville et l’administrateur de contrat désigné dans l’équipe projet; les questions liées à la confidentialité peuvent impliquer des autorités provinciales selon le cas.
  • Voies d’inspection et de plainte : les plaintes ou préoccupations de conformité contractuelle sont traitées via l’administration des contrats de la ville et les canaux d’application des règlements; voir Aide et ressources ci‑dessous pour les contacts officiels.
  • Appels/révision : les voies d’appel ou de révision dépendent du contrat et du processus d’approvisionnement; les délais précis ne sont pas précisés sur la page citée[1].
  • Moyens de défense/discrétion : moyens de défense courants incluent la preuve de mesures de sécurité raisonnables, la dépendance aux systèmes fournis par la ville ou des dérogations/approbations écrites antérieures dans le contrat.

Demandes et formulaires

Aucun formulaire d’enregistrement fournisseur cybersécurité unique n’est publié pour les entrepreneurs sur la page d’aperçu des marchés; les attestations requises et les annexes techniques sont normalement incluses dans les AO ou les calendriers contractuels et doivent être soumises avec l’offre ou selon les modalités du contrat[1].

Étapes pratiques de conformité pour les entrepreneurs

Suivez ces étapes pratiques pour réduire les risques liés aux marchés publics et répondre aux attentes de Montréal lorsque votre travail implique des données ou des systèmes municipaux.

  • Avant de soumissionner, demandez toute annexe cybersécurité ou calendrier technique référencé dans l’AO.
  • Assemblez des preuves : politiques, schémas réseau, détails de chiffrement et listes d’accès du personnel.
  • Mettez en œuvre les contrôles techniques requis (MFA, chiffrement en transit et au repos, journalisation).
  • Concluez un accord sur les délais de signalement d’incidents et les contacts d’escalade avec le gestionnaire de contrat de la ville.
  • Prévoyez dans l’offre les coûts d’audit, de remédiation et d’assurance.
Conservez les registres de tout accès et transfert de données pour la conformité contractuelle et les audits.

FAQ

Les entrepreneurs doivent-ils posséder une certification spécifique en cybersécurité pour travailler avec Montréal ?
Aucune certification unique n’est publiée comme exigence; les attestations requises sont habituellement précisées dans les AO ou les annexes contractuelles. Les entrepreneurs doivent respecter l’annexe technique si elle est fournie.
Comment signaler un incident de sécurité affectant des données municipales ?
Signalez immédiatement au gestionnaire de contrat et au contact incident indiqué dans le contrat; si non précisé, utilisez le contact d’administration des contrats de la ville présent dans les documents d’approvisionnement.
La ville effectue‑t‑elle des audits de sécurité chez les entrepreneurs ?
Oui, la ville peut exiger des audits ou des preuves de conformité en vertu des termes contractuels; les détails dépendent de l’entente.

How-To

  1. Examinez l’AO et identifiez toute annexe cybersécurité ou exigence technique.
  2. Préparez la documentation : politique de sécurité, contrôles d’accès, chiffrement et plan de réponse aux incidents.
  3. Mettez en œuvre les contrôles requis et testez‑les avant de soumettre les preuves à la ville.
  4. Soumettez les attestations et documents justificatifs avec votre offre ou selon les instructions du calendrier contractuel.
  5. En cas d’incident, informez immédiatement le gestionnaire de contrat de la ville et suivez le processus contractuel de signalement d’incident.

Points clés

  • Les documents contractuels, et non un seul règlement public, définissent généralement les obligations en cybersécurité.
  • Préparez des preuves des contrôles et un plan de réponse aux incidents avant de soumissionner.

Aide et ressources

Catégories

Gouvernance et administration générales Sécurité publique Santé publique et bien-être Urbanisme et zonage Logement et normes de construction Transports Protection de l’environnement Parcs et espaces publics Affaires et protection du consommateur Fiscalité et finances Travail et emploi Éducation Droits civils et équité Élections et financement des campagnes Événements et usages spéciaux Enseignes et publicité Services publics et infrastructures Technologie et données