Implémenter le programme de contrôle des informations non classifiées (US0068)

Les Archives nationales poursuivront la mise en œuvre d'un programme ouvert et unifié de gestion des informations non classifiées, qui nécessite des contrôles de sauvegarde ou de diffusion compatibles avec la loi, les réglementations et les politiques gouvernementales, appelés Informations contrôlées non classifiées (CUI). Les archives nationales
publiera des directives de mise en œuvre, établira des calendriers de mise en œuvre par étapes et publiera un registre amélioré de la CUI désignant les informations relevant du programme. En outre, les Archives nationales collaboreront avec le Conseil de réglementation des acquisitions fédérales pour proposer une règle de réglementation des acquisitions fédérales permettant d'appliquer les exigences du programme d'IU aux entrepreneurs, aux bénéficiaires et aux titulaires de licence.

Pour plus de détails sur ces engagements, voir le rapport: https://www.opengovpartnership.org/documents/united-states-mid-term-report-2015-2017/

Engagement 16. Mettre en œuvre le programme d'information non classifiée contrôlée

Texte d'engagement:

Mettre en œuvre le programme d'information non classifiée contrôlée

Les Archives nationales poursuivront la mise en œuvre d'un programme ouvert et unifié de gestion des informations non classifiées, qui nécessite des contrôles de sauvegarde ou de diffusion compatibles avec la loi, les réglementations et les politiques gouvernementales, appelés Informations contrôlées non classifiées (CUI). Les Archives nationales publieront des directives de mise en œuvre, établiront des calendriers de mise en œuvre par étapes et publieront un registre amélioré de la CUI permettant de déterminer les informations relevant du programme. En outre, les Archives nationales collaboreront avec le Conseil de réglementation des acquisitions fédérales pour proposer une règle de réglementation des acquisitions fédérales permettant d'appliquer les exigences du programme d'IU aux entrepreneurs, aux bénéficiaires et aux titulaires de licence.

Institution responsable: Archives nationales et administration des archives

Institutions de soutien: Conseil consultatif de la CUI et organismes fédéraux possédant des informations contrôlées non classifiées (CUI)

Date de début: Non précisé ....... Date de fin: Non Précisé

But de l'engagement

Avant le plan d'action, il n'existait aucun protocole commun pour la sauvegarde d'informations sensibles non classifiées, mais nécessitant des contrôles spéciaux. Cet engagement visait à mettre en œuvre un programme de gestion de ces informations non classifiées contrôlées. Il publierait un guide de mise en œuvre et des calendriers. Il publierait également un registre désignant les informations couvertes par le programme CUI. L'engagement visait en outre à proposer un règlement appliquant les exigences de la CUI aux entrepreneurs, aux bénéficiaires et aux détenteurs de licence.

Statut

À mi-parcours: Pas démarré

À mi-parcours, le gouvernement n'avait fait aucun progrès visible sur cet engagement.

Fin du mandat: substantiel

À la fin du mandat, cet engagement était pratiquement terminé.

Le gouvernement a publié des directives de mise en œuvre pour le programme d'informations contrôlées non classifiées (CUI) sous la forme de l'avis CUI 2016-01 sur 14 September 2016. Les directives ont servi de complément à la règle finale 32 CFR Partie 2002 sur les informations contrôlées non classifiées. Cette règle a été publiée par le Bureau de contrôle de la sécurité de l'information (ISOO) de la NARA (Archives nationales et Administration des archives) le même jour, avec la date d'entrée en vigueur de 14 November 2016. La section 2002.10 de la règle désigne le registre CUI en tant que référentiel central pour toutes les informations sur les CUI, y compris les instructions, les instructions de stratégie et les procédures de contrôle. Divers articles de la règle concernent les entrepreneurs, concessionnaires et détenteurs de licence du gouvernement, dont l'accès à et l'utilisation de l'IUC doivent être soumis à des accords de partage d'informations en vertu de la règle. La CUI Notice 2016-01 demande aux agences mères de «publier une politique de mise en œuvre pour le programme CUI». Plus précisément, ces politiques doivent identifier le bureau ou l'organisation responsable au sein de chaque agence, ainsi que leur responsable principal et leur responsable de programme. Les politiques doivent également établir un système de compte rendu des incidents liés aux CUI, établir un programme d'auto-inspection au niveau de l'agence, et établir les exigences de formation et les procédures de sauvegarde des CUI.

La règle finale "établit une politique pour les agences en matière de désignation, de sauvegarde, de diffusion, de marquage, de contrôle et de suppression des IUC, d'auto-inspection et de surveillance." Elle s'applique également à tous les organismes fédéraux qui traitent des IUC et "qui opèrent , utilisez ou avez accès aux informations fédérales et aux systèmes d’information pour le compte d’une agence. ” Les agences sont tenues d'élaborer et d'administrer les programmes de formation en CUI susmentionnés à tous leurs employés dans les 180 jours suivant la date d'entrée en vigueur de la politique en matière d'IUC d'une agence donnée. Les agences doivent également vérifier que les exigences de protection décrites dans 32 CFR Part 2002 sont respectées. Dans les jours 360 qui suivent la date d’entrée en vigueur de la règle (14 November 2016), les agences doivent également établir un plan de transition pour la configuration des systèmes CUI conformément aux exigences. Dans un délai de deux ans à compter de cette même date, les organismes doivent élaborer et commencer à mettre en œuvre les programmes d’auto-inspection susmentionnés. Ensemble, ces spécifications constituent les directives de mise en œuvre par étapes décrites dans l'engagement.

En vertu de l’avis XIUMX-2016 de la CUI, les agences sont également tenues de faire rapport chaque année de leurs progrès à la NARA, le premier rapport annuel étant dû pour le 01 de novembre. De plus, le 7 d'avril 2017, le directeur de l'ISOO a publié un mémorandum à l'intention des chefs de département et d'agence. Le mémorandum demandait que des rapports d'avancement intérimaires sur la mise en œuvre du programme CUI par les agences soient soumis à la NARA par 31 May 2017. Cependant, le chercheur de l'IRM n'a pas été en mesure de confirmer le nombre d'agences ayant soumis ces rapports.

Au-delà de ces activités, la NARA a publié le registre CUI sur son site Web. Comme indiqué sur le site, le registre IUC constitue «le référentiel en ligne à l'échelle du gouvernement pour les directives fédérales concernant les politiques et les pratiques IUC». Le registre sert de guide aux informations dans le cadre du programme IUC.

À la fin de la période, un règlement sur les acquisitions fédérales (FAR) autonome appliquant les exigences du programme IUC aux entrepreneurs, aux bénéficiaires et aux titulaires de licence n'avait pas encore été finalisé. Selon une mise à jour de la NARA, les FAR ont été élaborées au cours de réunions hebdomadaires au sein du conseil des FAR et sont maintenant attendues à FY2019. À la lumière de la référence explicite de l'engagement au gouvernement américain proposant une FAR, cet engagement est considéré comme substantiellement complet.

At-il ouvert le gouvernement?

Accès à l'information: n'a pas changé

Comme décrit dans le règlement 32 CFR Partie 2002, «avant le programme CUI [Information contrôlée non classifiée], les agences utilisaient souvent des politiques, procédures et marquages ​​spécifiques, propres à chaque agence, pour gérer ces informations. Cette approche disparate a amené les agences à marquer et à manipuler les informations de manière incohérente, à mettre en œuvre des politiques de diffusion peu claires ou inutilement restrictives et à créer des obstacles au partage de l'information. . . . Une politique d'IUC à l'échelle de l'exécutif à l'échelle de la branche met en balance la nécessité de protéger l'IUC et l'intérêt public de partager les informations de manière appropriée et sans charges inutiles. "

En décrivant la méthode utilisée par le gouvernement fédéral pour traiter et diffuser les informations d'IUC, les directives mises en œuvre dans le cadre de cet engagement jettent les bases d'un meilleur accès public à l'IUC. Cela contribuera à résoudre les principaux problèmes d’accessibilité liés aux CUI décrits ci-dessus dans le règlement. Cela dit, le Bureau de contrôle de la sécurité de l'information (ISOO) a reconnu en février 2018 que la mise en œuvre complète des nouvelles politiques d'IUC nécessiterait de trois à quatre ans. Les commentaires fournis au chercheur de l'IRM par Steven Aftergood, directeur de projet à la Fédération des scientifiques américains (FAS), font écho à cette préoccupation. Aftergood a noté que «l'élaboration d'une nouvelle politique sur les [CUI] a été plus ardue et plus longue que celle attendue par quiconque au gouvernement ou à l'extérieur du gouvernement». En outre, plusieurs agences ont également soulevé des problèmes qui doivent être résolus avant la mise en œuvre, tels que le manque de financement et les lacunes dans la couverture de certains types d'informations.

Bien que la mise en œuvre des nouvelles politiques puisse aider à garantir que l’IUC soit traitée efficacement, elle ne garantit pas une augmentation de la quantité d’informations communiquées. L’ISOO a souligné que le nouveau programme devrait se traduire par plus de transparence. Cependant, le projet FAS sur le secret gouvernemental a souligné qu'il restait à voir si ce serait le cas. Aftergood a indiqué au chercheur de l'IRM que «les implications de la CUI pour la transparence et l'accès du public à l'information sont incertaines. Les caractéristiques positives incluent une formulation claire des critères pour les CUI, qui doivent être basés sur la loi, la réglementation ou la politique établie. Les autres contrôles dépourvus d'une telle base identifiable seront interdits. Cependant, le nombre de catégories et de sous-catégories de CUI autorisées a maintenant augmenté, dépassant largement le nombre d'éléments distincts 400, ce qui est beaucoup plus grand que ce que les observateurs du public avaient prévu. »Aftergood a conclu que même si le programme de CUI est pleinement mis en œuvre, il y aura une nette augmentation de la transparence.

D'autre part, la NARA a précisé que le programme CUI ne comporte plus de sous-catégories, mais uniquement des catégories. Selon le journal des modifications du registre CUI, le gouvernement a révisé la taxonomie du registre sous 2 April 2018 «dans un souci de simplification et pour mieux répondre aux besoins des agences». De plus, la NARA a fait remarquer que ces catégories sont fondées sur la loi, la réglementation fédérale et la politique pangouvernementale (c'est-à-dire pas n'importe quelle réglementation ou politique). En conséquence, la NARA a insisté sur le fait qu'il n'y avait aucune augmentation de la quantité d'informations nécessitant une protection à la suite du programme. La CUI est plutôt limitée aux types d'informations non classifiées qui nécessitaient déjà une protection auparavant. En d'autres termes, selon la NARA, le programme CUI regroupe simplement les types d'informations que les agences étaient déjà obligées de protéger en un lieu par catégorie.

La NARA a également noté qu’il n’existait qu’en gros des catégories de CUI. En effet, après avoir examiné les versions archivées de la liste des catégories et sous-catégories du registre de la CUI, l'IRM a confirmé que le nombre total de classifications - même avant le changement de taxonomie qui éliminait le niveau de «sous-catégorie» - persistait autour de 100.

Reportés?

Au moment de la rédaction du présent rapport, le gouvernement américain n'avait pas encore publié son quatrième plan d'action national. Il est donc difficile de savoir si cet engagement sera respecté. À l’avenir, il importera que le gouvernement continue de mettre en œuvre les nouvelles lignes directrices relatives aux CUI. Il devrait également continuer à prendre des mesures concrètes pour que les agences utilisent le nouveau système afin de mettre davantage d'informations à la disposition du public.

La CUI est «une information non classifiée qui nécessite des contrôles de sauvegarde ou de diffusion conformément à la loi, aux réglementations et aux politiques pangouvernementales». Voir «CUI», Administration des archives et des dossiers nationaux, https://www.archives.gov/cui, dernière mise à jour 4 octobre 2017, consulté 4 octobre 2017.

Archives nationales et archives, Bureau de contrôle de la sécurité de l’information, Avis CUI 2016-01: Guide d'implémentation du programme d'informations non classifiées contrôlées, 14 September 2016, https://www.archives.gov/files/2016-cuio-notice-2016-01-implementation-guidance.pdf, consulté 11 Septembre 2011.

Archives nationales et administration des archives, Bureau de contrôle de la sécurité de l'information. : Informations non classifiées contrôlées, règle finale, 14 Septembre 2016, https://www.gpo.gov/fdsys/pkg/FR-2016-09-14/pdf/2016-21665.pdf, consulté 11 Septembre 2017. Notez que la règle finale ne contient pas de numéros de page; ainsi, aucune n'est citée ici.

Archives nationales et archives, Bureau de contrôle de la sécurité de l’information, CUI Notice 2016-01: Guide de mise en œuvre pour le programme d’information contrôlée non classifiée, 14 Septembre 2016, https://www.archives.gov/files/2016-cuio-notice-2016-01-implementation-guidance.pdf, consulté 11 Septembre 2011.

Archives nationales et archives, Bureau de contrôle de la sécurité de l’information, 32 CFR Part 2002: Informations contrôlées non classifiées, règle finale, 14 Septembre 2016, https://www.gpo.gov/fdsys/pkg/FR-2016-09-14/pdf/2016-21665.pdf, consulté 11 Septembre 2017.

Archives nationales et archives, Bureau de contrôle de la sécurité de l’information, CUI Notice 2016-01: Guide de mise en œuvre pour le programme d’information contrôlée non classifiée, 14 Septembre 2016, https://www.archives.gov/files/2016-cuio-notice-2016-01-implementation-guidance.pdf, consulté 11 Septembre 2011.

Archives nationales et archives, Bureau de contrôle de la sécurité de l’information, Mémorandum sur l'état de la mise en œuvre du programme d'information contrôlée non classifiée (IUC), 7 April 2017, 1, https://www.archives.gov/files/cui/registry/policy-guidance/registry-documents/20170407-cui-status-report-request-and-forms.pdf, consulté 11 Septembre 2017.

«Registre des informations contrôlées non classifiées», Archives nationales, https://www.archives.gov/cui, consulté 11 Septembre 2011.

Archives nationales et archives, Bureau de contrôle de la sécurité de l’information, Informations contrôlées non classifiées, 15 September 2017, https://archivescarterchronicle.files.wordpress.com/2018/02/feb-15-2018-webex.pdf.  

Archives nationales et archives, Bureau de contrôle de la sécurité de l’information, : Informations non classifiées contrôlées, règle finale, 14 September 2016, https://www.gpo.gov/fdsys/pkg/FR-2016-09-14/pdf/2016-21665.pdf, consulté 11 Septembre 2017.

Archives nationales et archives, Bureau de contrôle de la sécurité de l’information, Informations contrôlées non classifiées, 15 Février 2018, https://archivescarterchronicle.files.wordpress.com/2018/02/feb-15-2018-webex.pdf.

Commentaires écrits fournis par Steven Aftergood, 28 October 2017.

Steven Aftergood, «Une route cahoteuse pour des informations non classifiées contrôlées, Fédération des scientifiques américains, 30 October 2017, https://fas.org/blogs/secrecy/2017/10/cui-bumpy/.

Ibid.

La NARA a fourni ces informations dans un commentaire à l'IRM lors de l'examen préalable à la publication de ce rapport. L'IRM a reçu le commentaire par courrier électronique sur 30 April 2018.

«Registre CUI: journal des modifications», Archives nationales et administration des archives, Informations non classifiées contrôlées (CUI), https://www.archives.gov/cui/registry/registry-change-log, consulté 4 May 2018.

Toutes ces informations ont été fournies dans les commentaires soumis à l'IRM mentionnés dans la note 15 ci-dessus.

Une version archivée du site Web du registre CUI de décembre 2017 (disponible ici: https://web.archive.org/web/20171212030450/https://www.archives.gov/cui/registry/category-list) montre que le registre contenait environ 110 catégories et sous-catégories.