Informations non classifiées contrôlées (CUI)
Les informations non classifiées contrôlées (CUI) sont des informations nécessitant des mesures de protection ou de contrôle de la diffusion conformément aux lois, règlements et politiques gouvernementales applicables, mais qui ne sont pas classifiées.
Qu'est-ce que les informations non classifiées contrôlées (CUI) ?
Les informations non classifiées contrôlées (CUI) sont une catégorie d'informations du gouvernement fédéral des États-Unis qui nécessitent une protection en vertu des lois, des règlements ou des politiques gouvernementales, mais qui ne sont pas classées en vertu du décret exécutif 13526 ou de la loi sur l'énergie atomique, telle que modifiée.
La CUI remplace le précédent système d'informations « sensibles mais non classifiées » (SBU), qui était une désignation utilisée depuis des décennies mais sans un ensemble clair ou cohérent de règles sur la manière de traiter ces informations. Le programme CUI standardise la manière dont le gouvernement fédéral traite les informations non classifiées nécessitant une protection, telles que les informations relatives à la vie privée personnelle, les informations commerciales propriétaires, les informations sur les infrastructures critiques et les informations relatives aux enquêtes des forces de l'ordre, pour n'en nommer que quelques-unes.
Voici les principaux aspects de la CUI :
- Catégorisation : Les informations CUI sont catégorisées en divers groupes et sous-catégories pour refléter la nature des informations et la nécessité des contrôles d'accès et de diffusion.
- Marquage : Les documents ou matériels contenant des informations CUI doivent être correctement marqués pour alerter les gestionnaires de la présence de CUI.
- Gestion : Il existe des exigences et des lignes directrices spécifiques pour la gestion des informations CUI, y compris le stockage, la transmission et la destruction.
- Formation : Les agences sont tenues de former leurs employés à la gestion adéquate des informations CUI.
- Conformité : Les entrepreneurs et autres entités non fédérales qui traitent des informations CUI doivent se conformer aux normes fédérales de protection des informations CUI, souvent définies dans les publications de l'Institut national des normes et de la technologie (NIST), telles que NIST SP 800-171.
Le programme CUI est géré par les Archives nationales et l'Administration des archives (NARA), et il concerne une large gamme de parties prenantes à travers le gouvernement fédéral, ainsi que des entités étatiques et locales, des organisations du secteur privé et des institutions académiques qui travaillent avec le gouvernement fédéral.