À l’heure actuelle, la jurisprudence québécoise reste muette sur l’interprétation des lois applicables à l’infonuagique et nous disposons de peu d’écrits à ce sujet. Bien que les questionnements soient nombreux, nous tenterons de souligner ici les principales dispositions applicables au secteur privé, après avoir soulevé certains risques découlant de l’externalisation des données à l’étranger.
Qu’est-ce que l’infonuagique?
Également appelée « cloud computing », l’Office québécois de la langue française définit l’infonuagique comme un : « [m]odèle informatique qui, par l’entremise de serveurs distants interconnectés par Internet, permet un accès réseau, à la demande, à un bassin partagé de ressources informatiques configurables, externalisées et non localisables, qui sont proposées sous forme de services, évolutifs, adaptables dynamiquement et facturés à l’utilisation »[1]. L’infonuagique repose ainsi sur « l’exploitation d’Internet et des notions de virtualisation pour créer un environnement dans lequel les personnes et les organisations peuvent acquérir de la capacité de stockage et de traitement »[2]. Autrement dit, l’infonuagique est un concept de « déportation sur des serveurs distants des traitements informatiques traditionnellement effectués sur des serveurs locaux[3] ».
Les principaux modèles de déploiement de l’infonuagique comprennent le service public, privé (interne ou externe), communautaire ou hybride. Parmi les modèles de service actuellement utilisées, on retrouve le logiciel sous forme de service (SaaS), la plateforme sous forme de service (PaaS) et l’infrastructure sous forme de service (IaaS). Comme l’infonuagique est une notion qui évolue sans cesse, l’on voit toutefois émerger de nouveaux types de modèles[4].
U.S.A. Patriot Act et autres problématiques
À moins que l’emplacement des données stockées dans l’infonuagique ne soit expressément prévu par contrat, la nature même de ces services implique le plus souvent que l’information soit transférée et conservée dans une juridiction étrangère[5]. Les renseignements pourront être ainsi soumis aux lois du pays où ils sont conservés, sans avoir la certitude que la législation étrangère offre un régime de protection des renseignements personnels et confidentiels adéquat.
À titre d’exemple, les procédures de surveillance augmentées par le USA Patriot Act[6] aux États-Unis permettraient au gouvernement américain d’accéder à nos données stockées dans un système infonuagique appartenant à une entreprise américaine ou faisant affaire sur le territoire américain. En effet, l’article 215 de la USA Patriot Act permet au Federal Bureau of Investigation (« FBI ») d’avoir accès à des dossiers détenus aux États-Unis ou par une compagnie américaine, « en demandant une ordonnance de la Foreign Intelligence Surveillance Act Court of review »[7].
La « juridiction extra-territoriale »[8] américaine implique donc que tous les fournisseurs de services infonuagiques opérant n’importe où dans le monde doivent se conformer à des requêtes sur les données qui tombent sous l’application des lois américaines. Les données ne doivent donc pas être nécessairement stockées sur des serveurs physiquement présents sur le territoire américain pour que le gouvernement puisse y accéder.
Notons que les organisations canadiennes peuvent être sujettes à des ordonnances équivalentes à celles du USA Patriot Act, les obligeant à communiquer au gouvernement fédéral des renseignements personnels détenus au Canada[9]. En effet, la Loi antiterroriste canadienne, L.C. 2001, c. 41 renferme également certaines dispositions qui « renforcent les pouvoirs d’investigation des autorités publiques en vue d’assurer la sécurité nationale et, corrélativement, internationale »[10].
Parmi les autres risques, il est tout à fait possible que les utilisateurs du nuage ne soient pas informés de l’existence de « données secondaires générées par les interactions avec une infrastructure d’informatique dans les nuages »[11]. Soulignons également qu’il existe plusieurs risques liés aux interactions non désirées entre les différents clients d’un fournisseur de services[12]. Par ailleurs, l’incertitude de l’emplacement des données rend l’infonuagique particulièrement concernée par les problèmes de compétences[13], par exemple en ce qui a trait aux litiges potentiels.
Cadre normatif applicable à l’infonuagique dans le secteur privé
La Loi sur la protection des renseignements personnels dans le secteur privé (« LPRPSP ») prévoit que « nul ne peut communiquer à un tiers les renseignements personnels contenus dans un dossier qu’il détient sur autrui ni les utiliser à des fins non pertinentes à l’objet du dossier, à moins que la personne concernée n’y consente ou que la présente loi ne le prévoie »[14].
Da façon cohérente avec l’article 13, l’article 17 LPRPSP prévoit que, avant le transfert de renseignements à l’extérieur du Québec, la personne qui exploite une entreprise doit au préalable prendre tous les moyens raisonnables pour s’assurer que les renseignements ne seront pas utilisés à des fins non pertinentes à l’objet du dossier ni communiqués à des tiers sans le consentement des personnes concernées (sauf dans des cas similaires à ceux prévus par les articles 18 et 23 de la Loi).
Si la personne qui exploite une entreprise estime que les renseignements visés au premier alinéa ne bénéficieront pas des conditions prévues à l’article 17, elle doit « refuser de communiquer ces renseignements ou refuser de confier à une personne ou à un organisme à l’extérieur du Québec la tâche de les détenir, de les utiliser ou de les communiquer pour son compte ».
Précisons que tout préposé, mandataire, agent de l’exploitant ou toute partie à un contrat de service ou d’entreprise peut avoir accès aux renseignements personnels détenus par l’entreprise sans le consentement de l’individu concerné, qu’à la condition que ce renseignement soit nécessaire à l’exercice de ses fonctions ou à l’exécution de son mandat ou de son contrat[15]. Ainsi, une entreprise qui confie des renseignements personnels à un tiers dans l’exécution d’un contrat pourra le faire sans le consentement de l’individu titulaire des renseignements si ceci demeure pertinent à la finalité de la collecte des renseignements personnels.
Mentionnons toutefois qu’une entreprise qui communique à un fournisseur de services les renseignements qu’elle détient, que ce soit pour l’hébergement, l’analyse ou le traitement, demeure responsable d’en assurer la sécurité, même si les renseignements se trouvent dans un autre pays[16]. En effet, la LPRPSP prévoit que « toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support ».
La Loi concernant le cadre juridique des technologies de l’information[17] (« LCCJTI ») impose d’ailleurs l’obligation à celui qui confie un document technologique à un prestataire de services pour qu’il en assure la garde d’informer ce dernier de la protection que requiert le document en ce qui a trait à la confidentialité de l’information et quant aux personnes qui sont habilitées à en prendre connaissance. (…)[18]. Elle oblige aussi le fournisseur de service qui assure la garde des documents de voir à ce que les moyens technologiques convenus soient mis en place pour en assurer la sécurité, en préserver l’intégrité, en protéger la confidentialité et en interdire l’accès à toute personne qui n’est pas habilitée à en prendre connaissance. Ainsi, une organisation, qu’elle soit publique ou privée[19], devrait prévoir par contrat les mesures de sécurité que requièrent les renseignements qu’elle confie à un tiers dans l’infonuagique.
De plus, la personne qui recueille des renseignements personnels doit informer l’individu concerné de l’objet du dossier, de l’utilisation qui sera faite de ses renseignements, de ses droits d’accès et de l’endroit où sera détenu son dossier[20]. La loi n’est cependant pas claire à savoir si l’endroit doit être interprété comme étant un lieu physique, une région ou un pays, puisqu’aucun tribunal n’a interprété ces dispositions jusqu’à présent[21]. De plus, il est très difficile de savoir exactement où se trouvent les renseignements conservés dans l’infonuagique, à moins de l’avoir préalablement prévu par contrat. Selon ce qui est prévu à l’article 8 LPRPSP, une entreprise devrait donc être suffisamment informée et connaître le lieu de localisation des renseignements personnels qu’elle fait héberger dans le nuage, afin d’être en mesure d’informer les personnes concernées de l’emplacement où ceux-ci sont détenus, de leurs droits d’accès et des mesures de sécurité mises en place.
Meilleures pratiques
Avant d’avoir recours à des services dans le nuage, il est donc requis de rester prudent et de prévoir par contrat toutes les modalités relatives au traitement des renseignements personnels et confidentiels, tel que l’emplacement des données. Soulignons toutefois qu’il est beaucoup plus difficile voire impossible de stipuler les conditions d’un service infonuagique dans le cas du modèle public. En effet, dans plusieurs cas, l’utilisation du nuage public sera prévue par un contrat d’adhésion gratuit dont les conditions sont prévues d’avance et non négociables.
D’autre part, et afin de protéger la confidentialité des renseignements, nous sommes d’avis que l’utilisation d’un service infonuagique opéré par un fournisseur canadien hébergeant les renseignements au Canada est beaucoup moins risquée qu’à l’étranger. Si un organisme doit néanmoins utiliser les services d’un fournisseur pour lequel il est impossible de savoir précisément où sont conservées les données, il devra disposer de mesures de sécurité protégeant les données sensibles[22], telles que des technologies de chiffrement[23]. Rappelons que, lorsque les données ne sont pas localisées, la juridiction ayant compétence pour traiter un litige éventuel sera également difficile à déterminer, si cet aspect n’a pas été préalablement prévu par contrat.
*Ceci ne constitue pas un avis juridique*
[1] OFFICE QUÉBÉCOIS DE LA LANGUE FRANÇAISE, Grand dictionnaire terminologique, en ligne : <https://gdt.oqlf.gouv.qc.ca/ficheOqlf.aspx?Id_Fiche=26501384>. Notes : « Dans le monde informatique, le nuage (cloud en anglais) est l’image généralement utilisée pour symboliser graphiquement Internet. L’infonuagique, c’est en fait l’informatique vue comme un service et externalisée par l’intermédiaire d’Internet. Elle fait référence à l’utilisation de la mémoire et des capacités de calcul des ordinateurs et des serveurs répartis dans le monde entier et reliés par Internet. Les ressources informatiques mises en commun et rendues ainsi disponibles à distance peuvent être, entre autres, des logiciels, de l’espace de stockage et des serveurs ».
[2] INSTITUT CANADIEN DES COMPTABLES AGRÉÉS, « Infonuagique : Les grandes tendances technologiques », 2012, p. 2.
[3] Patrick JOSET, « Cloud Computing, tentative de définition », Abissa Informatique, en ligne : <https://www.abissa.ch/data/fichiers/tec_cloud_computing.pdf>.
[4] Le « Network as a service », le « Business Process as a service » et le « Desktop as a service » sont des services offerts aux entreprises. Notons que d’autres options sont aussi actuellement possibles, comme le « Storage as a service », le « Workplace as a service » et le « Data as a Service ». Bien qu’ils puissent disposer de leurs propres spécificités, leur fonctionnement se recoupe avec les trois modèles principaux expliqués ci-haut.
[5] CPVPC, « Visez les nuages : Questions liées à la protection de la vie privée dans le contexte de l’informatique dans les nuages », Mars 2010, en ligne : <https://www.priv.gc.ca/information/research-recherche/2010/cc_201003_f.asp>.
[6] Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001, « USA Patriot Act ». Tel que le mentionne un rapport de l’Université d’Amsterdam, « the U.S. government has ample possibilities to request data from foreign (in this case Dutch) users of the cloud. The most striking example in this regard is the specific provision (50 USC § 1881a) introduced in 2008 for the acquisition of data of non-U.S. persons outside the United States, given the far-reaching powers it grants to retrieve information on a large scale, including access to complete data sets. U.S. authorities also have powers to request information from cloud providers in the context of criminal investigations. Jurisdiction under U.S. law is a necessary precondition, which is effectuated when cloud providers are based in the United States or if they conduct continuous and systematic business in the United States. It is a misconception that U.S. jurisdiction applies only if the data are physically located on U.S. territory ». Voir Joris Van HOBOKEN, Axel ANRBAK et Nico Van EIJK, « Cloud Computing in Higher Education and Research Institutions and the USA Patriot Act », Institute for Information Law, University of Amsterdam, 27 novembre 2012.
[7] CPVPC, «Un avis expédié aux clients d’une banque suscite des inquiétudes à propos de la USA PATRIOT Act», Résumé de conclusions d’enquête en vertu de la LPRPDE no 2005-313. Notons qu’une organisation faisant l’objet d’une telle ordonnance ne peut révéler qu’elle a fourni des renseignements au FBI. Voir Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001.
[9] CPVPC, « Un avis expédié aux clients d’une banque suscite des inquiétudes à propos de la USA PATRIOT Act », Résumé de conclusions d’enquête en vertu de la LPRPDE no 2005-313.
[10] Cynthia CHASSIGNEUX, « Quand la sécurité nationale interpelle la protection des renseignements personnels : l’exemple de la USA PatriotAct », dans Service de la formation continue du Barreau du Québec,Vie privée et protection des renseignements personnels (2006), Cowansville, Yvon Blais, 2006.
[12] Voir S. SUBASHINI and V. KAVITHA, « A survey on security issues in service delivery models of cloud computing », Journal of Network and Computer Applications, 34 (2011) 1–11, Anna University, Tirunelveli, 2010, India.
[16] Voir CPVPC, « Introduction à l’infonuagique », en ligne : <https://www.priv.gc.ca/resource/fs-fi/02_05_d_51_cc_f.pdf>
[20] Art. 8, LPRPSP. Notons que, dans le secteur fédéral, les personnes doivent également être informées de l’emplacement où sont conservés leurs renseignements et que ces derniers peuvent être soumis à une juridiction étrangère, selon la Loi sur la protection des renseignements personnels et les documents électroniques. Voir Outsourcing of canada.com e-mail services to U.S.-based firm raises questions for subscribers (19 Sept. 2008), PIPEDA Case Summary #2008-394; Canadian-based company shares customer personal information with U.S. parent (19 July 2006), PIPEDA Case Summary #2006-333; and Bank’s notification to customers triggers PATRIOT Act concerns (19 October 2005), PIPEDA Case Summary # 2005-313.
[21] Voir Éloïse GRATTON, « Dealing with Canadian and Quebec Legal Requirements in the Context of Trans-border Transfers of Personal Information and Cloud Computing Services », Développements récents, Volume 358, 2012.
[22] Les renseignements sensibles incluent notamment les données fiscales, bancaires, médicales et personnelles.
[23] Un organisme devrait utiliser un service de chiffrement distinct de celui offert par le fournisseur du service d’infonuagique retenu, sans quoi certains risques pourraient persister, notamment si le fournisseur permet à un tiers de prendre copie des renseignements avant de procéder au chiffrement des données. Voir : Iain THOMSON, « Snowden leak: Microsoft added Outlook.com backdoor for Feds », (2013) The Register : <https://www.theregister.co.uk/2013/07/11/snowden_leak_shows_microsoft_added_outlookencryption_backdoor_for_feds/>.
