Nicolas Vermeys, Julie M. Gauthier et Sarit Mizrahi, "Étude sur les incidences juridiques de l’utilisation de l’infonuagique par le gouvernement du Québec", étude présentée au Conseil du Trésor du Québec, 2014.
Selon le NIST, l’infonuagique (ou informatique en nuage) est un modèle d’accès au réseau habilitant, pratique et sur demande comprenant un bassin partagé de ressources informatiques configurables qui peut rapidement être activé et désactivé en réduisant au minimum les efforts de gestion ou les contacts avec le prestataire de services. L’infonuagique présente cinq grandes caractéristiques (le libre-service sur demande, l’accès global au réseau, un bassin de ressources, la souplesse rapide et les services mesurés) et peut être envisagé selon différents modèles de déploiement (privé interne, privé externe, public, communautaire et hybride) et de service (logiciels sous forme de service, plateforme sous forme de service, infrastructure sous forme de service, etc.) possédant chacun leurs avantages et leurs inconvénients. Du point de vue juridique, le fait, pour un organisme ou ministère de déposer ou faire circuler des renseignements dans le nuage, même s’ils sont confidentiels, n’est interdit par aucun texte de loi. D’ailleurs, plusieurs juridictions ailleurs au Canada et à travers le monde ont choisi de profiter des avantages offerts par l’informatique en nuage. Toutefois, si la technologie elle-même n’est pas proscrite, certains des modèles d’affaires proposés par les prestataires de services infonuagiques ne concordent pas avec les obligations imposées aux organismes publics quant à la protection de l’intégrité, de la disponibilité et de la confidentialité des informations personnelles et autrement confidentielles qu’ils détiennent.
En effet, les risques associés au recours à l’infonuagique seront d’abord et avant tout fonction du type de données contenues dans ou accessibles via les documents technologiques hébergés dans le nuage ou circulant par le biais de celui-ci. Ainsi, si tous les documents hébergés ont un caractère public, la mise en place de mesures de sécurité visant à en empêcher l’interception ou la consultation par un tiers deviendra moins pertinente. Ce ne sera donc que lorsqu’un renseignement se doit d’être protégé en vertu d’un texte de loi ou d’obligations contractuelles que son hébergement dans le nuage deviendra source de soucis.
Or, tant la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels que la Loi concernant le cadre juridique des technologies de l’information viennent baliser les possibilités offertes par l’infonuagique, notamment en interdisant d’héberger des renseignements personnels ou autrement confidentiels dans un nuage dont les serveurs résideraient à l’extérieur du Québec ou seraient sous le contrôle d’une entreprise étrangère. La Loi sur l’accès permet toutefois de passer outre cette interdiction lorsque les lois applicables au territoire hôte offrent une protection équivalente au cadre juridique québécois. Cette exception permettrait donc, vu l’équivalence présumée des lois en vigueur sur ces territoires, d’héberger des renseignements confidentiels dans un nuage canadien, voire même possiblement européen. Toutefois, l’hébergement de données confidentielles dans un nuage états-unien soulève de nombreuses controverses vu les droits accordés aux autorités américaines par le USA PATRIOT Act et, de ce fait, ne semble pas possible à la lumière des textes de loi précités. Ceci étant, même s’il semble impossible de concilier la lettre de la Loi sur l’accès et le recours à un nuage international, l’esprit de la loi serait protégé si les organismes publics procédaient au chiffrement des données avant de les verser dans le nuage ou de les faire circuler par le biais de celui-ci. Si cette solution ne résiste pas à une analyse textuelle de la Loi sur l’accès, elle s’avère toutefois plus réaliste vu la mondialisation des marchés et, surtout, les engagements pris par le Québec envers ses partenaires commerciaux internationaux.
Ce contenu a été mis à jour le 30 septembre 2014 à 14 h 10 min.
