La chaine d’information CBC News a publié, en date du 8 septembre denier, un article concernant l’utilisation éventuelle d’un server américain (Cloud) en tant que plateforme de sauvegarde de données étatiques canadiennes, données considérées de par leur définition comme hautement confidentielles. La chaine d’information a par ailleurs accompagné son article d’un Memorandum qu’ils ont, disent-ils, pu se procurer grâce à la loi canadienne concernant l’accès à l’information.
En bref, ce Memorandum, adressé au président du Services partagés canadien (SPC), analyse la possibilité d’utiliser Microsoft ou tout autre fournisseur de service de type Cloud afin de sauvegarder des données étatiques cryptées. L’utilisation de ce service serait, semblerait-il, conditionnée de façon à ce que seul le SPC détienne et soit propriétaire de la clé de décryptage. En d’autres termes, Microsoft ou autres, malgré qu’ils soient le fournisseur et gestionnaire du service, n’auraient pas accès aux données.
Important est de relever que le SPC s’était initialement engagé à suivre les objectifs du Plan stratégique sur la technologie de l’information du gouvernement du Canada 2016-2020. Or, ce dernier indique que “les ministères et organismes adopteront la politique selon laquelle toutes les données de nature délicate ou protégées sous le contrôle du gouvernement seront stockées sur des serveurs qui se trouvent au Canada”. Ils leur appartiendra par ailleurs d’évaluer “les risques en se fondant sur une évaluation de la sensibilité des données et appliqueront les contrôles de sécurité appropriés pour les services d’informatique en nuage”. De même, la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, à son article 70.1, prévoit que la détention de renseignements par un organisme situé à l’extérieur du Québec est envisageable uniquement si le gouvernement québécois estime que celui-ci assurera une protection équivalente à celle prévue par cette même loi. En d’autres termes, si le gouvernement québécois estime que le fournisseur de services étranger ne sera pas en mesure de fournir une telle protection, il devra refuser la détention, par cet organisme, de tels renseignements. Comme expliqué dans le Guide de l’infonuagique,
“les renseignements hébergés dans un autre pays sont soumis aux lois de ce pays, et il faut savoir qu’il est possible que ces dernières ne garantissent pas toujours leur disponibilité, leur intégrité et leur confidentialité ainsi que les obligations de PRP équivalentes à la Loi sur l’accès”.
On peut tout de même se questionner sur la raison, de la part du gouvernement canadien, d’envisager le recours à des services d’informatique en nuage offerts par des entreprises domiciliées sur territoire étranger et non par un serveur gouverné par le droit québécois. Aucun doute que le gouvernement canadien souhaite garder ses données cryptées sous la plus haute sécurité afin de garantir leur confidentialité. Les services d’informatique en nuage ont fait leur preuve depuis plusieurs années et il n’est pas nécessaire de décrire leur avantage et utilité plus en détail. Cependant, les risques de fuites sont présents, surtout lorsqu’il s’agit de données étatiques délicates. Comme l’expriment les auteurs N. Vermeys, J. M. Gauthier et S. Mizrahi, dans leur publication du 22 novembre 2016, intitulée “Etude sur les incidences juridiques de l’utilisation de l’infonuagique par le gouvernement du Québec”,
“les risques associés au recours à l’infonuagique seront d’abord et avant tout fonction du type de données contenues dans ou accessibles via les documents technologiques hébergés dans le nuage ou circulant par le biais de celui-ci”.
Installer un tel service informatique afin de sauvegarder des données d’un telle importance est un projet de grande ampleur, nécessitant des moyens financiers et technologiques considérables. Par la suite, maintenir un niveau de sécurité élevé, alors que la menace est constante, représente une dépense et un travail non négligeable. Il parait donc peut-être plus confortable, pour le gouvernement canadien, de se diriger vers un serveur bien établi depuis des décennies et qui a démontré son savoir-faire en tant que fournisseur de services dans le domaine.
Dans le cas présent, Microsoft est mentionné comme représentant un très probable candidat. Serait-ce offrir plus de facilités au gouvernement américain dans l’obtention de données gouvernementales canadiennes? Le Memorandum précise que Microsoft n’a (jusqu’à présent certes) jamais dévoilé des données d’un état à un autre gouvernement étranger. Il est aussi indiqué que Microsoft a toujours informé ses clients de toute demande juridique susceptible de donner accès à des informations avant de fournir ces dernières. Cependant, la firme a déposé une plainte, au mois d’avril de l’année dernière, contre le gouvernement américain pour violation de plusieurs amendements de la Constitution ainsi que certaines dispositions de l’Electronic Communications Privacy Act. En substance, Microsoft estime avoir le droit et le devoir d’informer ses clients quand les autorités réclament des données les concernant, ce qui révèle que certaines requêtes de la part du gouvernement américain étaient accompagnées d’une obligation de garder le silence. Car en effet, depuis l’adoption du USA Patriot Act, les entreprises soumises aux lois américaines fournissant des services infonuagiques doivent se soumettre aux demandes de renseignements de la part du gouvernement américain, renseignements pouvant viser tant les citoyens nationaux que les étrangers. Microsoft ne semble donc a priori pas remplir la condition légale d’assurer un niveau de protection similaire à celui garanti par le droit québécois. Cependant, toujours selon N. Vermeys, J. M. Gauthier et S. Mizrahi, l’esprit de la loi sur l’accès serait tout de même protégé
“si les organismes publics procédaient au chiffrement des données avant de les verser dans le nuage ou de les faire circuler par le biais de celui-ci”.
Or, selon ce Mémorandum, le recours aux services Cloud d’une entreprise étrangère ne semble être envisagé que pour la détention de données cryptées.
Exiger que les données gouvernementales canadiennes soient uniquement sauvegardées par des instruments établis au Canada semble être une conception pure et rassurante mais le plus important, ne l’oublions-pas, est de se demander qui est plus à même d’effectuer la tâche recherchée, et ce, de la manière la plus adéquate. Microsoft, ou autre firme similaire bien établie, sont en constant développement et recherche dans le domaine de la sécurité virtuelle et il est dans leur intérêt d’éviter toute ingérence, étatique ou non. Si le gouvernement canadien évalue la possibilité de recourir à leurs services, c’est peut être qu’il estime ne pas avoir les ressources et capacités suffisantes pour contrer les multiples risques liés au service d’informatique en nuage. Aussi, il semble, à la lecture du Mémorandum, que ce moyen de sauvegarde serait utilisé pour des données déjà cryptées. Pour terminer, l’utilisation du service Cloud, de par son image, ne semble pas établir de frontières territoriales quant à son utilisation. L’illustration même du nuage flottant aux dessus des terres exprime une idée forte et moderne tant pour les services offerts aujourd’hui quant à la sauvegarde de données, que pour les risques liés à leur utilisation; rappelons en effet que les attaques et menaces viennent du monde entier. Encore une fois, la balance doit se pencher vers la garantie d’une sécurité virtuelle aussi effective que possible afin de protéger la confidentialité des données sensibles du gouvernement canadien.
Commentaires