Le 24 mars dernier, l’Université Laval annonçait qu’elle interdisait l’utilisation de la nouvelle application mobile de Outlook de Microsoft dû aux problèmes de sécurité reliés au cloud. Non pas le premier établissement à prendre cette décision, cela soulève bien des questions concernant le cloud computing.
Avec l’essor d’Internet, le cloud computing est devenu une infrastructure de plus en plus populaire. Il se définit comme la mise à disposition de services informatiques à travers Internet, à la fois au niveau logiciel et matériel. Les entreprises et les utilisateurs ont ainsi la possibilité d’accéder à des ressources informatiques gérées par des prestataires externes : stockage de données, utilisation d’applications web, serveurs dédiés, etc. Dans un tel contexte, les problématiques de sécurité et de respect de la vie privée sont plus spécifiques dans la mesure où toutes les données circulent sur Internet et sont stockées à distance chez un fournisseur dont nous ignorons souvent la localisation exacte et les procédures internes. Cela s’applique aussi bien pour un utilisateur qui décide de stocker ses données sur le cloud, que pour une entreprise qui collecte des données en vue d’en externaliser le stockage. Bien entendu, des lois encadrent ces pratiques mais la juridiction évolue moins vite que la technologie. On peut ainsi se demander quels sont les enjeux légaux pour les entreprises qui utilisent des services de cloud computing ? Qui est responsable et comment sommes-nous protégés ?
Quelles responsabilités pour les entreprises qui stockent ainsi des renseignements personnels dans le cloud ?
En matière de données personnelles, le commissaire à la protection de la vie privée du Canada est chargé de la surveillance de la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), plus communément appelée PIPEDA selon son abréviation anglaise. La LPRPDE s’applique à toutes les organisations publiques et privées qui collectent, utilisent et partagent des renseignements personnels dans le cadre d’une activité commerciale. Dans le contexte où une entreprise choisit de stocker des données sur le cloud, c’est le premier principe qui régit ces opérations. Ainsi, non seulement ‘une organisation est responsable des renseignements personnels dont elle a la gestion’ mais elle reste aussi responsable des renseignements ‘confiés à une tierce partie aux fins de traitement’. Elle définit également la notion de renseignements personnels.
La LPRPDE n’interdit pas aux entreprises de transférer sur le cloud des données collectées mais elle fournit un cadre juridique à respecter pour effectuer ces transferts. Ainsi, en plus de la nécessité d’obtenir un consentement pour la collecte et le partage de données de consommateurs, elle doit veiller à ce que des mesures efficaces de sécurité sont mises en place par le prestataire de service avec une protection similaire à ce qu’elle aurait du offrir. Ces mesures de securite doivent permettre de se prémunir ‘contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées’ comme indiqué à l’alinéa 1 du septième principe de la LPRPDE.
D’une manière générale, le maître mot est la transparence ! L’entreprise doit indiquer de manière compréhensible aux clients comment le cycle de vie des informations est géré.
Par mesure de sécurités efficaces, il faut comprendre tous les système de cryptographie à clés publiques ou privées qui vont permettre d’assurer la confidentialité et l’anthenticité des informations stockées grâce à l’échange de clés de chiffrement et la vérification des identités par des autorités de certifications. À cela, nous pouvons ajouter la protection physique (stockage des serveurs dans un batiment avec un accès contrôlé par exemple). Même si le septième principe, alinéa 2 de la LPRPDE indique que ‘la nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis’, la plupart des infrastructures de stockage sur le cloud utilisent des méthodes d’encryptage prouvées comme sécuritaires. C’est le cas du chiffrement RSA utilisé avec une clé de longueur suffisante par exemple.
Une entreprise canadienne peut-elle stocker mes données hors du Canada ?
À l’heure où la plupart des géants du cloud computing sont américains, une entreprise canadienne pourrait être tentée de faire appel aux services d’un prestataire situé en dehors du Canada. C’est tout à fait dans ses droits si elle respecte les conditions citées précedemment. Comme l’indique le Commissariat à la protection de la vie privée, dans le cas d’une externalisation chez un fournisseurs hors du Canada, ces derniers seront ‘assujettis aux lois du pays visé et aucun contrat ne peut les soustraire à cette exigence’.
Toutefois, la LPRPDE pourra s’appliquer si un lien réel et substantiel existe entre ce prestataire et le Canada dans le cadre d’informations personnelles stockées suite à une activité commerciale. La jurisprudence va également dans ce sens avec les affaires Disney Enterprises Inc. v Click Enterprises Inc. et Desjean v Intermix Media Inc.
L’Organisation de coopération et de développement économiques (OCDE) définit aussi un certain nombre de règles visant à améliorer la protection de vie privée dans les cas où des renseignements personnels sont traités en dehors du pays où ils ont été récoltés. Elle invite ainsi les pays membres à s’entendre sur des procédures communes et à coopérer pour améliorer le droit au respect de la vie privée de chaque individu.
Et les gouvernements dans tout ça ?
‘Big brother is watching you’ disait George Orwell dans son roman 1984. Malheureusement, le cloud computing n’y échape pas ! Si vos renseignements personnels sont stockés chez un fournisseur de service situé aux États-Unis, il y a de forte chance que le gouvernement américain puisse accéder aux données sous couvert du Patriot Act ou du programme PRISM. Le fournisseur de service sera alors tenu de lui fournir les renseignements demandés sans pour autant vous en avertir.
De plus, même si certaines plateformes de cloud computing ont un nom de domaine enregistré au Canada, la plupart de leur traffic passe en réalité par les États-Unis. D’un manière générale, on estime que 90% de l’activité digitale canadienne a, à un moment donné, été re-routée chez nos voisins. Un besoin de plateformes cloud 100% “made in canada” se fait donc ressentir et Michael Geist, professeur de droit à l’Université d’Ottawa, l’a bien compris : les données sensibles devraient rester à l’intérieur du pays.
Comment diminuer les risques ?
N’oubliez pas que vous avez le droit de demander ‘de l’information au sujet des politiques et des pratiques’ de l’entreprise qui a récolté vos données. Cette dernière sera tenue de vous faire parvenir les renseignements demandés s’ils font partie de ceux listés par le huitième principe, alinéa 2 de la LPRPDE.
Cela pourrait par exemple inclure un ‘document d’information expliquant la politique, les normes ou les codes de l’organisation’ ou ‘la description du genre de renseignements personnels’ qu’elle possède. De plus, si vous habitez au Québec, en Alberta ou en Colombie Britannique d’autres lois encadrent les obligations en matière de gestion des renseignements personnels et pourraient, dans certains cas, vous protéger. Soyez informés !