Nicolas VERMEYS, Julie GAUTHIER et Sarit MIZRAHI, Étude sur les incidences juridiques de l'utilisation de l'infonuagique par le Gouvernement du Québec, document de travail, Laboratoire de cyberjustice, 2014.

Résumé

L’infonuagique présente cinq grandes caractéristiques (le libre-service sur demande, l’accès global au réseau, un bassin de ressources, la souplesse rapide et les services mesurés) et peut être envisagé selon différents modèles de déploiement (privé interne, privé externe, public, communautaire et hybride) et de service (logiciels sous forme de service, plateforme sous forme de service, infrastructure sous forme de service, etc.) possédant chacun leurs avantages et leurs inconvénients. Toutefois, si la technologie elle-même n’est pas proscrite, certains des modèles d’affaires proposés par les prestataires de services infonuagiques ne concordent pas avec les obligations imposées aux organismes publics quant à la protection de l’intégrité, de la disponibilité et de la confidentialité des informations personnelles et autrement confidentielles qu’ils détiennent. En effet, les risques associés au recours à l’infonuagique seront d’abord et avant tout fonction du type de données contenues dans ou accessibles via les documents technologiques hébergés dans le nuage ou circulant par le biais de celui-ci. Or, tant la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels que la Loi concernant le cadre juridique des technologies de l’information viennent baliser les possibilités offertes par l’infonuagique, notamment en interdisant d’héberger des renseignements personnels ou autrement confidentiels dans un nuage dont les serveurs résideraient à l’extérieur du Québec ou seraient sous le contrôle d’une entreprise étrangère. La Loi sur l’accès permet toutefois de passer outre cette interdiction lorsque les lois applicables au territoire hôte offrent une protection équivalente au cadre juridique québécois. Cette exception permettrait donc, vu l’équivalence présumée des lois en vigueur sur ces territoires, d’héberger des renseignements confidentiels dans un nuage canadien, voire même possiblement européen. Toutefois, l’hébergement de données confidentielles dans un nuage étatsunien soulève de nombreuses controverses vu les droits accordés aux autorités américaines par le USA PATRIOT Act et, de ce fait, ne semble pas possible à la lumière des textes de loi précités. Ceci étant, même s’il semble impossible de concilier la lettre de la Loi sur l’accès et le recours à un nuage international, l’esprit de la loi serait protégé si les organismes publics procédaient au chiffrement des données avant de les verser dans le nuage ou de les faire circuler par le biais de celui-ci. Si cette solution ne résiste pas à une analyse textuelle de la Loi sur l’accès, elle s’avère toutefois plus réaliste vu la mondialisation des marchés et, surtout, les engagements pris par le Québec envers ses partenaires commerciaux internationaux. 

 


Dernière modification : le 23 juillet 2014 à 18 h 12 min.