Personne-ressource : Antoine Hamel Rancourt
Le « cloud computing », que l’Office québécois de la langue française nous invite à traduire par le terme « infonuagique », ne désigne pas spécifiquement une technologie, mais plutôt une nouvelle façon d’accéder et d’utiliser des ressources ou services informatiques.
Du point de vue juridique, le recours à des services de technologies de l’information (TI) en mode infonuagique impliquant la communication ou le transfert de documents revêtant un caractère confidentiel aux fins de traitement ou d’hébergement commande une analyse de plusieurs enjeux relatifs à la gestion et à la sécurité de l’information, ainsi qu’à la protection des renseignements personnels (RP).
Le cadre juridique québécois est défini par la Loi concernant le cadre juridique des technologies de l’Information (LCCJTI)1, par les lois relatives à la protection des RP dans les secteurs publics (LADOPPRP) et privés (LPRPSP)2, ainsi que par plusieurs lois applicables à des domaines d’activités spécifiques.
La loi concernant le cadre juridique des TI
Les dispositions de la LCCJTI imposent aux organisations québécoises l’obligation de stipuler expressément la nature des documents à caractère confidentiel qu’elle confie à un prestataire de services et de prévoir des mesures ou des processus afin d’en assurer la sécurité. Bien que cette disposition n’ait jamais été interprétée, son libellé requiert plus que la formule contractuelle standard référant aux « meilleures pratiques de l’industrie ».
La LCCJTI traite aussi de la transmission d’un document confidentiel3, en prévoyant que la confidentialité doit être préservée par un moyen approprié au mode de transmission, et en imposant de documenter les moyens pris pour assurer la confidentialité du document transmis (par ex. : le chiffrement).
Les lois sur la protection des renseignements personnels
À l’instar de la loi fédérale4, les lois québécoises sur la protection des RP réfèrent toutes deux à la possibilité pour une organisation de recourir aux services d’un tiers pour le traitement de documents comportant des RP. La loi applicable au secteur public précise, de plus, l’obligation de l’organisation de conclure un contrat écrit, d’y mentionner les dispositions applicables de la loi, d’y prévoir les mesures destinées à assurer le maintien de la confidentialité des RP et d’obtenir des engagements de confidentialité. Quant à la loi appliquée au secteur privé, la Commission d’accès à l’information l’a interprétée comme exigeant la conclusion d’un contrat écrit5.
Les deux lois québécoises prévoient, par ailleurs, la possibilité de recourir aux services d’un prestataire dont les installations sont sises à l’extérieur du Québec aux fins de détention, d’utilisation ou de communication pour son compte sans nécessité d’obtenir un consentement spécifique des personnes concernées à cet égard. Toutefois, les articles pertinents prévoient que l’organisation doit s’assurer que les RP reçoivent une protection équivalente à celle prévue par les dispositions expressément visées de la loi applicable au secteur privé et par les dispositions de la LADOPPRP dans le cas des organismes publics.6
Nous considérons, quant à nous, que cette obligation peut être satisfaite par une révision de l’encadrement juridique de la protection des RP dans la juridiction visée afin de déterminer s’il existe un tel encadrement, si celui-ci reconnaît le droit à la vie privée et le principe de la confidentialité des RP et si celui-ci comporte des règles irréconciliables avec la loi québécoise applicable.7
Les droits d’accès des autorités gouvernementales
Dans le cas des États-Unis, la révision devra notamment s’attarder à la reconnaissance du droit à la vie privée et à l’étendue des droits d’accès accordés au gouvernement américain. L’enjeu consiste à déterminer si ces droits d’accès sont tels qu’une organisation québécoise devrait nécessairement conclure que les renseignements confiés à un prestataire américain ne bénéficieraient pas d’une protection équivalant à celle prévue par la loi québécoise applicable ou si au contraire, l’exercice de ces droits d’accès est assimilable à une communication à « un organisme qui est chargé de prévenir, détecter ou réprimer le crime ou les infractions » au sens des exceptions prévues par les lois québécoises.
Bien que la constitution américaine reconnaisse le droit constitutionnel à la vie privée, celui-ci ne peut généralement être invoqué que par des citoyens américains. La protection des RP dans le secteur privé n’est, par ailleurs, pas assurée par une loi d’application générale, mais plutôt par des lois spécifiques à des secteurs d’activités. Parmi celles-ci, l’Electronic Communication Privacy Act8 reconnaît aux utilisateurs des services de télécommunications une expectative de vie privée et impose des obligations de non-divulgation aux fournisseurs de ces services.
Les lois qui accordent des droits d’accès et des pouvoirs d’enquête aux autorités gouvernementales ont toutefois préséance sur ces interdictions. Depuis 2001, le Patriot Act a été maintes fois identifié comme un risque d’accès et de communications non autorisés, ce qui militait contre le recours à des prestataires de services américains ou ayant des liens avec des prestataires de services américains.
Les droits d’accès accordés aux autorités américaines doivent, par ailleurs, être comparés à ceux dont disposent leurs homologues canadiens depuis l’adoption, en décembre 2001, de la Loi antiterroriste9. Cette loi a entraîné des modifications à plusieurs lois, dont le Code criminel, de façon à élargir la portée des pouvoirs accordés aux autorités gouvernementales chargées de prévenir, détecter ou réprimer le crime ou les infractions aux lois. Différentes lois canadiennes accordent aujourd’hui des droits d’interception et de saisie aux autorités gouvernementales canadiennes qui sont similaires à ceux accordés par les lois américaines.10
Malgré la similarité des pouvoirs accordés par les lois canadiennes et américaines, l’interprétation et l’application qui en sont faites peuvent toutefois être significativement différentes11. Les documents qui auraient été rendus publics par Edward Snowden au cours de l’année 2013 ont notamment révélé l’étendue des autorisations accordées par le Foreign Intelligence Surveillance Tribunal et des opérations de surveillance effectuées en vertu des pouvoirs accordés aux autorités américaines. Il faut, à cet égard, reconnaître que l’étendue de la surveillance et de la collecte d’information qui seraient effectuées par les États-Unis semble largement dépasser ce que permettait d’anticiper le libellé des lois applicables12.
Quant à la situation canadienne, nous ne disposons pas d’informations significatives en regard de l’étendue des opérations de surveillance qui auraient cours. Certains documents publiés en 2013 sont toutefois indicatifs du degré de collaboration qui existe entre les autorités respectives des pays membres du groupe des « Five eyes » (Canada, États-Unis, Grande-Bretagne, Australie et Nouvelle-Zélande) et révèlent, notamment, que le Canada aurait collaboré à la surveillance des communications au cours de sommets tenus au Canada en 201013.
Les révélations de la dernière année militent pour une analyse de la sensibilité des documents susceptibles d’être confiés et des mécanismes de sécurité à la disposition des organisations. L’analyse de la légalité n’écarte évidemment pas la nécessité de considérer l’opportunité de recourir à des services en mode infonuagique en procédant à une analyse de risque en bonne et due forme. Comme en toutes circonstances, les organisations devraient s’attarder à déterminer le degré de sensibilité des catégories de documents visés, au profil des fournisseurs de services, aux mesures de sécurité susceptibles d’être appliquées ainsi qu’à l’impact de la notification des personnes visées14.
__________
1 LRQ, c. C-1.1.
2 Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, LRQ, c. A-2.1. (LADOPPRP), Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1. Voir aussi les dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) relatives aux transferts transfrontaliers pour les organisations du secteur privé. Le Décret d’exclusion visant des organisations de la province de Québec (DORS/2003-374) adopté en vertu de l’article 26(2)b) de la LPRPDE écarte l’application de la partie 1 de la LPRPDE « à l’égard de la collecte, de l’utilisation et de la communication de renseignements personnels qui s’effectuent à l’intérieur de la province de Québec ». Dans les Lignes directrices sur le traitement transfrontalier des données personnelles, le Commissariat à la protection de la vie privée du Canada mentionne expressément : « les organisations dont les activités commerciales dans une province ne sont pas assujetties à la LPRPDE doivent savoir que les transferts transfrontaliers le sont ».
3 Art. 34. Pour une analyse complète des dispositions relatives à la transmission, voir : Patrick GINGRAS et Jean-François DE RICO, « La transmission des documents technologiques », dans Actes de la XXe conférence des juristes de l’État, Cowansville, Éditions Yvon Blais, 2013, p. 409.
4 Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, c. 5, art. 5 et annexe I, principe 4.1.3.
5 Deschesnes c. Groupe Jean Coutu, [2000] CAI 216, EYB 2000-17899.
6 Il y a lieu de noter que le dernier alinéa de l’article 17 de la LPRPSP et l’article 70.1 de la loi applicable au secteur public découlent de modifications apportées à ces lois en 2006. Alors qu’au moment du dépôt et de l’adoption de la loi modificatrice, les débats découlant du Patriot Act étaient engagés, que l’approche du Commissariat fédéral était connue, que les parlementaires réfèrent directement à la loi honnie, ni l’article 17 ni l’article 70.1 n’imposent d’obligation spécifique d’analyse juridique. Au surplus, l’examen des débats parlementaires portant sur l’article du projet de loi 86 ayant mené à l’introduction de l’article 70.1 et du dernier alinéa de l’article 17 permet de discerner chez certains membres de la commission parlementaire faisant partie de l’opposition à ce moment la volonté d’éviter l’accès aux renseignements personnels conservés par les organisations québécoises par les autorités américaines et de faire échec au Patriot Act. Le libellé des articles 17 et 70.1 qui a été retenu ne permet pas d’attribuer au législateur l’intention d’interdire le recours à des fournisseurs américains ou à des fournisseurs utilisant des installations ou ayant un établissement aux États-Unis.
7 Pour une analyse complète, voir Jean-François De Rico, « L’infonuagique, la protection des renseignements personnels et les droits d’accès des gouvernements », dans Bulletin Technologies de l’information – En bref, Éditions Yvon Blais, Janvier 2014. Dans le cas où les lois applicables ne comportent pas d’éléments irréconciliables, le contrat de services devrait stipuler les engagements nécessaires pour combler, le cas échéant, les lacunes de la loi locale, et préciser les obligations du fournisseur de services en ce qui a trait à la protection des renseignements personnels et au maintien de la confidentialité des documents qui lui sont confiés.
8 Au sujet de cette loi, voir : U.S. INTERNET SERVICE PROVIDER ASSOCIATION, « Electronic Evidence Compliance-A Guide for Internet Service Providers », (2003) 18 Berkeley Tech. L.J. 945.
9 Loi modifiant le Code criminel, la Loi sur les secrets officiels, la Loi sur la preuve au Canada, la Loi sur le recyclage des produits de la criminalité et d’autres lois, et édictant des mesures à l’égard de l’enregistrement des organismes de bienfaisance, en vue de combattre le terrorisme, L.C. 2001, c. 41 (la « Loi antiterroriste »).
10 Code criminel; Loi sur le Service canadien du renseignement de sécurité; Loi sur la protection de l’information; Loi sur la défense nationale; Loi sur l’entraide juridique en matière criminelle. Pour une analyse complète, voir Jean-François De Rico, « L’infonuagique, la protection des renseignements personnels et les droits d’accès des gouvernements », dans Bulletin Technologies de l’information – En bref, Éditions Yvon Blais, Janvier 2014.
11 Le 17 janvier 2014, le président des États-Unis a publié une directive annonçant une volonté de revoir l’encadrement des pouvoirs de surveillance afin d’assurer une meilleure protection de la vie privée : http://www.whitehouse.gov/the-press-office/2014/01/17/presidential-policy-directive-signals-intelligence-activities
12 Sur les révélations d’Edward Snowden et les programmes de surveillance mis au jour, voir l’excellent site élaboré par The Guardianhttp://tinyurl.com/nv8dbgu (consulté le 5 janvier 2014).
13 Greg WESTON, Glen GREENWALD et Ryan GALLAGHER, New Snowden docs show U.S. spied during G20 in Toronto, 27 novembre 2013 (http://www.cbc.ca/news/politics/new-snowden-docs-show-u-s-spied-during-g20-in-toronto-1.2442448).
Le document : http://www.cbc.ca/news2/pdf/summit-doc.pdf (consulté le 3 janvier 2014).
14 Voir notamment CLOUD SECURITY ALLIANCE, Security Guidance for Critical Areas of Focus in Cloud Computing, v. 3.0, CSA, 2011; EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY (ENISA), Cloud computing – Benefits, risks and recommendations for information security, ENISA, novembre 2009.