Q Est-il illégal pour une entreprise canadienne de sous-traiter des services tels que l’infonuagique à une société non canadienne?
R Non. Il n’existe pas de loi empêchant la plupart des entreprises canadiennes d’« exporter » les renseignements personnels. Les lois sur la protection des renseignements personnels applicables au secteur privé exigent d’assurer pour les renseignements personnels un degré de sécurité comparable à celui offert au Canada, peu importe qu’ils soient ou non confiés à une société canadienne. Toutefois, certaines industries fortement réglementées, telles que l’industrie bancaire, disposent de règles spécifiques pouvant inclure une réglementation supplémentaire pour les services sous-traités.
Q Est-il illégal pour un organisme du secteur public ou gouvernemental canadien de sous-traiter des services tels que l’infonuagique à une société non canadienne?
R Cela dépend de la province de l’organisme du secteur public ou gouvernemental. La Colombie-Britannique et la NouvelleÉcosse sont les seules provinces qui ont adopté des lois réglementant strictement l’exportation des renseignements personnels du Canada par les agences publiques. Dans tous les autres ressorts, y compris le gouvernement fédéral, les organismes du secteur public sont autorisés à exporter les renseignements personnels, mais doivent fournir un degré de sécurité comparable à celui offert au Canada, peu importe que les renseignements personnels soient confiés à une société canadienne ou non. La législation de l’Alberta prévoit une infraction pour un organisme public ou un fournisseur de services qui divulgue des renseignements personnels en réponse à une ordonnance d’une autorité qui n’a pas compétence en Alberta.
Q Est-il obligatoire d’aviser les clients si l’on choisit de recourir à l’infonuagique?
R Dans la plupart des législations canadiennes, il n’est pas nécessaire en principe de solliciter le consentement du client ou de l’aviser. La position du Commissariat à la protection de la vie privée du Canada est cependant que les entreprises cherchant à faire traiter des renseignements personnels à l’extérieur du Canada devraient en informer leurs clients. Ceci n’est pas pour autant imposé par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), mais constitue peut-être une meilleure pratique. Les lois de l’Alberta et du Québec sur la protection de la vie privée applicable au secteur privé prévoient l’obligation d’informer les clients.
Q Quelles sont les exigences légales de sécurité pour les entreprises canadiennes qui ont recours à l’infonuagique?
R La législation canadienne ne prévoit pas de disposition sur les pratiques particulières de sécurité que les entreprises devraient adoptées lorsqu’elles ont recours à l’infonuagique. Par exemple, la LPRPDE indique seulement que des mesures qui correspondent au niveau de confidentialité de l’information devraient être mises en place : plus le renseignement est sensible, plus grandes devraient être les précautions à prendre. L’idée générale qui prévaut est que l’on devrait insister, au moins, sur les meilleures pratiques de l’industrie concernant le genre de données en question.
L’organisme original demeure juridiquement responsable de la protection des renseignements personnels même lorsqu’ils sont soustraités. Il appartient à celui-ci de veiller à ce que ses fournisseurs de services mettent en place des mesures de protection adéquates. Il faut être au fait de l’évolution des risques dans le domaine de l’infonuagique. Cela concerne principalement les données qui transitent sur Internet. Il est généralement possible d’atténuer ces risques en utilisant SSL, VPN ou d’autres technologies de cryptage pour sécuriser les données en transit. Pourvu que vous choisissiez un fournisseur réputé, les renseignements sont souvent plus en sécurité lorsqu’ils sont conservés par un fournisseur de services en infonuagique : les fournisseurs en infonuagique disposent généralement plus de ressources à consacrer à la sécurité, ainsi les utilisateurs mobiles n’auront plus besoin d’emporter les données dans des appareils vulnérables tels que les ordinateurs portables ou les lecteurs USB.
Q Que devrait stipuler le contrat avec le fournisseur de services?
R Voici une liste des 10 principales stipulations que le contrat devrait comporter. Les fournisseurs de services n’accepteront pas tous de négocier ces modalités et, dépendant du modèle de services infonuagiques qu’ils utilisent, certaines d’entre elles sont simplement difficiles, voire impossibles à honorer — mais vous devriez tout de même les proposer et examiner toute réponse.
1. Limitez l’utilisation de vos données par le fournisseur de services à celle que vous désirez en faire, sauf autorisation contraire et expresse de votre part.
2. Incluez une clause selon laquelle le fournisseur de services détienne vos données « en fiducie » pour vous, faisant de lui un fiduciaire du point de vue juridique.
3. Interdisez au fournisseur de services de faire toute divulgation de vos données sans votre consentement, sauf mention expresse dans le contrat, et envisagez ce qu’il devrait faire advenant qu’une ordonnance lui intime de les divulguer.
4. Spécifiez les dommages-intérêts auxquels vous aurez droit si le fournisseur divulgue des renseignements sans votre autorisation, leur détermination étant faite en fonction d’un multiplicateur qui tient compte de l’ampleur de la divulgation et non selon une somme d’argent fixe, et leur qualification de dommages-intérêts généraux.
5. Obligez le fournisseur de services à ne pas exécuter les ordonnances de divulgation — dans la mesure permise par la loi et dès que possible — sans votre consentement.
6. Obligez le fournisseur de services à collaborer avec vous au cours d’enquêtes menées par des agences réglementaires.
7. Interdisez au fournisseur de services de traiter avec toute agence de réglementation en ce qui concerne vos informations sans votre participation.
8. Imposez des mesures de protection des renseignements. Exigez que le fournisseur respecte les normes de sécurité de l’information reconnues au lieu de changer constamment de technologie — et qu’elles fassent l’objet de vérifications régulières par une partie tierce, et enfin que vous ayez accès aux rapports de vérification. Le fournisseur devrait s’engager à couvrir vos frais en cas de manquement, de son fait. Ajoutez votre pouvoir d’effectuer la vérification de l’accès aux données par vos usagers.
9. Insistez sur l’indemnisation entière, sans limites, en matière de responsabilité liée à la protection de la vie privée et à la sécurité. Le contrat devrait stipuler sous les rubriques « Garantie » et « Indemnisation » que le fournisseur s’engage à couvrir vos frais et tous les dédommagements que vous devrez verser à vos clients en raison d’une faille dans la sécurité. Exigez du fournisseur qu’il possède des couvertures d’assurance adéquates pour ce genre d’incidents et qu’il vous remette les certificats d’assurance.
10. Indiquez que le fournisseur de service doit vous rendre vos données et qu’il ne peut pas les garder ou en faire usage après la clôture du contrat — et assurez-vous de retrouver toutes vos données!
