À la merci des Américains?

Le gouvernement du Québec entend se départir de ses infrastructures informatiques et entreposer les données des différents ministères et organismes publics auprès d’entreprises commerciales proposant des services d’infonuagique. Concrètement, cela signifie que les banques de données des ministères et organismes publics québécois pourraient se retrouver hébergées sur des serveurs appartenant à des fournisseurs américains comme Amazon, Microsoft, Google, Apple, etc.

Bien que le ministre ait manifesté son intention de faire en sorte que les données demeurent physiquement sur le territoire québécois, il n’a pas exclu que les services d’infonuagique puissent être assurés par des entreprises assujetties aux lois américaines.

Or, il se trouve que le droit américain accorde aux autorités de ce pays un droit étendu d’accéder aux données où qu’elles se trouvent, et ce, dès lors qu’elles sont entre les mains d’une firme assujettie aux lois américaines.

Le Cloud Act

Au nombre des lois qui sont susceptibles de s’appliquer et de mettre à risque les données relevant du gouvernement du Québec, il y a le Cloud Act, cette loi promulguée au début 2018 après avoir été votée par le Congrès sans vraiment de débats sur le fond. L’expression « Cloud Act » signifie Clarifying Lawful Overseas Use of Data. Cette législation a pour but de clarifier l’étendue du droit des autorités américaines d’accéder à des données stockées hors des États-Unis, mais sur des installations qui sont contrôlées par des entreprises américaines.

Deux dispositions du Cloud Act sont à la source des préoccupations de ceux qui expriment des craintes à la perspective de voir le gouvernement du Québec faire appel à des firmes américaines pour stocker ses données. Une première prévoit que toute société américaine (c’est-à-dire enregistrée aux États-Unis), ainsi que les sociétés contrôlées par elle, a l’obligation de communiquer aux autorités américaines, à leur demande, les données placées sous son contrôle sans égard au lieu où ces données se trouvent stockées. Cela met radicalement à mal la souveraineté de tous les pays dans lesquels sont stockées des données.

Une autre disposition prévoit la possibilité pour le gouvernement des États-Unis de conclure avec des gouvernements étrangers des accords permettant aux autorités respectives de chaque pays de demander la divulgation de données directement aux fournisseurs de services de communication, traitement et stockage électroniques de données relevant de la juridiction d’un autre pays. Ces ententes pourraient court-circuiter l’obligation de passer par un juge afin de forcer les entreprises à donner accès aux données sous leur garde.

Bien sûr, a priori, l’accès par les autorités américaines à plusieurs types de données est conditionnel à un mandat d’un tribunal ou un ordre donné par un juge. De plus, les entreprises américaines qui se font réclamer des fichiers entreposés sur leurs serveurs ont en principe une possibilité de contester le bien-fondé de telles demandes devant les tribunaux américains. Mais ce qui inquiète est le caractère trop souvent obscur des dispositions applicables et surtout le déficit de crédibilité des autorités américaines depuis les révélations d’Edward Snowden.

En Europe, ces inquiétudes ont alimenté des prises de position réclamant des lois imposant aux autorités publiques l’obligation de s’assurer que les données de leurs citoyens sont entreposées dans des environnements informatiques protégés des décisions possiblement arbitraires d’une autorité étrangère.

Mais par-dessus tout, ce qui importe est la limpidité du cadre juridique auquel seront soumis les fichiers contenant les données des Québécois. L’une des façons d’y arriver est de prévoir dans les lois québécoises les conditions minimales des contrats qui pourront intervenir entre tout organisme relevant des lois du Québec et les fournisseurs de solutions infonuagiques.

Renforcer la loi québécoise

L’actuel article 70.1 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels oblige de s’assurer avant d’autoriser leur transfert que les renseignements personnels bénéficieront d’une protection équivalant à celle prévue à la loi québécoise. À défaut d’une telle protection, les organismes publics doivent refuser de les confier à une entreprise de l’extérieur du Québec.

Dans ce même esprit, avant de confier des données à toute firme susceptible d’être assujettie aux lois d’un autre État, les autorités québécoises devront expliquer clairement les garanties qui s’appliqueront. C’est pourquoi les décisions de confier des données à des entreprises commerciales devraient être soumises à l’examen public de la Commission d’accès à l’information, l’organisme chargé au Québec d’assurer la protection des renseignements personnels.

LE COURRIER DES IDÉES

Recevez chaque fin de semaine nos meilleurs textes d’opinion de la semaine par courriel. Inscrivez-vous, c’est gratuit!


En vous inscrivant, vous acceptez de recevoir les communications du Devoir par courriel.

6 commentaires
  • Eric Folot - Inscrit 12 février 2019 06 h 18

    Excellent texte

    Je suis entièrement d'accord avec le professeur Trudel. La protection de nos renseignements personnels relève de notre droit à la vie privée garanti par les chartes canadienne et québécoise. Pour le bénéfice des lecteurs, je cite l'article 70.1 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels mentionné dans son texte :

    "70.1. Avant de communiquer à l’extérieur du Québec des renseignements personnels ou de confier à une personne ou à un organisme à l’extérieur du Québec la tâche de détenir, d’utiliser ou de communiquer pour son compte de tels renseignements, l’organisme public doit s’assurer qu’ils bénéficieront d’une protection équivalant à celle prévue à la présente loi.

    Si l’organisme public estime que les renseignements visés au premier alinéa ne bénéficieront pas d’une protection équivalant à celle prévue à la présente loi, il doit refuser de les communiquer ou refuser de confier à une personne ou à un organisme à l’extérieur du Québec la tâche de les détenir, de les utiliser ou de les communiquer pour son compte".

    Eric Folot

  • Sylvio Le Blanc - Abonné 12 février 2019 08 h 02

    Je pense que M. Trudel a fait le tour de la question

    Le gouvernement caquiste joue gros dans cette affaire. Il doit agir avec précaution.

    Si, pour sauver un peu d'argent, nous nous faisons voler nos données, nous aurons l'air fin.

  • Gaston Bourdages - Abonné 12 février 2019 08 h 30

    Affolant de penser que messieurs Jeff Bezos, Mark Zuckerberg et autres génies...

    ...des communications et du monde des finances pourraient posséder de mes données personnelles.
    Vrai aussi que nous traversons une période de déification de certains êtres humains peu importe si nous devenons à leur merci. Je pense à Netflix et à madame l'ex-ministre responsable alors du dossier. Je pense à Uber, AirbNb qui sont arrivés ici avec de gros sabots en faisant fi de nos lois fiscales.
    Je me rappelle que l'ex-ministre Paradis a, un jour, dit en Chambre que Monsanto était plus fort que son gouvernement.
    Je m'imagine la scène...monsieur Bezos appelle monsieur Éric Caire, ministre délégué dans ce dossier pour jaser avec lui du CLOUD et, en même temps, demander à monsieur Cair si lui et ses pairs sont satisfaits du milliard de $ que lui et son entreprise ont investi dans la région de Montréal ?
    Quelle autre superbe façon d'être à la merci des Américains.
    J'appréhende l'avenir et les pouvoirs que nous accordones à d'autres.
    Gaston Bourdages
    Saint-Mathieu-de-Rioux, Qc.

  • Denis Paquette - Abonné 12 février 2019 10 h 46

    que l'on le veille ou pas, notre vie d'écoule directement du cosmos et le plus que l'on peut faire c'est de choisir le moindre mal

    ne sommes nous pas déja sous le joug de la culture américaine la culture internet que nous aimons tellement n'est-elle pas tout a fait américaine, la vie m'a enseigné, qu'il y a des influences difficile a contreren fait que le monde est le produit de tellement de choses dont le pouvoir n'est pas exclus,enfin, somme nous capable de nous protéger des énormes machine que les américains produisent et ce n'est pas fini somme nous capable de ne pas utiliser leur thecbnologie infonuagique comme vous dites, avons les moyens et les connaissancesde protéger les notres,il y a ciinquante ans les américains en possédaient deja les infrastrucrtures ils,sont capable aujourd'hui de mener une guerre s'en sortir de leur bureau et vous voulez compértitionner ces gens, la vie m'a appris qu'il y a des choses que l'on peut combattre que par des prières, ce que les anciens avaient compris depuis longtemps

  • Serge Lamarche - Abonné 12 février 2019 14 h 41

    Méfiance

    Les hackeurs ayant toujours bien pénétré les nuages informatiques, il me semble très imprudent de s'en servir tout court. En plus, si ces nuages sont sous contrôle privé, il est certain que les données vont être vulnérables. Ceci dit, l'incompétence en la matière augmenterait la vulnérabilité encore plus.