Ce que tout DSI canadien devrait savoir sur la souveraineté des données

Où les données voyagent-elles sur internet ? Voilà une question que devrait se poser toute entreprise soucieuse de savoir dans quel pays pourraient aboutir des informations privées. Où transitent et sont stockées les informations est un problème lié au concept de souveraineté des données — qui suppose que ces dernières soient régies par les lois du pays où elles se trouvent.

Si l’information reste au Canada, nos lois sur la confidentialité s’appliquent aux renseignements personnels. Mais ce contrôle peut s’évaporer quand les données sortent du pays.

[ Read the English version: “What every Canadian CIO needs to know about data sovereignty” ]

La souveraineté des données préoccupe de plus en plus les DSI et RSSI du monde entier, alors que les services infonuagiques aux frontières nécessairement floues se multiplient partout sur la planète. Plusieurs pays, notamment européens, ont instauré des règles strictes pour protéger les renseignements de leurs citoyens.

Le Canada ne fait pas exception. Voici ce que tout DSI et RSSI canadien devrait savoir sur la souveraineté des données.

Souveraineté : les compétences fédérales et provinciales comptent

La façon dont on traite les données dépend du type d’organisation qui les gère et de la province où elle se trouve. La législation en vigueur vise les renseignements personnels des citoyens et des consommateurs.

Deux dispositions fédérales s’appliquent : la Loi sur la protection des renseignements personnels pour les institutions gouvernementales, et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRDE) pour les organismes privés.

Il n’y a pas de règle stipulant que le gouvernement fédéral doive conserver ses données sensibles au pays. Mais la Directive sur les services et le numérique, mise à jour en 2020, veut que le maintien des installations informatiques à l’intérieur des frontières soit la première solution.

Ottawa reconnaît que même si les données résident au Canada, une fois devenues infonuagiques elles peuvent se trouver assujetties aux lois du pays fournisseur de ce service. Notre gouvernement estime que les avantages techniques l’emportent sur les risques, même s’il se trouve ainsi incapable d’exercer une pleine souveraineté sur ces renseignements. Par exemple, le Canada fait couramment affaire avec AWS d’Amazon et Microsoft Azure. Ces deux organismes hébergent des données au pays, mais sont eux-mêmes situés aux États-Unis — et sont donc soumis à la loi américaine sur les services de renseignements étrangers (US Foreign Intelligence Service Act).

Mais certaines provinces ont des règles plus strictes. Le Québec a adopté une loi en novembre 2021 obligeant les organisations à évaluer la confidentialité des données si elles veulent les envoyer à l’extérieur de la province ; la Colombie-Britannique, quant à elle, exige que les organismes publics stockent les renseignements personnels au Canada. Mais cette province songe à assouplir ses règles pour faciliter l’utilisation des services numériques.

Un RGPD canadien et de nouvelles règles à l’horizon ?

Depuis que l’UE a introduit le RGPD (Règlement général sur la protection des données), on envisage que le Canada adopte des règles semblables. Le RGDD édicte que toute entreprise, où qu’elle se trouve dans le monde, doit appliquer des contrôles stricts sur l’utilisation de données personnelles des résidents de l’UE, et conférer à ces derniers une certaine autorité sur leur utilisation. Le RGPD exige aussi que toute entreprise ou organisme public ne puisse expédier ces données à l’extérieur de leur juridiction d’origine — à moins qu’elles ne soient également protégées par les lois sur la confidentialité du lieu où elles aboutissent.

Le Canada a présenté un projet de loi en 2021 proposant de mettre à jour ses règles de confidentialité selon celles du RGPD, mais ne l’a jamais adopté. On s’attend à ce que les élus fassent une nouvelle tentative en 2022. Quoi qu’il en soit, les DSI et RSSI auraient tout intérêt à se tourner vers l’Europe ou vers le nouveau projet québécois de loi 64 pour voir quelles pourraient être les exigences dans l’avenir.

Les entreprises doivent faire leurs devoirs en vertu de la LPRPDE

Pour l’instant, les DSI et RSSI doivent travailler selon les cadres existants.

La LPRPDE, la loi régissant le traitement des informations des consommateurs par les organismes privés, n’est pas explicite quant à la souveraineté des données. Mais cette disposition impose aux entreprises la responsabilité de protéger toute information personnelle, peu importe comment elle est stockée, contre « la perte, le vol ou tout accès, divulgation, copie, utilisation ou modification non autorisés ».

Il s’agit là d’une entreprise colossale. Les fournisseurs infonuagiques, en particulier les géants comme AWS, Microsoft et Google, qui ont construit leurs propres centres dans les villes canadiennes, font un travail considérable pour assurer la sécurité de leurs opérations. Mais les DSI et RSSI doivent aussi poser les bonnes questions, dit Megha Kumar, vice-présidente de la recherche sur les logiciels et services infonuagiques chez IDC. « Comme organisation, vous devez faire diligence : la responsabilité n’incombe tout simplement pas aux fournisseurs infonuagiques — elle vous appartient », dit-elle.

Kumar recommande de travailler avec le fournisseur infonuagique pour répondre à diverses questions : comment les données seront-elles traitées lorsqu’elles sont immobiles ou en mouvement ? Comment seront-elles classées et, avant tout, quelles sont les données qu’on devrait laisser, ou non, prendre la route des nuages ?

Des mesures supplémentaires peuvent aider à établir la confiance avec les clients. « Cela montre que vous êtes une organisation qui prend leurs affaires et leurs informations au sérieux », dit-elle.

N’oubliez pas les données en mouvement

Il est facile d’envisager la souveraineté des données lorsqu’elles sont immobiles. Après tout, si les renseignements se trouvent dans un grand centre informatique canadien à Toronto, il est évident que nos lois s’appliquent. Mais cela se complique lorsque ces données doivent voyager du point A au point B.

Par exemple, le chemin de Toronto à Montréal peut passer par les États-Unis, selon la configuration d’un réseau. Il n’y a pas guère de limpidité quant aux fibres optiques que les données d’une entreprise empruntent à tel ou tel moment, dit Jacques Latour, directeur de la technologie et de la sécurité à l’Autorité canadienne pour les enregistrements internet (ACEI). Même si l’information est envoyée d’un endroit à l’autre du pays, elle pourrait passer par les États-Unis. Les DSI et RSSI doivent comprendre que lorsqu’ils ne contrôlent pas la circulation, ils sont à la merci des fournisseurs internet pour ce qui est de la destination réelle de leurs données. « Nous n’avons pas de Google Maps pour qu’internet nous dise où va l’information », dit Latour. Et lorsque les données, mêmes encryptées, quittent le Canada — elles peuvent être interceptées.

Pour répondre à ces préoccupations, l’ACEI a favorisé le développement de plus de 10 carrefours canadiens d’échange internet, permettant aux réseaux de partager des données localement. L’organisme met aussi au point un outil qui mesure et affiche la circulation sur différentes voies inter-réseau au pays.

De la même façon que le trafic routier importe aux entreprises de camionnage, les lieux où circulent les données devraient être pris en compte par toute entreprise de service utilisant le transit internet, dit Latour. Cette préoccupation pourrait aider nos organisations à protéger leurs données — en décidant quelles informations envoyer, et quand.

Traduction par Daniel Pérusse