Page 37 - CCCA Magazine Spring 2014
P. 37
{ ARTICLE DE FOND } L’INFONUAGIQUE LA « FOIRE AUX QUESTIONS » SUR LE RESPECT DE LA VIE PRIVÉE Q Est-il illégal pour une entreprise canadienne de sous-traiter Q Quelles sont les exigences légales de sécurité pour les entre- des services tels que l’infonuagique à une société non canadienne? prises canadiennes qui ont recours à l’infonuagique? R Non. Il n’existe pas de loi empêchant la plupart des entreprises R La législation canadienne ne prévoit pas de disposition canadiennes d’« exporter » les renseignements personnels. Les lois sur les pratiques particulières de sécurité que les entreprises sur la protection des renseignements personnels applicables au devraient adoptées lorsqu’elles ont recours à l’infonuagique. secteur privé exigent d’assurer pour les renseignements person- Par exemple, la LPRPDE indique seulement que des mesures nels un degré de sécurité comparable à celui offert au Canada, qui correspondent au niveau de confdentialité de l’information peu importe qu’ils soient ou non confés à une société canadienne. devraient être mises en place : plus le renseignement est sensi- Toutefois, certaines industries fortement réglementées, telles que ble, plus grandes devraient être les précautions à prendre. L’idée l’industrie bancaire, disposent de règles spécifques pouvant inclure générale qui prévaut est que l’on devrait insister, au moins, sur une réglementation supplémentaire pour les services sous-traités. les meilleures pratiques de l’industrie concernant le genre de données en question. Q Est-il illégal pour un organisme du secteur public ou gouverne- L’organisme original demeure juridiquement responsable de la mental canadien de sous-traiter des services tels que l’infonuagique protection des renseignements personnels même lorsqu’ils sont sous- à une société non canadienne? traités. Il appartient à celui-ci de veiller à ce que ses fournisseurs de services mettent en place des mesures de protection adéquates. R Cela dépend de la province de l’organisme du secteur pub- Il faut être au fait de l’évolution des risques dans le domaine lic ou gouvernemental. La Colombie-Britannique et la Nouvelle- de l’infonuagique. Cela concerne principalement les données qui Écosse sont les seules provinces qui ont adopté des lois réglemen- transitent sur Internet. Il est généralement possible d’atténuer ces tant strictement l’exportation des renseignements personnels du risques en utilisant SSL, VPN ou d’autres technologies de cryptage Canada par les agences publiques. Dans tous les autres ressorts, y pour sécuriser les données en transit. Pourvu que vous choisissiez compris le gouvernement fédéral, les organismes du secteur public un fournisseur réputé, les renseignements sont souvent plus en sont autorisés à exporter les renseignements personnels, mais doi- sécurité lorsqu’ils sont conservés par un fournisseur de services vent fournir un degré de sécurité comparable à celui offert au Can- en infonuagique : les fournisseurs en infonuagique disposent gé- ada, peu importe que les renseignements personnels soient confés néralement plus de ressources à consacrer à la sécurité, ainsi les à une société canadienne ou non. La législation de l’Alberta prévoit utilisateurs mobiles n’auront plus besoin d’emporter les données une infraction pour un organisme public ou un fournisseur de ser- dans des appareils vulnérables tels que les ordinateurs portables vices qui divulgue des renseignements personnels en réponse à ou les lecteurs USB. une ordonnance d’une autorité qui n’a pas compétence en Alberta. Q Que devrait stipuler le contrat avec le fournisseur de services? Q Est-il obligatoire d’aviser les clients si l’on choisit de recourir à l’infonuagique? R Voici une liste des 10 principales stipulations que le contrat devrait comporter. Les fournisseurs de services n’accepteront pas R Dans la plupart des législations canadiennes, il n’est pas tous de négocier ces modalités et, dépendant du modèle de servic- nécessaire en principe de solliciter le consentement du client ou es infonuagiques qu’ils utilisent, certaines d’entre elles sont simple- de l’aviser. La position du Commissariat à la protection de la vie ment diffciles, voire impossibles à honorer — mais vous devriez privée du Canada est cependant que les entreprises cherchant à tout de même les proposer et examiner toute réponse. faire traiter des renseignements personnels à l’extérieur du Canada devraient en informer leurs clients. Ceci n’est pas pour autant im- 1. Limitez l’utilisation de vos données par le fournisseur de ser- posé par la Loi sur la protection des renseignements personnels et vices à celle que vous désirez en faire, sauf autorisation contraire les documents électroniques (LPRPDE), mais constitue peut-être et expresse de votre part. une meilleure pratique. Les lois de l’Alberta et du Québec sur la 2. Incluez une clause selon laquelle le fournisseur de services protection de la vie privée applicable au secteur privé prévoient détienne vos données « en fducie » pour vous, faisant de lui un l’obligation d’informer les clients. fduciaire du point de vue juridique. Suite à la page 40 CANADIAN CORPORATE COUNSEL ASSOCIATION | CCCA-ACCJE.ORG 37