À la merci des Américains ?
Le gouvernement du Québec entend se départir de ses infrastructures informatiques et entreposer les données des différents ministères et organismes publics auprès d’entreprises commerciales proposant des services d’infonuagique. Concrètement, cela signifie que les banques de données des ministères et organismes publics québécois pourraient se retrouver hébergées sur des serveurs appartenant à des fournisseurs américains comme Amazon, Microsoft, Google, Apple, etc.
Bien que le ministre ait manifesté son intention de faire en sorte que les données demeurent physiquement sur le territoire québécois, il n’a pas exclu que les services d’infonuagique puissent être assurés par des entreprises assujetties aux lois américaines.
Or, il se trouve que le droit américain accorde aux autorités de ce pays un droit étendu d’accéder aux données où qu’elles se trouvent, et ce, dès lors qu’elles sont entre les mains d’une firme assujettie aux lois américaines.
Le Cloud Act
Au nombre des lois qui sont susceptibles de s’appliquer et de mettre à risque les données relevant du gouvernement du Québec, il y a le Cloud Act, cette loi promulguée au début 2018 après avoir été votée par le Congrès sans vraiment de débats sur le fond. L’expression « Cloud Act » signifie Clarifying Lawful Overseas Use of Data. Cette législation a pour but de clarifier l’étendue du droit des autorités américaines d’accéder à des données stockées hors des États-Unis, mais sur des installations qui sont contrôlées par des entreprises américaines.
Deux dispositions du Cloud Act sont à la source des préoccupations de ceux qui expriment des craintes à la perspective de voir le gouvernement du Québec faire appel à des firmes américaines pour stocker ses données. Une première prévoit que toute société américaine (c’està-dire enregistrée aux États-Unis), ainsi que les sociétés contrôlées par elle, a l’obligation de communiquer aux autorités américaines, à leur demande, les données placées sous son contrôle sans égard au lieu où ces données se trouvent stockées. Cela met radicalement à mal la souveraineté de tous les pays dans lesquels sont stockées des données.
Une autre disposition prévoit la possibilité pour le gouvernement des États-Unis de conclure avec des gouvernements étrangers des accords permettant aux autorités respectives de chaque pays de demander la divulgation de données directement aux fournisseurs de services de communication, traitement et stockage électroniques de données relevant de la juridiction d’un autre pays. Ces ententes pourraient court-circuiter l’obligation de passer par un juge afin de forcer les entreprises à donner accès aux données sous leur garde.
Bien sûr, a priori, l’accès par les autorités américaines à plusieurs types de données est conditionnel à un mandat d’un tribunal ou un ordre donné par un juge. De plus, les entreprises américaines qui se font réclamer des fichiers entreposés sur leurs serveurs ont en principe une possibilité de contester le bien-fondé de telles demandes devant les tribunaux américains. Mais ce qui inquiète est le caractère trop souvent obscur des dispositions applicables et surtout le déficit de crédibilité des autorités américaines depuis les révélations d’Edward Snowden.
En Europe, ces inquiétudes ont alimenté des prises de position réclamant des lois imposant aux autorités publiques l’obligation de s’assurer que les données de leurs citoyens sont entreposées dans des environnements informatiques protégés des décisions possiblement arbitraires d’une autorité étrangère.
Mais par-dessus tout, ce qui importe est la limpidité du cadre juridique auquel seront soumis les fichiers contenant les données des Québécois. L’une des façons d’y arriver est de prévoir dans les lois québécoises les conditions minimales des contrats qui pourront intervenir entre tout organisme relevant des lois du Québec et les fournisseurs de solutions infonuagiques.
Renforcer la loi québécoise
L’actuel article 70.1 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels oblige de s’assurer avant d’autoriser leur transfert que les renseignements personnels bénéficieront d’une protection équivalant à celle prévue à la loi québécoise. À défaut d’une telle protection, les organismes publics doivent refuser de les confier à une entreprise de l’extérieur du Québec.
Dans ce même esprit, avant de confier des données à toute firme susceptible d’être assujettie aux lois d’un autre État, les autorités québécoises devront expliquer clairement les garanties qui s’appliqueront. C’est pourquoi les décisions de confier des données à des entreprises commerciales devraient être soumises à l’examen public de la Commission d’accès à l’information, l’organisme chargé au Québec d’assurer la protection des renseignements personnels.