L’infonuagique pour les petites et moyennes entreprises

Juin 2012

L’infonuagique désigne la prestation de services informatiques sur Internet, méthode qui offre de nombreux avantages potentiels aux petites et moyennes entreprises (PME). Par exemple, la mise en œuvre de solutions technologiques et de plateformes peut s’avérer complexe et coûteuse pour les PME. Souvent, l’infonuagique peut alléger cette charge en aidant les PME à se procurer des services qu’elles ne pourraient pas mettre en œuvre ou soutenir par elles‑mêmes faute d’argent ou de ressources. Bon nombre d’organisations peuvent utiliser les services infonuagiques dans le cadre de leur stratégie opérationnelle générale, leur permettant ainsi de se concentrer sur leurs activités principales.

Les organisations peuvent utiliser les services infonuagiques pour répondre à leurs besoins en matière de traitement, de stockage et de sauvegarde de données, pour accroître leur productivité, ou encore pour son service de comptabilité ou de communications, ou son service à la clientèle. Toutefois, le traitement des renseignements personnels par un fournisseur de services infonuagiques soulève certaines questions en matière de protection de la vie privée.

Le Commissariat à la protection de la vie privée du Canada (CPVP) a préparé une fiche d’information intitulée Introduction à l’infonuagique, qui fournit des renseignements généraux sur ce type de service et sur les problèmes qu’il représente pour la protection de la vie privée et qui contient également une foire aux questions.

Préparé conjointement par le CPVP et les Commissariats à l’information et à la protection de la vie privée de l’Alberta et de la Colombie‑Britannique, le présent document d’orientation a pour but d’aider les PME à comprendre leurs responsabilités en matière de protection de la vie privée et de leur faire quelques suggestions pour protéger la confidentialité à l’ère de l’infonuagique. La fiche d’information Introduction à l’infonuagique est une lecture complémentaire au présent document.

D’autres ressources référencées sont proposées à la fin du présent document.

Êtes-vous déjà dans le nuage?

En premier lieu, les PME doivent examiner leur organisation pour déterminer si elles n’envoient pas déjà des renseignements personnels à un service infonuagique dans le cadre de certaines de leurs activités. Il n’est pas rare qu’une entreprise constate que ses employés ont déjà confié des renseignements personnels à un service infonuagique sans en informer la direction ou le personnel des TI. Par exemple :

Les employés utilisent-ils un service de messagerie électronique dans le nuage pour leur correspondance professionnelle?
Les employés utilisent-ils un service en ligne pour travailler en équipe sur un document qui contient des renseignements personnels sur la clientèle?
Les bases de données des clients sont-elles accessibles en ligne à partir de n’importe quel endroit?

Tenir compte des risques et des avantages de passer à l’infonuagique.

L’infonuagique est un type d’externalisation. Même si elle peut permettre de faire des économies, comme nous l’avons indiqué ci-dessus, le recours à un fournisseur de services infonuagiques comporte certains risques. Si une organisation décide d’externaliser des données personnelles à un fournisseur de services infonuagiques pour le traitement ou d’autres services, elle reste responsable de la protection des renseignements personnels de ses clients et doit faire preuve de transparence sur le plan de la gestion de l’information et de ses pratiques en matière de protection de la vie privée.

Les organisations doivent s’assurer qu’elles comprennent bien leurs obligations en vertu des lois canadiennes de protection de la vie privée visant le secteur privé, y compris celles découlant de certaines lois provinciales en la matière^{Note de bas de page 1}, De plus, elles doivent évaluer minutieusement les risques par rapport aux avantages. Toute organisation qui envisage d’avoir recours à un service infonuagique doit se demander sérieusement quels renseignements elle veut stocker dans le nuage et pourquoi. Elle doit prendre en considération la nature délicate des renseignements personnels et évaluer minutieusement les risques et les répercussions possibles de l’externalisation des données personnelles. Cette évaluation devrait également tenir compte de l’infrastructure infonuagique — s’agit-il d’une infrastructure infonuagique publique, communautaire, privée ou hybride, selon les définitions contenues dans la fiche d’information Introduction à l’infonuagique du CPVP.

La nature délicate des renseignements, l’infrastructure infonuagique et les ententes contractuelles devraient jouer un rôle clé dans la décision de l’organisation de déplacer ou non des renseignements personnels dans le nuage. Il pourrait être utile de consulter un professionnel qui vous aidera à évaluer les risques liés à l’utilisation d’un fournisseur de services infonuagiques.

Tenir compte de la responsabilité. Que dit le contrat?

Aux termes des lois en matière de protection des renseignements personnels dans le secteur privé en vigueur au Canada, une organisation est responsable des renseignements personnels qu’elle recueille, même si elle les externalise à des tiers fournisseurs à des fins de traitement. Autrement dit, toutes les entreprises au Canada, sans égard à leur taille, sont, en définitive, responsables des renseignements personnels qu’elles recueillent, utilisent ou communiquent, même si elles externalisent des renseignements personnels à un fournisseur de services infonuagiques.

Or, il s’avère que certains fournisseurs de services infonuagiques présentent des contrats du type « à prendre ou à laisser ». En d’autres mots, le fournisseur fixe les paramètres de la relation, et l’entreprise qui choisit d’utiliser ses services n’a pas le choix de les accepter. C’est généralement le cas des services en ligne gratuits offerts par des fournisseurs de services infonuagiques. Il est à craindre que les conditions de service qui définissent les rapports avec le fournisseur de services infonuagiques autorisent parfois des pratiques d’utilisation et de conservation très souples et ne permettent pas aux PME de remplir leurs obligations à l’égard de la protection de la vie privée. Cette situation est d’autant plus problématique si le fournisseur de services infonuagiques peut modifier unilatéralement l’entente, limiter sa responsabilité à l’égard des renseignements ou sous‑traiter ses services à de nombreux autres fournisseurs.

Les PME sont plus vulnérables à ce type de relations unilatérales que les grandes entreprises, qui ont davantage de ressources pour s’opposer à de tels contrats, ou pour mettre en place une infrastructure infonuagique privée. L’organisation qui externalise des données reste responsable de ces données, même si le service est gratuit ou si le fournisseur de services infonuagiques présente un contrat « à prendre ou à laisser ». Comme il est expliqué dans la fiche d’information Introduction à l’infonuagique — Foire aux questions, l’organisation qui fait appel à un service infonuagique doit lire attentivement les conditions de service du fournisseur et s’assurer que les renseignements personnels qu’elle lui confie sont traités de manière à respecter ses propres obligations aux termes des lois sur la protection de la vie privée. En résumé, les PME doivent utiliser un contrat ou un autre moyen pour s’assurer que les renseignements personnels sont traités et protégés adéquatement par le fournisseur de services infonuagiques. Autrement dit, si vous n’êtes pas à l’aise avec ce que le fournisseur de services infonuagiques vous propose, ne lui laissez pas prendre le contrôle des renseignements personnels que vos clients vous ont confiés. Vous devriez rejeter sa proposition ou prendre le temps de trouver une meilleure solution et consulter d’autres entreprises semblables à la vôtre ou votre association industrielle pour connaître toutes les possibilités.

Pour obtenir des directives supplémentaires sur la responsabilité, vous pouvez consulter Un programme de gestion de la protection de la vie privée : la clé de la responsabilité, document préparé conjointement par les Commissariats à l’information et à la protection de la vie privée de la Colombie‑Britannique et de l’Alberta, et par le Commissariat à la protection de la vie privée du Canada.

Le nuage informatique est-il sécuritaire?

La sécurité du nuage informatique est d’une importance cruciale. Les imposantes bases de données en ligne sont des proies attrayantes pour les cybercriminels, et les services Internet se sont révélés difficiles à protéger. Les organisations doivent protéger les renseignements personnels en utilisant des mesures de protection adaptées au caractère délicat des renseignements qu’ils détiennent. Des outils comme l’Évaluation des facteurs relatifs à la vie privée (EFVP) ou l’Évaluation de la menace et des risques (EMR) pourraient se révéler très utiles pour aider à évaluer les mesures de protection. Afin de s’assurer que les renseignements personnels sont protégés, les organisations qui utilisent les services infonuagiques devraient :

Limiter l’accès aux renseignements et restreindre les utilisations que le fournisseur pourrait en faire. Définir des paramètres de restriction d’accès et d’utilisation des renseignements personnels appropriés selon le contexte et la nature délicate des renseignements. Déterminer si les renseignements personnels seront séparés ou stockés dans la même base de données que l’information des autres clients du fournisseur de services infonuagiques. Veiller à ce que seules les personnes qui ont besoin des renseignements personnels pour faire leur travail y aient accès. S’assurer que l’accès aux renseignements personnels est consigné dans des registres protégés. Ne jamais supposer que les conditions de service ou les politiques générales du fournisseur seront suffisantes pour établir ce type de restrictions, les examiner minutieusement.
S’assurer que le fournisseur s’est doté d’un système d’authentification et de contrôle d’accès approprié. Les méthodes d’authentification les plus strictes sont recommandées, comme l’authentification à facteurs multiples^{Note de bas de page 2}.Le niveau d’authentification doit être proportionnel au risque que courent les renseignements personnels protégés. Il faut s’assurer qu’il existe des procédures et des mesures de contrôle technique de gestion des droits d’accès aux renseignements personnels.
Gérer le cryptage. Comprendre la méthode de cryptage utilisée et déterminer à quelle étape les données sont cryptées ou décryptées (ex. : données en transit, données au repos). Faire une évaluation des risques liés à toute absence de cryptage et déterminer si la méthode de cryptage est adéquate et si l’accès aux clés de cryptage est géré adéquatement. Les organisations peuvent réduire les risques si elles cryptent les renseignements personnels avant de les envoyer au fournisseur de services infonuagiques.
S’assurer que des procédures sont prévues en cas d’atteinte à la protection des renseignements personnels ou à la sécurité. Ces procédures devraient comprendre des mesures techniques et organisationnelles à prendre en cas de perte accidentelle ou délibérée ou d’accès ou de divulgation non autorisés de renseignements personnels. S’assurer que, dans l’entente avec le fournisseur de services infonuagiques, il y a des dispositions qui précisent le moment où celui-ci informera l’organisation en cas d’atteinte à la sécurité. Les organisations assujetties aux exigences liées au signalement en cas d’atteinte à la sécurité des données voudront s’assurer que le contrat indique clairement le moment où le fournisseur doit informer l’organisation en cas d’atteinte à la sécurité des données afin de respecter ses obligations juridiques^{Note de bas de page 3}.
S’assurer que des procédures sont prévues en cas de panne pour assurer la poursuite des activités et prévenir les pertes de données. Les plans quant à la continuité des activités doivent être clairement présentés dans le contrat.
S’assurer que des vérifications sont faites régulièrement.Il importe que l’organisation dispose d’un certain degré de contrôle sur les politiques et les pratiques du fournisseur de services infonuagiques. Il faut veiller à ce que le fournisseur de services infonuagiques enregistre toutes les consultations et utilisations des renseignements personnels. Il faut procéder régulièrement à des vérifications pour examiner le registre d’accès et confirmer que les emplacements « physiques » où sont traités et stockés les renseignements personnels font l’objet d’inspections. Les organisations doivent vérifier les pratiques et les procédures pour s’assurer que le fournisseur traite les renseignements personnels conformément aux ententes et demander une preuve de la vérification efficace et de l’intervention rapide concernant les incidents en matière de sécurité.
Avoir une stratégie de résiliation. S’assurer que les procédures de résiliation permettent de transmettre de nouveau les renseignements personnels à l’organisation et exigent que le fournisseur de services infonuagiques élimine de manière sécuritaire tous les renseignements personnels dans un délai raisonnable et précis.

Si votre organisation a besoin d’aide pour évaluer ses mesures de protection des renseignements personnels, vous pouvez consulter Protéger les renseignements personnels : Un outil d’auto‑évaluation à l’intention des organisations, document préparé conjointement par les Commissariats à l’information et à la protection de la vie privée de la Colombie‑Britannique et de l’Alberta et le Commissariat à la protection de la vie privée du Canada.

Énoncez votre objectif. Avez-vous obtenu le consentement de votre client?

L’entreprise doit s’assurer d’avoir obtenu les consentements appropriés si elle compte transmettre des renseignements personnels à un tiers fournisseur de services infonuagiques. Si elle a obtenu le consentement d’une personne pour recueillir et utiliser ses renseignements personnels dans un but précis, elle n’a pas à le lui redemander avant de les transmettre à un fournisseur de services infonuagiques aux mêmes fins que celles déjà mentionnées au moment de la collecte. Idéalement, au moment de la collecte initiale, l’entreprise avise le client en des termes clairs et faciles à comprendre que ses renseignements pourraient être traités par un fournisseur externe.

Établir des limites. Avez-vous établi clairement ce que le fournisseur de services infonuagiques peut faire avec les données?

L’entreprise doit se méfier des situations de détournement d’usage, où le fournisseur de services infonuagiques utilise les renseignements à des fins autres que celles pour lesquelles ils ont été recueillis. Elle doit garder le contrôle en tout temps sur ce qu’elle envoie au fournisseur et prendre des mesures pour prévenir et limiter les usages secondaires qu’il pourrait faire des renseignements personnels. Toutefois, si vous craignez que les dispositions contractuelles ne permettent au fournisseur de services infonuagiques d’utiliser les renseignements à d’autres fins (la publicité ciblée, par exemple), cette nouvelle utilisation doit faire l’objet d’un consentement distinct de la part de vos clients.^{Note de bas de page 4}

Avant d’externaliser des renseignements personnels dans le nuage, une organisation devrait :

Mettre au clair avec le fournisseur de services infonuagiques ce qu’il a l’intention de faire avec les renseignements.Compte-t-il analyser les données pour ses propres besoins? Va-t-il les vendre? Est-ce qu’il sous-traite certaines activités du service infonuagique? Les données seront-elles stockées séparément, ou regroupées avec celles d’autres clients? S’assurer que ces activités n’enfreindront pas les obligations en matière de protection de la vie privée et discuter de toute préoccupation avec le fournisseur de services infonuagiques.
Demander le consentement des clients pour toute nouvelle utilisation de leurs renseignements personnels. Si le fournisseur de services infonuagiques prévoit utiliser les renseignements personnels à des fins autres que celles pour lesquelles ils ont été recueillis, un consentement distinct concernant cette nouvelle utilisation est requis. Si un client refuse, ou annule son consentement, vous devez trouver le moyen de respecter sa décision.
Ne jamais perdre de vue les attentes raisonnables de ses clients.Que penseraient‑ils des utilisations proposées? Ce sont vos clients — vous devez garder leur confiance tout en leur offrant le meilleur service et la meilleure protection possible.

La transparence est essentielle. À quoi vos clients s’attendront-ils?

Vos clients s’attendront à ce que leurs renseignements personnels soient protégés, peu importe l’endroit où ils sont traités ou stockés, et que vous les avertissiez en toute transparence si vous les confiez à un fournisseur de services infonuagiques. Les organisations devraient utiliser des termes clairs et faciles à comprendre pour informer les clients du fait que leurs renseignements personnels seront transmis à un fournisseur de services infonuagiques, qu’ils pourraient être stockés ou traités dans un pays étranger et qu’ils pourraient être mis à la disposition des autorités policières et des services de sécurité de ce pays.

L’infonuagique ne connaît pas de frontières. Comprenez-vous les lois?

Les lois en matière de protection des renseignements personnels dans le secteur privé au Canada n’interdisent pas aux organisations canadiennes de transférer des renseignements personnels à une organisation établie dans un autre pays pour qu’ils y soient traités.^{Note de bas de page 5}Cependant, les organisations devraient prendre en considération le caractère délicat des renseignements personnels qu’elles comptent transférer et évaluer les risques potentiels que peut présenter l’envoi de ces renseignements personnels à l’étranger. Les organisations doivent reconnaître que les renseignements personnels transférés dans un autre pays se trouvent soumis aux lois de ce pays. Dans le cas de l’infonuagique, les données externalisées peuvent se trouver dans plusieurs pays. De plus, les serveurs de sauvegarde du fournisseur de services infonuagiques ne se trouvent pas nécessairement au même endroit que les serveurs principaux. Il est important de savoir où elles seront stockées pour comprendre pleinement le régime juridique qui s’applique à la protection des renseignements personnels et dans quelles circonstances des tribunaux, des organismes gouvernementaux et des autorités de police d’autres pays pourraient y avoir accès.

Il importe tout autant de connaître les limites imposées à la possibilité d’obtenir un jugement ou de faire appliquer le contrat. Aucun contrat, aussi bien rédigé soit-il, ne peut avoir préséance sur les lois de l’autre pays. Par ailleurs, en règle générale une organisation ne peut obtenir l’exécution du contrat qu’auprès de l’autre partie signataire et non auprès de tierces parties. En outre, il peut être difficile et coûteux pour l’entreprise qui externalise ses données d’obtenir à l’étranger un jugement pour faire exécuter le contrat. Il peut également être difficile de faire appliquer un jugement à l’étranger.

Pour obtenir des directives supplémentaires sur la circulation transfrontalière des données, veuillez consulter les Lignes directrices sur le traitement transfrontalier des données personnelles du CPVP. Ces considérations s’appliquent lorsqu’une organisation verse des données dans le nuage ou transfère des renseignements personnels dans un autre pays.

Il est important de garder le contrôle. Êtes-vous aux commandes?

Les organisations doivent respecter certaines obligations prévues dans les lois sur la protection de la vie privée; elles doivent notamment permettre à leurs clients d’accéder à leurs renseignements personnels, être en mesure de demander des correctifs et régler les problèmes et les plaintes. À ce titre, l’organisation doit veiller à ce que sa relation avec le fournisseur de services infonuagiques lui permette de respecter ces obligations légales en matière de protection de la vie privée. Par exemple, une organisation doit avoir accès aux données à tout moment (y compris aux sauvegardes et aux archives), y apporter des correctifs et enquêter sur toute allégation de non-respect des règles de confidentialité. Advenant une atteinte à la sécurité des données, les organisations voudront également contrôler les procédures visant à informer les personnes concernées.

Le fait d’externaliser le traitement de renseignements personnels à un fournisseur de services infonuagiques signifie que ce dernier en aura la garde. Par conséquent, l’organisation doit veiller à ne pas perdre le contrôle des renseignements personnels transférés au fournisseur. Garder le contrôle signifie que la propriété des données est clairement définie dans le contrat et que celui‑ci contient des dispositions concernant ce que le fournisseur peut faire avec les renseignements personnels et indiquant ce qu’il adviendra de ceux-ci si le fournisseur cesse ses activités. Garder le contrôle signifie également que l’organisation peut mettre fin au contrat, récupérer les données auprès du fournisseur de services infonuagiques et demander au fournisseur de confirmer que ses propres systèmes ou ceux de ses sous-traitants ne contiennent plus de renseignements personnels de l’organisation. La portabilité est une composante essentielle du maintien du contrôle; elle renvoie au fait de transférer des données d’une plateforme à une autre en réduisant au minimum les problèmes en matière d’intégration. Si le fournisseur de services infonuagiques utilise des formats internes, il peut être plus difficile pour l’organisation de reprendre ses données ou de les externaliser à un autre fournisseurr.

Les organisations peuvent trouver utile d’avoir recours à un fournisseur de services infonuagiques qui a désigné une personne responsable de la protection de la vie privée. Idéalement, le nom de cette personne devrait figurer dans le contrat, et elle devrait être disponible pour répondre aux questions ou aux préoccupations de l’organisation, ou si celle-ci souhaite réévaluer ses politiques et procédures.

Prendre une décision éclairée.

Les organisations doivent effectuer une évaluation approfondie des avantages et des risques lorsqu’elles envisagent une solution en matière de services infonuagiques et examiner les répercussions sur la protection de la vie privée. Vous trouverez ci-dessous une liste présentant certaines* des questions importantes que les organisations devraient se poser lorsqu’elles comparent les divers services infonuagiques.

Pour obtenir plus de renseignements et des conseils, veuillez consulter les documents suivants :

Fiche d’information : Introduction à l’infonuagique

Visez les nuages

Rapport sur les consultations de 2010 du Commissariat à la protection de la vie privée du Canada sur le suivi, le profilage et le ciblage en ligne et sur l’infonuagique

Lignes directrices sur le traitement transfrontalier des données personnelles

Protéger les renseignements personnels : Un outil d’auto-évaluation à l’intention des organisations (Préparé conjointement par les Commissariats à l’information et à la protection de la vie privée de l’Alberta et de la Colombie‑Britannique et par le Commissariat à la protection de la vie privée du Canada)

Un programme de gestion de la protection de la vie privée : la clé de la responsabilité

* Cette liste est un simple guide et ne constitue pas une analyse complète des risques. C’est à votre entreprise que revient la responsabilité de faire une évaluation approfondie des risques et des avantages selon sa situation. Il peut être avantageux de consulter un spécialiste.

Questions importantes concernant l’infonuagique

Pourquoi un nuage informatique?

Quelle information avez-vous l’intention d’externaliser et pourquoi?
Dans quelle mesure les renseignements personnels sont‑ils de nature délicate?
Quels sont les avantages et les risques ainsi que les conséquences pour vos clients sur le plan de la protection de la vie privée?
Quels sont les risques pour votre entreprise?
Quelles sont vos obligations en matière de protection de la vie privée en vertu des lois pertinentes?
Quelles seraient les conséquences pour vos clients si ses données étaient compromises?

Responsabilité — clauses contractuelles

Le contrat couvre-t-il toutes les obligations liées à la protection de la vie privée?
Votre entreprise a‑t‑elle le contrôle de l’information, y compris de son usage, des droits d’accès et de sa durée de conservation?
Qui a le contrôle des renseignements personnels si votre organisation, ou le fournisseur de services infonuagiques, cesse ses activités?
Le fournisseur de services infonuagiques aura‑t‑il recours à de la sous-traitance, ce qui signifie qu’un autre fournisseur aura accès à des renseignements ou que des renseignements lui seront transférés?
Vous sera‑t‑il possible d’examiner les processus et les procédures du fournisseur?
Le fournisseur de services infonuagiques déclare-t-il assumer une responsabilité limitée advenant une atteinte à la sécurité des données?
Existe-t-il des procédures de résiliation qui vous permettraient de récupérer les renseignements personnels?
Les procédures de résiliation exigent-elles du fournisseur de services infonuagiques qu’il élimine de manière sécuritaire les renseignements personnels dans un délai raisonnable et précis?

Sécurité

Les données seront-elles stockées séparément, ou regroupées avec celles d’autres entreprises qui utilisent le même service infonuagique?
Quand et comment les renseignements sont-ils cryptés? La méthode de cryptage est‑elle adéquate?
Quels sont les risques aux étapes où l’information n’est pas cryptée?
Quelles sont les procédures d’authentification? Sont-elles proportionnelles à la nature délicate des renseignements?
Existe-t-il des politiques et des procédures qui limitent l’accès aux données?
Quelles sont les mesures techniques et organisationnelles prises en cas de perte accidentelle ou délibérée de données ou d’accès ou de communication non autorisés?
Quelles sont les procédures de signalement en cas d’atteinte à la sécurité?
Pouvez-vous obtenir la preuve qu’une vérification efficace a été effectuée?
Quel est le plan de reprise après sinistre?
Avez-vous élaboré une stratégie de résiliation?

Usages secondaires

Quel usage le fournisseur de services infonuagiques fera‑t‑il des renseignements?
Compte-t-il analyser les données pour ses propres besoins?
Pourrait-il vendre les renseignements?
Le fournisseur de services infonuagiques utilisera-t-il ou permettra-t-il d’utiliser les renseignements aux fins de publicité ciblée?
Les utilisations secondaires placeront-elles votre organisation en situation de non‑respect des lois en matière de protection de la vie privée applicables?

Connaissance, consentement et transparence

Vos clients sont‑ils au courant que vous communiquerez leurs renseignements personnels à une tierce partie? Avez-vous respecté l’obligation de les en aviser, le cas échéant?
Le fournisseur de services infonuagiques utilisera‑t‑il les renseignements aux mêmes fins que celles pour lesquelles vous les avez recueillis?
Avez-vous obtenu le consentement de vos clients?
Vos clients peuvent-ils raisonnablement s’attendre à ce que leurs renseignements soient utilisés à cette fin?
S’il s’agit d’une nouvelle fin, quel est votre plan pour avertir vos clients et obtenir de nouveau leur consentement?
Savez-vous ce que vous ferez si des clients ne fournissent pas leur consentement ou retirent leur consentement à une nouvelle utilisation?

Contrôle, accessibilité, portabilité

Y a-t-il un risque que le fournisseur de services infonuagiques refuse de vous rendre les renseignements?
Votre relation avec le fournisseur de services infonuagiques vous permet-elle de respecter vos obligations pour ce qui est de permettre aux clients d’accéder à leurs propres renseignements personnels?
Avez-vous le contrôle des procédures de signalement advenant une atteinte à la sécurité des données?
Les données stockées par le fournisseur de services infonuagiques seront-elles portables? Pourrez-vous récupérer les renseignements personnels ou les transférer à un autre fournisseur?
Le fournisseur de services infonuagiques a-t-il désigné un responsable de la protection de la vie privée auquel il est facile d’avoir accès?
Êtes-vous en mesure d’accéder aux données à tout moment, d’apporter des correctifs et d’enquêter sur toute allégation de non-respect des obligations en matière de protection de la vie privée?
Perdrez‑vous le contrôle des renseignements personnels aux mains de sous‑traitants du fournisseur?

Pays étrangers et droits d’accès

Où les données seront-elles stockées?
Quels sont les risques associés au transfert dans ce pays?
Quelles entités étrangères pourraient avoir accès à l’information?
Quelle est la politique du fournisseur de services infonuagiques en ce qui concerne les demandes d’accès à l’information?
Les tribunaux, les organismes gouvernementaux et la police du pays où sont hébergés les renseignements auront-ils besoin d’un mandat ou d’une assignation pour accéder aux données?
Le fournisseur de services infonuagiques avisera-t-il votre entreprise si on lui demande de divulguer des données en vertu des lois du pays étranger?
e fournisseur de services infonuagiques consultera-t-il votre entreprise au préalable avant de divulguer les renseignements à d’autres organismes, y compris à la police?

Notes

Note de bas de page 1

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et les lois provinciales essentiellement similaires, y compris la Personal Information Protection Act (PIPA) de l’Alberta, la Personal Information Protection Act (PIPA) de la Colombie‑Britannique. Même si, dans le détail, ces trois lois sont différentes, leur contenu est considéré essentiellement similaire, et leurs principes fondamentaux sont les mêmes. Dans certaines provinces, une organisation peut avoir à respecter des exigences relatives au signalement conformément aux lois provinciales en matière de protection de la vie privée. Par exemple, en Alberta, il y a des exigences relatives au signalement en cas d’atteinte à la sécurité des données et des exigences selon lesquelles il faut aviser les personnes concernées lorsque leurs renseignements personnels sont transmis à un fournisseur de services à l’étranger.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Voir les Lignes directrices en matière d'identification et d'authentification pour obtenir des explications sur l’authentification à facteurs multiples.

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Dans certaines provinces, une organisation peut avoir à respecter des exigences relatives au signalement des atteintes à la sécurité des données.

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Cependant, quelques exceptions peuvent s’appliquer dans certaines circonstances. Par exemple, lorsque les nouvelles utilisations ou communications sont autorisées par la loi.

Retour à la référence de la note de bas de page 4

Note de bas de page 5

Toutefois, il est important de comprendre les obligations légales précises qui découlent de certaines lois provinciales en matière de protection des renseignements personnels. Par exemple, le paragraphe 13.1(2) de la Personal Information Protection Act de l’Alberta prévoit que les organisations informent la personne auprès de laquelle elles recueillent des renseignements, avant la collecte ou au moment de celle‑ci, si ses renseignements personnels seront externalisés à un fournisseur de services situé à l’extérieur du Canada. L’avis doit prendre une forme donnée et contenir les renseignements prévus au paragraphe 13.1(3) de la Personal Information Protection Act de l’Alberta.

Retour à la référence de la note de bas de page 5

Date de modification :: 2012-06-14

Sélection de la langue

Recherche et menus

Recherche