Le Cloud aux services des universités québécoises

Le Cloud aux services des universités québécoises
Trotier_Benoit_greyscale
Maître Benoît Trotier
Avocat en droits des technologies et conférencier chez Jolicoeur Lacasse, avocats.
Avril 2015 - De plus en plus d’universités québécoises tirent profit des offres gratuites d’héber­gement de données dans le Cloud et de fourniture d’outils collaboratifs faites par des fournisseurs tels Google ou Microsoft pour en faire bénéficier leur personnel, professeurs, étudiants et anciens diplô­més. Ces universités profitent ainsi d’éco­nomies substantielles à l’heure des déficits qu’elles pourront allouer à d’autres prio­rités tout en profitant d’infrastructures de classe mondiale au niveau de la sécurité et de la fiabilité des opérations.
 
Citons par exemple les cas récents de deux universités que nous avons représentées dans l’évaluation et la négociation des contrats cloud pour la solution Office 365 de Microsoft permettant l’hébergement de données, les services courriels, d’agendas, de conférences en ligne et autres outils collaboratifs à des milliers d’utilisateurs pour ces seules universités.

Il était donc fondamental de négocier de solides garanties visant la protection des données confiées pour répondre aux exigences des lois québécoises et canadiennes protégeant les renseignements personnels, notamment dans un contexte d’impartition de données vers les États-Unis où le Patriot Act demeure un sujet controversé. Notez qu’aucune province ne prohibe le transfert de données vers les États-Unis sauf la Colombie-Britannique et la Nouvelle-Écosse.

La loi québécoise requiert que la juridiction visée offre un niveau de protection juridique comparable à celui offert au Québec. Le fait que Microsoft ait intégré par contrat les principes européens de vie privée, équivalents sinon supérieurs à ceux du Québec et l’équivalence du contexte canadien de surveillance tel que souligné par le Commissaire à la vie privée du Canada appuie un cadre juridique comparable.

Toutefois, s’il y a une enquête des autorités sur un individu ou une entité pour des raisons de sécurité nationale, les données visées par une telle enquête sont susceptibles d’être inspectées sans que l’hébergeur puisse en informer le sujet enquêté. Il s’agit toutefois de mesures d’interception applicables à un contexte particulier et non d’un accès privilégié à toutes données d’entreprises hébergées en sol américain.

Un projet d’impartition cloud d’une telle ampleur nécessite une collaboration étroite entre les gestionnaires informatiques et des conseillers juridiques spécialistes de ces questions. Même de moindre envergure, vos projets cloud nécessitent la même étude de risque et la même approche légale puisque selon la loi, vous assumez toujours la responsabilité des données que vous impartissez à un tiers (que ce soit des données personnelles relatives à autrui ou encore des données réglementées dans votre secteur d’activités). Il faut donc être particulièrement vigilant sur la nature et la sensibilité des données que vous souhaitez mettre dans le Cloud.

Lisez aussi : Signer son contrat cloud sans avoir la tête dans les nuages… Le TOP 3 des clauses à négocier

Lisez la suite de cet article dans notre édition du mois de juin !