L’aspect légal du Cloud : quoi évaluer? (Deuxième partie)

L’aspect légal du Cloud : quoi évaluer? (Deuxième partie)

Écrit en collaboration avec Joli-Coeur Lacasse Avocats

L’attrait du Cloud permettant l’accessibilité de vos données en tout temps par Internet, une solution logicielle mise à jour en continu et des frais reliés à votre consommation est bien réel et tôt ou tard vous aurez à décider si vous faites le saut avec vos données d’entreprise.

Voici la suite des éléments à prendre en considération pour assurer la sécurité physique et légale de vos données confiées à un fournisseur Cloud.

N. B. : Pour consulter les points A à C de cet article, cliquez ici.

D. Vérifiez attentivement les processus de gestion des incidents de sécurité informatique du fournisseur.

Quelles sont les mesures prises par le fournisseur en cas de perte de données ou d’accès ou de communication non autorisés? Quelles sont les mesures de signalement des incidents de sécurité à vos données? Rappelez-vous que sous peu, la nouvelle loi fédérale sur la « Protection des renseignements numériques » exigera que vous mainteniez (via votre fournisseur Cloud) des registres des incidents de sécurité aux données personnelles que vous possédez et que vous divulguiez clairement l’atteinte à la sécurité des données dès que possible aux personnes susceptibles de subir un préjudice grave et à tout organisme permettant de diminuer le risque de préjudice (ex. la police), à défaut de quoi vous pourriez subir des amendes importantes allant jusqu’à 10 000$ dans le cas d’une poursuite pénale ou à 100 000$ dans le cas d’une poursuite pour acte criminel. Vérifiez attentivement quel est le plan de reprise du fournisseur après sinistre et quels sont les processus et délais appréhendés pour vous permettre de reprendre vos activités courantes. C’est ici que la norme ISO 2018 prend son importance alors que les engagements de divulgation des incidents aux renseignements personnels sont bien établis.

E. Gardez le contrôle de vos données dans le contrat.

Stipulez dans le contrat que vous êtes le seul et entier propriétaire de données hébergées sur les serveurs du fournisseur Cloud et que lui et ses sous-traitants n’ont droit d’accès qu’uniquement pour donner le service promis ou assurer le support ou la maintenance du système. Stipulez que le fournisseur et ses sous-traitants ne sont pas autorisés à faire aucun usage secondaire des données hébergées ou des données système générées, par exemple, par les requêtes faites par les utilisateurs, ni à les vendre à autrui. Ne permettez au besoin qu’un usage de données anonymes aux fins du fournisseur.

F. Assurez-vous de savoir dans quelle juridiction sont vos données en tout temps.

Vos données peuvent être sauvegardées à l’étranger, par exemple, sur des serveurs redondants du fournisseur et il importe que vous sachiez dans quelle juridiction se trouvent vos données en tout temps. Vous devez vous informer sur la réglementation applicable en matière de protection des renseignements personnels dans ces juridictions pour répondre aux exigences de la réglementation canadienne et québécoise qui interdisent le transfert de données personnelles dans des juridictions qui n’offrent pas une protection similaire aux lois canadiennes et québécoises en cette matière. Il importe donc d’éviter des juridictions « exotiques » et que vous ayez une bonne idée des entités étrangères qui pourraient avoir accès à vos données.

G. Assurez- vous de pouvoir récupérer efficacement vos données et que celles-ci soient

effacées de façon permanente de toute l’infrastructure du fournisseur Cloud. Que ce soit en cas de faillite du fournisseur ou à l’expiration du contrat Cloud, vérifiez attentivement le délai qui vous est alloué pour récupérer vos données, dans quel format celles-ci vous seront remises : dans leur format original, dans une version propriétaire du fournisseur qui va exiger des frais et délais de conversion, quelle assistance sans frais le fournisseur est-il prêt à rendre? Assurez-vous que le fournisseur s’engage à utiliser des normes reconnues de destruction de vos données après votre migration non seulement de son centre de données principal, mais dans toute son infrastructure, incluant ses centres à l’étranger.

Rappelez-vous que le Cloud public est un modèle d’affaires qui n’est pas encore arrivé à parfaite maturité. Recherchez des fournisseurs canadiens et québécois qui ont des infrastructures de qualité et des hauts standards de gouvernance. Comme pour le reste, la sécurité se paye. Privilégiez les compagnies réputées si vous êtes pour mettre vos données d’affaires dans les mains d’un tiers.

Assurez-vous aussi d’un plan B au besoin et gardez une copie régulière de vos données, à jour et exploitables à l’interne, pour assurer vos arrières et la pérennité de vos activités.

Pour lire l’article intégral, téléchargez gratuitement notre rapport sur la sécurité.