Consentement sous le régime de la Loi sur la protection des renseignements personnels et les documents électroniques dans le nuage canadien

Server Cloud Canada

Octobre 2016

Remarque : Ce document a été présenté par les auteurs ou auteures au Commissariat à la protection de la vie privée du Canada dans le cadre de la consultation sur le consentement en vertu de la LPRPDE.

Avertissement : Les opinions exprimées dans ce document sont celles des auteurs ou auteures et ne reflètent pas nécessairement celles du Commissariat à la protection de la vie privée du Canada. Comme ce mémoire a été fourni par une entité non assujettie à la Loi sur les langues officielles, il a été traduit de sa langue d’origine par le Commissariat à titre indicatif. En cas de divergence, veuillez consulter la version anglaise. Pour plus d’information sur la politique du Commissariat sur l’offre de contenu dans les deux langues officielles, vous pouvez consulter la page Conditions d’utilisation.


Parmi les solutions proposées dans le [document de discussion « Consentement et protection de la vie privée »], lesquelles présentent selon vous le plus d’avantages? Veuillez expliquer pourquoi.

Amélioration du consentement : Gérer les préférences en matière de protection de la vie privée dans l’ensemble des services

Quand il s’agit de garantir le droit à la vie privée d’une personne ou d’une entité, la façon dont les renseignements de celle‑ci sont protégés est d’une importance cruciale. Ce fait est encore plus important lorsqu’il est question d’infonuagique. Le fournisseur de services d’infonuagique doit non seulement se conformer à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), mais ses politiques relatives à la protection de la vie privée doivent être aussi strictes, voire plus strictes, que celles de ses clients.

Lorsqu’une entreprise embauche un fournisseur de services d’infonuagique, elle met ni plus ni moins ses données de nature délicate entre les mains d’un tiers. Le principal objectif consiste à conserver les données en toute sécurité. Cependant, même si les données sont confiées à un tiers, c’est l’organisation qui en est propriétaire qui assume la responsabilité de leur sécurité. Cela signifie qu’une entreprise est responsable des renseignements personnels qu’elle recueille et utilise, même lorsque ces fonctions sont exercées en intégralité ou en partie par un tiers, comme un fournisseur de services d’infonuagique.

Même les entreprises les plus prudentes et les plus consciencieuses risquent de voir des organismes gouvernementaux (nationaux ou étrangers) réussir à avoir accès à leurs données. Le programme PRISM, exécuté dans le cadre de la Patriot Act américaine, illustre parfaitement cette réalité. En effet, même si les données d’une entreprise sont stockées au Canada, elles peuvent être acheminées par l’intermédiaire des États‑Unis. Il s’agit là d’une pratique assez courante; on estime qu’environ 90 % des données canadiennes en transmission passent par les États-Unis. Cela signifie que des mesures de protection optimales doivent être mises en place.

Par souci de conformité, Server Cloud Canada recommande aux entreprises d’utiliser la liste de vérification ci‑après avant de choisir un fournisseur de services d’infonuagique (ou de changer de fournisseur) :

  1. Si le fournisseur de services d’infonuagique prétend être établi au Canada, est-il seulement établi au pays? S’agit‑il d’une société canadienne? Mène‑t‑il seulement des activités au Canada?
  2. Les conditions du contrat de service du fournisseur de services d’infonuagique s’harmonisent‑elles avec les politiques de votre entreprise en matière de protection de la vie privée?
  3. Le fournisseur de services d’infonuagique a‑t‑il des politiques et des processus en place pour veiller à ce que les données dont il a la garde soient protégées en tout temps et pour s’assurer de respecter les politiques de chiffrement afin d’empêcher toute autre partie d’intercepter les données?
  4. Le fournisseur de services d’infonuagique participe‑t‑il à l’établissement de rapports de conclusions d’enquête en vertu de la LPRPDE en collaboration avec le Commissariat à la protection de la vie privée du Canada?
  5. Qu’advient‑il de vos données lorsque les services prennent fin? Sont‑elles détruites? Quelles sont les politiques du fournisseur de services d’infonuagique en ce qui a trait à l’aliénation et à la destruction des données stockées?
  6. Votre organisation a‑t‑elle le droit de vérifier la façon dont le fournisseur de services d’infonuagique manipule les données qu’elle recueille?
  7. Le fournisseur de services d’infonuagique a‑t‑il des politiques et des processus en place pour former son personnel de façon à ce que celui‑ci gère les données personnelles de manière sûre et sécuritaire? Fait‑il montre de transparence en ce qui concerne ces politiques?
  8. En cas d’atteinte potentielle ou réelle à la protection des données, quelles sont les politiques du fournisseur de services d’infonuagique en matière d’avis? Comment s’y prend‑il pour informer l’entreprise de la situation? Quelles mesures prend‑il si l’atteinte est réelle?
  9. Le fournisseur de services d’infonuagique accepte‑t‑il d’indemniser l’entreprise cliente si un cas d’accès non autorisé à des renseignements personnels amène la personne touchée à intenter une action en justice contre l’entreprise?
  10. Les politiques et perspectives du fournisseur de services d’infonuagique relativement à la manipulation des données personnelles sont‑elles au moins aussi rigoureuses que celles de votre organisation?

Malheureusement, les atteintes à la protection des données sont une réalité, et il faut s’en préoccuper. Il est important, tant pour l’entreprise que pour le fournisseur de services d’infonuagique, de mettre en place un plan afin de protéger les données et de gérer toute atteinte susceptible de se concrétiser. Nous recommandons aux entreprises d’intégrer ce plan dans leur plan de gestion des situations d’urgence afin de pouvoir intervenir immédiatement au cas où l’impensable se produirait.

Avec l’arrivée de nombreuses grandes sociétés américaines sur le marché canadien, il est d’autant plus important pour les entreprises de savoir non seulement où sont conservées leurs données, mais également où elles peuvent circuler et qui (un tiers) en a le contrôle. Lorsque les politiques et les lois seront mises à jour, nous estimons que ces préoccupations devront être prises en compte pour les situations où les entreprises recueillent des données et demandent le consentement du client.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :