IBM Corporation

Le 10 décembre 2010

Consultations de 2010 sur la protection de la vie privée des consommateurs
Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario) K1A 1H3

Objet : Répercussions de l’infonuagique sur la protection de la vie privée et observations sur les mesures de sécurité
Par courriel à: consultation1@priv.gc.ca

Madame la Commissaire,

Nous vous remercions de nous avoir invités à partager nos vues sur la question des mesures de sécurité prises dans le contexte de l’infonuagique. À la suite de votre demande, nous vous présentons la réponse d’IBM au sujet du travail en cours dans ce domaine.

IBM est d’avis que l’infonuagique représente une nouvelle ère de réceptivité, d’efficacité et d’efficience en matière de prestation de services de TI — et non pas une nouvelle technologie en soi. L’infonuagique est essentiellement un style d’informatique qui repose sur la prestation de services, les logiciels et la capacité de traitement au moyen de réseaux privés ou publics.

Par conséquent, l’infonuagique ne devrait pas entraîner en soi de nouvelles politiques en matière de protection de la vie privée et de sécurité.

On doit répondre aux attentes des citoyens à l’égard de la protection et de la sécurité des données et on doit les surveiller comme ce doit être le cas pour tout système. L’infonuagique ne modifie pas fondamentalement les risques et les exigences en matière de sécurité et de protection de la vie privée. Les exigences réglementaires et des autorités compétentes en matière de gestion des données électroniques (p. ex. prévention du piratage et pénalités connexes, sécurité et protection des données, conservation et élimination des données, avis de violation, etc.) doivent être uniformes dans l’ensemble du pays et dans le monde ainsi que dans l’ensemble des technologies, qu’elles soient de type « infonuagiques », des ordinateurs autonomes ou de plus grands environnements serveurs.

Dans bon nombre d’organisations — et particulièrement dans les organisations de leurs fournisseurs de services de TI —, l’environnement des TI d’aujourd’hui doit supporter énormément de dispositifs et de services; il n’est donc pas surprenant de voir les centres de données adopter une approche beaucoup plus normalisée, axée sur les processus et industrialisée à l’égard de la gestion et de la prestation de services. Dans ce contexte dynamique, les membres de l’industrie, comme IBM, continuent d’examiner et d’améliorer leurs pratiques en matière de sécurité.

Cette attention particulière que l'on prête à la protection ou à la sécurité des données n’est pas propre à l’infonuagique et, à notre avis, ne devrait pas être prise en considération par les gouvernements au moment d’élaborer des mesures qui visent particulièrement l’infonuagique ou d’autres formes d’informatique.

Dans le cadre d’une configuration commune de l’infonuagique, la majeure partie du contrôle du fonctionnement des infrastructures informatiques passe de l’entreprise (le client) qui utilise l’infonuagique au fournisseur de celle-ci. Cela est comparable au transfert de la responsabilité qui a lieu lorsque des organisations confient la totalité ou une partie de leurs opérations de TI à des fournisseurs de services par l’intermédiaire de ce qu’on appelle l’impartition. Dans de tels contextes, les dispositions de sécurité visant à protéger les données seront mises en place au moyen d’un contrat entre les fournisseurs de services infonuagiques et le client. Souvent, ces dispositions seront dictées par les obligations réglementaires établies et la responsabilité qu’assume déjà le client en raison des obligations sectorielles en matière de protection de la vie privée ou de sécurité. Dans d’autres contextes, les dispositions et les pratiques en matière de sécurité varieront selon le caractère délicat des données et le type de nuage déployé. Dans un cas comme dans l'autre, le client conserve généralement la relation directe avec le consommateur final, notamment concernant des questions comme un avis de violation. Il en est de même, par exemple, de la conservation des données ainsi que des points sur la protection de la vie privée relatifs à l’avis, aux fins, à l’accès, etc.

Ainsi, une entreprise qui utilise des services infonuagiques doit s’assurer que les procédures et les offres de sécurité normalisées du fournisseur de tels services sont adéquates en vue de protéger le contenu qu’elle souhaite héberger dans le nuage.

Comme nous l’avons mentionné dans nos observations initiales, nous pensons que les normes ouvertes établies par l’industrie profiteront aux utilisateurs des services infonuagiques en déterminant les caractéristiques de base en matière de sécurité des données communes à l’ensemble de l’architecture infonuagique ainsi qu’en permettant aux utilisateurs des services infonuagiques de comparer les offres plus facilement (du point de vue de la sécurité des données ainsi que relativement à d’autres préoccupations). Cela dit, les gouvernements devraient permettre aux normes d’évoluer au sein de l’industrie; toute nouvelle réglementation visant à protéger les données devrait être strictement neutre sur le plan technologique afin de permettre l’innovation relativement à question de la sécurité et aux autres besoins émergents, et ce, de la façon la plus efficiente possible.

Autrement dit, l’évolution des nouvelles technologies et les préoccupations liées à la pertinence des mesures de sécurité concernant les données ne devraient pas entraîner de modifications législatives propres à la protection des renseignements personnels. Alors qu’un nombre sans cesse plus important de pratiques de protection de la vie privée dès la conception sont incorporées dans les nouvelles technologies et dans la façon dont elles sont utilisées, les améliorations en matière de sécurité des données devraient plutôt continuer d’évoluer, tant en ce qui a trait à l’infonuagique qu’à l’impartition.

Nous sommes d’avis que le principe fondamental de responsabilité, qui constitue le principe sous-jacent de la LPRPDE et d’autres règlements connexes, incite suffisamment les personnes chargées de la collecte des données ainsi que les utilisateurs de celles-ci à être responsables et à voir à ce que leurs fournisseurs le soient également.

Veuillez agréer, Madame la Commissaire, l’expression de mes sentiments les plus distingués.

La directrice exécutive,

Yim Chan,
Service mondial de protection des renseignements personnels, IBM Corporation
Chef du service de protection des renseignements personnels, IBM Canada

Date de modification :