L’infonuagique et la protection de la vie privée

October 2011

L'infonuagique

L'infonuagique est la prestation de services informatiques sur Internet. Les services d'infonuagique permettent aux personnes et aux entreprises d'utiliser les logiciels et le matériel gérés par des tierces parties à partir de lieux éloignés. Parmi les exemples de services d'infonuagique, on compte le stockage des fichiers en ligne, les sites de réseautage social, le courriel Web et les applications d'entreprise en ligne. Le modèle d'infonuagique permet d'accéder à des données et à des ressources informatiques partout où est offerte une connexion réseau. L'infonuagique donne accès à un bassin commun de ressources, y compris de l'espace de stockage de données, des réseaux, des centres de traitement et des applications spécialisées pour les entreprises et les particuliers.

L'U.S. National Institute of Standards and Technology (NIST) a mis au point la définition suivante d'infonuagique :

L'infonuagique est un modèle d'accès au réseau habilitant, pratique et sur demande comprenant un bassin partagé de ressources informatiques configurables (p. ex. réseaux, serveurs, stockage, applications et services) qui peut rapidement être activé et désactivé en réduisant au minimum les efforts de gestion ou les contacts avec le fournisseur de services. Ce modèle, qui favorise l'accessibilité, est composé de cinq caractéristiques essentielles, de trois modèles de service et de quatre modèles de mise en œuvreNote de bas de page 1.

Caractéristiques

Parmi les caractéristiques de l'infonuagique, on compte le libre-service sur demande, l'accès global au réseau, un bassin de ressources, la souplesse rapide et les services mesurés. Dans le cas du libre-service sur demande, les clients (habituellement des organisations) peuvent demander et gérer leurs propres ressources informatiques. L'accès global au réseau permet d'offrir les services sur Internet ou des réseaux privés. Le bassin de ressources permet aux clients de puiser des ressources informatiques à partir d'un bassin, habituellement dans des centres de données éloignés. Les services peuvent être déployés sur une échelle plus grande ou plus petite; de plus, l'utilisation d'un service est mesurée et les clients sont facturés en conséquence.

Modèles de service

Les modèles de service désignent les logiciels sous forme de service, la plateforme sous forme de service et l'infrastructure sous forme de service. Dans un modèle de logiciels sous forme de service, une application prête à être utilisée est fournie avec les logiciels, le système d'exploitation, le matériel et le réseau nécessaires. Dans la plateforme sous forme de service, un système d'exploitation, le matériel et le réseau sont fournis, et le client installe ou élabore ses propres logiciels et applications. Dans le cas du modèle de l'infrastructure sous forme de service, seuls le matériel et le réseau sont fournis; le client installe ou élabore ses propres systèmes d'exploitation, logiciels et applications.

Mise en œuvre des services d'infonuagique

Les services d'infonuagique sont habituellement mis en œuvre par l'entremise d'une infrastructure infonuagique privée, communautaire, publique ou hybride.

En règle générale, les services fournis par une infrastructure infonuagique publique sont offerts sur Internet et appartiennent à un fournisseur de services d'infonuagique qui les exploite également. Mentionnons, par exemple, les services destinés au public, comme les services de stockage de photos en ligne, les services de courriel ou les sites de réseautage social. Toutefois, des services pour les entreprises peuvent également être offerts dans une infrastructure infonuagique publique.

Dans l'infrastructure infonuagique privée, l'infrastructure est exploitée uniquement pour une organisation en particulier, et elle est gérée par l'organisation ou une tierce partie.

Dans l'infrastructure infonuagique communautaire, le service est partagé par plusieurs organisations et est mis à la disposition de ces groupes uniquement. Les organisations ou un fournisseur de services d'infonuagique sont les propriétaires de l'infrastructure et l'exploitent.

L'infrastructure infonuagique hybride est une combinaison des diverses méthodes de mise en commun des ressources (comme combiner les infrastructures infonuagiques privées et communautaires).

Comment expliquer la popularité des services d'infonuagique

Les services d'infonuagique peuvent réduire sensiblement les coûts et la complexité liés à la possession et à l'exploitation d'ordinateurs et de réseaux. Étant donné que les utilisateurs de ces services ne sont pas obligés d'investir dans une infrastructure de technologie de l'information, ou d'acheter des licences d'utilisation de matériel ou de logiciels, ils retirent des avantages tels que des coûts initiaux faibles, un rendement des investissements rapide, une mise en œuvre rapide, un service personnalisé, une souplesse d'utilisation de même que des solutions en mesure de tirer parti des innovations. De plus, les fournisseurs de services d'infonuagique qui se sont spécialisés dans un secteur en particulier (p. ex., le courriel) peuvent offrir des services évolués qu'une entreprise individuelle pourrait ne pas pouvoir se permettre ou développer.

Parmi les autres avantages pour les utilisateurs, mentionnons la variabilité dimensionnelle, la fiabilité et l'efficacité. La variabilité dimensionnelle renvoie à la capacité illimitée de traitement et de stockage qu'offre l'infonuagique. L'infrastructure infonuagique est fiable car elle permet d'accéder à des applications et à des documents n'importe où dans le monde via Internet. Souvent considérée comme efficace, l'infonuagique permet aux organisations de libérer des ressources afin de les affecter à l'innovation et au développement de produits.

Il est fort probable que les renseignements personnels peuvent être mieux protégés dans le nuage, ce qui représente un autre avantage potentiel. L'infonuagique pourrait notamment nourrir les efforts visant à intégrer a priori la protection de la vie privée à la technologie et à favoriser l'utilisation de meilleurs mécanismes de sécurité. L'infonuagique facilitera l'acquisition de technologies de l'information et des améliorations plus souples, ce qui pourrait rendre possible le rajustement des procédures en fonction du caractère délicat des données. L'utilisation répandue de l'infonuagique pourrait également favoriser la mise en œuvre de normes transparentes dans ce domaine, ce qui permettra d'établir des fonctions de base communes en matière de sécurité des données dans différents services et chez différents fournisseurs. L'infonuagique peut également fournir de meilleures pistes de vérification. De plus, l'information dans l'infrastructure infonuagique ne s'égare pas aussi facilement que celle conservée sur les documents papier ou les disques durs, par exemple.

Risques potentiels d'atteinte à la vie privée

Les avantages associés à l'infonuagique sont toutefois accompagnés de préoccupations au chapitre de la protection de la vie privée et de la sécurité. Les données sont transmises sur Internet et sont stockées dans des lieux éloignés. De plus, les fournisseurs de services d'infonuagique desservent souvent plusieurs clients en même temps. Tous ces facteurs pourraient augmenter le niveau d'exposition aux atteintes possibles, accidentelles ou délibérées.

De nombreuses personnes sont préoccupées par le risque de détournement d'usage pouvant être causé par l'infonuagique — c'est-à-dire l'utilisation, par les fournisseurs de services d'infonuagique, des données à des fins non prévues lors de la collecte initiale et pour laquelle le consentement n'a pas habituellement été obtenu. Étant donné le faible coût lié à la conservation des données, rien n'incite à supprimer les données de l'infrastructure infonuagique, et ce ne sont pas les raisons qui manquent pour trouver d'autres utilisations possibles de l'information ainsi stockée.

Les questions liées à la sécurité, la nécessité de séparer les données lorsque les fournisseurs desservent plusieurs clients, les utilisations secondaires potentielles des données — voilà à quoi les organisations devraient réfléchir lorsqu'elles envisagent de recourir à un fournisseur de services d'infonuagique et qu'elles négocient des contrats ou revoient les modalités d'utilisation du service avec un fournisseur. Étant donné que les organisations sont responsables de la protection des données qu'elles transfèrent au fournisseur, elles doivent voir à ce que les renseignements personnels soient traités de manière appropriée.

La protection de la vie privée n'est pas un obstacle, mais il faut en tenir compte

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) n'interdit pas le transfert des renseignements personnels à une organisation dans un autre pays aux fins de traitement.

Toutefois, la LPRPDE établit les règles régissant ces transferts — plus particulièrement en ce qui concerne l'obtention du consentement à la collecte, à l'utilisation et à la communication des renseignements personnels, les mesures de sécurité entourant les données, de même que la responsabilité vis-à-vis de l'information et la transparence des pratiques.

Pour obtenir plus de renseignements sur le point de vue du Commissariat à la protection de la vie privée du Canada au sujet de l'impartition du traitement transfrontalier des renseignements personnels, veuillez consulter nos Lignes directrices sur le traitement transfrontalier des données. Ces considérations s'appliquent au transfert des données, que cela se fasse dans l'infrastructure infonuagique ou autrement.

Il est important de souligner que de nombreux fournisseurs de services d'infonuagique à l'extérieur du Canada peuvent également être assujettis aux dispositions de la LPRPDE. Dans la mesure où le fournisseur de services d'infonuagique a un lien réel et substantiel avec le Canada, et qu'il recueille, utilise ou communique les renseignements personnels dans le cadre d'une activité commerciale, il doit protéger les renseignements personnels conformément à la LPRPDE.

Conclusion

L'infonuagique offre des avantages aux organisations et aux particuliers. Elle soulève également des préoccupations au chapitre de la protection de la vie privée et de la sécurité. Si vous envisagez de faire appel à un service d'infonuagique, vous devriez réfléchir à la meilleure façon de protéger vos renseignements personnels, ainsi que ceux de vos clients. Examinez attentivement les modalités d'utilisation du service ou les contrats, et mettez le fournisseur au défi de répondre à vos besoins.

Pour obtenir plus de renseignements sur l'infonuagique, consultez les publications suivantes :

L’infonuagique pour les petites et moyennes entreprises : Responsabilités et points importants touchant la protection des renseignements personnels

Visez les nuages

Rapport sur les consultations de 2010 du Commissaire à la protection de la vie privée du Canada sur le suivi, le profilage et le ciblage en ligne et sur l'infonuagique

Lignes directrices sur le traitement transfrontalier des données

Octobre 2011

Date de modification :