Back to Navigation

L’emplacement du nuage

Le présent document est une transcription d'un balado sur l'emplacement du nuage. On y parle de ce que c'est et de ce que vous devez savoir à ce sujet.

Animateurs :   PB : Phil Brown, DW : David Whelan

PB : Bonjour, ici Phil Brown. Je suis en compagnie de David Whelan et aujourd’hui nous allons parler de l’emplacement du nuage.

DW : On ne le dira jamais trop, l’emplacement c’est tout ! Nous savons tous à quel point c’est important, mais vous n’y pensez peut-être pas lorsque vous ouvrez votre site Web Google et que vous accédez à vos applications ou à votre courriel, ou lorsque vous accédez à votre disque Microsoft One et que vous y téléversez ou téléchargez un fichier. Vous ne vous demandez probablement pas où se situe ce nuage.

PB : Il n’est pas nécessairement facile de savoir où se situe ce nuage. Lorsque nous parlons du nuage, nous parlons de l’endroit où se situent ces énormes serveurs qui contiennent votre information.

DW : Le nuage se compose de diverses couches. La couche avec laquelle la plupart d’entre nous interagissons se nomme software as a service ou SaaS. Donc, dans certains cas, lorsque vous utilisez le nuage de Google ou de Microsoft ou d’une grande entreprise, il est possible que vous utilisiez non seulement les logiciels de cette entreprise, mais également sa plate-forme ou son infrastructure, soit la partie physique du nuage. Si utilisez d’autres entreprises plus petites, il est possible que vous n’utilisiez que l’aspect logiciel du nuage. Vous utilisez peut-être une entreprise canadienne qui offre un logiciel sur le nuage et qui utilise Amazon ou Windows comme plate-forme pour le nuage et cette plate-forme peut être située sur la côte est sur la côte ouest des États-Unis ou sur un autre continent complètement.

PB : Souvent, une entreprise de services infonuagiques s’assurera également qu’il y ait de la redondance. Une entreprise de services infonuagiques pourrait avoir des serveurs sur la côte est et sur la côte ouest ainsi qu’une batterie de serveurs au Texas.

DW : C’est bon signe, en réalité, car même si l’un des serveurs fait défaut, cela ne vous empêchera pas de travailler. Mais, effectivement, il n’y a pas moyen de savoir où sont situés ces serveurs. Vous pouvez poser la question à votre fournisseur, Google ou Microsoft, et les plus entreprises de moins grande envergure seront possiblement plus disposées à vous dire où se situent leurs centres de données et quel est leur degré de redondance, mais il peut être difficile d’obtenir ces renseignements. Les plus grandes entreprises vous répondront probablement qu’elles ne peuvent pas divulguer l’emplacement de leurs centres de données pour des raisons de sécurité.

PB : Même une entreprise comme Cleo, par exemple, laquelle offre des logiciels de gestion pour les avocats et les cabinets, utilise les serveurs d’une tierce partie : Amazon. Donc, il existe un serveur Amazon quelque part qui héberge vos données Cleo et, bien sûr, ce serveur peut être n’importe où.

DW : Les avocats au Canada ne s’inquiètent plus vraiment du USA Patriot Act. Ils s’inquiètent peut-être encore du fait d’utiliser des serveurs aux États-Unis, mais le problème n’est pas vraiment le Patriot Act. Donc, à quel point devrait-on s’inquiéter de l’endroit où sont stockés les documents de nos clients canadiens, des renseignements confidentiels de clients canadiens, et que peut-on faire à ce sujet ?

PB : C’est une bonne question et je crois qu’il faut examiner les conditions d’utilisation des services infonuagiques et savoir où seront stockées vos données. Vous devriez également vous renseigner sur le cryptage, que ce soit le cryptage des données lorsqu’elles sont envoyées au fournisseur de services que le cryptage des données lorsqu’elles sont stockées sur les serveurs.

DW : C’est vraiment un bon exemple de deux préoccupations sur lesquelles vous devriez vous pencher. Certains membres du corps professoral de l’Université de Windsor examinent sur une base régulière les conditions de transmission des fournisseurs de service Internet au Canada. Vous avez possiblement déployé des efforts pour trouver un fournisseur canadien de services infonuagiques afin que toute votre information soit stockée au Canada, pour ensuite découvrir que les données transmises passent en fait par les États-Unis avant d’être stockées au Canada, car c’est ce que font la plupart des fournisseurs de service Internet au Canada. La plupart d’entre eux envoient vos données de l’autre côté de la frontière, même si elles seront stockées sur un serveur canadien au bout du compte.

PB : C’est vrai. J’ai déjà envoyé des données sur les serveurs du Barreau et, même si je ne vis qu’à quelques kilomètres de leurs serveurs, lorsque je fais un suivi de mes données, je constate qu’elles sont passées par les États-Unis et d’autres pays avant de se rendre à destination, soit à trois kilomètres de mon ordinateur.

DW : C’est l’une des raisons pour lesquelles vous devez vraiment vous assurer de crypter vos données lorsque vous les envoyez et vous assurer qu’elles sont cryptées sur le serveur où elles sont stockées. Cela ne signifie pas que vous devez crypter les données vous-même, mais plutôt que vous devez vous assurer d’utiliser un navigateur Web et une connexion sécurisée et que votre fournisseur de services infonuagiques est également sécurisé. Cela ne règle pas la question de l’emplacement du serveur, mais au moins la transmission est protégée.

PB : Il y a déjà eu certaines instances judiciaires au sujet de l’emplacement des services infonuagiques.

DW : Oui. L’un des points intéressants qui ont été soulevés, d’un point de vue canadien, car l’affaire ne visait pas le Canada ou les États-Unis directement, est qu’on a demandé à Microsoft de divulguer certains courriels d’un utilisateur Outlook ou Hotmail, mais les données de l’utilisateur étaient stockées sur un serveur Microsoft en Irlande. Microsoft a donc répondu au gouvernement américain qu’elle refusait de divulguer les courriels. Vous pouvez suivre cette affaire. Le procès se tient à New York et je crois que les derniers mémoires et documents ont été déposés auprès de la Second Court of Appeals ou de la Court of Appeals for the Second Circuit au fédéral. Vous verrez que Microsoft soutient que, aux termes des lois de l’Union européenne en matière de protection des données, le gouvernement américain ne peut demander à l’Irlande de fournir le document.

Je crois que cela soulève un point intéressant. Nous avons déjà discuté avec des avocats de la question de savoir s’ils devraient stocker leurs données au Canada seulement ou aux États-Unis ou ailleurs. Et, en réalité, l’idée de stocker des données ailleurs est une option de plus en plus viable. Vous pourriez décider qu’il est préférable de stocker les renseignements confidentiels relatifs à vos clients dans un centre de données situé dans l’Union européenne, en Irlande ou ailleurs, plutôt que sur un serveur américain, et vous pourriez tout de même utiliser les services Web de Microsoft Windows ou d’Amazon et des entreprises qui les utilisent, mais tout en utilisant les centres de données situés à ces endroits. Lorsque vous ouvrez un compte pour le service Office 365 de Microsoft, vous pouvez choisir quel centre de données vous souhaitez utiliser. Il y a maintenant d’autres options que le Canada ou les États-Unis. Vous pouvez choisir un autre endroit, car différentes technologies sont à la disposition des avocats à différents endroits et, dans certains cas, il y a également de meilleures lois.

PB : Aussi, le stockage des données dans le nuage et le manque de contrôle apparent sur ces données embête certaines personnes, car les données ne sont plus sous leur contrôle, mais, évidemment, ces données devraient être cryptées et, si vous vous assurez qu’elles sont cryptées lorsqu’elles sont transmises, cela devrait être plus ou moins sécuritaire.

DW : Oui, et si cela vous inquiète vraiment, vous pouvez toujours crypter vos données avant de les transmettre. Ce peut être un peu embêtant lorsque vous tentez d’accéder à vos données, mais, encore une fois, il vous revient de déterminer ce que vos clients considèrent comme acceptable et ce qui vous met à l’aise. J’ai entendu parler d’un cabinet ici en Ontario dont l’un des clients a exigé qu’ils conservent ses données sur un serveur au Canada. Pour certains clients ou dans certains domaines d’exercice, c’est une étape obligatoire, mais je crois que, en ce qui concerne l’emplacement du serveur où sont stockés vos documents, vous devriez savoir où il se situe et il devrait être aisé d’obtenir une réponse à cette question, à tout le moins savoir sur quel continent les données sont stockées. Cependant, dans le cas de certaines entreprises, comme Open Text, qui vient de lancer un centre de données en Australie, et de Microsoft, qui a des centres de données dans l’Union européenne, je crois qu’il y a réellement d’autres options qui s’offrent à vous et qui pourraient vous permettre d’obtenir une meilleure protection qu’au Canada ou aux États-Unis.

PB : Effectivement. Et il y a d’autres options aussi. Tu as mentionné le cryptage en amont, soit de crypter les données vous-même sur votre ordinateur de bureau ou votre appareil mobile avant d’envoyer les données sur le nuage. Donc, vous cryptez les données. Ensuite, les données sont transmises au serveur par voie sécurisée, puis elles sont cryptées sur le serveur également. C’est donc presque une double protection, voire une triple protection. Certains se demandent si le cryptage est sécuritaire ou si les gouvernements ont toutes les clés de cryptage et peuvent tout décrypter. Certains croient que oui. Mais, au moins, vous avez tenté de stocker vos données de façon sécuritaire et vous avez pris des mesures pour protéger vos clients.

DW : C’est ça. J’étais à une séance du barreau du Montana et un type a demandé : « Mais pouvez-vous me protéger contre le NSA ? » C’était avant l’affaire Snowden et je lui ai répondu qu’il n’avait pas l’obligation professionnelle de protéger ses données contre le NSA. Vous voudrez peut-être le faire tout de même, mais c’est différent de la responsabilité professionnelle.

PB : Nous avons parlé de ça dans un autre balado sur les lettres de mandat. Ce n’est probablement pas une mauvaise idée de discuter avec votre client de l’endroit où ses données confidentielles seront stockées, car certains clients ne voudront pas que leurs données confidentielles soient stockées aux États-Unis s’ils ont des intérêts commerciaux là-bas ou dans l’Union européenne s’ils ont des problèmes là-bas.

DW : Si vous pouvez obtenir des renseignements auprès de votre fournisseur en ce qui concerne leurs normes relativement à la sécurité et au cryptage des données et quant à l’endroit où les données sont stockées, ce pourrait être des renseignements utiles à fournir à vos clients dès le début ou à avoir en main si l’on vous pose la question.

PB : Absolument, et informez vos clients des mesures que vous prenez lorsque vous stockez leurs données et, si cela les intéresse, de ce qu’il leur en coûtera pour récupérer ces données si cela s’avère nécessaire.

DW : Maintenant, vous savez tout ce que vous devez savoir sur l’emplacement des serveurs sur le nuage.

PB : Enfin, c’est la première partie. Merci David.

DW : Merci Phil.