8 octobre 2011

CPVPC: introduction à l'infonuagique

Le Commissariat à la protection de la vie privée du Canada (CPVPC) vient de publier de la documentation sur l'infonuagique (ou cloud computing). Ce matériel fait suite aux consultations que le CPVPC a conduit en 2010 sur plusieurs problématique dont l'infonuagique (billet). On retrouve donc sur le site du CPVPC une foire aux questions et une fiche d'information sur cette question. 

Le CPVPC rappelle que 
"l'infonuagique désigne la fourniture de ressources informatiques sur Internet. Au lieu de conserver les données sur votre disque dur ou de mettre à niveau les applications en fonction de vos besoins, vous recourez à un service qui se trouve à un autre endroit sur Internet où vous stockerez votre information ou dont vous utiliserez les applications. L'utilisation de services d'infonuagique risquent d'avoir des incidences au chapitre de la protection de la vie privée."
(Source: CPVPC, Introduction à l'infonuagique, Octobre 2011)
En plus d'expliquer les différents modèles de service et leur popularité (coûts initiaux faible, mise en oeuvre rapide, souplesse d'utilisation, capacité illimité de traitement et de stockage, fiabilité, efficacité, etc.), le CPVPC insiste sur les risques potentiels d'atteinte à la vie privée et à la sécurité.
"De nombreuses personnes sont préoccupées par le risque de détournement d'usage pouvant être causé par l'infonuagique — c'est-à-dire l'utilisation, par les fournisseurs de services d'infonuagique, des données à des fins non prévues lors de la collecte initiale et pour laquelle le consentement n'a pas habituellement été obtenu. Étant donné le faible coût lié à la conservation des données, rien n'incite à supprimer les données de l'infrastructure infonuagique, et ce ne sont pas les raisons qui manquent pour trouver d'autres utilisations possibles de l'information ainsi stockée.
Les questions liées à la sécurité, la nécessité de séparer les données lorsque les fournisseurs desservent plusieurs clients, les utilisations secondaires potentielles des données — voilà à quoi les organisations devraient réfléchir lorsqu'elles envisagent de recourir à un fournisseur de services d'infonuagique et qu'elles négocient des contrats ou revoient les modalités d'utilisation du service avec un fournisseur. Étant donné que les organisations sont responsables de la protection des données qu'elles transfèrent au fournisseur, elles doivent voir à ce que les renseignements personnels soient traités de manière appropriée."
(Source: CPVPC, L'infonuagique, Octobre 2011)
Et, concernant ces risques potentiels d'atteinte à la vie privée, notamment au regard du traitement transfrontalier des données, le CPVPC précise qu'une entreprise qui décide de recourir à un fournisseur de services d'infonuagique "demeure responsable des renseignements personnels qu'elle transmet à ce service", même si ce dernier se trouve dans un autre pays. (Source: CPVPC, Foire aux questions, Octobre 2011). De plus, les fournisseurs de service établis 
"à l'extérieur du Canada peuvent également être assujettis aux dispositions de la LPRPDE [i.e. Loi sur la protection des renseignements personnels et les documents électroniques]. Dans la mesure où le fournisseur de services d'infonuagique a un lien réel et substantiel avec le Canada, et qu'il recueille, utilise ou communique les renseignements personnels dans le cadre d'une activité commerciale, il doit protéger les renseignements personnels conformément à la LPRPDE."
(Source: CPVPC, L'infonuagique, Octobre 2011)

Aucun commentaire:

Enregistrer un commentaire

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.