Ce que chaque DSI canadien doit savoir sur la souveraineté des données

Surveiller où les données voyagent sur Internet est pertinent pour toute entreprise qui se soucie du pays qui pourrait avoir accès à ses informations privées. L'endroit exact où les données se déplacent et sont stockées est lié au concept de souveraineté des données, l'idée que les données sont régies par les lois du pays où elles se trouvent.

Si les données restent au Canada, les lois locales sur la confidentialité s'appliquent aux renseignements personnels. Mais ce contrôle peut être perdu une fois que les données sortent de la frontière.

[Lisezlaversionfrançaise:«Ce que tout DSI canadien devrait savoir sur la souveraineté des données» ]

La souveraineté des données occupe une place de plus en plus importante dans l'agenda des DSI et des RSSI du monde entier, à mesure que les services cloud aux frontières géographiques lâches deviennent de plus en plus répandus. De nombreux pays, notamment en Europe, ont mis en place des règles plus strictes pour tenter de protéger les données de leurs citoyens.

Le Canada ne fait pas exception. Voici ce que chaque DSI et RSSI canadien doit savoir sur la souveraineté des données.

Souveraineté des données au Canada : questions de compétence fédérale ou provinciale

La façon dont les données sont traitées au Canada dépend du type d'organisation et de la province où elle est située. Les lois sont axées sur les renseignements personnels appartenant aux citoyens ou aux consommateurs.

Deux ensembles de lois fédérales s'appliquent aux données : laLoi sur la protection des renseignements personnelspour les institutions fédérales, et leLoi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)pour les organisations du secteur privé.

Il n'y a pas de règle stipulant que le gouvernement fédéral doit conserver ses données sensibles au Canada, mais leDirective sur le service numériquemis à jour en 2020 indique que le maintien des installations informatiques à l'intérieur des frontières devrait être considéré comme le premier choix.

Ottawa reconnaît que même si les données résident au Canada, une fois qu'elles sont sur le nuage, elles peuvent être assujetties aux lois du pays d'origine du fournisseur de services infonuagiques. Il se disputeles avantages techniques l'emportent sur les risques même si cela signifie que le gouvernement ne peut jamais avoir une pleine souveraineté sur ses données. Par exemple, le gouvernement du Canada fait affaire avec AWS d'Amazon et Microsoft Azure. Les deux hébergent des données au Canada, mais sont basées aux États-Unis, où elles sont assujetties à la US Foreign Intelligence Service Act.

Mais certaines provinces ont des règles plus strictes. Le Québec a adopté une loi en novembre 2021 qui obligera les organisations à effectuer une évaluation de la confidentialité si elles envisagent d'envoyer des données à l'extérieur du Québec, et la Colombie-Britannique exige que les organismes publics stockent les renseignements personnels au Canada. Cela dit, la Colombie-Britannique envisage d'assouplir ses règles de souveraineté des données pour faciliter l'utilisation des services numériques.

Un RGPD canadien ? De nouvelles règles pourraient être au coin de la rue

Depuis que l'UE a introduit leRGPD (Règlement Général sur la Protection des Données) , il y a eu des spéculations que des règles similaires pourraient venir au Canada. Le GDPR stipule que toute entreprise, où qu'elle soit dans le monde, détenant des informations personnelles sur des résidents de l'UE doit appliquer des contrôles stricts sur l'utilisation de ces données et donner à ces résidents une certaine autorité sur cette utilisation. Le RGPD stipule également que les entreprises ou les organismes publics ne peuvent pas déplacer les données des résidents de l'UE en dehors de leur juridiction d'origine à moins qu'elles ne soient également protégées par les lois sur la confidentialité où qu'elles se déplacent.

Le Canada a introduit une législation en 2021 qui mettrait à jour ses règles de confidentialité des données pour ressembler davantage au RGPD, mais le projet de loi n'a jamais été adopté. Les politiciens devraient s'y attaquer de nouveau en 2022. Quoi qu'il en soit, les DSI et les RSSI feraient bien de se tourner vers l'Europe ouLe nouveau projet de loi 64 du Québecpour voir quel genre d'exigences pourraient être à l'avenir.

Les entreprises doivent faire leurs devoirs en vertu de la LPRPDE

Pour l'instant, les DSI et RSSI canadiens doivent travailler dans les cadres existants.

Il n'y a rien d'explicite sur la souveraineté des données dans la LPRPDE, la loi qui régit la façon dont les organisations privées traitent les informations des consommateurs. Mais la LPRPDE impose aux entreprises la responsabilité de protéger toutes les informations personnelles, quelle que soit la manière dont elles sont stockées, contre "la perte, le vol ou tout accès, divulgation, copie, utilisation ou modification non autorisés".

C'est une entreprise colossale. Les fournisseurs de cloud, en particulier les hyperscalers géants AWS, Microsoft et Google qui ont construit leurs propres centres dans les villes canadiennes, font un travail considérable pour assurer la sécurité de leurs opérations. Mais les DSI et les CISO doivent également poser les bonnes questions, a déclaré Megha Kumar, vice-présidente de la recherche chez IDC pour les logiciels et les services cloud. « En tant qu'organisation, vous devez faire preuve de diligence raisonnable. La responsabilité n'incombe tout simplement pas aux fournisseurs de cloud, elle vous incombe », a-t-elle déclaré.

Kumar recommande de travailler avec le fournisseur de cloud pour répondre à des questions telles que la manière dont les données seront traitées au repos et en mouvement, comment elles seront classées et quels ensembles de données doivent migrer vers le cloud en premier lieu.

Prendre ces mesures supplémentaires peut aider à établir la confiance avec les clients. "Cela montre que vous êtes une organisation qui prend au sérieux les affaires du client, les informations du client au sérieux", a-t-elle déclaré.

N'oubliez pas les données en mouvement

Il est plus facile de penser à la souveraineté des données lorsque l'information ne bouge pas. Après tout, si les données se trouvent dans un immense centre informatique appartenant à des Canadiens à Toronto, il est clair que les lois canadiennes sur la protection de la vie privée s'appliqueraient. Mais cela devient plus compliqué lorsque ces données doivent se déplacer d'un point A à un point B.

Par exemple, le chemin de Toronto à Montréal peut traverser les États-Unis, selon la configuration d'un réseau. Il n'y a pas beaucoup de visibilité sur quel câble de fibre optique les données d'une entreprise pourraient voyager à un moment donné, a déclaré Jacques Latour, directeur de la technologie et de la sécurité à l'Autorité canadienne pour les registres Internet (ACEI). Même si l'information est envoyée du Canada au Canada, elle pourrait circuler au sud de la frontière. Les DSI et les RSSI doivent comprendre que lorsqu'ils ne contrôlent pas le trafic, ils sont à la merci des fournisseurs de services Internet quant à la destination réelle de leurs données, a-t-il déclaré. "Il n'y a pas de Google Maps pour qu'Internet comprenne où circule le trafic." Et une fois que les données quittent le Canada, elles pourraient être capturées même si elles sont cryptées, a déclaré Latour.

Pour répondre à ces préoccupations, l'ACEI a soutenu le développement de plus de 10 points d'échange Internet au Canada pour permettre aux réseaux d'échanger du trafic localement. Il construit également un outil qui mesure et montre le trafic sur différents chemins entre les réseaux au Canada.

Tout comme le trafic routier est important pour les entreprises de camionnage, où les données voyagent devraient être importantes pour toute entreprise qui achète le transit Internet pour offrir des services aux clients, a déclaré Latour. Cela peut les aider à déterminer comment protéger leurs données en décidant quelles informations envoyer et quand.