Précisions très importantes apportées par Éric Caire, ministre délégué à la transformation numérique du gouvernement du Québec, à propos du projet de transférer l’hébergement des activités du gouvernement vers des solutions infonuagiques. Ces précisions ont été faites lors de une entrevue accordée à Bruno Guglielminetti, dans le cadre de son podcast hebdomadaire du 7 juin dernier.
On se rappellera qu’en février lors de l’annonce du projet gouvernemental, bien que l’intention d’adopter l’architecture infonuagique fut reçue très positivement, de nombreuses personnes ont soulevé des questions sur la capacité du gouvernement à maintenir sa souveraineté exclusive sur le les données hébergées dans les environnements infonuagiques publiques, lorsque ceux-ci sont opérés par des fournisseurs de service américains. Les critiques faisaient remarquer que ces fournisseurs américains sont soumis à la législation américaine, même lorsqu’ils opèrent sur le territoire canadien.
Dans un texte paru dans le journal Le Devoir, Pierre Trudel écrivait:
« Bien que le ministre ait manifesté son intention de faire en sorte que les données demeurent physiquement sur le territoire québécois, il n’a pas exclu que les services d’infonuagique puissent être assurés par des entreprises assujetties aux lois américaines. Or, il se trouve que le droit américain accorde aux autorités de ce pays un droit étendu d’accéder aux données où qu’elles se trouvent, et ce, dès lors qu’elles sont entre les mains d’une firme assujettie aux lois américaines. »
Malheureusement, le ministre délégué n’a jamais répondu publiquement à ces critiques en décrivant comment il s’assurerait qu’aucun gouvernement autre que le sien ne pourrait accéder aux informations stockées dans le cloud public. Sauf pour dire qu’il n’y avait pas de danger à ce niveau. Ce qui n’est pas une réponse rassurante.
Ainsi donc, pour la première fois depuis l’annonce de février, le ministre donne donc enfin les précisions tant attendues:
- les données seront catégorisées en fonction de leur degré de sensibilité, afin de s’assurer que les données hautement sensibles soient conservés dans un environnement infonuagique privé (opéré par le gouvernement du Québec);
- seules les données moins sensibles seront hébergées dans un environnement public;
- l’ensemble des données hébergées dans les environnements infonuagiques seront cryptées pour les rendre inutilisables pour n’importe quel intru.
Voici la transcription de la portion de l’entrevue où le ministre délégué revient sur la question de l’infonuagique:
Question de B. Guglielminetti : « Une question qui est délicate évidemment quand on parle de transformer numériquement quelque chose encore plus quand on parle du gouvernement, c’est tout le domaine des données privées, l’information dont vous êtes le gardien dans différents ministères. Comment vous vous assurez que ces données-là vont demeurer en sécurité, vont même même demeurer au Québec parce que ce sera nos lois au Québec, les lois du Canada, qui auront juridiction là-dessus, plutôt que les faire héberger ailleurs dans le monde ou d’autres lois pourraient permettre à d’autres pays d’y avoir accès sans qu’on puisse rien dire. »
Réponse de E. Caire : « Je pense que d’abord il n’est pas inutile de dire que l’infonuagique amène des possibilités qui sont extraordinaires. Donc, je pense que c’est un virage que le gouvernement prend, qui a été pris par plusieurs autres administrations publiques, qui était pris par des sociétés privées; donc je pense qu’on est vraiment dans la transformation numérique et dans le gouvernement du 21e siècle. Maintenant, une chose que l’on doit faire et qui n’a jamais été faite, c’est de catégoriser nos données. Parce qu’on entend beaucoup « ah! nos données privées vont se ramasser à des compagnies étrangères ». Un instant! un instant! Le gouvernement du Québec, on n’est pas non plus des inconséquents. »
« Et ça, le gouvernement du Québec ne l’a jamais fait. Le gouvernement fédéral l’a fait et ça, c’est très intéressant. En catégorisant nos données, ça nous permet de nous dire : quelles sont les données qui sont très sensibles, très névralgiques, jusqu’à celles qu’on pourrait mettre en données ouvertes. Il y a quand même un spectre qui est assez large. Alors, les données qui sont catégorisées comme très sensibles – pis là, on a estimé ça à environ 20% des données que le gouvernement du Québec possédait – seront envoyées en infonuagique privée. Le terme peut sembler paradoxal parce que par privé j’entends l’infonuagique gouvernementale donc c’est le gouvernement du Québec qui va en être le fiduciaire. »
« Les autres données qui sont moins critiques peuvent aller en infonuagique publique, donc les fournisseurs d’infonuagique qui se qualifieront auprès du gouvernement du Québec et même là, par entente contractuelle, on va s’assurer que ces entreprises-là, si elles hébergent les données au Québec, au Canada ou en Europe, sont sous le coup d’une loi de protection des données et des renseignements personnels qui est équivalente ou, même dans certains cas, supérieure à notre loi à nous et si ce n’est pas le cas, par exemple pensons aux États-Unis (on va nommer les choses par leur nom) par entente contractuelle, on peut arriver à donner un niveau de protection à nos données qui serait équivalent à notre loi d’accès à l’information. »
« Donc, contractuellement, on va faire ce que les lois américaines ne feraient peut-être pas. Et, finalement, si je peux me permettre, on va évidemment forcer le fait que les données soient encryptées et que le seul détenteur de la clé de désencryptions soit le propriétaire des données, soit le ministère et/ou l’organisme qui va signer l’entente contractuelle avec les fournisseurs de services. Si bien que, si au bout de tout ça quelqu’un avait vraiment envie d’aller prendre ces données-là dont l’intérêt pourrait être discutables, mais elles seraient inintelligibles parce qu’encryptées. »
(L’entrevue complète se trouve ici)
En clair, cela signifie que le Secrétariat du conseil du trésor du Québec, de qui relève le ministre délégué à la transformation numérique, s’alignera sur les pratiques déjà initiées par le gouvernement du Canada dans ce domaine. Ce qui est sans doute une très bonne nouvelle.
A titre de rappel, le gouvernement canadien a présenté sa stratégie en matière d’hébergement numérique en 2017. On peut la consulter ici: Stratégie d’adoption de l’informatique en nuage du gouvernement du Canada.
Voici d’ailleurs la définition de la catégorisation de sécurité présentée dans ce document:
Qu’est-ce que la catégorisation de la sécurité?
« La catégorisation de la sécurité est le processus qui consiste à attribuer une catégorie de sécurité aux ressources, aux biens ou aux services d’information en fonction du degré de préjudice que l’on peut raisonnablement s’attendre à subir en raison de la compromission de ces ressources, biens ou services.L’information est identifiée et catégorisée en fonction du degré de préjudice qui pourrait résulter de la compromission de sa confidentialité, de sa disponibilité ou de son intégrité. »
La discussion est ouverte