Les gens se bercent d’illusion s’ils croient leurs données plus en sécurité dans leurs serveurs que dans ceux d’un fournisseur infonuagique, selon Benoît Simard, vice-président Marketing affaires chez Telus.

« Tous les serveurs branchés à Internet sont vulnérables et peu de PME ont les moyens d’élaborer des systèmes de sécurité aussi solides que ceux des fournisseurs d’infonuagique », soutient-il.

Matthieu Chouinard, président d’In Fidem, spécialisée dans la sécurité de l’information et la gestion des risques, prévient toutefois qu’il faut prendre les bonnes décisions pour bénéficier d’un service sécuritaire.

« Il faut savoir où nos données seront hébergées, comprendre nos obligations légales et les politiques de sécurité du fournisseur », dit-il.

La sécurité dépend principalement de trois facteurs : la protection physique (l’accès au lieu d’hébergement), la protection informatique (défense contre les intrusions et virus et gestion de l’accès des employés) et les plans de contingence en cas de sinistre.

Ce que dit la loi

Avocat spécialisé en droit de la technologie chez McCarthy Tétrault, Charles S. Morgan confirme que rien ne vous empêche légalement de faire héberger vos données à l’étranger. Mais vous devez assurer un niveau de sécurité similaire à celui que vous auriez au Canada.

Les données ne doivent être utilisées que pour offrir le service prévu et ne jamais être divulguées à une tierce partie sans le consentement de votre client.

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) stipule que vous devriez inspecter les moyens de traitement et de stockage de votre sous-traitant. Compliqué, s’il est en Inde !

Les institutions financières doivent suivre les lignes directrices du Bureau du surintendant des institutions financières (BSIF) : notamment tenir compte de la situation politique, économique et sociale et de tout événement susceptible d’affecter votre fournisseur et vos données.

Des données globe trotter

Comprendre où seront hébergées nos données n’est pas simple. Il faut d’abord distinguer entre un nuage privé et public. Le premier est hébergé sur des serveurs dédiés à votre entreprise, alors que dans le second, vos données partagent l’espace avec d’autres.

Un fournisseur de nuage public peut avoir des serveurs dans plusieurs pays dans le monde. « Il faut connaître toute la chaîne de sous-traitance de votre fournisseur », explique Matthieu Chouinard. Par exemple, les données de la populaire application Salesforce.com peuvent transiter chez plusieurs sous-traitants, dans des juridictions différentes. »

Bien qu’aucun contrat ne puisse avoir préséance sur les lois d’une administration étrangère, il demeure votre première protection. Tout devrait y être inscrit, y compris la juridiction s’appliquant et la propriété des données.

« Il est courant d’y préciser que le fournisseur n’héberge les données qu’en fidéicommis, pour votre compte », note Charles S. Morgan.

En bout de ligne, le plus important est de bien choisir son fournisseur, et d’avoir un solide plan B. Assurez-vous de toujours avoir sous la main une sauvegarde à jour vous permettant de relancer les opérations rapidement en cas de problème. Parce que le risque zéro, ça n’existe pas !