DROIT et TI – L’utilisation de logiciels et d’ordinateurs éloignés et partagés, ainsi que l’entreposage de données sur des serveurs éloignés et partagés, sont de plus en plus populaires. C’est ce qu’on appelle l’informatique en nuage et ce que Shakespeare aurait appelé le Cloud Computing. Quel droit s’y applique?
À mesure que les systèmes informatiques deviennent plus complexes, bon nombre d’organisations se voient faire face à un défi important quant à la gestion de leurs coûts du côté des nouvelles technologies. L’informatique en nuage gagne proportionnellement en popularité, puisqu’elle permet de partager des équipements ainsi que de la main-d’œuvre qui, au surplus, peuvent se trouver dans des juridictions où ils coûtent moins cher.
Peu importe la juridiction, il importe d’en connaître l’identité et de tenter de savoir le régime juridique qui s’appliquera aux données. Il est surprenant de voir que certaines personnes qui se préoccupent méticuleusement, à tort ou à raison, de la provenance d’une marchandise utilisée dans leur entreprise, n’ont aucune idée de l’endroit où se trouvent leurs données, qu’il s’agisse de données d’entreprises, de secrets commerciaux ou de renseignements personnels concernant des individus.
Rappelons que la législation québécoise en matière de renseignements personnels impose aux détenteurs de ces renseignements de s’assurer de leur sécurité et de leur confidentialité s’ils sont hébergés hors du Québec.
L’impact juridique primaire de l’informatique en nuage n’est pas trop difficile à expliquer: le client ne fournit plus seulement ses données à l’entreprise B, mais aussi à l’entreprise d’hébergement C. Le citoyen X ne fournit plus seulement ses renseignements personnels à l’hôpital Y, mais aussi à l’entreprise d’hébergement Z.
Rappelons que si Internet ne connaît pas de frontières, le droit, lui, change d’une juridiction à l’autre. C et Z sont-ils situés dans des juridictions où les données sont protégées, au-delà du contrat établi entre B et C, ou entre Y et Z?
Où sont les données?
Un comité du gouvernement des États-Unis s’est récemment penché sur le phénomène de l’informatique en nuage et a produit un rapport il y a quelques mois. Ce rapport pose des questions fort valables, bien que nos voisins du Sud ne soient pas connus comme les champions de la protection des renseignements personnels.
En voici quelques-unes :
1. Dans la juridiction où sont situées les données, celles-ci font-elles partie des actifs à partager en cas de faillite de l’hébergeur?
2. Dans la juridiction où sont situées les données, quels sont les droits des autorités locales de fouiller les serveurs où sont situées les données? (À ce sujet, on peut ajouter que nul n’est besoin d’aller très loin pour se poser cette question, nos voisins du Sud étant régis par le Patriot Act qui permet une telle fouille si des doutes existent quant à la sécurité nationale)
3. Qu’arrive-t-il si une vérification des données ou du système informatique s’impose pour des motifs d’ordre juridique, dans la juridiction du propriétaire de la base de données, et si les données se trouvent physiquement aux antipodes? Le propriétaire de la base de données peut-il se retrouver en défaut vis-à-vis ces obligations?
4. Qu’arrive-t-il si l’hébergeur des données décide, pour des motifs économiques ou autres, de changer l’endroit où les données se trouvent? Le propriétaire de la base de données sera-t-il avisé? Sait-il en tout temps où se trouvent ses données?
5. Si l’on choisit de faire affaires avec une société située dans la même juridiction que soi, l’entreprise recevant la base de données du propriétaire de celle-ci et fournissant un service informatique en utilisant de la technologie liée à l’informatique en nuage est-elle la propriétaire de ses serveurs? Si non (ou même si oui), qu’est-ce qui prouve que la base de données se trouve dans la même juridiction que le propriétaire de celle-ci?
6. Si les données de l’énoncé précédent se trouvent dans une autre juridiction, qu’est-ce qui prouve que le contrat entre le fournisseur local choisi et son hébergeur offre une protection du même niveau que les lois locales en ce qui concerne les renseignements personnels? Il s’agit simplement de négocier le contrat en conséquence, vous entends-je penser. Effectivement, il s’agit de négocier le contrat en conséquence. Mais que se passe-t-il si l’on ne peut le négocier?
Les conditions disponibles en ligne
Bien des services disponibles sur la base de l’informatique en nuage sont offerts à partir de sites Web ou encore d’offres particulières effectuées technologiquement : un collègue me mentionnait l’autre jour que lorsqu’il a acquis son nouvel ordinateur portable, une fenêtre apparaissant à la mise en marche de l’ordinateur lui a offert pendant les trente (30) premiers jours de son utilisation un service de copie de sécurité automatisée de son disque dur, sur un serveur éloigné et non identifié.
Le tout émanait d’une société de logiciel nord-américaine bien connue. S’il avait accepté l’offre, on lui aurait demandé d’accepter une série de conditions apparaissant en ligne, sur une page Web; ces conditions n’auraient pas été négociables.
Or, que trouve-t-on de temps à autre comme clause sur de telles conditions disponibles en ligne, telle clause devant nous faire sourciller dans le cas présent? Ce fameux article qui dit a) que le fournisseur peut modifier le contrat en ligne en tout temps, b) qu’il incombe au client de venir lire le contrat en ligne pour constater s’il a changé et c) que le client doit, si les changements ne lui conviennent pas, prendre l’initiative de mettre fin au contrat.
Cette clause n’est pas à toute épreuve dans notre droit québécois, qui exigerait probablement en plus un avis au client selon lequel des conditions au contrat ont changé. Mais en acceptant le contrat en ligne, choisirait-on par mégarde un autre droit que le droit québécois?
Bien peu nombreux sont ceux qui vont aller inspecter régulièrement les changements aux conditions applicables.
Ceux qui le font et qui se voient insatisfaits d’un changement devront mettre fin au contrat, récupérer leurs données et tenter d’obtenir du fournisseur une déclaration selon laquelle toutes les données ont été remises ou détruites.
C’est faisable. Il ne faut certainement pas se priver des services disponibles en ce qui touche l’informatique en nuage. Mais il ne faut pas prendre à la légère la décision d’y avoir recours.
Michel A. Solis est avocat, arbitre et médiateur. Il oeuvre dans le secteur des TI depuis plus de 20 ans.