La souveraineté des données est redevenue une préoccupation majeure pour les organisations canadiennes, qui doivent composer avec un contexte géopolitique et réglementaire de plus en plus complexe. À l’heure actuelle, on s’inquiète surtout du pouvoir qu’a le gouvernement américain d’accéder aux renseignements personnels des Canadiens et Canadiennes en vertu de son CLOUD Act (Clarifying Lawful Overseas Use of Data Act) de 2018. Fondamentalement, les enjeux entourant la souveraineté des données soulèvent une interrogation pertinente et pressante : dans quelle mesure les États étrangers peuvent-ils avoir accès aux renseignements personnels de la population canadienne qui sont traités par des infrastructures mondiales?
Bien qu’elle soit souvent présentée comme une affaire de lieu de stockage, la souveraineté des données est avant tout une question de contrôle, lequel dépend de l’autorité juridique compétente, de la structure organisationnelle concernée et des relations entretenues avec les prestataires de services. À mesure que le recours à l’infonuagique et aux services d’IA s’intensifie, et que les tensions entre le Canada et son voisin du Sud alimentent le débat entourant les flux transfrontaliers de données, les organisations sont contraintes de revoir leurs croyances de longue date sur la résidence des données, le risque et la conformité.
Le présent article examine les aspects juridiques et pratiques de la souveraineté des données, y compris l’incidence des lois américaines sur l’accès légal aux renseignements, et vise à guider les entreprises canadiennes dans leur évaluation et leur gestion des risques.
Points à retenir
Au Canada, les décisionnaires doivent garder à l’esprit les éléments ci-dessous lorsqu’ils et elles abordent la souveraineté des données dans une conjoncture juridique et géopolitique en pleine évolution.
- La souveraineté des données est davantage une question de contrôle que de lieu. Le simple fait de stocker des données au Canada n’empêche pas qu’on puisse y accéder sur la base de lois étrangères; ce qui importe, ce n’est pas l’endroit où se trouve l’information, mais bien qui la contrôle.
- La législation américaine demeure un facteur de risque névralgique. En vertu du CLOUD Act, les autorités américaines peuvent contraindre les entreprises basées aux États-Unis et les filiales étrangères sous contrôle américain à leur fournir des données, même si celles-ci sont stockées au Canada et ne concernent pas des personnes américaines.
- La structure organisationnelle et le contrôle opérationnel sont déterminants. Les entités canadiennes entièrement détenues et gérées au Canada ne sont généralement pas assujetties au CLOUD Act. Par contre, les filiales canadiennes contrôlées de façon notable par une société mère américaine peuvent être soumises aux obligations d’accès légal imposées par les États-Unis.
- Il faut adopter une approche axée sur les risques, la responsabilité juridique, la sensibilité des données et la réalité du terrain. Les organisations devraient évaluer conjointement leur exposition aux législations étrangères, plutôt que d’appliquer des règles de localisation universelles.
- Les EFVP sont de plus en plus courantes. Au Québec en particulier, le transfert de renseignements personnels hors de la province entraîne l’obligation légale de réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) pour analyser, entre autres, le cadre juridique étranger applicable.
- La transparence est de rigueur. Les organisations doivent clairement informer les entités concernées lorsque des données à caractère personnel sont susceptibles d’être traitées à l’extérieur du Canada ou d’être consultées par des tribunaux ou des pouvoirs étrangers.
- La minimisation et la conservation restreinte des données réduisent l’exposition au risque. Le fait de ne collecter que l’information indispensable, de privilégier les ensembles de données cryptées, dépersonnalisées ou anonymisées, et de détruire de manière sécurisée tout renseignement désuet limite considérablement le risque d’accès par des tiers.
Considérations juridiques relatives à la souveraineté des données
La « souveraineté des données » est le principe selon lequel les données collectées, stockées ou autrement traitées au Canada restent principalement soumises à la législation canadienne. Pour les organisations que cette notion touche de près, l’enjeu dépasse le lieu de stockage des données (souvent appelé la « résidence ») et englobe la manière dont le territoire, la structure organisationnelle et le contrôle opérationnel influencent collectivement le risque d’accès légal que représentent les gouvernements étrangers.
L’applicabilité du CLOUD Act se retrouve au cœur de l’analyse de ces questions, car cette loi autorise les autorités américaines à exiger qu’on leur communique des données en la possession, sous la garde ou sous le contrôle de sociétés basées aux États-Unis et d’entreprises étrangères qui relèvent de la compétence du pays. Les filiales étrangères d’une société mère américaine peuvent être similairement assujetties si cette dernière exerce une mainmise substantielle sur leurs activités et qu’elle possède, garde ou contrôle les données visées en proportion suffisante. En résumé, les entreprises américaines et les filiales sous contrôle américain peuvent être contraintes de transmettre des données stockées au Canada,
ce qui veut dire que le territoire de constitution d’une société aura, selon les circonstances, une incidence sur la souveraineté des données. Par exemple, une entité créée et entièrement détenue et gérée au Canada ne sera d’ordinaire pas tributaire du CLOUD Act. En revanche, si une filiale canadienne est directement contrôlée par une société mère américaine, notamment par le biais de systèmes intégrés ou d’une équipe de direction commune, les exigences américaines d’accès légal peuvent s’appliquer, peu importe l’emplacement physique des données.
Les organismes de réglementation de la protection de la vie privée canadiens déconseillent depuis toujours de se fier uniquement au lieu de résidence des données pour contrer les atteintes à la souveraineté de celles-ci. Au contraire, ils insistent sur la nécessité de mettre en place des mesures de sécurité adaptées au contexte et d’adopter une approche fondée sur les risques, en fonction des menaces à la cybersécurité, de la sensibilité des données et de l’exposition à la législation étrangère, comme les lois américaines de surveillance.
Comment gérer les risques pour la souveraineté de ses données
Compte tenu de ce qui précède, les organisations canadiennes devraient élaborer une stratégie proactive et axée sur le risque pour gérer la souveraineté de leurs données, et penser à y inclure certaines des mesures ci-dessous.
Évaluation des risques
Les organismes de réglementation de la protection de la vie privée recommandent également d’évaluer les menaces susceptibles de compromettre l’intégrité, la sécurité et la confidentialité des données à caractère personnel traitées par des prestataires de services établis à l’extérieur du pays, afin d’empêcher que des gouvernements étrangers puissent accéder à cette information. Une EFVP est essentielle pour déterminer où les données sont traitées et stockées, et qui y a accès. Dans le cadre de cet exercice, les organisations doivent mapper leurs flux de données et recenser les prestataires de services susceptibles d’être soumis à des régimes juridiques étrangers.
Le Québec agit en précurseur au Canada en obligeant les organisations qui confient à une entité hors province la tâche de recueillir, d’utiliser, de communiquer ou de conserver des renseignements personnels en leur nom à réaliser une EFVP. Celle-ci doit notamment tenir compte du cadre juridique applicable dans le territoire où les données seraient transférées, y compris des principes de protection des renseignements personnels qui prévalent, à la lumière des fondements généralement reconnus en la matière, lesquels sont inspirés des lignes directrices de l’OCDE, des pratiques équitables en matière d’information de la Commission fédérale du commerce des États-Unis, de la Loi sur la protection des renseignements personnels et les documents électroniques du Canada et du Règlement général sur la protection des données de l’Union européenne (voir notre article intitulé Transferts de renseignements personnels hors du Québec : exigences pour les entreprises).
Transparence
Il est essentiel de divulguer en toute transparence aux utilisateurs et utilisatrices les risques associés au traitement des données à caractère personnel, particulièrement si elles sont susceptibles d’être transférées dans d’autres territoires et que les tribunaux, les forces de l’ordre et les organismes de sécurité nationale d’autres pays pourraient y avoir accès. Notons qu’il s’agit d’une obligation prévue par la législation canadienne sur laquelle les organismes de réglementation de la protection de la vie privée ont toujours insisté. En pratique, une mise à jour des politiques de confidentialité et des déclarations des fournisseurs pourrait s’avérer nécessaire pour aborder clairement les risques de traitement transfrontalier des données et d’accès légal à celles-ci.
Minimisation et conservation des données
Restreindre la collecte et la conservation des renseignements peut réduire l’exposition aux risques et renforcer la souveraineté des données. La minimisation est un principe fondamental de la législation canadienne sur la protection des renseignements personnels qui peut atténuer considérablement les atteintes à la vie privée et à la cybersécurité (voir notre article sur le sujet).
En collectant et en conservant uniquement les données à caractère personnel strictement nécessaires, les organisations limitent l’accès à l’information que des gouvernements étrangers pourraient avoir. La minimisation est non seulement une question de volume, mais aussi de nature des données. Par conséquent, les organisations devraient privilégier, dans la mesure du possible, les ensembles de données cryptées, agrégées, dépersonnalisées ou anonymisées afin de réduire les risques d’identification. De plus, elles ne doivent conserver l’information que pour une période concrètement et légalement requise, puis les détruire promptement et en toute sécurité pour limiter la durée d’accessibilité.
Conclusion
À l’ère des infrastructures infonuagiques transfrontalières et dans un contexte géopolitique incertain, la souveraineté des données est avant tout une question de contrôle, et non de lieu de stockage, pour les organisations canadiennes. Pour parer au risque, il faut comprendre et documenter les flux de données, mesurer son exposition au moyen d’EFVP, exiger une pleine transparence envers les personnes concernées et réduire le volume et l’identifiabilité des renseignements recueillis par la minimisation, la conservation restreinte et la protection rigoureuse des données. Prises ensemble, ces mesures peuvent aider les organisations à gérer les risques tout en continuant à tirer parti des services technologiques internationaux.
