L’infonuagique (cloud computing)

Dernière mise à jour : Janvier 2016

Principe

L’avocat doit prendre les moyens raisonnables pour s’assurer que les renseignements confidentiels qui transitent ou sont hébergés dans le nuage ne puissent être consultés ou interceptés par un tiers non autorisé.

Définition

1  |  Office de la langue française, Grand dictionnaire terminologique.L’infonuagique ou cloud computing est un : « modèle informatique qui, par l’entremise de serveurs distants interconnectés par Internet, permet un accès réseau, à la demande, à un bassin partagé de ressources informatiques configurables, externalisées et non localisables, qui sont proposées sous forme de services, évolutifs, adaptables dynamiquement et facturés à l’utilisation1  ». L’infonuagique peut être envisagée selon différents modèles de déploiement (privé interne, privé externe, public, communautaire et hybride) et de services (logiciel-service, plateforme-service, infrastructure-service, etc.) possédant chacun leurs avantages et leurs inconvénients.

Modèles de déploiement :

  • Infonuage privé interne : Modèle d’infonuagique selon lequel les ressources demandées sont installées à l’intérieur de l’organisation cliente (exemple : avoir ses propres serveurs)
  • Infonuage privé externe : Modèle d’infonuagique selon lequel les ressources sont gérées à l’extérieur de l’organisation cliente, mais dans un nuage qui est réservé à celle-ci (exemple : un contrat d’hébergement)
  • Infonuage public : Modèle d’infonuagique selon lequel les ressources sont offertes publiquement par une entreprise (exemple : iCloud, Gmail, Google Docs, Dropbox, Outlook, Hotmail, Yahoo Mail, Microsoft Office 365, etc.)
  • Infonuage communautaire : Modèle d’infonuagique apparenté au modèle privé qui servira à combler les besoins des organismes voulant mettre en commun leurs ressources. (Les gouvernements australien et britannique disposent de tels modèles.)
  • Infonuage hybride : Modèle d’infonuagique qui implique généralement une combinaison de deux ou plusieurs modèles (privé, public et/ou communautaire), selon les besoins de l’organisation

Modèles de service :

  • Logiciel-service (Software as a Service ou SaaS) : « Logiciel2 prêt à l’emploi, loué à la demande chez un fournisseur de services, accessible par Internet ou par le réseau d’une organisation, ou par les deux à la fois. Le logiciel-service est accessible par Internet dans le cas d’un nuage public, par le réseau d’une organisation dans celui d’un nuage privé ou par les deux à la fois dans le cas d’un nuage hybride » (exemple : Google docs)3.
  • Plateforme-service (Platform as a Service ou PaaS) : « Plateforme3  prête à l’emploi, louée à la demande chez un fournisseur de services, accessible par Internet ou par le réseau d’une organisation, ou par les deux à la fois. La plateforme-service est accessible par Internet dans le cas d’un nuage public, par le réseau d’une organisation dans celui d’un nuage privé ou par les deux à la fois dans le cas d’un nuage hybride. La plateforme-service met à la disposition des développeurs un environnement d’exécution (système d’exploitation, matériel, réseau) qui leur permet d’installer ou de créer leurs propres logiciels » (exemple : les outils de développement de Facebook)5.
  • Infrastructure-service (Infrastructure as a service ou Iaas) : « Infrastructure6  prête à l’emploi, louée à la demande chez un fournisseur de services, accessible par Internet ou par le réseau d’une organisation, ou par les deux à la fois7  » (exemple : Azure de Microsoft).

2  |  Le terme « logiciel » peut être défini comme étant l’« ensemble des programmes destinés à effectuer un traitement particulier sur un ordinateur ». Office de la langue française, Grand dictionnaire terminologique.

3  |  Définition : Office de la langue française, Grand dictionnaire terminologique.

4  |  Le terme « plateforme » peut être défini comme étant une « Structure matérielle d’un système informatique, principalement basée sur le type de système d’exploitation utilisé ». Office de la langue française, Grand dictionnaire terminologique.

5  |  Office de la langue française, Grand dictionnaire terminologique.

6  |  Le terme « infrastructure » peut être défini comme étant l’« ensemble des éléments de configuration utilisés dans la prestation des services des TI, qui comprend le matériel informatique, les logiciels, les installations, les ressources humaines, la documentation et les données ». Office de la langue française, Grand dictionnaire terminologique.

7  |  Office de la langue française, Grand dictionnaire terminologique.

8  |  Cette liste des produits offerts n’est pas exhaustive.

Exemples

Pour l’instant, les types d’infonuagique les plus utilisés par les avocats sont les services gratuits de courriel Web tels Gmail ou Hotmail et les services gratuits de stockage ou de partage de copies tels Dropbox ou iCloud. (Un tableau comparatif des divers services de stockage et de partage des fichiers locaux en ligne est disponible ici : Comparison of file hosting services.)

Ces derniers services permettent de sauvegarder des documents dans le nuage et d’accéder à ceux-ci de n’importe quel poste de travail, voire même d’une tablette ou d’un téléphone intelligent (dès lors que l’on possède les autorisations requises). L’utilisation de ce type de services gratuits n’est pas recommandée pour les raisons énoncées dans la section ci-dessous portant sur les risques.

Comme avocat, vous devez prendre les moyens raisonnables pour assurer la sécurité des données de vos clients et effectuer vos propres vérifications au moment de choisir votre fournisseur. Pour vous aider, consulter la liste de contrôle en matière d’infonuagique en annexe de ce guide.

Risques

Malgré ses avantages notoires (notamment au niveau des coûts et de l’accessibilité), l’infonuagique présente d’importants inconvénients en raison des risques au niveau de la sécurité des données hébergées dans le nuage ou transitant par celui-ci. D’abord, quant à la disponibilité des données, il est possible pour l’information hébergée dans le nuage de devenir inaccessible parce que les serveurs deviennent eux-mêmes indisponibles (panne de courant, entretien, etc.).

Notons toutefois que ce risque est généralement inversement proportionnel à la taille du nuage, puisque les nuages les plus importants auront en place des mesures de redondance pour contrer de telles situations.

Une problématique plus importante est toutefois liée à l’inaccessibilité des données due au fait que celles-ci sont en quelque sorte prises en otage par le fournisseur de service d’infonuagique – par exemple parce que les frais d’hébergement n’ont pas été payés. Il importe également de porter attention à la question de la disposition des données afin d’éviter le transfert de propriété de celles-ci à l’hébergeur, soit au moment de la signature du contrat, soit en cas de non-paiement, ou tout simplement à la fin du contrat. Il est finalement important d’examiner les délais dans lesquels les données seront remises à la fin du contrat.

Bien que de telles clauses d’appropriation des données soient plus rares, plusieurs prestataires de services d’infonuagique (principalement les services « gratuits ») s’accordent une licence d’exploitation quant aux données hébergées. Il existe donc un risque au niveau de la confidentialité de ces données, notamment en ce qui a trait aux données protégées par le secret professionnel. Ce risque est par ailleurs accentué par le fait que les données situées « dans le nuage » se retrouvent en fait sur un serveur, lequel peut être situé à l’extérieur du Québec, notamment dans des juridictions qui ne comportent pas les mêmes garanties au niveau de la protection des données confidentielles et du privilège avocat-client. Par exemple, aux États-Unis, d’où une majorité de services d’infonuagique sont contrôlés, il est possible pour l’État d’avoir accès aux données hébergées dans le nuage nonobstant les droits des clients. Le privilège avocat-client n’est en effet pas un droit comportant les mêmes protections qu’au Canada et, dans certaines causes, ce type de données ont fait l’objet de perquisitions.

Finalement, comme tout autre service accessible via Internet, les services d’infonuagique sont vulnérables aux tentatives d’accès par des tiers non autorisés, notamment si le compte d’un utilisateur n’est pas protégé par un mot de passe suffisamment sophistiqué.

Meilleures pratiques

L’avocat qui désire héberger des données confidentielles dans un nuage – notamment des données visées par le secret professionnel – devrait privilégier les nuages composés de serveurs situés uniquement en sol canadien et sous le contrôle d’entités canadiennes.

Si une telle option s’avère indisponible vu, par exemple, le modèle d’infonuagique désiré, le chiffrement des données, à la source, est fortement recommandé. À cet égard, il importe de préciser que des documents préparés par le gouvernement américain et rendus publics par Edward Snowden indiquent que certains prestataires de services infonuagiques américains fourniraient les clés de chiffrement aux autorités. Il serait donc préférable de recourir à un système de chiffrement distinct de celui offert par le service d’infonuagique, bien que certains communiqués également rendus publics par Edward Snowden suggèrent que cette pratique n’est pas sans risque pour les mêmes raisons (la capacité pour le gouvernement américain d’avoir accès aux clés). Ainsi, nous sommes d’avis que, peu importe les mesures de sécurité mises en place, l’hébergement à l’étranger est très risqué d’un point de vue déontologique.

Il s’avère par ailleurs plus prudent d’adopter une solution proposée par une entreprise reconnue et de s’abstenir d’utiliser les services d’entrée de gamme ou dits « à l’essai » comportant généralement l’attrait d’espace de stockage gratuit (en échange, bien souvent, de licences d’exploitation des données hébergées). Le choix de solutions payantes qui offrent des garanties de protection des données confidentielles est donc souvent incontournable pour s’acquitter de ses obligations déontologiques.

Quant à l’accès aux données, il importe de respecter les conseils du présent guide quant à l’utilisation des mots de passe et du chiffrement des données.

Dans tous les cas, il est important d’informer les clients des risques liés au modèle d’infonuagique sélectionné et d’obtenir leur accord lorsque ce modèle ne permet pas de garantir la protection des informations confidentielles, dont les renseignements personnels et ceux couverts par le secret professionnel. D’ailleurs, dès que les données des clients sont hébergées ailleurs qu’au bureau ou sont répliquées à l’externe, il est préférable d’en aviser le client.

Finalement, il est fortement recommandé de garder une copie de sauvegarde de toute information hébergée dans le nuage afin d’assurer la disponibilité de cette information en cas de panne ou de différend avec le prestataire de service infonuagiques.

Ressources

Articles pertinents sur le sujet
Avis juridiques de divers barreaux concernant l’Infonuagique