Liste de contrôle en matière
d’infonuagique

Dernière mise à jour : Janvier 2016

Comme avocat, vous devez prendre les moyens raisonnables pour vous assurer que les renseignements confidentiels qui transitent ou sont hébergés dans le nuage ne puissent être consultés ou interceptés par un tiers non autorisé. Ce document se veut un outil complémentaire au Guide des TI afin d’aider les avocats souhaitant intégrer l’infonuagique à leur pratique, à le faire de façon sécuritaire.

Avant de faire le saut vers un hébergement de données ou l’utilisation d’applications utilisant l’infonuagique, quelques précisions importantes s’imposent :

  1. Si les données que vous comptez transférer dans un nuage sont de nature sensible, vos exigences en matière de sécurité devraient être plus élevées et les garanties de votre fournisseur plus grandes (par exemple, si vos dossiers sont des dossiers en lien avec la propriété intellectuelle, d’intérêt national ou international, etc.).
  2. Assurez-vous que votre assurance responsabilité civile est adéquate, c’est-à-dire qu’elle couvre vos dommages et les dommages de vos clients qui découlent de l’utilisation de l’infonuagique.
  3. Assurez-vous que les applications (par exemple, un logiciel de gestion ou de comptabilité) qui se retrouvent sur le nuage s’intègrent bien dans les autres systèmes de votre bureau.
  4. Remplissez la liste de contrôle (voir tableau au bas de la page) avec le fournisseur envisagé et conservez l’information pour référence ultérieure. Dans le cadre des négociations avec votre fournisseur d’infonuagique, soyez aussi rigoureux que vous l’êtes pour vos clients.

Une fois dans le nuage, assurez-vous de bien intégrer l’infonuagique à vos pratiques de gestion :

  1. Obtenez toujours l’autorisation écrite de vos clients (par exemple, à l’intérieur de votre mandat) avant de stocker leurs informations dans le nuage et voyez si des lois particulières ou des obligations contractuelles exigent que des précautions additionnelles soient prises ou vous empêchent de les transférer dans un nuage.
  2. Mettez en place des politiques d’utilisation de l’infonuagique pour les utilisateurs du cabinet et formez les utilisateurs afin qu’ils puissent gérer vos données dans le nuage.
  3. Pour plus de sécurité, cryptez vos données avant de les verser sur le nuage et bénéficiez d’un niveau supérieur de protection en plus du chiffrement effectué par votre fournisseur.  
  4. Informez l’avocat qui a accepté d’être cessionnaire, selon l’article 78 du Règlement sur la comptabilité et les normes d’exercice professionnel des avocats, des modalités pour accéder à vos données ou applications sur le nuage.   
Grille d’évaluation d’un fournisseur

Même si l’infonuagique comporte de nombreux avantages, ce type d’outil est tout de même récent. Comme c’est le cas pour bien des nouveaux produits et services, les fournisseurs tendent à imposer des conditions limitant leur risque et responsabilité. Vous pourriez avoir à insister auprès d’un fournisseur pour obtenir des conditions plus favorables que celles initialement offertes. Si cela peut être ardu, cela demeure toutefois possible pour certaines clauses.

Avant de signer un contrat avec un fournisseur, vous devriez vous assurer que celui-ci est en mesure de fournir certaines garanties vous permettant de respecter vos obligations déontologiques ainsi que de vous protéger en cas de perte de données, de violation ou de résiliation de contrat. Si le fournisseur ne peut répondre à ces exigences, vous aurez tout de même une meilleure idée des risques qui se posent et des moyens à prendre pour les atténuer.

Par exemple, en prenant conscience de la responsabilité limitée du fournisseur, vous pourriez avoir à sauvegarder une copie sur votre serveur local, choisir de ne pas transférer certains dossiers sensibles sur le nuage ou prendre des mesures supplémentaires (p. ex. le chiffrement) pour assurer la sécurité des données confidentielles de vos clients.

Autres conseils :
  • Informez-vous de la feuille de route du fournisseur en ce qui a trait à la santé financière et au plan d’évolution de la compagnie.
  • Informez-vous des coûts internes totaux (matériel, logiciels et coûts des accessoires) associés à votre passage à ce service infonuagique et analysez l’incidence de ce changement sur vos frais administratifs et frais de bande passante.
  • Renseignez-vous sur les frais initiaux et les frais mensuels exigés par le fournisseur ainsi que sur la fréquence et le plafond des augmentations que le fournisseur peut exiger pour la durée du contrat.
  • Informez-vous des limites de l'assurance responsabilité du fournisseur.
SÉCURITÉ DES DONNÉES
1 Le fournisseur est une compagnie canadienne détenue par des intérêts canadiens.
2 Les données demeureront au Canada en tout temps, y compris les copies de sauvegarde.
3 Le fournisseur informera l’avocat s’il sous-traite à d’autres fournisseurs l’hébergement ou la sauvegarde de données (nuage de nuages). Ceux-ci seront tenus aux mêmes obligations que le fournisseur principal et, en tout temps, ce dernier demeurera responsable de ses sous-traitants.
4 Les données seront chiffrées, tant lors de la transmission qu’au lieu de stockage
5 Le fournisseur notifiera l’avocat sans délai lors de toute faille de sécurité.
6 Le fournisseur produit régulièrement des rapports de vérification menés par des experts indépendants et réputés (p. ex., certification SOC2) et les communique sans délai à l’avocat.
ACCÈS / PROPRIÉTÉ DES DONNÉES
7 L’avocat et ses clients demeurent les seuls propriétaires des données stockées dans le nuage.
8 L’avocat sera en mesure d’accéder à ses données en tout temps, 24 h sur 24, 7 jours sur 7 (le standard dans l'industrie étant d’environ 10 h en maintenance/panne par an).
9 Le fournisseur est doté d’un système d’authentification et de contrôle d’accès approprié et il dispose d’un registre d’accès aux informations stockées dans le nuage.
10 L’accès du fournisseur aux données est limité et l’utilisation qu’il peut en faire est restreinte. De plus, le fournisseur s’engage à préserver la confidentialité des informations qui lui sont confiées par l’avocat.
11 Le fournisseur avisera l’avocat de toute demande d’accès par un tiers à l’information stockée et l’avocat disposera d’un délai raisonnable pour réagir.
12 Le fournisseur ne peut empêcher l’avocat d’accéder à ses données en cas de non-paiement des frais ou pour toute autre raison.
13 En cas de perte de données ou de fin des activités, le fournisseur donnera à l’avocat un accès facile et rapide aux données et ce dernier sera capable d’importer celles-ci dans un format qu’il lui sera possible de lire et d’exploiter.
14 Le fournisseur indemnisera l’avocat en cas de perte de données résultant de l’utilisation de son service. Le fournisseur dispose d’une assurance responsabilité adéquate et accepte de fournir à l’avocat une copie de la police d’assurance.
15 Le fournisseur accordera à l’avocat le soutien nécessaire pour collaborer aux inspections et enquêtes du Barreau du Québec, notamment pour lui permettre d’accéder à tout dossier exigé par son ordre professionnel.
CONTRAT, MODIFICATION ET RÉSILIATION
16 L’avocat peut mettre fin au contrat en tout temps.
17 Aucune modification aux conditions ne sera effectuée pour la durée du contrat, sans qu’un avis écrit ne soit transmis à l’avocat avant ces modifications. Cet avis sera transmis dans un délai raisonnable, permettant ainsi à l’avocat de refuser cette modification ou de résilier le contrat, sans frais de pénalité ou indemnité.
18 Les données de l’avocat demeureront disponibles lorsque le service prendra fin et le fournisseur garantit qu’il offrira un soutien de transition pour permettre à l’avocat de récupérer ses données. Dans un délai raisonnable suite à la fin du contrat, les données de l’avocat seront détruites et le fournisseur en produira une attestation.
19 En cas de cessation des activités, le fournisseur donnera accès à l’avocat à son code source (par contrat d’entiercement ou autre) afin de permettre le transfert des données vers un autre fournisseur.
20 En cas de conflit, la médiation ou l’arbitrage seront privilégiés pour le résoudre. Le contrat est régi et interprété selon les lois en vigueur dans la province de Québec et les tribunaux du Québec sont les seuls tribunaux à avoir juridiction en cas de différend.