Désistement: bon, soyons claire sur une chose avant de commencer – je ne suis pas – par aucun effort de l’imagination – un avocat ni même un expert sur la matière de l’accès à l’information. Je suis simplement un professionel des technologies de l’information qui entend constamment les clients dire qu’ils hésitent à utiliser des technologies tel que Office 365 parce que leurs données seront hébergées à l’extérieur du Canada, qu’ils ont peur du USA Patriot Act, que cela donnera un accès gratuit à leurs données par les autorités américaines. Alors j’ai décidé de faire un peu de recherche pour voir ce que je pourrais trouver à ce sujet. J’ai été un peu surpris.
En partant, une petite bagatelle :
Le terme USA PATRIOT Act est en fait un acronyme pour Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act.
Qui n’aime pas un bon acronyme ?
Maintenant, voici ce que j’ai trouvé :
Le premier article que j’ai trouvé provient de Me. Timothy M. Banks de la firme Denton’s. Dans son article, intitulé Cloud Computing and the USA Patriot Act: Canadian Implications, Me. Banks clarifie que le code criminel canadien permet déjà la saisie des données électroniques :
this legislation has led the Office of the Privacy Commissioner of Canada to conclude in three decisions not only that Canadians are at risk of personal information being seized by Canadian governmental authorities (including without the knowledge of the target), but also that there is already a risk of that information being shared with U.S. authorities.
Alors voilà – la première indication que vos données ne sont pas aussi inaccessibles que vous le pensiez simplement parce qu’ils sont au Canada.
Ensuite, je tombe sur cette FAQ sur le site du Gouvernement du Canada : Frequently Asked Questions: USA PATRIOT ACT Comprehensive Assessment Results. Plutôt significatif, la question # 6 :
Has there been a case where personal information about a Canadian was accessed under the USA PATRIOT Act?
The federal government is not aware of any such case to date.
Donc, c’est pas vraiment quelque chose qui se passe quotidiennement…
Je creuse un peu plus et je tombe sur des références de Me. David Fraser, un partenaire à la firme McInnes Cooper à Halifax en Nouvelle-Écosse. Me. Fraser se spécialise dans les technologies Internet et les questions de confidentialité. Dans un article sur IT World, intitulé Don’t use the Patriot Act as an excuse, Me. Fraser mentionne que :
The U.S.A. Patriot Act has become short for,‘Oh, we can’t use the cloud’
Dans un autre article – Keeping data here no protection against US: Lawyer – il dit :
The Patriot Act is a “boogey man,”… The fact is most developed countries have legal tools that allow their law enforcement agencies to make legal claims on data held in their countries or outside their borders
Dans ce même article, je trouve un lien à un autre où Me. Fraser mentionne qu’il y a des problèmes beaucoup plus gros que « le nuage » : Never mind the Patriot Act, watch your thumb drives. Tellement vrai !! C’est incroyable qu’encore aujourd’hui, tellement peu d’entreprises ont des politiques ou les outils nécessaires pour gérer la perte de données via ces tout petits appareils de stockage.
Je continue à creuser, et je trouve cette page, encore sur le site du Gouvernement du Canada : Summary of Submissions to the Lawful Access Consultation, qui mentionne clairement que :
For the police, this involves the lawful interception of communications and the lawful search and seizure of information, including computer data. Lawful access is a specialized tool used to investigate serious crimes, such as drug trafficking, money laundering, smuggling, child pornography, and murder. Lawful interception of communications is also an essential tool for the investigation of threats to national security, such as terrorism.
En d’autres mots, même si vos données sont sur votre propre serveur, qui est sous clé dans votre salle de serveur, les autorités peuvent les saisir s’ils soupçonnent que vous participez à des activités illégales !
C’est pas comme s’il n’y a pas eu assez d’exemples au Québec dans les dernières années :
- Quebec’s anti-corruption squad seizes computer data in raid on Liberal party’s Montreal headquarters
- Anti-corruption squad raid on Laval city hall, mayor’s home
- Charbonneau Commission: Laval notary Jean Gauthier minimizes his link to Vaillancourt
Municipalités, maires, notaires, firmes d’ingénierie – ils ont tous eu leurs données saisies par l’UPAC.
Ma conclusion personnelle : si votre entreprise n’est pas mêlée à des activités hautement illégales, il ne devrait avoir aucune raison d’avoir peur des services tel que Office 365. Et si vous êtes effectivement mêlé à des choses pas trop légales, alors les chances sont bonnes que les autorités seront en mesure de venir saisir vos données, peu importe où ils se trouvent !
Et pourquoi pas la version française de cet excellent article?
Merci!