Confier au moins 80% des données détenues par Québec à des services privés comme Amazon ou Microsoft?

L'ambitieux projet du gouvernement Legault allume des voyants rouges, avec raison. Ces préoccupations devront se traduire par des exigences rigoureuses, non seulement envers les fournisseurs d'hébergement retenus, mais aussi à l'endroit des ministères et organismes qui auront à utiliser leurs services.

Les 457 centres de traitement informatique exploités par le gouvernement du Québec ne seront bientôt plus que 2 et conserveront au maximum 20% des données détenues par les ministères et organismes publics. Le reste sera hébergé par des fournisseurs d'infonuagique privés - on peut penser à des sociétés américaines comme Amazon, Microsoft ou IBM, québécoises comme Micro Logic et SherWeb, ou d'autres origines, comme la française OVH.

On a vu les inquiétudes suscitées par cette initiative annoncée conjointement par le ministre délégué à la Transformation numérique gouvernementale, Éric Caire, et par le président du Conseil du trésor, Christian Dubé, le 4 février dernier. Dix jours plus tard, le débat est loin d'être clos.

Au coeur du problème réside le fait que les plus gros fournisseurs potentiels sont des sociétés américaines et qu'à ce titre, la justice américaine peut leur demander de fournir des données hébergées sur leurs serveurs sans égard au pays dans lequel se trouvent ceux-ci.

Cette possibilité vient du CLOUD Act (Clarifying Lawful Overseas Use of Data, dont l'acronyme, on l'aura remarqué, correspond au mot «nuage» en anglais).

Et ce ne sont pas seulement les données d'individus ayant la citoyenneté américaine qui peuvent être ainsi demandées à l'extérieur des États-Unis, confirme l'avocat Ben Barnett, associé de la firme Dechert à Philadelphie.

Certes, le processus n'est pas automatique. Le fournisseur américain qui recevrait une telle requête au Québec pourrait la contester devant les tribunaux - et il aurait tout intérêt à le faire pour garder la confiance du marché canadien.

Le problème, c'est qu'on ne peut pas prédire comment ça se passerait en situation réelle, parce que le CLOUD Act, qui a moins d'un an, n'a pas vraiment été testé à cet égard. «C'est un projet de loi qui n'a pas fait l'objet d'audiences et a été adopté très rapidement, alors des ambiguïtés subsistent», souligne Me Barnett.

En théorie, l'État québécois pourrait éviter de telles incertitudes en se dotant d'infrastructures ultramodernes pour héberger l'entièreté de ses données. Mais en pratique, on ne voit pas comment un gouvernement local pourrait s'offrir et maintenir ce type de service avec une qualité et un coût équivalant à ce que peuvent lui fournir des multinationales spécialisées dans le domaine. Investir dans une telle aventure technologico-informatique? Non merci!

Ce qu'on attend plutôt du gouvernement, c'est qu'il prenne son rôle de client au sérieux, et se montre avisé, exigeant et redoutable négociateur.

Et qu'il le fasse sans jamais perdre de vue l'essentiel : toutes les données dont il a la garde appartiennent aux Québécois. Oui, même celles qui ne contiennent pas de renseignements personnels et relèvent plutôt de la gestion des ministères et organismes, car elles ont été produites avec des fonds publics.

C'est donc en fonction des intérêts des Québécois que les décisions devront se prendre. Et bien que le gouvernement Legault puisse faire valoir que son choix d'aller à l'externe est dans l'intérêt de la population (et il ne s'en est pas privé), sa responsabilité ne s'arrête pas là. Il y a d'autres exigences à satisfaire, et la protection des données figure en tête de cette liste.

Québec est visiblement séduit par le potentiel de l'infonuagique privée, mais ça ne l'autorise pas à faire abstraction du reste. S'il y a un dossier à ne pas laisser entre les mains de pelleteux de nuages, c'est bien celui-là!

Le ministre délégué à la Transformation numérique gouvernementale, Éric Caire, se montre sensible à cet enjeu et trouve par exemple souhaitable que les ministères et organismes cryptent leurs données, et demeurent seuls détenteurs de leurs clés avant de les confier à des fournisseurs d'hébergement privés. Mais auront-ils l'obligation de le faire? Et par ailleurs, quelles garanties les services d'infonuagique devront-ils donner pour obtenir le statut de fournisseur qualifié requis pour que ministères et organismes puissent faire appel à leurs services?

Tout cela est à l'étude et en voie d'élaboration, nous dit le ministre Caire. Ce sera donc à suivre de très près.

Qu'en pensez-vous? Exprimez votre opinion