Nos données livrées au renseignement américain ?

Le ministre délégué à la Transformation numérique gouvernementale, Éric Caire, a annoncé un changement majeur dans la manière dont les ministères et organismes publics compilent et stockent les données des Québécois.

Celles-ci sont actuellement hébergées dans les serveurs de 457 « centres de traitement informatique » dispersés un peu partout dans la province. D’ici trois ans, il n’y en aura plus que deux.

Plus de 80 % des données du gouvernement seront confiées à des sous-traitants comme Amazon, Google, Microsoft, IBM, ou encore les sociétés québécoises SherWeb et Micro Logic. Les ministères et organismes y auront accès grâce à l’infonuagique.

« Tous ces grands fournisseurs-là ont des centres de stockage au Québec, a expliqué M. Caire. […] Je pense à Amazon, entre autres, qui est en train d’en construire un à Montréal, qui va être à la fine pointe de la technologie, et les fournisseurs vont même plus loin que ça dans leur désir de se nationaliser au Canada et au Québec. »

La stratégie permettra à terme d’économiser environ 100 millions par an, prévoit M. Caire. Le gouvernement n’aura plus à dépenser pour exploiter, entretenir et mettre à jour son parc de serveurs informatiques. Ce rôle reviendra aux sous-traitants, dont Québec deviendra le locataire.

« On va maintenir une expertise sur le fonctionnement, les avantages et les performances de l’infonuagique. Mais en termes d’avancées technologiques, de maintien et de modernisation des actifs, on pense que ces entreprises-là ont plus de moyens financiers pour faire évoluer ça et s’assurer qu’on est toujours à la fine pointe de la technologie », indique M. Caire

Patriot Act

Selon plusieurs experts, le plan met en péril les renseignements personnels de millions de Québécois.

« Ça me préoccupe et ça me préoccupe depuis longtemps », a dit sans détour l’avocat Alain P. Lecours, spécialiste du droit à la vie privée.

C’est qu’en vertu du Patriot Act, adopté après les attentats du 11 septembre 2001, la Central Intelligence Agency (CIA), la National Security Agency (NSA), le Federal Bureau of Investigation (FBI) et l’armée peuvent réquisitionner des renseignements détenus par « tout citoyen américain », qu’il se trouve aux États-Unis ou pas. Cela inclut les citoyens corporatifs.

En clair, le gouvernement américain pourra obtenir des ordonnances pour s’approprier les données québécoises qui sont sous la responsabilité de firmes américaines, craint Me Lecours. Non seulement celles-ci devront-elles s’y plier, mais encore il leur sera interdit d’en informer leur client, le gouvernement québécois.

L’avocat ne voit qu’une manière d’éviter que les informations du « nuage » soient potentiellement exposées au renseignement américain.

« Il faudrait que ce soit une entreprise à 100 % canadienne, a expliqué Me Lecours. C’est la seule façon et, à ce moment, on aurait une bien meilleure protection. »

Cloud Act

Une autre menace vient du Cloud Act, adopté l’an dernier par l’administration Trump. Cette pièce législative permet aux autorités d’obtenir un mandat judiciaire qui force les entreprises d’infonuagique américaines à leur fournir des données, qu’elles se trouvent physiquement aux États-Unis ou non.

Selon la spécialiste du numérique Michelle Blanc, il est évident que la décision du gouvernement Legault pose donc un risque à la vie privée des Québécois. À moins que le gouvernement américain n’offre des assurances à Québec par l’intermédiaire de son consul.

Sur le plan comptable, le gouvernement a totalement raison, a-t-elle résumé. Mais sur le plan de la protection des renseignements des Québécois, c’est extrêmement inquiétant.

Mme Blanc a été candidate du Parti québécois aux élections de l’automne. Elle a alors proposé une stratégie informatique qui prévoyait la création d’un parc québécois de serveurs afin de protéger les données sensibles des Québécois.

Le cabinet de M. Caire a assuré que les données qui seront confiées à des sous-traitants seront hébergées au Canada, et non aux États-Unis. On assure que les contrats qui seront conclus avec des sous-traitants devront confirmer la « souveraineté des données du Québec ».

Québec mènera aussi une analyse et une classification pointue des données en sa possession avant de décider lesquelles sont confiées à des entreprises infonuagiques.

« Nous sommes très conscients de l’enjeu de la protection des données des Québécois et cette question sera au cœur de ce chantier, mais aussi au cœur de la transformation numérique », a indiqué la porte-parole du ministre Caire, Nathalie St-Pierre.

Québec dépense chaque année 4,5 milliards dans les technologies de l’information. En campagne électorale, la Coalition avenir Québec a promis de réduire cette facture de 210 millions.