Martin Dubois, LL.B., CISSPPrincipal Information Security AnalystOracle Corporation

ON SE TOURNE MAINTENANT VERS L’OFFRE ON SE TOURNE MAINTENANT VERS L’OFFRE “CLOUD”. TRÈS POPULAIRE.“CLOUD”. TRÈS POPULAIRE.

TYPIQUEMENT DU SAAS (SOFTWARE AS A TYPIQUEMENT DU SAAS (SOFTWARE AS A SERVICE). EXCLUANT LE PAAS (PLATFORM AS A SERVICE). EXCLUANT LE PAAS (PLATFORM AS A SERVICE).SERVICE).

SCENARIO DE TRAVAIL = UNE RELATION SCENARIO DE TRAVAIL = UNE RELATION TRIPARTITE ENTRE UN INDIVIDU (DATA TRIPARTITE ENTRE UN INDIVIDU (DATA SUBJECT), UN TIERS RECEVANT L’INFORMATION SUBJECT), UN TIERS RECEVANT L’INFORMATION DE L’INDIVIDU ET L’EXPLOITANT (LE CLIENT) ET DE L’INDIVIDU ET L’EXPLOITANT (LE CLIENT) ET LE FOURNISSEUR DE SERVICE (CLOUD SERVICE LE FOURNISSEUR DE SERVICE (CLOUD SERVICE PROVIDER).PROVIDER).

SCÉNARIO IMPLIQUANT SCÉNARIO IMPLIQUANT L’EXTERNALISATION DE L’EXTERNALISATION DE DONNÉES PERSONNELLESDONNÉES PERSONNELLES..

PRINCIPALE PROBLÉMATIQUE PROPRE AUX PRINCIPALE PROBLÉMATIQUE PROPRE AUX RISQUES JURIDIQUES ET RÉGLEMENTAIRES RISQUES JURIDIQUES ET RÉGLEMENTAIRES LORS DE L’ENTREPOSAGE DANS UN LORS DE L’ENTREPOSAGE DANS UN ENVIRONNEMENT NUAGIQUE ENVIRONNEMENT NUAGIQUE (EXTERNALISATION D’UN SERVICE LOCAL VERS (EXTERNALISATION D’UN SERVICE LOCAL VERS UN SERVICE NUAGIQUE) = UN SERVICE NUAGIQUE) = TRANSLATION DE TRANSLATION DE CERTAINES OBLIGATIONS DU DATA CERTAINES OBLIGATIONS DU DATA CONTROLLER VERS LE DATA CONTROLLER VERS LE DATA PROCESSOR.PROCESSOR.

EXEMPLE DE LOI APPLICABLE AU DATA CONTROLLER AYANT UN IMPACT EXEMPLE DE LOI APPLICABLE AU DATA CONTROLLER AYANT UN IMPACT DIRECT SUR LE FOURNISSEUR DE SERVICES = LOI ALBERTAINEDIRECT SUR LE FOURNISSEUR DE SERVICES = LOI ALBERTAINE

CITATION :CITATION :

ALBERTA’S PERSONAL INFORMATION PROTECTION ACT REQUIRES THAT, UPON ALBERTA’S PERSONAL INFORMATION PROTECTION ACT REQUIRES THAT, UPON REQUEST, TRUSTEE (SERVICE PROVIDER) TO PROVIDE TO ANY DATA REQUEST, TRUSTEE (SERVICE PROVIDER) TO PROVIDE TO ANY DATA SUBJECT (INDIVIDUALS) INFORMATION IN RELATION TO THE SUBJECT (INDIVIDUALS) INFORMATION IN RELATION TO THE USEUSE AND AND DISCLOSUREDISCLOSURE OF THAT SUBJECT’S PERSONAL INFORMATION. OF THAT SUBJECT’S PERSONAL INFORMATION.

ACCESS TO RECORDS AND PROVISION OF INFORMATIONACCESS TO RECORDS AND PROVISION OF INFORMATION 24(1) AN INDIVIDUAL MAY, IN ACCORDANCE WITH SECTION 26, REQUEST AN 24(1) AN INDIVIDUAL MAY, IN ACCORDANCE WITH SECTION 26, REQUEST AN

ORGANIZATIONORGANIZATION (A) TO PROVIDE THE INDIVIDUAL WITH ACCESS TO PERSONAL INFORMATION (A) TO PROVIDE THE INDIVIDUAL WITH ACCESS TO PERSONAL INFORMATION

ABOUT THE INDIVIDUAL, ORABOUT THE INDIVIDUAL, OR(B) TO PROVIDE THE INDIVIDUAL WITH INFORMATION ABOUT THE USE OR (B) TO PROVIDE THE INDIVIDUAL WITH INFORMATION ABOUT THE USE OR

DISCLOSURE OF PERSONAL INFORMATION ABOUT THE INDIVIDUAL.DISCLOSURE OF PERSONAL INFORMATION ABOUT THE INDIVIDUAL.(1.2) ON THE REQUEST OF AN APPLICANT MADE UNDER SUBSECTION (1)(B), (1.2) ON THE REQUEST OF AN APPLICANT MADE UNDER SUBSECTION (1)(B),

AND TAKING INTO CONSIDERATION WHAT IS REASONABLE, AN AND TAKING INTO CONSIDERATION WHAT IS REASONABLE, AN ORGANIZATION MUST, IF THE ORGANIZATION HAS IN ITS CUSTODY OR ORGANIZATION MUST, IF THE ORGANIZATION HAS IN ITS CUSTODY OR UNDER ITS CONTROL A RECORD CONTAINING PERSONAL INFORMATION UNDER ITS CONTROL A RECORD CONTAINING PERSONAL INFORMATION ABOUT THE APPLICANT DESCRIBED IN THE REQUEST, PROVIDE THE ABOUT THE APPLICANT DESCRIBED IN THE REQUEST, PROVIDE THE APPLICANT WITHAPPLICANT WITH

(A) INFORMATION ABOUT THE PURPOSES FOR WHICH THE PERSONAL (A) INFORMATION ABOUT THE PURPOSES FOR WHICH THE PERSONAL INFORMATION HAS BEEN AND IS BEING USED BY THE ORGANIZATION, INFORMATION HAS BEEN AND IS BEING USED BY THE ORGANIZATION, ANDAND

(B) THE NAMES OF THE PERSONS TO WHOM AND CIRCUMSTANCES IN WHICH (B) THE NAMES OF THE PERSONS TO WHOM AND CIRCUMSTANCES IN WHICH THE PERSONAL INFORMATION HAS BEEN AND IS BEING DISCLOSED.THE PERSONAL INFORMATION HAS BEEN AND IS BEING DISCLOSED.

PII  = DONNÉES CONFIDENTIELLES…PII  = DONNÉES CONFIDENTIELLES…

PII; CE QUE CE N’EST PAS…PII; CE QUE CE N’EST PAS…

PII = BIEN IMMATÉRIEL…MAIS « BIEN » PII = BIEN IMMATÉRIEL…MAIS « BIEN » QUAND MÊME.QUAND MÊME.

QUI DIT « BIEN », DIT DROIT DE QUI DIT « BIEN », DIT DROIT DE PROPRIÉTÉPROPRIÉTÉ SUR LE BIEN. SUR LE BIEN.

LE PROPRIÉTAIRE VÉRITABLE DU PII = LE PROPRIÉTAIRE VÉRITABLE DU PII = TOUJOURS LE DATA SUBJECTTOUJOURS LE DATA SUBJECT

LE « PROPRIÉTAIRE » SUBSÉQUENT (LE LE « PROPRIÉTAIRE » SUBSÉQUENT (LE PRESTATAIRE DE SERVICES) N’EST EN FAIT PRESTATAIRE DE SERVICES) N’EST EN FAIT QU’UN QU’UN FIDUCIAIREFIDUCIAIRE ET DOIT AGIR EN ET DOIT AGIR EN RESPECTANT LES DROITS DU DATA SUBJECT RESPECTANT LES DROITS DU DATA SUBJECT SUR SON BIEN…LE PIISUR SON BIEN…LE PII

LE FAISCEAU DES SOUS-DROITS ASSOCIÉS À LE FAISCEAU DES SOUS-DROITS ASSOCIÉS À LA PROPRIÉTÉ D’UN BIEN, MÊME LA PROPRIÉTÉ D’UN BIEN, MÊME IMMATÉRIEL :IMMATÉRIEL :

USUSUSUS : USAGE LÉGAL D’UN BIEN (LA  : USAGE LÉGAL D’UN BIEN (LA LIBERTÉ DE L’UN DÉBUTE OU CELLE DE LIBERTÉ DE L’UN DÉBUTE OU CELLE DE L’AUTRE SE TERMINE)L’AUTRE SE TERMINE)

FRUCTUSFRUCTUS : LES « FRUITS » QUI  : LES « FRUITS » QUI PROVIENNENT DU BIEN ET LEUR USUS ET PROVIENNENT DU BIEN ET LEUR USUS ET ABUSUS.ABUSUS.

ABUSUSABUSUS : SE DÉPARTIR DU BIEN, LE  : SE DÉPARTIR DU BIEN, LE DÉTRUIRE, LE MODIFIER…DÉTRUIRE, LE MODIFIER…

CES DROITS SONT ISSUS DE LOIS QUI CES DROITS SONT ISSUS DE LOIS QUI SONT TOUJOURS ASSOCIÉES À DES SONT TOUJOURS ASSOCIÉES À DES TERRITOIRES GÉOGRAPHIQUEMENT TERRITOIRES GÉOGRAPHIQUEMENT DÉFINISDÉFINIS..

POUR UN MÊME SYSTÈME NUAGIQUE, POUR UN MÊME SYSTÈME NUAGIQUE, PLUSIEURS JURIDICTIONS DIFFÉRENTES PLUSIEURS JURIDICTIONS DIFFÉRENTES POURRAIENT S’APPLIQUER ET DONC POURRAIENT S’APPLIQUER ET DONC UNE MULTITUDE DE LOIS QUI UNE MULTITUDE DE LOIS QUI POURRAIENT ÊTRE ÉTRANGÈRES.POURRAIENT ÊTRE ÉTRANGÈRES.

LA MISE EN APPLICATION DES LA MISE EN APPLICATION DES DROITS DÉCOULANT D’UNE LOI DÉPEND DROITS DÉCOULANT D’UNE LOI DÉPEND DU DU SITUS DES DONNÉES ET/OU DE LA SITUS DES DONNÉES ET/OU DE LA NATIONALITÉ DU DATA SUBJECTNATIONALITÉ DU DATA SUBJECT..

UN DROIT DU FAISCEAU EST UN DROIT DU FAISCEAU EST PARTICULIÈREMENT EN CAUSE : PARTICULIÈREMENT EN CAUSE : L’USUSL’USUS..

IL EST CONFIÉ AU TIERS QUI EXPLOITE IL EST CONFIÉ AU TIERS QUI EXPLOITE L’ENVIRONNEMENT NUAGIQUE. MAIS QU’À DES L’ENVIRONNEMENT NUAGIQUE. MAIS QU’À DES CONDITIONS DÉNONCÉES ET BIEN COMPRISES CONDITIONS DÉNONCÉES ET BIEN COMPRISES PAR LE DATA SUBJECT…ET QUE SUITE À LA PAR LE DATA SUBJECT…ET QUE SUITE À LA SOUMISSION D’UN CONSENTEMENT « SOUMISSION D’UN CONSENTEMENT « LIBRE ET LIBRE ET ÉCLAIRÉÉCLAIRÉ ». ».

« LIBRE ET ÉCLAIRÉ » = SANS PRESSION, AVEC « LIBRE ET ÉCLAIRÉ » = SANS PRESSION, AVEC TOUTE L’INFORMATION REQUISE POUR TOUTE L’INFORMATION REQUISE POUR POUVOIR CONSENTIR. OBLIGATION DE POUVOIR CONSENTIR. OBLIGATION DE DÉCLARATION TRÈS VASTE DE L’USAGE DU PII DÉCLARATION TRÈS VASTE DE L’USAGE DU PII PAR LE PRESTATAIRE.PAR LE PRESTATAIRE.

D’OÙ LES TRÈS IMPORTANTES QUESTIONS DE D’OÙ LES TRÈS IMPORTANTES QUESTIONS DE LA DÉFINITION DU « LIEU » DE L’INFORMATION LA DÉFINITION DU « LIEU » DE L’INFORMATION (WHERE IS MY DATA?) ET DE « QUI » AURA (WHERE IS MY DATA?) ET DE « QUI » AURA ACCÈS AU PII PENDANT LE CYCLE DE VIE DE ACCÈS AU PII PENDANT LE CYCLE DE VIE DE L’INFO DANS L’ENVIRONNEMENT NUAGIQUE.L’INFO DANS L’ENVIRONNEMENT NUAGIQUE.

PATRIOT ACT PATRIOT ACT

DISASTER RECOVERY DOIT ÊTRE INCLUS DISASTER RECOVERY DOIT ÊTRE INCLUS DANS LE SCÉNARIO.DANS LE SCÉNARIO.

SERVICES ACCESSOIRES COMME SERVICES ACCESSOIRES COMME AKAMAI.AKAMAI.

PISTE DE SOLUTIONS :PISTE DE SOLUTIONS :

READY FOR THE CLOUD??READY FOR THE CLOUD??

NE PAS COLLIGER D’INFO PERSO.NE PAS COLLIGER D’INFO PERSO.

COLLECTION DE L’INFO MINIMALE! CHAQUE COLLECTION DE L’INFO MINIMALE! CHAQUE DATA SET = POSSIBLE FUITE = PROBLÈMES ET DATA SET = POSSIBLE FUITE = PROBLÈMES ET $.$.

BON ENCADREMENT JURIDIQUE ET BON ENCADREMENT JURIDIQUE ET CONTRACTUEL AVEC LES DATA SUBJECTS = CONTRACTUEL AVEC LES DATA SUBJECTS = CONSENTEMENTS…CONSENTEMENTS… EXEMPLES (SPLASH SCREEN) MAIS AVEC LE MOYEN EXEMPLES (SPLASH SCREEN) MAIS AVEC LE MOYEN

DE TOUJOURS DÉMONTRÉ L’ACCEPTATION DES DE TOUJOURS DÉMONTRÉ L’ACCEPTATION DES CONDITIONS.CONDITIONS.

““DUE DILIGENCE” DU PRESTATAIRE DE DUE DILIGENCE” DU PRESTATAIRE DE SERVICES NUAGIQUES ET LES SOUS-SERVICES NUAGIQUES ET LES SOUS-TRAITANTS/SOUS-CONTRACTANTS.TRAITANTS/SOUS-CONTRACTANTS.

ÊTRE CERTIFIÉ OU AUDITÉ (ET EXIGER CECI DU ÊTRE CERTIFIÉ OU AUDITÉ (ET EXIGER CECI DU PRESTATAIRE DE SERVICES): SAFE HARBOR, TRUST-E, PRESTATAIRE DE SERVICES): SAFE HARBOR, TRUST-E, CLOUD SECURITY ALLIANCE, ISO 27001, ETC…CLOUD SECURITY ALLIANCE, ISO 27001, ETC…

AU MOINS: SSAE 16 TYPE II SOC 1AU MOINS: SSAE 16 TYPE II SOC 1

SI ON DOIT COLLIGER, ALORS CONSERVER LE MOINS SI ON DOIT COLLIGER, ALORS CONSERVER LE MOINS LONGTEMPS POSSIBLE ET POUVOIR DÉMONTRER QUE LONGTEMPS POSSIBLE ET POUVOIR DÉMONTRER QUE L’INFORMATION A ÉTÉ DÉTRUITE DE MANIÈRE L’INFORMATION A ÉTÉ DÉTRUITE DE MANIÈRE ADÉQUATE.ADÉQUATE.

ENCODAGE EST BIEN, MAIS MÊME L’INFO ENCODÉE EST ENCODAGE EST BIEN, MAIS MÊME L’INFO ENCODÉE EST JUGÉE COMME INFO CONFIDENTIELLE ET SOUMISE AUX JUGÉE COMME INFO CONFIDENTIELLE ET SOUMISE AUX LOIS, TRAITÉS, DIRECTIVES ET RÈGLEMENTS LOIS, TRAITÉS, DIRECTIVES ET RÈGLEMENTS APPLICABLES.APPLICABLES.

QuestionsQuestions