Vous hébergez vos dossiers au Canada. Votre fournisseur est une entreprise américaine. Dans cette configuration, le secret professionnel de vos clients peut être exposé à une loi fédérale adoptée en 2018 — le CLOUD Act.
Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) permet aux autorités américaines d'exiger la divulgation de données détenues par des entreprises soumises au droit des États-Unis, peu importe où ces données sont physiquement hébergées.
Ce que cela signifie pour un cabinet québécois
Si votre logiciel de gestion est fourni par une entreprise américaine — même avec des serveurs au Canada — les données peuvent rester accessibles aux autorités américaines dans certaines conditions. Pour un cabinet qui détient des dossiers couverts par le secret professionnel, c'est un risque à évaluer avant de choisir un outil.
La question n'est pas théorique : elle se pose à chaque contrat de sous-traitance TI.
Hébergement au Canada : nécessaire, pas suffisant
Héberger au Canada réduit l'exposition directe au droit américain sur le territoire. Mais si le fournisseur est une entité américaine, le CLOUD Act peut s'appliquer aux données qu'il contrôle.
« Héberger au Canada réduit l'exposition, mais ne suffit pas si l'entité qui contrôle les données est américaine. »
Le Barreau du Québec a publié des orientations sur l'infonuagique qui invitent à examiner la juridiction du fournisseur, pas seulement la localisation des serveurs.
Questions à poser à votre fournisseur
- Quelle entité juridique contrôle les données — américaine, canadienne ou autre ?
- Où sont les serveurs primaires et les sauvegardes ?
- Existe-t-il un contrat de sous-traitance conforme à la Loi 25 ?
- Le fournisseur peut-il notifier le cabinet avant une divulgation forcée ?
Ces quatre questions forment le minimum de diligence raisonnable avant toute adoption.
Liens avec la Loi 25
La Loi 25 exige une évaluation des facteurs relatifs à la vie privée avant de confier des renseignements personnels à un sous-traitant. Le choix d'un hébergeur soumis au CLOUD Act fait partie de cette analyse — pas un détail technique réservé au service TI.
Documenter cette évaluation, c'est se protéger autant que protéger vos clients.