Le gouvernement court d’importants risques en transférant les données sur sa population au secteur privé. Il existe pourtant une solution de rechange.

Le 4 février dernier, le gouvernement Legault annonçait son intention de supprimer 455 de ses 457 centres de traitement de données du Québec et d’abolir un nombre indéterminé de postes en informatique rattachés à ces centres. Il souhaite transférer à des sociétés privées plus de 80 % des données qu’il a accumulées sur la population de la province. Son objectif : économiser 100 millions de dollars au terme de ce processus, qui devrait prendre trois ans. À la suite de cette annonce, le géant américain Amazon a fait savoir, le 15 février, qu’il était prêt à héberger ces données sur son réseau infonuagique AWS.

On ne peut minimiser l’importance des données du gouvernement du Québec. Elles renferment des informations sur notre province, ses ressources naturelles et ses infrastructures, mais aussi sur la population, notamment en ce qui a trait à la Régie de l’assurance maladie, la Société de l’assurance automobile, le ministère de l’Éducation et Revenu Québec. Ces données, qui portent sur tous les échanges entre les citoyens et l’État, ont été collectées par le gouvernement pour servir les intérêts de la population. Bien exploitées, elles peuvent éclairer et guider les politiques gouvernementales afin d’assurer le bon développement économique et social du Québec. Par contre, si elles sont utilisées de manière inappropriée ou si elles tombent entre de mauvaises mains, elles exposent toute la population du Québec au profilage (psychologique, socioéconomique ou même politique), à des manipulations à la Cambridge Analytica et au vol d’identité. Il est donc primordial d’assurer la protection et la bonne utilisation de ces données.

Dans son budget 2019-2020 adopté le 21 mars dernier, le gouvernement Legault semble reconnaître l’importance de ces données pour l’avenir du Québec. Le budget prévoit notamment des dépenses pour établir des systèmes d’information et des services en ligne pour les ministères, et créer un guichet de service de données destiné à la recherche scientifique. Le gouvernement veut aussi adopter prochainement un Plan de transformation numérique, dont un des objectifs est la valorisation des données publiques.

L’expertise technique et la sécurité

Au-delà des données, il est aussi crucial que le gouvernement conserve une expertise technique de pointe dans le stockage, le traitement et la sécurité des données, ce que la fermeture projetée des postes en informatique met en péril. Car, peu importe que les données soient physiquement hébergées dans des centres de traitement de données publics ou auprès d’une société privée, leur gestion logique nécessitera que l’on fasse appel à des experts en architecture des systèmes, tant pour maintenir les bases de données actuelles que pour planifier les ajouts et les extensions lorsque de nouveaux besoins se feront sentir ou que de nouvelles sources seront disponibles. On ne pourra bénéficier des données et en tirer des connaissances utiles au Québec sans le concours d’experts en analyse et traitement.

En supprimant ces postes en informatique, le gouvernement perdra non seulement ses compétences pour maintenir et exploiter ses bases de données, mais aussi sa capacité de valider les serveurs privés externes sur lesquels elles seront stockées.

De plus, il faut absolument maintenir une équipe d’experts en sécurité pour protéger les données du vol, qu’elles soient hébergées au public ou au privé. En supprimant ces postes en informatique, le gouvernement perdra non seulement ses compétences pour structurer, maintenir et exploiter ses bases de données, mais aussi sa capacité de vérifier et de valider les serveurs privés externes sur lesquels elles seront stockées. Et si les sociétés qui hébergent les données présentent de nouvelles exigences ― par exemple, l’obligation d’utiliser une nouvelle technologie plus dispendieuse ―, il n’aura plus l’expertise requise pour distinguer les mises à jour légitimes des changements superflus.

En transférant ses données aux serveurs infonuagiques d’une société privée, le gouvernement perdra un autre élément de sécurité important : la difficulté d’accès. Actuellement, l’accès aux données gouvernementales est difficile, les procédures en place sont compliquées et ne sont pas divulguées. Mais cette complexité offre une « sécurité par l’obscurité » à l’information en dressant des obstacles à un accès illicite. Par contre, un serveur infonuagique comme AWS est facilement accessible, et la procédure pour y arriver est même indiquée sur son site Web (ce qui est normal pour un service vendu au grand public). Tout transfert de données à un serveur facile d’accès exige donc la mise en place et l’application de nouvelles mesures de sécurité pour maintenir la protection des données. Dans un tel contexte, la présence d’une équipe technique complète et bien financée est encore plus indispensable. C’est l’erreur qu’a commise Uber en 2016 : en stockant ses données dans le nuage AWS sans prendre de son côté les précautions nécessaires pour sécuriser les informations concernant l’accès, elle a laissé le champ libre à des pirates informatiques qui lui ont dérobé des informations personnelles touchant 57 millions de clients.

La question juridique

Par ailleurs, en confiant ses données au privé, le gouvernement sacrifie également la protection que la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels garantit aux citoyens. En effet, toutes les sociétés américaines (comme Amazon) et toutes leurs filiales canadiennes sont soumises aux lois américaines sur l’accès à l’information. Ces lois, notamment la USA Patriot Act, adoptée dans la foulée des événements du 11 septembre et la plus récente USA Freedom Act, donnent au gouvernement américain le pouvoir de perquisitionner et de s’approprier toutes les données qu’une société américaine possède sur des individus jugés suspects, des personnes reliées à ceux-ci et même des citoyens innocents qui ont un lien avec ces derniers. Notons que le gouvernement américain a établi un seuil minimal très bas pour ce qui est de ses suspicions et qu’il ne tient pas compte de l’endroit dans le monde où ces données sont stockées. Il est donc faux de croire que le gouvernement du Québec pourra protéger ses données en exigeant des sociétés américaines qu’elles les conservent physiquement au Québec.

Certains objecteront à cet égard qu’un bon cryptage des données du Québec les mettra à l’abri des perquisitions du gouvernement américain et empêcheront celui-ci d’en tirer des informations compréhensibles. Cependant, cet argument ne tient pas compte de trois points importants. Premièrement, le cryptage ne constitue pas une protection contre les perquisitions, puisque des perquisitions ont bien lieu et que l’objectif du cryptage est seulement de rendre les données perquisitionnées inutilisables. Deuxièmement, plusieurs laboratoires informatiques à travers le monde étudient actuellement des techniques pour briser la cryptographie. Autrement dit, le cryptage, bien qu’il soit nécessaire pour la sécurité, n’est pas une mesure suffisante pour garantir la protection des données. Troisièmement, une fuite ou le vol de la clé de cryptage des données du gouvernement est toujours possible. Ce risque est plus élevé si les procédures de sécurité informatique adéquates ne sont pas mises en place ou respectées lorsqu’on confie l’hébergement des données à une entreprise privée.

Perspectives d’avenir

Il est important de souligner aussi qu’une société privée a une durée de vie beaucoup plus courte qu’un État. Même le géant Amazon, qui a offert d’héberger les données du gouvernement du Québec, disparaîtra un jour, comme l’a déclaré son président fondateur. En effet, Jeff Bezos prédisait en novembre dernier que sa société n’existerait probablement plus dans une trentaine d’années. On a donc le devoir de se demander comment les actions du gouvernement actuel affecteront la prochaine génération de Québécois. En pareilles circonstances, le processus de transfert des données serait à recommencer. Et si le gouvernement sacrifie dans son projet l’expertise informatique actuelle, ce deuxième transfert sera plus difficile et engendrera des coûts de sous-traitance supplémentaires. Et encore, c’est là un scénario optimiste. Si le processus de transfert traînait en longueur et que la société en question fermait ses serveurs infonuagiques avant qu’il soit complété, une partie des données gouvernementales serait tout simplement perdue. Dans le pire cas, les serveurs de la société seraient mis en vente pour rembourser ses dettes et les données qu’ils renferment se retrouveraient entre des mains inconnues.

C’est précisément ce qui est arrivé après la faillite de la société britanno-colombienne NCIX, en 2017 : ses serveurs de données, qui renfermaient des informations personnelles (y compris des numéros d’assurance sociale) et techniques (notamment les mots de passe des administrateurs d’équipement informatique) de centaines de milliers de Canadiens ont été vendus aux enchères à un particulier, qui a ensuite revendu les données à un client étranger pour la somme de 15 000 dollars.

Il existe toutefois une solution de rechange qui permettrait au gouvernement de faire des économies tout en respectant ses objectifs numériques, sans sacrifier l’expertise informatique publique et sans mettre à risque les données : la mise sur pied d’une société d’État (à l’instar d’Hydro-Québec) qui se consacrerait à la gestion de ses données. Le gouvernement se déferait ainsi des dépenses publiques liées aux centres de traitement de données tout en créant un nouveau pôle d’expertise en gestion, en traitement et en sécurité informatique au Québec, et en préservant notre expertise. Une telle société serait entièrement québécoise, ce qui la mettrait à l’abri des lois étrangères. De plus, elle ne présenterait aucun risque de liquidation ou de fermeture soudaine. Ses revenus proviendraient de la vente de ses services et de son expertise en hébergement et en gestion sécuritaire des données à d’autres gouvernements, tant à l’intérieur qu’à l’extérieur du Canada. De plus, cette société d’État pourrait jouer un rôle important dans le développement du Québec, par exemple, en soutenant les infrastructures de données des villes intelligentes, ou alors, en facilitant le virage numérique dans les petites municipalités qui n’ont pas les budgets nécessaires pour se doter d’une infrastructure technologique et d’une expertise en gestion de données.

En somme, les données informatiques du Québec représentent une richesse collective qui nous appartient à nous tous. Elles sont cruciales pour guider les politiques gouvernementales et faire progresser notre province. Leur préservation et leur exploitation au bénéfice de tous les Québécois ont une importance inestimable et constituent un investissement dans notre avenir auquel nous ne pouvons renoncer.

Photo : Shutterstock / iDEAR Replay


Souhaitez-vous réagir à cet article ? Joignez-vous aux débats d’Options politiques et soumettez-nous votre texte en suivant ces directives| Do you have something to say about the article you just read? Be part of the Policy Options discussion, and send in your own submission. Here is a link on how to do it.