Récemment, la nouvelle que certaines agences gouvernementales Canadiennes prenaient part à des discussions concernant le stockage de données secrètes canadiennes sur des nuages hyperscale basés aux É.-U. — interdit par la loi fédérale canadienne en vigueur — a encore mis en exergue le risque de dérive de la souveraineté des données. Ces discussions tournaient autour de l'utilisation du cryptage pour faire en sorte que les données demeurent secrètes ; en se basant sur le principe que tant que le Canada détient la clé du cryptage, les données sont en sécurité. Le cryptage a aussi été au centre des discussions concernant sa préparation au règlement général de protection de données (RGDP) de l'EU, règlement déjà approuvé et qui doit entrer en vigueur au début mai 2018.
Le cryptage, lorsqu'il est appliqué sur des données en transit ou des données au repos, peut être un outil très efficace pour sécuriser les données privées. On présume évidemment que les politiques appliquées dans la gestion du cryptage suivent les pratiques exemplaires, surtout lorsqu'il s'agit de la gestion de la clé. Mais malgré cela, le cryptage n'est pas à toute épreuve :
- Idéalement, la clé du cryptage doit demeurer exclusivement entre les mains du « propriétaire » des données, dans l'exemple précédent, il s'agit du gouvernement canadien. Par contre, dans un scénario infonuagique ce n'est pas possible, car les données doivent être décryptées pour permettre un traitement ultérieur sur la plateforme infonuagique.
- Une fois les données décryptées, elles ne sont plus protégées pendant la durée du traitement supplémentaire, et donc, deviennent potentiellement accessibles aux tierces parties.
- De plus, malgré la valeur et la puissance du cryptage, il est fort possible de le renverser par des moyens détournés pour encore rendre les données accessibles à des tiers.
Qui sont ces mystérieux tiers dont on parle ? Dans le climat politique qui règne de nos jours, le gouvernement des États-Unis et le Patriot Act sont des préoccupations de premier ordre lorsqu'on cherche la souveraineté des données. Même s'il reste des zones grises, nous collaborons de près avec les figures dominantes du domaine de la juridiction et de la souveraineté des données, comme Éloïse Gratton (une des principales expertes en matière de confidentialité), afin d'éclaircir et d'apporter un soutien sur ce que cela signifie pour vos déploiements infonuagiques. Nous avons mis à jour notre livre blanc sur les questions de juridiction et continuerons de le faire au fur et à mesure de l'évolution des légalités.
