Quelles sont les implications de l’hébergement de mes données à l’extérieur du Québec et quelles mesures ont été prises pour protéger la confidentialité de mes informations ?
Le système Office 365 de Microsoft utilise une infrastructure en infonuagique (Cloud computing en anglais) qui implique un hébergement de données sur des serveurs localisés dans des centres de traitement différents, assurant une sauvegarde redondante des données pour leur récupération en cas de désastre.
Toutefois, une infrastructure en infonuagique fait en sorte que les données hébergées sont assujetties aux lois locales de cette juridiction. Il se peut qu’un gouvernement étranger, un tribunal ou un organisme d’application de la loi puissent légalement imposer la communication d’informations confidentielles et personnelles en vertu des lois locales.
En vertu du contrat conclu entre HEC Montréal et Microsoft, vos données sont hébergées à l’extérieur du Québec, en l’occurrence dans des centres de données de Microsoft situés exclusivement aux Etats-Unis et dans aucune autre juridiction du monde pour limiter de possibles accès. Toutefois, les lois américaines prévoient certains cas d’exceptions permettant un accès aux données par les organismes d’application de la loi.
Dans le cadre de son implantation du courriel en infonuagique, HEC Montréal s’est assuré que les mesures de sécurité et les normes du fournisseur en matière de protection et de confidentialité répondent à nos exigences. Par exemple, même si la sécurité des systèmes informatiques est assurée par le personnel de Microsoft, HEC Montréal gère elle-même l’authentification et les droits d’accès des utilisateurs et Microsoft ne détient pas les identifications des utilisateurs et de leurs mots de passe.
Outre les mesures de sécurité physiques et opérationnelles de haut niveau mises en œuvre par le fournisseur Microsoft, HEC Montréal a négocié et imposé par contrat de solides garanties de protection de confidentialité de vos informations confidentielle et personnelle qui adressent : la collecte limitée d’informations par Microsoft et ses sous-traitants, l’interdiction d’usage de données pour de la publicité, un usage limité aux seules fins de fournir le service Office 365, la propriété exclusive des données à HEC Montréal et ses usagers, l’obtention de rapports d’inspection indépendante des centres de données, des garanties de maintien des certifications de sécurité, l’obligation de dénoncer des violations de sécurité et d’alerter HEC Montréal de toute demande d’accès aux données par des tiers, incluant les autorités locales, sauf lorsque la loi l’interdit.
L’ensemble des mesures de sécurité du fournisseur Microsoft ainsi que les engagements contractuels imposés par HEC Montréal en matière de protection des informations confidentielles et personnelles des usagers permettent de conclure que HEC Montréal respecte adéquatement ses obligations légales en matière d’impartition de données.