Avis aux exportateurs n^o 1159 - Lignes directrices sur le déplacement et le stockage de technologies contrôlées dans le nuage

Sur cette page

• Objectif
• Avertissement
• Contexte
• Définitions applicables
• Interprétation : la divulgation est basée sur l’accès à des technologies contrôlées en dehors du Canada
• Foire aux questions
• Contactez nous

Objectif

L’objectif de cet avis est de clarifier les cas où l’utilisation de services infonuagiques constitue un transfert de technologie contrôlée au sens de la Loi sur les licences d’exportation et d’importation (LLEI) et où une licence d’exportation est requise.

En raison de la nature technique du sujet, une foire aux questions est jointe à cet avis.

Avertissement

Les présentes lignes directrices concernent exclusivement la LLEI et ses règlements, et non d’autres cadres législatifs, même s’ils concernent l’exportation de marchandises ou de technologies et utilisent des termes similaires. Ces autres cadres, y compris la Loi sur la sûreté et la réglementation nucléaires, la Loi sur les aliments et drogues ou d’autres lois et règlements au Canada, peuvent fonctionner selon des principes différents et doivent être compris séparément.

De nombreux articles contrôlés en vertu de la LLEI le sont également en vertu de la Loi sur la production de défense et du Programme des marchandises contrôlées (PMC) de Services publics et Approvisionnement Canada. Pour des renseignements précis sur la façon de répondre aux exigences du PMC pour les marchandises et les données contrôlées lorsque vous avez recours à un fournisseur de services d’infonuagique basé au Canada, consultez le lien suivant : Orientations sur l’utilisation ou la fourniture de solutions infonuagiques pour les données techniques associées aux marchandises contrôlées, de Services publics et Approvisionnement Canada.

Contexte

L’industrie s’appuie de plus en plus sur des solutions infonuagiques pour stocker et mettre en commun des fichiers. Ces services permettent aux entreprises et aux particuliers d’accéder aux données et aux services où qu’ils se trouvent, de sorte qu’ils créent des processus commerciaux plus souples à moindre coût.

En même temps, l’adoption croissante de solutions infonuagiques peut compliquer la conformité des entreprises et des particuliers aux réglementations visant l’exportation de technologies contrôlées. Étant donné que les solutions infonuagiques impliquent de stocker des données sur des serveurs pouvant être situés n’importe où dans le monde, il est important de savoir quand une technologie contrôlée est divulguée à l’extérieur du Canada au sens de la LLEI et nécessite une licence d’exportation.

Définitions applicables

Au sens de la LLEI :

« technologie » s’entend notamment des données techniques, de l’assistance technique et des renseignements nécessaires à la mise au point, à la production ou à l’utilisation d’un article figurant sur la liste des marchandises d’exportation contrôlée ou sur la liste des marchandises de courtage contrôlé.

• Par souci de clarté, les exemples cités dans les présentes lignes directrices (données techniques, assistance technique et renseignements nécessaires) ne sont pas exhaustifs. D’autres formes d’information peuvent également être considérées comme des « technologies » si elles sont spécifiées dans la Liste des marchandises d’exportation contrôlée. Il peut s’agir non seulement des fichiers originaux, mais aussi des données télémétriques ou dérivées (p. ex., les métadonnées, les registres, les instantanés de reprise après sinistre) lorsqu’elles contiennent des renseignements contrôlés.

« transfert » signifie, relativement à une technologie, son aliénation ou la communication de son contenu de quelque façon à partir d’un lieu situé au Canada vers une destination étrangère. 

• Pour plus de clarté, dans les présentes lignes directrices, le terme transfert renvoie au concept juridique défini dans la LLEI et, dans le cas de la technologie, l’une des façons dont il peut se produire est la divulgation. Le terme divulgation est utilisé dans les sections suivantes pour décrire les circonstances dans lesquelles un transfert a lieu.

Interprétation : la divulgation est basée sur l’accès à des technologies contrôlées en dehors du Canada

Il y a transfert si le contenu d’une technologie contrôlée est divulgué d’un lieu situé au Canada vers une destination étrangère. Affaires mondiales Canada considère qu’une technologie contrôlée est divulguée si elle est envoyée du Canada et stockée à l’étranger d’une manière qui crée une possibilité raisonnable qu’une personne située à l’extérieur du Canada soit en mesure d’examiner cette technologie. Cela signifie qu’un transfert n’est pas susceptible de se produire lorsqu’une technologie contrôlée est envoyée du Canada et stockée dans un lieu étranger s’il n’y a pas de possibilité raisonnable qu’une personne à l’extérieur du Canada soit en mesure d’accéder à cette technologie ou de l’examiner, et si cet accès ou cet examen n’a pas lieu dans les faits.

Aux fins des présentes lignes directrices, une possibilité raisonnable signifie plus qu’une simple possibilité, mais moins que la norme selon laquelle la possibilité est « plus probable qu’improbable ». En d’autres mots, s’il existe plus qu’une faible possibilité que la technologie contrôlée puisse être examinée par une personne à l’étranger sous une forme utilisable - soit directement, soit parce que la personne détient des clés de déchiffrement ou des droits d’accès d’une manière qui crée plus qu’une faible possibilité d’accès - le déplacement et le stockage de la technologie à l’étranger peuvent être considérés comme un « transfert » et nécessiter que l’exportateur demande une licence. Cette détermination n’exige pas de preuve ou de certitude claire et définitive que la technologie a été ou sera vue en dehors du Canada; il suffit qu’il existe une possibilité raisonnable qu’elle soit vue à l’étranger.

Il est entendu que, lorsqu'il s'agit de déterminer s'il y a un transfert en vertu de la LLEI, l’emplacement des serveurs hébergeant les technologies contrôlées n’a d’importance que si elle a une incidence sur la possibilité raisonnable que la technologie soit divulguée à l’extérieur du Canada. La présence de serveurs ou de fournisseurs de services dans certaines administrations peut accroître cette possibilité - par exemple, lorsque la législation ou les pratiques locales font de l’accès non autorisé un risque plus qu’improbable.

Le régime juridique de certains gouvernements leur permet d’exiger l’accès à des renseignements détenus sur des serveurs infonuagiques. Le simple fait qu’un fournisseur de services infonuagiques soit soumis à un régime d’accès légal ne crée pas, en soi, une possibilité raisonnable de divulgation. Pour évaluer les risques, les propriétaires de technologies doivent tenir compte des éléments suivants :

• la solidité des mesures techniques et organisationnelles utilisées par le fournisseur de services infonuagiques pour protéger leurs données;
• l’existence de garanties juridiques significatives, y compris la possibilité pour le fournisseur ou le propriétaire d’être informé et de contester ou de faire appel d’une demande d’accès émanant d’un gouvernement étranger.

Les propriétaires de technologies (par exemple, les entreprises ou les chercheurs) et les fournisseurs de services infonuagiques peuvent adopter des pratiques de sécurité pour rendre la probabilité de divulgation faible, de sorte qu’aucune licence d’exportation n’est requise. Par exemple, lorsque les propriétaires de technologie adoptent des mesures de protection conformes au Guide sur l’évaluation et l’autorisation de la sécurité infonuagique du Centre canadien pour la cybersécurité, Affaires mondiales Canada considérera généralement qu’il n’y a pas de possibilité raisonnable qu’une personne à l’étranger puisse examiner la technologie et n’exigera pas de licence d’exportation. D’autres cadres de sécurité reconnus offrant des garanties équivalentes peuvent également être utilisés pour démontrer qu’aucune autorisation n’est requise, pour autant qu’ils réduisent la probabilité d’une divulgation à l’étranger dans la même mesure ou dans une mesure supérieure.

Exemples :

En général, il y a transfert lorsque :

• Une personne située à l’étranger (comme le personnel de TI ou l’employé d’une entreprise) détient des clés de déchiffrement ou des droits d’accès de routine qui créent plus qu’une faible possibilité que la technologie soit examinée.
• La technologie est déplacée à l’étranger d’une manière qui n’est pas suffisamment protégée contre la divulgation (par exemple, sans un chiffrement fort ni gestion de l’identité ou de l’accès conformes aux normes de l’industrie).
• Un fournisseur de services infonuagiques crée un instantané de reprise après sinistre non chiffré qui contient des technologies contrôlées, et cet instantané est stocké sur des serveurs situés à l’étranger où des administrateurs étrangers peuvent y accéder.

En général, il n’y a pas transfert lorsque :

• Une entreprise canadienne déplace la technologie contrôlée d’un serveur situé au Canada et la stocke dans un serveur situé à l’étranger en utilisant un chiffrement fort conforme aux normes industrielles, à condition que la clé de chiffrement soit gérée de manière à garantir qu’il n’y a qu’une faible possibilité que la technologie puisse être examinée par des personnes à l’extérieur du Canada.
• Une entreprise étrangère déplace une technologie contrôlée d’un serveur situé à l’étranger et la stocke dans un serveur situé au Canada en utilisant un chiffrement fort conforme aux normes industrielles, puis accède à ses propres données, à condition qu’aucune personne située au Canada n’ait accès à la technologie téléversée de l’étranger (ce qui signifie que la technologie ne peut être consultée qu’à partir de l’étranger et que le fournisseur canadien de services infonuagiques ne peut pas examiner le contenu de son serveur).
• Les technologies contrôlées conservées dans un format suffisamment chiffré sur un serveur situé à l’étranger sont momentanément déchiffrées par une intervention non humaine - par exemple pour accomplir une fonction logicielle (par exemple, vérification orthographique, traduction, formatage), ou pour un traitement automatisé dans des charges de travail d’IA/AM ou GPU - et conservées sur un système fermé (ce qui signifie qu’aucun accès humain n’est possible) où toutes les copies non chiffrées sont détruites et où il n’y a pas de divulgation ou d’utilisation ultérieure.

Responsabilité partagée d’empêcher les transferts non autorisés

Lorsque des services infonuagiques sont utilisés, le propriétaire de la technologie contrôlée et le fournisseur de services infonuagiques doivent tous deux observer un certain degré d’attention et de contrôle de la technologie. Dans la pratique, les responsabilités suivent un modèle de responsabilité partagée où le fournisseur de services sécurise l’infrastructure infonuagique; il revient ensuite au propriétaire de la technologie de gérer la manière dont la technologie contrôlée est déployée, configurée et consultée au sein de cette infrastructure. Par exemple :

• Il incombe au propriétaire de la technologie de s’assurer que son utilisation du nuage n’entraîne pas de transfert au sens de la LLEI. Il s’agit notamment de faire preuve de diligence dans le choix d’un fournisseur de services infonuagiques (il doit disposer de garanties appropriées), ainsi que de configurer et de gérer les services (par exemple, les clés de chiffrement, les contrôles d’accès et le placement des données) de manière à empêcher toute divulgation involontaire.
• Il incombe aux fournisseurs de présenter fidèlement leurs pratiques de sécurité et d’exploiter leurs plateformes conformément à ces pratiques. Lorsqu’un fournisseur déclare qu’il utilise des mesures de protection appropriées pour configurer et gérer les services, il doit maintenir ces mesures de protection de manière à éviter de créer une possibilité raisonnable de divulgation à l’étranger, et il doit informer rapidement le propriétaire de la technologie si une divulgation a eu lieu ou est susceptible d’avoir lieu. Les fournisseurs de services infonuagiques jouent également un rôle essentiel puisqu’ils offrent des outils comme le chiffrement, la gestion des identités et des accès, la sécurité des réseaux et la tenue de registres, qui permettent aux propriétaires de respecter leurs obligations au titre de la LLEI.

Les fonctions étant souvent partagées, les responsabilités peuvent se chevaucher. Voilà pourquoi les propriétaires de technologies et les fournisseurs de services infonuagiques sont encouragés à collaborer afin que les technologies contrôlées soient déplacées et stockées en toute sécurité et pour intégrer les garanties appropriées dans les accords contractuels. Ce processus doit tenir compte non seulement des politiques et des outils de sécurité prévus par le fournisseur, mais aussi les politiques et le comportement du gouvernement dans le pays où le fournisseur est basé.

Exigences et options relatives aux licences d’exportation

Les propriétaires de technologies sont tenus d’obtenir une licence d’exportation auprès du ministre des Affaires étrangères avant de donner accès à des technologies contrôlées à des personnes situées en dehors du Canada. Dans les cas où il n’est pas certain que l’utilisation de services infonuagiques pour déplacer ou stocker des technologies contrôlées constitue un « transfert » au sens de la LLEI, les propriétaires de technologies sont encouragés à présenter une demande de licence d’exportation.

Le cas échéant, certains types de licences peuvent offrir une certaine souplesse afin de réduire la charge administrative liée à l’obtention d’une licence d’exportation pour les divulgations sur le nuage. Il peut s’agir d’instruments tels que les licences multidestinations et les licences générales d’exportation.

Toutefois, les propriétaires de technologies doivent noter qu’aucune licence d’exportation n’autorise les divulgations involontaires (par exemple, les failles de sécurité). En cas de divulgation non autorisée, les propriétaires de technologies doivent se référer à la section sur la divulgation des incidents et accidents ci-après.

Divulgation des incidents et accidents

Il arrive que les propriétaires de technologies responsables découvrent que des technologies contrôlées ont été manipulées d’une manière qui ne répond pas entièrement aux exigences de la LLEI. Par exemple, un propriétaire de technologie peut avoir connaissance d’une situation dans laquelle une technologie contrôlée a été ou pourrait avoir été déchiffrée et examinée ou dans laquelle des données dérivées (telles que des entrées au registre ou des instantanés) ont été ou pourraient avoir été rendues accessibles - intentionnellement ou non - par une personne à l’extérieur du Canada sans être autorisées par une licence d’exportation.

Dans de telles situations, les propriétaires de technologies sont encouragés à soumettre une déclaration de non-conformité en fonction du processus décrit dans la section G.7. du Manuel des contrôles du courtage et à l’exportation. La déclaration rapide permet d’atténuer les impacts potentiels et de démontrer sa bonne foi au regard des obligations de conformité.

Foire aux questions

Q1 : Dans les cas où une licence d’exportation peut être nécessaire pour les transferts de technologie à l’aide de l’infonuagique, qui est responsable de présenter une demande?

R1 : Comme l’explique le guide, les utilisateurs et les fournisseurs de services d’infonuagique partagent la responsabilité du déplacement et du stockage des technologies contrôlées dans le nuage. Les responsabilités générales de chaque partie sont décrites sous le titre « Responsabilité partagée en matière de non-divulgation ».

Il ne reviendra pas toujours à la même partie de présenter la demande de licence selon la transaction. En général, le demandeur est la personne ou l’organisation qui est la plus responsable du transfert faisant l’objet de la demande. Dans la plupart des cas, il devrait s’agir de l’utilisateur et non du fournisseur de services en infonuagique. Les parties doivent également noter que les licences d’exportation ne peuvent être délivrées qu’aux « résidents du Canada » au sens de la Loi sur les licences d’exportation et d’importation (LLEI). Cependant, un résident peut présenter une demande de permis pour le compte d’un non-résident. 

En cas d’incertitude, les parties sont encouragées à présenter une demande de licence d’exportation.

Q2 : Qui est responsable de la divulgation des incidents et accidents susceptibles d’entraîner la divulgation de technologies contrôlées?

R2 : Affaires mondiales Canada encourage toutes les personnes susceptibles d’avoir connaissance de divulgations non autorisées (intentionnelles ou non) à les signaler à la Direction des opérations des contrôles à l’exportation et, en cas de preuve de vol, d’activité malveillante ou d’autre comportement criminel, à la GRC.

Dans de telles situations, les utilisateurs et les fournisseurs de services d’infonuagique sont encouragés à soumettre une déclaration de non-conformité en fonction du processus décrit dans la section G.7. du Manuel des contrôles du courtage et à l’exportation.

Q3 : Ces lignes directrices s’appliquent-elles différemment aux différentes technologies contrôlées?

R3 : Ces lignes directrices s’appliquent à toutes les technologies figurant sur la Liste des marchandises d’exportation contrôlée.

Q4 : S’agit-il d’une exportation si je voyage en dehors du Canada et que j’accède à des technologies contrôlées stockées dans le nuage? Dans ce cas, ai-je besoin d’une licence d’exportation?

R4 : Selon les lignes directrices, il y a exportation lorsqu’une technologie contrôlée est traitée d’une manière qui crée une possibilité raisonnable qu’une personne à l’étranger puisse l’examiner. Affaires mondiales Canada considère qu’il existe une possibilité raisonnable de divulgation si un environnement infonuagique contenant une technologie contrôlée est effectivement consulté à l’étranger ou si une personne à l’étranger reçoit les moyens d’y accéder. Si vous avez accès à un environnement infonuagique contenant une technologie contrôlée pendant votre voyage, mais que vous ne l’utilisez pas et que vous ne la donnez pas à une autre personne, votre voyage n’est pas considéré comme une exportation.

Lorsque vous voyagez, vous êtes tenu de prendre des précautions raisonnables pour protéger les technologies contrôlées contre la divulgation, notamment les suivantes :

• Gardez le contrôle exclusif de vos appareils, comptes et données d’identification. Gardez-les en votre possession, verrouillés lorsqu’ils sont laissés sans surveillance, et ne divulguez pas vos mots de passe.
• Utilisez une authentification forte et multifactorielle. Veillez à ce qu’il ne suffise pas de voler un mot de passe pour accéder à des données contrôlées.
• Soyez conscient des risques spécifiques à la destination. Certaines administrations présentent des risques plus élevés d’inspection des appareils ou de divulgation forcée; planifiez en conséquence, y compris le recours au chiffrement par le client et aux appareils réservés aux voyages, le cas échéant.
• N’accordez l’accès à personne à l’extérieur du Canada. L’octroi d’un accès (par exemple, en divulguant des identifiants, des fichiers, etc.) constitue une exportation au sens de la LLEI et nécessite une licence.
• Gardez les appareils chiffrés et physiquement sécurisés. Utilisez le chiffrement intégral des disques et des phrases de passe fortes; évitez aussi de laisser les appareils sans surveillance.
• Signalez tout problème pour y remédier rapidement. En cas de perte ou de compromission d’un appareil, informez le responsable de la sécurité de votre organisation et réinitialisez immédiatement vos mots de passe; soumettez une divulgation volontaire de non-conformité à Affaires mondiales Canada si vous avez des raisons de croire qu’un transfert a eu lieu.

Si vous avez l’intention d’accéder à un environnement infonuagique contenant une technologie contrôlée à l’étranger ou d’en accorder l’accès à une personne à l’étranger, ou si vous avez des raisons de penser que, malgré les précautions citées précédemment, des administrateurs ou des prestataires de services étrangers pourraient voir la technologie, vous devez obtenir une licence à l’avance.

En cas d’incertitude, les parties sont encouragées à présenter une demande de licence d’exportation.

Q5 : Le fait que des technologies contrôlées soient temporairement stockées en dehors du Canada sous une forme non chiffrée pendant un traitement automatisé constitue-t-il un « transfert » au sens de la LLEI?

R5 : C’est possible. Affaires mondiales Canada considère qu’il y a transfert s’il existe une possibilité raisonnable que la technologie soit examinée par une personne située à l’étranger, même s’il n’y a pas de preuve qu’un tel accès s’est produit ou se produira à l’avenir.

Les propriétaires de technologie et les fournisseurs de services d’infonuagique devraient se poser les questions suivantes pour évaluer la situation :

• Les données sont-elles conservées sous une forme ou pour une durée qui rend l’accès humain techniquement possible?
• Quelqu’un a-t-il la capacité d’accéder aux données ou de les déchiffrer, y compris les administrateurs ou fournisseurs de services d’infonuagique ou les sous-traitants situés à l’étranger? Si oui, existe-t-il des contrôles techniques et procéduraux suffisants pour empêcher tout accès raisonnable à l’extérieur du Canada?
• Existe-t-il des garanties contractuelles ou techniques qui empêchent ou limitent strictement l’accès depuis l’étranger?

En général, un transfert est probable lorsque :

• les administrateurs de TI ou d’autres membres du personnel situés à l’étranger détiennent les clés de déchiffrement ou disposent de droits d’accès de routine qui leur permettraient de consulter les données;
• la copie reste disponible suffisamment longtemps ou d’une manière telle qu’il existe plus qu’une lointaine possibilité d’accès humain.

En général, un transfert est peu probable lorsque :

• la copie non chiffrée est créée uniquement pour un traitement automatisé (par exemple, pour exécuter une fonction ou un algorithme) sur un système fermé où l’accès humain est techniquement exclu, aucune copie n’est effectuée, et aucune autre utilisation n’a lieu;
• des mesures de protection rigoureuses (p. ex., le chiffrement, les contrôles d’accès, la surveillance) réduisent la probabilité d’un examen par des personnes étrangères au Canada à une possibilité lointaine.

Q6 : Si nous utilisons des clés de chiffrement gérées par le client et stockées au Canada, cela élimine-t-il le risque de « transfert »?

R6 : Les clés de chiffrement gérées par le client stockées au Canada peuvent réduire considérablement la probabilité d’une divulgation à l’étranger, mais elles n’éliminent pas à elles seules le risque d’un transfert.

Affaires mondiales Canada considère qu’il y a transfert s’il y a plus qu’une possibilité lointaine qu’une personne à l’extérieur du Canada puisse examiner la technologie contrôlée. Les clés de chiffrement gérées par le client ne réduisent cette probabilité que si elles sont gérées de manière à ce que le déchiffrement ne puisse pas être effectué par une personne à l’étranger sans l’autorisation explicite du propriétaire de la technologie.

Les propriétaires de technologies doivent donc s’assurer que :

• les algorithmes de chiffrement et les pratiques de gestion des clés sont conformes aux normes industrielles reconnues;
• les clés sont détenues et protégées exclusivement au Canada, sous le contrôle d’un résident canadien;
• la rotation et la révocation des clés ainsi que l’enregistrement des accès sont mis en œuvre et examinés.

Les clés de chiffrement gérées par le client sont plus efficaces lorsqu’elles sont associées à des mesures de protection supplémentaires, comme la segmentation du réseau, les contrôles d’accès et la surveillance, afin de réduire la probabilité d’une divulgation à l’étranger à un niveau aussi faible que possible.

Q7 : Si un utilisateur de services d’infonuagique transfère sa technologie contrôlée sous la tutelle d’un nouveau fournisseur, une nouvelle évaluation est-elle nécessaire?

R7 : Oui. Tout changement susceptible d’influencer le lieu ou le mode de stockage des technologies contrôlées - y compris la migration vers un nouveau fournisseur ou l’utilisation de nouveaux services - doit donner lieu à une réévaluation. Les propriétaires de technologies doivent s’assurer que les mesures de protection demeurent en place et que la probabilité d’une divulgation à l’étranger n’est plus qu’une éventualité lointaine. Si cela ne peut être démontré, une licence d’exportation peut être exigée.

Contactez-nous

Pour obtenir de plus amples renseignements, veuillez contacter :

Direction générale des contrôles stratégiques des exportations
Affaires mondiales Canada
111 promenade Sussex
Ottawa, Ontario K1A 0G2
Canada
Courriel : tie.reception@international.gc.ca.