ARTICLE
20 February 2026

Comprendre les contrôles à l'exportation dans les nuages : le Canada précise les règles sur les solutions de stockage et de transfert infonuagiques

MT
McCarthy Tétrault LLP

Contributor

McCarthy Tétrault LLP logo
McCarthy Tétrault LLP provides a broad range of legal services, advising on large and complex assignments for Canadian and international interests. The firm has substantial presence in Canada’s major commercial centres and in New York City, US and London, UK.
Explore Firm Details
L'autorité du Canada pour l'administration des contrôles liés à l'exportation et aux transferts de technologies, Affaires mondiales Canada (« AMC »), a publié un Avis aux exportateurs no 1159 – Lignes directrices...
Canada International Law
Termes De L'échange,John Boscariol, and Oksana Migitko
Your Author LinkedIn Connections
McCarthy Tétrault LLP are most popular:
  • within Wealth Management topic(s)
  • with Senior Company Executives, HR and Finance and Tax Executives
  • with readers working within the Accounting & Consultancy, Insurance and Healthcare industries

L'autorité du Canada pour l'administration des contrôles liés à l'exportation et aux transferts de technologies, Affaires mondiales Canada (« AMC »), a publié un  Avis aux exportateurs n 1159 – Lignes directrices sur le déplacement et le stockage de technologies contrôlées dans le nuage (les « Lignes directrices »), éclairant une question clé pour les entreprises et les chercheurs universitaires qui utilisent des transferts électroniques de technologies contrôlées : quand l'utilisation de services infonuagiques canadiens ou situés à l'étranger pour stocker ou transmettre des technologies contrôlées constitue-t-elle une « exportation » ou un « transfert » selon le système canadien des contrôles à l'exportation?

Ces Lignes directrices tant attendues offrent d'importantes précisions sur la position d'AMC sur ces questions et la manière dont les entreprises, les chercheurs et les fournisseurs de services infonuagiques peuvent aborder la conformité lorsqu'ils appliquent des structures infonuagiques à des technologies sensibles. Comme les données sont souvent stockées sur des serveurs situés à travers le monde, la question de savoir quand l'utilisation de services infonuagiques constitue une exportation ou un « transfert » d'une technologie contrôlée, et pourrait ainsi nécessiter une licence d'exportation en vertu du droit canadien, demeure complexe. Pour les organisations qui utilisent des technologies sensibles, bien comprendre quand une licence d'exportation canadienne peut être exigée est crucial pour éviter les infractions involontaires et préserver l'accès aux solutions infonuagiques mondiales.

Qu'est-ce qu'un transfert?

Une exportation ou un « transfert » a lieu lorsque le contenu d'une technologie contrôlée est communiqué à partir d'un lieu situé au Canada vers une destination étrangère. Les transferts de technologie contrôlée au sein du Canada (p. ex., les transferts entre des ordinateurs ou des serveurs situés dans le pays) ne constituent pas un tel « transfert » aux fins des contrôles à l'exportation canadiens. Cette approche traditionnelle provient du libellé de la Loi sur les licences d'exportation et d'importation (la « LLEI »), qui définit le « transfert » relativement à une technologie comme « son aliénation ou la communication de son contenu de quelque façon à partir d'un lieu situé au Canada vers une destination étrangère ».

Les Lignes directrices d'AMC précisent que, dans le cas de la technologie, un transfert se produit précisément dans le cadre d'une divulgation. Dans ce contexte, le terme « divulgation » renvoie à la mise à disposition du contenu de la technologie contrôlée à partir d'un lieu situé au Canada vers une destination étrangère. Ce qui veut dire que toutes les technologies envoyées ou stockées à l'étranger ne constitueront pas automatiquement une exportation. Si la technologie, même si elle est envoyée ou stockée à l'étranger, n'est pas accessible à une personne située à l'extérieur du Canada, ou qu'une telle personne ne peut l'examiner, cette technologie ne saurait être considérée comme étant « transférée » au sens de la LLEI.

AMC souligne que le facteur clé dans l'analyse de la « divulgation » est de savoir s'il existe une possibilité raisonnable qu'une personne située à l'extérieur du Canada soit en mesure d'accéder à cette technologie ou de l'examiner. En dehors d'une telle possibilité, un « transfert » n'est alors pas considéré comme ayant eu lieu.

Il convient de noter que les Lignes directrices soulignent que le simple fait que certains des serveurs de l'entité canadienne sont situés dans un lieu étranger peut favoriser la possibilité d'un accès non autorisé; cependant, ce fait n'est pas suffisant pour établir une possibilité raisonnable de divulgation. La présence de serveurs à l'étranger doit être considérée en parallèle avec d'autres facteurs, qui seront discutés plus en détail dans la section ci-après.

Même si, selon notre expérience, l'approche ci-dessus de l'analyse de la « divulgation » a été suivie par AMC en pratique, les Lignes directrices semblent être la première fois qu'AMC énonce expressément sa position dans des lignes directrices écrites et introduit le critère de la « possibilité raisonnable » comme étant la nouvelle norme à suivre pour déterminer quand un transfert a eu lieu.

La norme de la  « possibilité raisonnable »

Selon cette norme, AMC considère qu'un transfert se produit s'il y a « plus qu'une simple possibilité, mais moins que la norme selon laquelle la possibilité est plus probable qu'improbable » qu'une personne située à l'étranger puisse accéder à la technologie ou l'examiner. S'il existe plus qu'une faible possibilité que la technologie contrôlée puisse être examinée par une personne située à l'étranger sous une forme utilisable ꟷ que ce soit par la possession de clés de déchiffrement, de droits d'accès ou d'une autre manière qui crée plus qu'une faible possibilité d'accès ꟷ le déplacement et le stockage de la technologie à l'étranger peuvent être considérés comme un « transfert » et nécessiter une licence d'exportation. La même logique semble s'appliquer lorsqu'une personne située à l'étranger a la possibilité d'accéder à une technologie contrôlée située au Canada, comme un employé lors d'un voyage d'affaires ou personnel. AMC a souligné dans les Lignes directrices que cette évaluation ne nécessite pas de preuve ou de certitude claire et définitive que la technologie a été ou sera accessible en dehors du Canada; il suffit qu'il existe une possibilité raisonnable que cet accès puisse se produire.

Cela signifie qu'il n'est pas nécessaire que l'accès soit probable ou certain pour qu'un transfert de données contrôlées ait eu lieu; il suffit que les circonstances créent une chance réaliste de divulgation, p. ex. lorsque des personnes situées à l'étranger détiennent des clés de déchiffrement ou des droits d'accès.

AMC fait en outre observer que le simple fait qu'un fournisseur de services infonuagiques exerce des activités dans un territoire dont la législation pourrait exiger l'accès à la technologie stockée ne crée pas, à lui seul, une possibilité raisonnable de divulgation. La présence de mesures de protection techniques et organisationnelles solides mises en œuvre par le fournisseur de services infonuagiques, ainsi que des protections juridiques significatives, telles que des exigences de notification et la possibilité de contester des demandes d'accès d'organismes gouvernementaux, ou de faire appel de celles-ci, peut venir contrer la conclusion qu'il existe une possibilité raisonnable de divulgation.

À cet égard, AMC renvoie au  Guide sur l'évaluation et l'autorisation de la sécurité infonuagique du Centre canadien pour la cybersécurité, et indique que lorsque les propriétaires de technologies adoptent des mesures de protection conformes à ce guide, ou à d'autres cadres de sécurité similaires offrant le même degré de protection, AMC considérera généralement qu'il n'y a pas de possibilité raisonnable d'accès à la technologie contrôlée.

Exemples de transferts et de non-transferts

Les Lignes directrices d'AMC renferment des exemples pratiques pour aider les organisations à évaluer quand l'utilisation de services infonuagiques peut constituer un transfert de technologie contrôlée en vertu du droit canadien.

En général, un transfert est considéré comme ayant lieu lorsque :

  • des personnes situées à l'étranger (comme les employés canadiens d'une entreprise canadienne) peuvent accéder à la technologie contrôlée stockée au Canada, et l'examiner;
  • des données contrôlées sont déplacées ou stockées à l'extérieur du Canada sans mesures de sécurité adéquates, comme un chiffrement fort ou une gestion efficace de l'accès conformes aux normes de l'industrie;
  • un fournisseur de services infonuagiques crée un instantané de reprise après sinistre non chiffré qui contient une technologie contrôlée, et cet instantané est ensuite stocké sur des serveurs situés à l'étranger où des administrateurs étrangers peuvent y accéder.

En revanche, un transfert n'est pas considéré comme ayant lieu lorsque :

  • une entreprise canadienne déplace une technologie contrôlée d'un serveur situé au Canada et la stocke dans un serveur situé dans un autre pays en utilisant un chiffrement fort conforme aux normes de l'industrie, et gère les clés de chiffrement de manière à ce qu'il n'y ait qu'une faible possibilité d'accès par des personnes situées à l'extérieur du Canada;
  • une entreprise étrangère déplace sa propre technologie contrôlée, dont le chiffrement est conforme aux normes de l'industrie, et la stocke sur un serveur canadien et y accède uniquement à partir de l'étranger, sans accès à cette technologie par quiconque au Canada (y compris le fournisseur de services infonuagiques canadien);
  • une technologie contrôlée, stockée dans un format suffisamment chiffré sur un serveur situé à l'étranger, est momentanément déchiffrée par des processus automatisés, non humains (p. ex. pour accomplir des fonctions logicielles, d'intelligence artificielle ou d'apprentissage automatique (IA/AM), ou pour un traitement automatisé dans des charges de travail de processeurs graphiques (UTG)), et conservée sur un système fermé, à condition qu'aucun accès humain ne soit possible, où toutes les copies non chiffrées sont détruites et où n'y a pas de divulgation ou d'utilisation ultérieure.

Nouvel accent mis sur le rôle des fournisseurs de services infonuagiques

Un autre aspect important de l'approche d'AMC est l'accent mis sur le rôle des fournisseurs de services infonuagiques (« FSI »). Reconnaissant le rôle que jouent les FSI dans l'administration et la gestion de l'infrastructure infonuagique sous-jacente, AMC souligne que la responsabilité de protéger les technologies contrôlées n'incombe pas uniquement aux propriétaires de ces technologies.

Au lieu de cela, AMC établit un modèle de responsabilité partagée entre les propriétaires de technologies et les FSI. Même s'il incombe ultimement aux propriétaires de technologies de se conformer aux exigences liées aux contrôles à l'exportation et de s'assurer que leur utilisation des services infonuagiques n'entraîne pas de transfert au sens de la LLEI, ils doivent compter sur les FSI pour que ces derniers présentent et expliquent avec précision et fidèlement leurs pratiques de sécurité.

Les propriétaires de technologies sont censés faire preuve de diligence dans le choix d'un FSI, lequel doit disposer des garanties appropriées, et ils doivent configurer et gérer les services, comme les clés de chiffrement, les contrôles d'accès et le placement des données, de manière appropriée pour empêcher toute divulgation involontaire. Pour leur part, il incombe aux FSI de mettre en œuvre et de maintenir des mesures de sécurité solides, d'exploiter leurs plateformes conformément aux pratiques de sécurité qu'ils ont déclarées, en plus d'informer rapidement les propriétaires de technologies si une divulgation a eu lieu ou est susceptible d'avoir lieu.

Points clés à retenir

L'introduction par AMC du critère de la « possibilité raisonnable » impose aux entreprises canadiennes un fardeau pratique pour qu'elles évaluent soigneusement leurs arrangements de stockage infonuagique, leurs contrôles d'accès et leurs pratiques de chiffrement. S'il existe, ne serait-ce qu'un peu plus qu'une faible possibilité que des données contrôlées, qu'elles soient stockées au Canada ou à l'étranger, soient accessibles d'une manière qui constitue un « transfert » en vertu de la LLEI, une licence d'exportation pourrait être requise. Les organisations devraient donc revoir leurs protocoles de gestion des données et de sécurité pour garantir leur conformité à ces exigences nuancées.

Il est important de noter que le stockage de données contrôlées en dehors du Canada ne devrait généralement pas être considéré comme une exportation si seules des personnes canadiennes situées au Canada y ont accès. Cependant, les entreprises doivent rester vigilantes et confirmer auprès de leurs fournisseurs de services infonuagiques les mesures particulières qui sont en place pour empêcher un accès non autorisé à partir de l'étranger. Cela inclut la vérification des pratiques de sécurité du fournisseur, des normes de chiffrement et des contrôles d'accès, ainsi que la compréhension de l'environnement légal et réglementaire dans lequel le fournisseur exerce ses activités.

En fin de compte, le respect des contrôles à l'exportation canadiens dans un environnement infonuagique nécessite une approche collaborative entre les propriétaires de technologies et les FSI, les deux parties jouant un rôle essentiel pour protéger les renseignements sensibles et veiller à ce que toutes les obligations légales soient respectées.

Le groupe Droit du commerce et de l'investissement international de McCarthy Tétrault conseille régulièrement des clients exerçant des activités dans divers secteurs et industries sur le régime des contrôles à l'exportation du Canada, y compris l'application de la LLEI à l'informatique en nuage, à l'accès à distance et à la gestion des données transfrontalières. Notre équipe possède une vaste expérience du soutien aux clients sur les programmes de conformité aux contrôles à l'exportation, les évaluations des risques, les divulgations volontaires, la réponse aux demandes de renseignements de la part d'organismes de réglementation ainsi que les questions d'application de la loi. Nous continuerons à surveiller les lignes directrices et les développements en matière d'application de la loi dans ce domaine et à signaler tout autre développement pertinent pour les entreprises canadiennes et multinationales.

To view the original article click here

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

[View Source]
Authors
Person photo placeholder
Termes De L'échange
Photo of John Boscariol
John Boscariol
Photo of Oksana Migitko
Oksana Migitko
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More