L’utilisation de l’infonuagique par les organismes publics est une opportunité afin de moderniser les services publics et de contribuer à la transformation numérique de l’État. Cette transition nécessite toutefois une approche structurée et des orientations claires pour garantir la sécurité numérique de l’administration publique ainsi que la conformité et la gestion optimale des ressources.
Dans cette page :
Dispositions diverses
Le présent énoncé s’applique aux organismes publics visés à l’article 2 de la
Les orientations visent tout actif informationnel que détient un organisme public au 20 mai 2026 et tous ceux qui seront détenus après cette date. Elles s’appliquent à toutes les étapes du cycle de vie d’un projet en ressources informationnelles, tel que défini dans les
Un organisme public demeure tenu de respecter les obligations qui lui incombent en vertu de la loi et des textes d’application.
Le ministère de la Cybersécurité et du Numérique peut proposer des guides d’application évolutifs afin de soutenir les organismes publics dans la mise en œuvre du présent énoncé.
Ces orientations remplacent les Énoncés d’orientation en infonuagique pris par le Conseil du trésor le 8 juillet 2019.
Objectifs
L’Énoncé d’orientations vise à :
- Assurer la sécurité des données : Assurer la sécurité des données en protégeant les données stockées et traitées dans les infrastructures infonuagiques;
- Optimiser les coûts : Utiliser des mécanismes d’optimisation des coûts pour surveiller et contrôler les dépenses liées à l’infonuagique;
- Respecter les normes de conformité : Se conformer aux lois et aux exigences gouvernementales en matière de protection des renseignements personnels et de sécurité de l’information;
- Renforcer la souveraineté numérique : Accroitre la « souveraineté numérique » des données hautement sensibles. La souveraineté numérique réfère à la capacité d’un État à exercer un contrôle autonome de ses infrastructures (serveurs et réseaux), de ses technologies et de ses données.
Orientation 1
Les actifs informationnels qui comportent des données hautement sensibles sont hébergés sur les infrastructures souveraines.
Une donnée est considérée comme hautement sensible lorsqu’elle appartient à l’une des sous-catégories qui suivent, conformément au
- « Protégé C »;
- « Secret »;
- « Très secret ».
Est également considérée comme hautement sensible une donnée jugée critique par le dirigeant principal de l’information, notamment par sa nature ou sa portée, et qui appartient à l’une des sous-catégories qui suivent, conformément au modèle de classification de sécurité des données numériques gouvernementales en vigueur :
- « Protégé B »;
- « Confidentiel ».
Les infrastructures suivantes offrent un hébergement « souverain » :
- Le Nuage gouvernemental du Québec (NGQ);
- Un centre de traitement informatique (CTI) détenu par les gouvernements du Québec ou du Canada;
- Une infrastructure infonuagique publique désignée par la ministre.
Advenant qu’un organisme public soit dans l’impossibilité de mettre en œuvre cette orientation quel qu’en soit le motif, un tel organisme peut mettre en place des mesures d’atténuation des risques dans le cadre d’un processus de gestion des risques adéquatement documenté.
Orientation 2
Les renseignements personnels sensibles concernant les citoyens doivent bénéficier d’une protection adéquate, au regard des principes de protection des renseignements personnels généralement reconnus.
Un organisme public doit s’assurer que les renseignements personnels confiés à des prestataires de services infonuagiques bénéficieront d’un niveau de protection équivalent à ce que prévoit la
L’organisme public doit notamment s’assurer que les renseignements personnels confiés à des prestataires de services infonuagiques qui sont situés à l’extérieur du Québec respectent les dispositions de l’article 70.1 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels.
Orientation 3
L’utilisation de l’infonuagique doit être accompagnée de mécanismes d’optimisation des coûts d’utilisation.
Un organisme public doit mettre en place un mécanisme lui permettant de maximiser la valeur de ses investissements en infonuagique. Il doit optimiser les coûts de l’infonuagique tout en maintenant un équilibre entre budget, performance et innovation.
Afin de contrôler ses dépenses et d’optimiser ses choix liés à l’infonuagique, le mécanisme d’optimisation des coûts pour surveiller et contrôler les dépenses que choisit un organisme public peut s’inspirer de l’approche « FinOps » et doit inclure au moins les trois éléments suivants :
- La surveillance et contrôle des coûts;
- La collaboration interfonctionnelle;
- La transparence financière.
Pour soutenir les organismes publics dans l’opérationnalisation de cette orientation, le ministère de la Cybersécurité et du Numérique a élaboré le cadre de référence gouvernemental des pratiques FinOps.
Orientation 4
Les architectures technologiques de solutions s’appuient sur les principes et les bonnes pratiques de l’architecture infonuagique.
Un organisme public doit choisir une solution technologique dont l’architecture technologique intègre les « principes fondamentaux de l’architecture infonuagique ». Sans s’y restreindre, ces principes sont énoncés ci-après :
- Évolutivité : Les solutions s’adaptent facilement à une augmentation ou une diminution de la demande, notamment grâce à des ressources dynamiques ajustables selon les besoins;
- Flexibilité : Les solutions s’intègrent avec différents systèmes et technologies;
- Sécurité : Les solutions garantissent la protection des données et des applications;
- Gestion des ressources : Les solutions optimisent l’utilisation des ressources pour réduire les coûts et améliorer les performances, notamment grâce à la virtualisation et à l’automatisation;
- Résilience : Les solutions sont conçues pour résister aux pannes et assurer une continuité des services.
Un organisme public doit suivre les « bonnes pratiques » en matière d’architecture infonuagique. Sans s’y restreindre, ces bonnes pratiques incluent :
- La conception modulaire et découplée, par l’utilisation de microservices indépendants;
- La conteneurisation et l’orchestration, par l’utilisation de conteneurs pour isoler les applications et leurs dépendances et d’un orchestrateur pour assurer notamment la supervision de ses conteneurs;
- L’automatisation grâce à l’utilisation de l’« Infrastructure en tant que Code », une approche qui permet d’automatiser, de standardiser et de sécuriser le déploiement des infrastructures informatiques.
Orientation 5
Le recours à l’approche infonuagique respecte les exigences de gouvernance applicables en ressources informationnelles.
Avant de choisir une solution infonuagique, un organisme public doit analyser :
- les coûts, directs et indirects, associés à un tel usage;
- les risques liés, sans s’y limiter, aux menaces associées à la sécurité des données, à la conformité réglementaire, à la continuité des services et à la dépendance envers un fournisseur et les mesures de mitigation à mettre en place, le cas échéant;
- la gestion des bénéfices, en se basant sur le cadre gouvernemental de gestion des bénéfices des projets en ressources informationnelles, prévu à l’article 21 de la
Loi sur les ressources informationnelles .
Orientation 6
Les organismes publics privilégient les offres du Courtier en infonuagique et en technologies spécialisées qui répondent à leurs besoins.
Le Courtier en infonuagique et en technologies spécialisées (« Courtier ») élabore un catalogue d’offres par type de biens ou par type de service, afin de répondre aux besoins des organismes.
Considérant que les offres qualifiées par le Courtier respectent les obligations légales et contractuelles ainsi que les exigences de sécurité, un organisme public est invité à les privilégier dans sa stratégie d’acquisition.
Dernière mise à jour : 18 juin 2026