L’identité numérique en droit québécois : les premiers pas d’un accès renouvelé aux services publics
Par Marilou Dostie-Nicol, avocate
L’utilisation de l’identité numérique comme solution d’accès aux services publics se développe au Canada[1] et à l’étranger[2]. Le Québec s’inscrit lui-aussi dans cette tendance et concrétise davantage ses ambitions en adoptant le Projet de loi n° 95[3] (ci-après, « PL 96 »). Ce Projet modifie principalement la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement[4] (ci-après, la « Loi »). En plus de prévoir de nouvelles obligations en matière de sécurité de l’information et de transformation numérique, le Projet instaure un nouveau cadre de gestion des données numériques détenues par les organismes publics[5]. C’est ce dernier aspect que précisent les Règles relatives à l’assurance de l’identité numérique[6] (ci-après, les « Règles »), prises par arrêté et publiées dans la Gazette du 7 septembre dernier. Tantôt générales, tantôt spécifiques, elles donnent aux organismes une certaine latitude dans la mise en œuvre de ce nouveau cadre tout en imposant certaines exigences, assurant ainsi au public un noyau de pratiques minimales communes à travers l’Administration publique[7]. Nous ferons un bref résumé de ces règles, dans l’ordre chronologique.
Dispositions introductives : section I
Comme leur titre le suggère, l’objectif des Règles est de prévoir les paramètres minimaux qui permettront de s’assurer « que la personne qui entend utiliser ou autrement bénéficier d’un service numérique d’un organisme public […] est bien celle qu’elle prétend être […] »[8].
Certains termes ou expressions font l’objet de définitions, dont les notions centrales d’« attribut de base » et d’« attribut de l’identité »[9]. Les attributs de base d’une personne physique sont son nom, son prénom, sa date de naissance et son lieu de naissance ou les noms et prénoms de ses parents. Pour une entreprise ou une autre entité, il s’agit de son nom ou de ses coordonnées. Les attributs de l’identité d’une personne sont quant à eux définis comme étant « outre un attribut de base, tout autre élément pouvant lui être associé ou pouvant être combiné pour permettre son identification de manière unique et sans équivoque »[10].
Les Règles s’appliquent aux organismes publics visés par l’article 2 de la Loi, notamment les ministères, les centres de services scolaires et les commissions scolaires, les établissements d’enseignements supérieurs et les établissements publics de santé.
Principes directeurs : section II
Les Règles se fondent sur cinq principes directeurs, à savoir :
- l’unicité : il n’y a qu’une personne par compte;
- l’équivalence des identités : l’identité – disons, classique – et l’identité numérique sont équivalentes, que les processus de vérification s’effectuent en personne ou à l’aide de moyens technologiques ;
- l’exactitude : il doit être possible de corroborer l’information confirmant l’identité avec une source de confiance;
- l’interopérabilité : l’un des objectifs des Règles est de faciliter la communication et le fonctionnement entre les différents acteurs de l’écosystème, au plan national et international;
- le respect de la vie privée et la protection de l’information : la sécurité des renseignements personnels doit être assurée par des « mesures de protection appropriées » à leur niveau de sensibilité[11].
Assurance de l’identité numérique : section III
L’identité numérique est assurée par l’utilisation d’un « niveau d’assurance » adéquat lors de l’identification ou de l’authentification, selon le cas.
Les Règles établissent quatre niveaux d’assurance de l’identité : faible, moyen, élevé et très élevé. En vertu de l’article 5 des Règles, les organismes publics devront, pour chacun de leurs services, déterminer le niveau approprié. Dans cet exercice d’évaluation, ces organismes devront considérer le risque de préjudice en cas d’« atteinte à la confidentialité, à la disponibilité ou à l’intégrité d’une information »[12], non seulement pour la personne concernée, mais également pour eux et pour le gouvernement.
L’identification et l’authentification, le cas échéant, sont deux mécanismes qui doivent être appliqués par l’organisme public. L’identification est « un processus de vérification permettant d’identifier, de façon unique, une personne qui entend utiliser ou autrement bénéficier d’un service. Un tel processus peut permettre d’établir l’identité dont une personne se réclame afin de pouvoir avoir accès au service concerné »[13]. L’authentification permet quant à elle de valider que la personne qui entend se prévaloir d’un service donné est véritablement celle qu’elle prétend être, et ce en « donnant l’assurance qu’une telle personne conserve le contrôle des justificatifs lui permettant l’accès au service concerné et que ceux-ci n’ont pas été compromis »[14].
Les exigences en matière d’identification et d’authentification varient en fonction du niveau d’assurance déterminé par l’organisme. Par exemple, le niveau « élevé » exige la vérification des attributs de base de l’identité et deux preuves d’identité : une preuve avec photo et une preuve dite essentielle, que nous aborderons à la prochaine section.
Les exigences d’authentification se déclinent en une diversité de « facteurs ». Les Règles prévoient qu’un choix de facteurs d’authentification doit être offert au public. Ces derniers peuvent prendre diverses formes, tels un jeton ou une donnée biométrique. Le législateur a également anticipé le risque de perte du facteur ou de dysfonctionnement du système en imposant aux organismes de rendre disponible un dispositif supplémentaire de rechange pour l’authentification multifacteur[15].
Les organismes ont la responsabilité de s’assurer que l’identification et l’authentification sont appliquées conformément au niveau d’assurance déterminé lors de la prestation de leurs services. Notons d’ailleurs que tant l’identification que l’authentification peuvent être exécutées par l’organisme offrant le service concerné, par un autre organisme public ou par un prestataire de services lié par contrat. Nous y reviendrons.
La preuve d’identité : section IV
Qu’il s’agisse d’identification ou d’authentification, l’organisme public peut exiger d’une personne physique qu’elle fournisse une preuve de son identité, toujours en fonction du niveau d’assurance déterminé pour le service concerné.
Les Règles scindent la notion d’identité entre l’« identité essentielle » et l’« identité contextuelle » et y rattachent des éléments de preuve distincts. Il sera possible de prouver son identité essentielle en présentant son acte de naissance, son certificat, une preuve de citoyenneté canadienne ou « tout autre document officiel émanant d’une autorité étatique […] établissant son identité et sa date de naissance »[16]. Quant à l’identité contextuelle, elle pourra être démontrée à l’aide d’une preuve « mentionnant un attribut de l’identité considéré pertinent pour l’identification »[17].
L’entreprise ou l’entité devra elle aussi prouver son existence et son identité lorsque demandées. Cette preuve pourra se faire par la consultation du registre prévu à la Loi sur la publicité légale des entreprises[18] ou par la présentation de tout document qui procure une certitude quant à ces deux mêmes éléments.
Enfin, mentionnons que le représentant qui agit pour une personne devra justifier sa qualité et sa capacité d’agir, en plus de devoir prouver son identité, voire son existence, en fournissant les preuves précédemment mentionnées qui s’appliquent à sa situation.
L’agent vérificateur d’identité et l’utilisation de moyens technologiques : section V
Il est possible de désigner une personne physique pour agir en tant qu’agent vérificateur d’identité. Cette personne doit avoir été formée minimalement sur le cadre légal de la protection des renseignements personnels, la vérification de l’identité et sur la détection des risques et techniques de contrefaçon.
L’agent vérifie l’identité en corroborant l’information en vérifiant auprès d’une « source de confiance »[19]. La vérification de l’identité d’une personne physique peut se faire en personne ou à distance. Dans les deux cas, la personne sollicitant un service doit pouvoir être vue et entendue par l’agent.
En plus des services pour lesquels un niveau d’assurance « élevé » et « très élevé »[20] a été attribué, la vérification par un agent sera obligatoire dans les cas prévus par les Règles.
Enfin, les Règles prévoient que la vérification par un agent peut être remplacée par celle effectuée à l’aide d’un moyen technologique. Les exigences qui s’appliquent ordinairement à l’agent demeurent applicables, avec les adaptations nécessaires. Une telle vérification sera sujette à des conditions et à des modalités pour l’heure inconnues.
Usage de « fédérations » : section VI
Pour faciliter leur tâche, les organismes publics ont la possibilité de recourir à des services externes. Ils peuvent conclure des « ententes de collaboration » avec des « fédérations »[21], comprises comme étant des entités offrant des services d’identification et d’authentification dans le présent contexte. Lesdites ententes devront être précédées d’une analyse des risques, notamment en matière de vie privée. Elles devront également stipuler le respect des exigences et des niveaux d’assurance prévus aux Règles. Enfin, soulignons que l’entente de collaboration ne saurait exonérer les organismes publics de leur responsabilité en cette matière.
Dispositions diverses : section VII
Cette section des Règles impose diverses obligations supplémentaires aux organismes publics et aux entités responsables de l’identification ou de l’authentification :
- un processus devra être mis en place pour signaler et bloquer un accès non autorisé ainsi que permettre à la personne concernée de reprendre le contrôle de son compte;
- le niveau d’assurance de l’identité déterminé par l’organisme doit être maintenu tout au long de la session pendant laquelle le service est fourni, sans quoi la session devra être interrompue;
- un mécanisme permettant le renouvellement des preuves d’identité doit être mis en place. Les preuves essentielles et contextuelles seront validées de nouveau à ce moment. La possibilité qu’un tel renouvellement se fasse automatiquement ainsi que sa fréquence seront déterminées en fonction du niveau d’assurance retenu. Seul le niveau « faible » échappe à l’exigence du renouvellement;
- un registre relatif aux processus mis en place pour réaliser l’identification ou l’authentification doit être tenu, mis à jour en continu et révisé annuellement. Les renseignements devant apparaitre au registre sont prévus aux Règles;
- les renseignements fournis pour l’accès au service doivent être utilisés seulement à cette fin et lorsque cela est nécessaire. Ils doivent être conservés et détruits de manière sécuritaire;
C’est en fin de parcours qu’est abordée l’« identité machine »[22], définie comme : « une clé cryptographique ou un certificat numérique ». Cette identité numérique doit assurer la sécurité des communications et des autorisations accordées entre des « actifs informationnels », tels un logiciel, une application ou un site web.
Conclusion
Bref, ces nouvelles Règles mettent la table pour les organismes publics en matière d’identification numérique et prévoient des exigences minimales de nature à rassurer le public. Dans les prochains mois, il sera intéressant de suivre l’élaboration par les organismes publics de leurs propres politiques et processus. La mise en œuvre des Règles est en effet susceptible de faire ressortir des imprécisions ou des difficultés d’interprétation dans un texte qui semblait clair de prime abord. Au besoin, le Chef gouvernemental de la sécurité de l’information pourra compléter les Règles par des indications et directives d’application[23].
Le texte intégral des Règles relatives à l’assurance de l’identité numérique est disponible ici.
[1] En Ontario : https://www.ontario.ca/fr/page/identite-numerique-ontarienne; en Colombie-Britannique : https://www2.gov.bc.ca/gov/content/governments/services-for-government/information-management-technology/identity-and-authentication-services; en Alberta : https://account.alberta.ca/; en Saskatchewan : https://www.saskatchewan.ca/government/visual-identity-and-protocol/digital-standards-and-framework et au pallier fédéral : https://www.canada.ca/fr/gouvernement/systeme/gouvernement-numerique/la-vie-en-numerique/digital-id.html.
[2] Pour l’Union européenne : https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-digital-identity_fr; aux États-Unis : https://www.congress.gov/bill/117th-congress/house-bill/4258, au Royaume-Uni : https://www.gov.uk/government/publications/uk-digital-identity-attributes-trust-framework-updated-version/uk-digital-identity-and-attributes-trust-framework-alpha-version-2.
[3] Projet de loi no° 95, Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d’autres dispositions législatives, 1e sess., 42e législ., sanctionné le 10 juin 2021.
[4] R.L.R.Q., c. G-1.03.
[5] Notes explicatives contenues dans le Projet. À noter que les Règles devront être appliquées dans le respect de la Loi concernant le cadre juridique des technologies de l’information, R.L.R.Q., c. C-1.1.
[6] Arrêté numéro 2022-05, Gazette officielle du Québec, 7 septembre 2022, 154e année, n°36, 6065.
[7] Art. 2 Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement, R.L.R.Q., c. G-1.03.
[8] Art. 1 des Règles.
[9] Art. 2(3) des Règles.
[10] Art. 2(4)des Règles.
[11] Les différentes lois s’appliquant à la collecte, l’utilisation, la communication et la conservation de tels renseignements continuent de s’appliquer dans le contexte de l’identité numérique.
[12] Art. 5, al. 3 des Règles.
[13] Art. 7 des Règles.
[14] Art. 8 al. 1 des Règles.
[15] Le terme défini à l’article 2 des Règles.
[16] Art. 13 des Règles.
[17] Id.
[18] RLRQ, c. P-44.1.
[19] Art. 20 des Règles.
[20] Annexe 2 des Règles.
[21] Art. 23des Règles.
[22] Art. 29des Règles.
[23] Art. 1 des Règles.
Commentaires (0)
L’équipe du Blogue vous encourage à partager avec nous et nos lecteurs vos commentaires et impressions afin d’alimenter les discussions sur le Blogue. Par ailleurs, prenez note du fait qu’aucun commentaire ne sera publié avant d’avoir été approuvé par un modérateur et que l’équipe du Blogue se réserve l’entière discrétion de ne pas publier tout commentaire jugé inapproprié.