Déploiement de l’identité numérique: des zones d’ombre à éclaircir

Publié le 04/05/2022 à 07:30

Déploiement de l’identité numérique: des zones d’ombre à éclaircir

Publié le 04/05/2022 à 07:30

Par Nicolas St-Germain

Un premier projet vise à remplacer la solution clicSÉQUR d’ici juin 2023 par un «Service d’authentification gouvernementale» qui sera en service dès juin 2022, selon un site du gouvernement. (Photo: 123RF)

LA TECHNO PORTE CONSEIL est une rubrique qui vous fait découvrir des plateformes, de nouveaux outils ou de nouvelles fonctionnalités pouvant être implantés facilement et rapidement dans votre quotidien au travail, en plus de démystifier les tendances technos du moment.

LA TECHNO PORTE CONSEIL. Les failles du passeport vaccinal, où certains ont obtenu rapidement et facilement les preuves vaccinales du ministre de la Santé et du premier ministre, ont montré les besoins de prendre la cybersécurité au sérieux lors du déploiement de solutions technologiques. À l’aube de la numérisation des services publics et de l’identité numérique, dont un premier morceau est prévu en juin, devons-nous craindre des dérapages semblables?

Bien qu’il ait plusieurs questions à propos du déploiement de l’identité numérique des citoyens, le professeur au département d’informatique de l’Université du Québec à Montréal Sébastien Gambs tient à relativiser les dérives du passeport vaccinal. «Pour défendre le gouvernement, il faut dire que cela a été développé dans un contexte d’urgence, ce qui n’est pas le cas pour l’identité numérique.»

Néanmoins, ce dernier critique l’absence de calendrier politique et de documentations claires sur le développement de cette technologie. «J’entends beaucoup de buzzword, mais je vois très peu de documentations.»

Même son de cloche du côté de Martin Berthiaume, PDG et fondateur de mondata, une entreprise spécialisée en cybersécurité, qui note un manque de transparence quant à la direction que veut prendre le gouvernement avec sa solution.

«Je suis pour l’identité numérique, dit-il, en entrevue avec Les Affaires. […] Ma seule demande est d’avoir une visibilité plus précise, moins conceptuelle, de ce que seront les fondations [de l’identité numérique].»

Par «fondations», Martin Berthiaume aborde les premières étapes de l’usage quotidien et la manière dont la transition vers l’identité numérique sera faite. Comment on va accéder aux services? Est-ce par l’entremise de partenaires de connexion — comme l’accès aux services de l’Agence de Revenu du Québec et du Canada ?

De l’avis de Martin Berthiaume, les objectifs du ministère de la Cybersécurité et du numérique doivent être clairement divulgués. «Si le gouvernement veut une adhésion, il va falloir plus de transparence», précise-t-il.

Les Affaires a voulu en savoir davantage sur les ambitions du gouvernement et a souhaité répondre aux interrogations des intervenants. Plusieurs demandes d’entrevue avec le ministre de la Cybersécurité et du Numérique, Éric Caire, ont été formulées. Elles ont toutes été repoussées.

 

Deux projets sur le feu

Un site du gouvernement abordant l’identité numérique présente les grandes lignes. On y retrouve justement une section sur l’avancement d’un premier projet qui vise à remplacer la solution clicSÉQUR d’ici juin 2023 par un «Service d’authentification gouvernementale» qui sera en service dès juin 2022. Cela devrait «permettre aux citoyens d’accéder plus simplement aux services en ligne du gouvernement», peut-on lire.

Un deuxième projet traite de l’identité numérique citoyenne, dont une première livraison est prévue à «l’hiver 2022-2023». Disponible par l’entremise d’un portefeuille numérique, «ce volet vise à procurer aux citoyens une identité numérique sécuritaire basée sur une attestation numérique qui simplifiera la gestion de l’identité».

Concernant la cybersécurité, il est inscrit que «le Programme Service québécois d'identité numérique [créé par le ministère de la Cybersécurité et du Numérique] respecte les règles en matière de protection des renseignements personnels en intégrant une démarche d’évaluation des facteurs relatifs à la vie privée». Ceci est en lien avec la Loi 25 sur la protection des données personnelles.

Concernant ces deux projets, Martin Berthiaume se pose quelques questions. «Comment on va gérer les accès d’une personne décédée ou de quelqu’un qui s’est fait frauder? Quelle sera la traçabilité des transactions faite avec l’identité numérique? Comment on va s’assurer la gestion des données personnelles? Comment on va faire la délégation des accès pour une personne qui ne serait plus apte?».

 

Mieux desservir le citoyen

Ces deux projets orientés sur l’accès aux services des citoyens concordent avec les visées de l’identité numérique en Amérique du Nord. «Les fondements de l’identité numérique au Canada et aux États-Unis, c’est de mieux desservir le citoyen en étant plus efficace, explique, en entrevue avec Les Affaires, le directeur général du Laboratoire d’identité numérique du Canada, Pierre Roberge. Ce qui justifie les avancées en identité numérique, c’est vraiment d’avoir une information de meilleure qualité et qui comporte moins de risques.»

Pour ce dernier, l’identité numérique a justement pour but de redonner le contrôle au citoyen de son identité en n'exposant pas toutes ses informations personnelles. Actuellement, lors d’une transaction à la SAQ, le citoyen, en montrant son permis conduire, expose aussi sa date de naissance, son adresse, sa taille, la couleur de ses yeux, etc.

«Avec les documents [de l’identité numérique], tu peux partager le minimum d’informations possibles tout en garantissant que l’information soit bonne», précise Pierre Roberge. Le commerçant aurait donc seulement accès à une preuve garantissant l’âge légal et non aux données, ce qui diminue les risques de fraude.

Les documents d’identité numérique ne font que trois choses, explique Pierre Roberge. «Ils permettent de dire si le document est authentique, s’il a été modifié et qui est l’émetteur. Rien de plus, rien de moins.»

Martin Berthiaume est d’accord avec cette idée d’utiliser l’identité numérique pour mieux desservir les citoyens. Là où le bât blesse, c’est encore une fois dans l’absence de détails. «Si l’objectif est d’améliorer l’accès aux services publics, c’est une cible atteignable, poursuit l’expert. Mais est-ce possible de dire quels sont les services publics et qui seront responsables de délivrer les documents d’identité numérique?»

Pour l’heure, seul le premier projet détaille quelques objectifs de manière plutôt vague et générale «qui ne sont pas mesurables», selon Martin Berthiaume.

 

«Un Big Brother»

Sébastien Gambs craint certaines dérives possibles de la solution une fois mise en place. En effet, dû au flou entourant le déploiement, il est difficile de savoir ce qui sera fait des traces en ligne générées par l’identité numérique.

Loin de rassurer, l’an dernier, Éric Caire, alors ministre de la Transformation numérique, avait admis être ouvert à vendre des données anonymisées des citoyens aux entreprises privées. Est-ce que cela s’applique à l’identité numérique? Si oui, quelles données seront récoltées, où seront-elles entreposées, à quel moment seront-elles anonymisées et de quelles façons?

«Le fait que j’entends beaucoup le gouvernement dire "on va monétiser les données avec des compagnies privées", on voit qu’il n’est pas dans le discours "inquiétez vous pas toutes les données, c’est le gouvernement qui va les garder et les sécuriser, ils ne sortiront jamais". C’est plutôt le contraire, poursuit le professeur. Le risque c’est d’avoir un "Big Brother" qui va centraliser les données».

Sébastien Gambs croit que l’identité numérique peut avoir son utilité pour authentifier les citoyens en ligne et pour éviter la fraude. Néanmoins, encore une fois, l’objectif de l’initiative provinciale demeure nébuleux.

Également, est-ce que le gouvernement prévoit réduire la fraude avec sa solution? Si oui, quels sont les mécanismes qui seront mis en place? Est-ce que le gouvernement souhaite simplement se rabattre sur la sécurité que permet l’identité numérique en minimisant les informations exposées ou bien est-ce que des mesures supplémentaires sont dans les cartons?

 

Que faire de la biométrie?

Ce qui s’applique aux traces laissées par les données de l’identité numérique s’applique aussi à la gestion des données biométriques. Des données que le gouvernement possède déjà, nuançait le ministre Éric Caire en janvier dernier, par l’entremise des photos de la carte d’assurance maladie et du permis de conduire.

Mais encore là, qu’est-ce qu’on entend par données biométriques? Est-ce seulement l’usage des fonctions déjà offertes par les appareils intelligents? « [Car] pour un téléphone Apple, ce n’est pas l’entreprise qui a une base de données de ton visage, l’enregistrement se fait plutôt de manière locale», rappelle Sébastien Gambs.

Ou bien, est-ce que le gouvernement prévoit mettre à profit sa base de données? À ce moment, «il y a un risque de cybersécurité et d’atteinte à la vie privée, croit Martin Berthiaume. Il suffit seulement que quelqu’un de malintentionné tombe là-dessus.»

Oui le gouvernement possède ses informations, mais il semble y avoir une différence entre détenir une base de données et l’exploiter en la connectant à un service d’authentification.

Des questions persistent aussi à savoir la façon dont ces données seront mobilisées? Est-ce pour se connecter au «Service d’authentification gouvernementale» ou pour prouver mon identité lors d’un achat demandant une vérification d’identité comme l’acquisition d’une nouvelle voiture?

Dans le cas où le gouvernement prévoit mettre à profit sa base de données, qu’en est-il lorsqu’il faut mettre à jour la photo, dois-je simplement en télécharger une nouvelle? En cas de piratage de mes données, comment s’assurer que la photo concorde? Les questions sont nombreuses.

 

Danger de faire comme la Chine?

Certains citoyens, lors d’une manifestation en février contre les mesures sanitaires, ont dit craindre que l’identité numérique soit utilisée par le gouvernement pour contrôler et surveiller la population.

À ce sujet, Pierre Roberge est catégorique: «Si le gouvernement du Québec faisait comme la Chine, il ne serait pas réélu». Selon lui, si le politique ou l’administratif envisageaient cette avenue, il y aurait des lanceurs d’alerte. «Les gens reconnaissent la valeur de la vie privée.» Sébastien Gambs est du même avis. Il dit ne pas s'inquiéter de voir le Québec faire comme la Chine et instaurer un crédit social.

Malgré tout, le professeur de l’UQAM aimerait un débat parlementaire avec des discussions d’expert sur la question de l’identité numérique. Si Martin Berthiaume ne ferme pas la porte à un tel débat, il rappelle «qu’avant de débattre de quelque chose, il faut savoir de quoi on parle.»

 

Pour ne pas manquer ce rendez-vous, recevez les «La techno porte conseil» dans votre boîte de courriels !


 

Sur le même sujet

Responsable de la protection des renseignements personnels: un pour tous, tous contraints

COURRIER DES LECTEURS. Qui assume ce rôle de responsable de la protection des renseignements personnels chez vous?

Incidents de confidentialité: une règle de trois avant de signaler

COURRIER DES LECTEURS. Informer plus, informer mieux: c’est donc là tout l’objectif de la nouvelle loi.

À la une

Bourse: Wall Street termine en hausse, rassurée par la Banque d’Angleterre et la baisse des taux

Mis à jour le 28/09/2022 | lesaffaires.com, AFP et Presse canadienne

REVUE DES MARCHÉS. La Bourse de Toronto a mis fin à une séquence de six reculs quotidiens consécutifs.

Bourse: les gagnants et les perdants du jour

Mis à jour le 28/09/2022 | Refinitiv

Voici les titres d'entreprises qui ont le plus marqué l'indice S&P/TSX aujourd'hui.

À surveiller: Dollarama, MTY et Magna

Que faire avec les titres de Dollarama, MTY et Magna? Voici quelques recommandations d'analystes.