•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Protection de données : le Québec à la traîne

Un homme utilise un ordinateur portable.

Des initiatives se multiplient dans les provinces du Canada pour sécuriser les données des citoyens et faciliter l'accès aux services gouvernementaux.

Photo : iStock

Jean-Philippe Guilbault

Tenté par l’idée de doter chacun de ses citoyens d’une identité numérique sécurisée, le Canada a plutôt opté pour une collaboration avec les provinces. À ce titre, la Colombie-Britannique se distingue et le Québec en est à ses premiers pas.

Dès la fin des années 1990 et le début des années 2000, Ottawa étudiait la possibilité de doter les Canadiens d’une carte d’identité numérique à l’instar de ce qui se faisait à l’époque dans plusieurs pays européens.

Ils ont regardé ce qui se faisait ailleurs, en Angleterre avec le système Gouv.uk, et c’était une catastrophe, lance Patrick Drolet, vice-président à Notarius et membre du Conseil canadien de l’identité et de l’authentification numérique (DIACC), une coalition formée d’entreprises et de représentants des gouvernements provinciaux.

Selon M. Drolet, produire une identité numérique pour chacun des citoyens britanniques coûtait entre 15 000 $ et 30 000 $ par identité émise.

En 2003, le Comité permanent de la citoyenneté et de l’immigration à la Chambre des communes produit un rapport sur la carte d’identité numérique et souligne également les coûts astronomiques que cela pourrait occasionner.

Le Commissaire provisoire à la protection de la vie privée du Canada a laissé entendre que les frais initiaux seuls pourraient atteindre de 3 à 5 milliards de dollars, est-il avancé.

Le Comité souligne toutefois l’intérêt des Canadiens envers un projet de carte d’identité numérique. Citant un sondage Ekos réalisé en mars 2003, il est indiqué que 65 % des Canadiens sont favorables à un tel projet et cette proportion grimpait à 70 % dans le cas d’une carte intégrant des données biométriques.

Le projet – piloté à l’époque par Denis Coderre, alors ministre de la Citoyenneté – est rapidement abandonné.

Le Secrétariat du Conseil du Trésor du Canada n’envisage pas actuellement de créer une carte d’identité nationale pour le Canada, a indiqué par courriel un porte-parole.

Qu'est-ce qu'une identité numérique?

Pour prouver son identité et ainsi utiliser des services gouvernementaux ou acheter certains biens, les citoyens doivent fournir divers documents ou informations personnelles (passeport, carte d'assurance maladie, permis de conduire, etc.) Ces entreprises ou entités gouvernementales gardent ces données pour pouvoir confirmer ultérieurement l'identité de leurs clients. Ainsi, une même personne peut avoir « plusieurs identités » auprès de différentes entités.

Le but d'une identité numérique est de doter les citoyens d'une seule pièce d'identité (carte, compte virtuel) sécurisée selon les protocoles informatiques lui permettant de prouver à chaque fois son identité sans avoir à fournir de données personnelles.

Ottawa adopte depuis peu une autre stratégie, soit de s’arrimer aux solutions développées par les provinces.

Le porte-parole du Secrétariat du Conseil du Trésor fait référence à une initiative de collaboration entre les secteurs public et privé qui établit une série de normes et de spécifications pour faire en sorte que toutes les administrations respectent un ensemble commun de règles convenue.

Le provincial a ses affaires, le fédéral va fédérer les identités provinciales, explique M. Drolet. [Ottawa] a dit “ça va nous coûter bien moins cher et si vous êtes tous d’accord on va se brancher sur les identités numériques des provinces”.

Patrick Drolet, qui siège au comité de sensibilisation du DIACC, a une liste des différentes initiatives provinciales en la matière.

La Colombie-Britannique a la BC Services Card, c’est ton permis de conduire et ta carte d’assurance maladie dans une carte à puce signée numériquement comme un passeport. Ils ont aussi une identité numérique, énumère-t-il. My Alberta Digital ID n’est pas aussi bon, mais ce n’est pas mal. L’Ontario se base beaucoup sur l’Alberta et ils vont probablement avoir de quoi en janvier ou en février 2020.

Depuis 2013, les citoyens de la Colombie-Britannique peuvent utiliser la BC Services Card, une carte à puce misant sur un protocole de sécurité issu de l'Insurance Corporation of British Columbia.

Gros plan sur une BC Services Card de la Colombie-Britannique avec la photographie d'une femme.

Les BC Services Card de la Colombie-Britannique permettent aux résidents de s'identifier en ligne pour accéder à différents dossiers et services gouvernementaux.

Photo : Gracieuseté - Gouvernement de la Colombie-Britannique

La puce de la carte ne contient cependant aucun document crypté, elle ne sert qu’à assurer l’authentification du citoyen qui souhaite utiliser les services gouvernementaux. La carte peut également être utilisée par le biais d'une application mobile.

Si l’Alberta n’a pas de carte à proprement parler, son système numérique fonctionne avec une authentification utilisant un protocole TLS et crypte les données numériques. Les mots de passe des usagers sont également cryptés.

Identité numérique et protection des données

Depuis le vol de données chez Desjardins, plusieurs s’inquiètent de la protection des données personnelles au sein des différents ordres de gouvernement. Le concept d’identité numérique est un moyen de protection technologique pouvant servir de rempart contre la fraude.

Il faut distinguer identité et authentification, met toutefois en garde David Henrard, avocat et ancien président d’ISACA-Québec, la branche d’une association internationale militant pour l’amélioration de la gouvernance des systèmes d’information. Dans le monde numérique, tout l’enjeu c’est de s’assurer que l’on parle à la bonne personne. Comment fait-on pour s’assurer que ce n’est pas un fraudeur?

Ainsi, dans le cas de la Colombie-Britannique, c’est la carte à puce qui permet d’authentifier correctement un citoyen. Au gouvernement fédéral, depuis quelques années, des ministères offrent la possibilité de consulter son dossier en ligne à l’aide de son identifiant bancaire. La banque sert donc de « tiers de confiance » qui permet au gouvernement de s’assurer de l’identité de la personne se connectant au dossier.

Québec et sa transformation numérique

Selon Patrick Drolet, plusieurs grandes provinces ont des projets d’initiative d’identité numérique, sauf le Québec.

Le comité de sensibilisation du DIACC aurait d’ailleurs tenté à plusieurs reprises de convaincre la province de se joindre au groupe, sans succès.

Pourtant, les gouvernements de la Colombie-Britannique, de l’Ontario et du Nouveau-Brunswick y siègent, en plus de deux ministères fédéraux, de Desjardins et de la Banque de Montréal.

Le Nouveau-Brunswick est en avance sur le Québec, la Saskatchewan est en avance sur le Québec, le Yukon est en avance sur le Québec!

Patrick Drolet, membre du comité de sensibilisation du DIACC

En parallèle, la Coalition avenir Québec (CAQ) a déposé en avril dernier son projet de loi 14 visant à faciliter la transformation numérique de l’administration publique.

Ce projet de loi propose la suspension pendant 10 ans de la Loi sur l’accès à l’information et facilite l’échange de données entre les ministères pour, à terme, améliorer la communication entre l’État et les citoyens.

Si le texte fait état de « mesures appropriées afin d’assurer la protection des renseignements personnels », les intervenants interrogés jugent que le projet ne va pas assez loin.

Oui, on doit pouvoir communiquer plus efficacement entre le citoyen et le gouvernement, mais ça prend des mesures de sécurité à la hauteur des enjeux auxquels on fait face aujourd’hui, lance Martin Ouellet, porte-parole du Parti québécois en matière de stratégie numérique et qui siège au comité chargé d’étudier le projet de loi. Je ne suis pas convaincu que, présentement, dans la transformation numérique, on soit rendu là.

M. Ouellet s'interroge aussi sur l'intérêt du gouvernement aux initiatives dans les autres provinces ou ailleurs dans le monde.

On fait nos propres affaires et on va s’arrimer après avec ce qui existe au Canada, mais ce n’est pas une réflexion très profonde sur comment sécuriser nos données, laisse-t-il tomber. On ne change pas la manière dont le citoyen y a accès [...] On ne nous a pas parlé de biométrie ou de carte à puce.

Martin Ouellet en mêlée de presse à l'Assemblée nationale.

Le porte-parole péquiste en matière de stratégie numérique, Martin Ouellet

Photo : Radio-Canada / Ivanoh Demers

C’est inexact, répond le ministre délégué à la transformation numérique Éric Caire. On a travaillé le projet de loi de concert avec la Commission de l’accès à l’information qui nous a demandé plusieurs éléments que nous avons intégrés au projet de loi 14. Donc le projet de loi prévoit au contraire des éléments de sécurité notamment une étude d’impact sur l’utilisation des données.

M. Caire répète que l’objectif avoué du gouvernement est de réformer la Loi sur l’accès à l’information et que le projet de loi 14 offre une solution temporaire.

Le ministre délégué précise également qu’une représentante du gouvernement a participé en mai dernier à une rencontre pancanadienne pour ne pas avoir à réinventer la roue. Il ignorait toutefois s'il s'agissait du DIACC.

Éric Caire en point de presse avec des journalistes.

Le ministre délégué à la Transformation numérique gouvernementale, Éric Caire

Photo : Radio-Canada / Alice Chiche

Éviter un « pot commun » de données

Du côté d’ISACA-Québec, qui a déposé un mémoire dans le cadre des consultations publiques sur le projet de loi québécois, on se veut plus alarmant.

Si nous saluons la volonté du gouvernement de permettre à l’administration publique de tirer profit de l’information et des technologies par sa transformation numérique, nous éprouvons un certain malaise avec le manque de précision du projet de loi 14 dans sa forme actuelle, est-il écrit d’emblée dans le document.

L’organisme s’inquiète de la centralisation des données citoyennes à Québec. Car pour permettre une meilleure communication entre les ministères, le Secrétariat du Conseil du Trésor souhaiterait créer un portail dédié qui va colliger l’ensemble des informations, explique le député Martin Ouellet.

Ce que le gouvernement semblait nous dire, c’est que ce serait en deux volets : des serveurs publics et des serveurs privés, précise-t-il.

Ainsi, environ 80 % des données « moins sensibles » des citoyens seraient stockées sur des serveurs appartenant à des entreprises privées et 20 % de données beaucoup plus confidentielles seraient maintenues sur des serveurs appartenant à l’État.

Or, cette solution centralisée mettrait beaucoup plus à risque les données contre des brèches, soutient ISACA-Québec.

On ne veut pas se retrouver avec un pot commun où, s’il y a une fuite de données, on perd tout.

David Henrard, ancien président d'ISACA-Québec

Même son de cloche du côté de Patrick Drolet qui dénonce vertement l’initiative du Québec.

L’approche ne fait aucun sens, lance-t-il. La loi ne te permet pas de centraliser toutes les données sur des individus à un seul endroit, c’est bien trop dangereux!

M. Caire ne parle pas de centralisation des données, mais d’entente de partage des données dans le cadre de projets gouvernementaux. Ces partages seront donc traités à la pièce par le Conseil du Trésor avec l’avis de la Commission de l’accès à l’information.

Or, si Québec souhaite développer une plateforme où les Québécois auront accès à toutes leurs informations peu importe le ministère, centraliser les données ou assurer une meilleure communication entre les ministères n’est pas nécessaire, soutient pour sa part David Henrard.

Citant l’exemple d’Ottawa, il souligne que les 24 entités gouvernementales utilisant le système d’authentification bancaire ne se partagent pas les dossiers des citoyens.

Accès UniQC « révisé »

Autre point litigieux dans les projets du gouvernement, le système d’Accès UniQc, sorte de porte d’entrée numérique unique vers les dossiers de plusieurs entités gouvernementales.

Tous semblent s’entendre pour dire que le projet serait déjà abandonné par le ministre Éric Caire.

Accès UniQc est mort au combat compte tenu de la facture, lance M. Henrard, qui croit que les coûts pour un tel projet s’élevaient à près d’un milliard de dollars. Ça fait cher pour de la quincaillerie!

Le gouvernement serait plutôt à réviser la portée du projet, explique M. Caire.

On est à réviser les nouvelles technologies qui ont été déployées sur le marché depuis que ce projet-là a été autorisé il y a trois ans, avance-t-il tout en insinuant que Québec pourrait maintenant acquérir une technologie existante plutôt que d’en développer une « maison ».

Quand on développe une solution à partir de zéro, c’est sûr que ça va coûter plus cher, explique-t-il, sans s’avancer sur les estimations faites au Conseil du Trésor. Quand on fait une solution maison, c’est parce qu’il n’y a rien sur le marché qui répond à nos standards ou à nos besoins, ce qui n’est peut-être plus le cas maintenant.

Les différents intervenants consultés s’entendent également pour dire que le projet de loi 14 demeure flou et que le cas de Desjardins doit servir de prétexte pour améliorer la démarche du gouvernement.

On nous dit qu’on va mettre des données ensemble, mais pour faire quoi?, se questionne David Henrard qui attend les prochaines rencontres du comité parlementaire à l’automne.

On est encore dans les premiers balbutiements et c’est tout à fait pertinent, avec ce qui s’est passé avec Desjardins, de se poser la question de quelle façon le gouvernement pourrait sécuriser d’autant plus ses accès ou donner accès de manière différente à ses portails, estime le député Martin Ouellet.

Éric Caire affirme, quant à lui, que le projet de loi est assez complet et il rappelle que la faille chez Desjardins est issue d’un employé malveillant et non pas d’un problème informatique. Il affirme que le gouvernement a déjà des systèmes de surveillance internes pour qu'une situation de la sorte ne puisse pas se produire au sein des ministères.

Politique provinciale

Politique