Demandes de passeport en ligne : des craintes pour les données personnelles des Canadiens

IBM Canada a obtenu en décembre un premier contrat d’un peu plus de 1,5 million $ pour développer une application que les citoyens pourront utiliser sur leur téléphone cellulaire, leur tablette ou leur ordinateur.

Cette nouvelle plateforme permettra aux gens de soumettre une demande de passeport, de payer les frais et de télécharger leur photo facilement et en toute sécurité, indique dans un courriel Rémi Larivière, porte-parole pour Immigration, Réfugiés et Citoyenneté Canada (IRCC).

Le gouvernement avait ce projet dans ses cartons depuis plusieurs mois, mais la pandémie l’a forcé à accélérer son élaboration pour rendre ses services de passeport plus pratiques et accessibles.

IBM Canada dispose ainsi de trois mois seulement pour développer l’application qui servira de pilote.

Les Canadiens pourraient être en mesure de faire leur demande de passeport entièrement en ligne dès 2022. Le service permettra de rattraper les retards accumulés pendant la pandémie pour la délivrance des documents. Mais il soulève aussi des questions sur la sécurité des renseignements personnels recueillis. Les explications d'Estelle Côté-Sroka.

Les services de passeport fonctionnent au ralenti depuis mars. En 2020, le gouvernement a délivré seulement 897 401 passeports, contre plus de 2,6 millions l’année précédente.

Pendant les quatre premiers mois de la pandémie, Service Canada ne traitait que les demandes des personnes qui avaient une raison valide de voyager d’urgence. Ces retards dans la remise de passeports ont même forcé le gouvernement à accorder un délai supplémentaire de deux ans aux Canadiens qui doivent renouveler un passeport récemment expiré.

Une phase de tests controversée

Le développement de l’application se fera au Canada, mais rien n’interdit à IBM Canada d’effectuer des tests à l’étranger. Pendant cette phase d’un an, la multinationale effectuera des essais avec les données de 1000 demandeurs de passeport qui se seront portés volontaires.

Advenant le transfert de renseignements protégés à l’étranger, ceux-ci devront être brouillés à l’aide de caractères aléatoires.

IRCC gérera tous les renseignements personnels des candidats demandeurs tout au long du processus de demande, spécifie Lauren Sankey, une autre porte-parole d’IRCC, dans un courriel.

« Le projet étant toujours en période de développement, nous déterminons les paramètres de sécurité spécifiques qui seront en place. »

Les Canadiens qui participeront au projet pilote devront payer les frais de renouvellement de leur passeport. Leur participation à la phase de tests permettra d’améliorer l’application avant qu’elle soit déployée à grande échelle.

Photo : Radio-Canada / Ivanoh Demers

Le professeur Sébastien Gambs, du Département d’informatique à l’Université du Québec à Montréal (UQAM), s’explique mal comment IBM Canada pourra bien mettre à l’essai son application sans avoir un accès complet aux données réelles des demandeurs de passeport.

[Pour tester une application de demande de passeport en ligne], on veut avoir normalement des données précises pour être capable de vérifier l'identité de la personne et générer une pièce d'identité, illustre M. Gambs, qui est aussi titulaire de la Chaire de recherche du Canada en analyse respectueuse de la vie privée et éthique des données massives.

Par ailleurs, le gouvernement ignore encore comment les photos des demandeurs de passeport seront validées.

Des risques pour les données personnelles des Canadiens?

IBM Canada ainsi que le gouvernement fédéral n’ont pas voulu indiquer où les données des Canadiens seront hébergées.

Mais la nouvelle application du gouvernement fera appel aux services de la multinationale américaine Amazon et de sa division qui gère l'infonuagique. Elle sera créée et exploitée dans le nuage d’Amazon Web Services (AWS), à partir des composantes de service AWS, indique l’appel d’offres du fédéral.

Les quelques entreprises spécialisées en infonuagique possèdent généralement des certifications très élevées en matière de sécurité de l'information, souligne le président et cofondateur de Crypto.Québec.

Toutefois, si on regarde l’historique d’Amazon, on constate rapidement que cette entreprise-là fait très souvent de la revente de données de ses utilisateurs, insiste Luc Lefebvre. C’est son modèle d’affaires de base.

AWS nie vendre les données de ses clients et garantit que sa technologie est sécuritaire. AWS assure la sécurité du­ cloud et les clients assurent la sécurité dans le cloud, indique une porte-parole dans un courriel.

Amazon Web Services, créée en 2006, est la division d'Amazon qui gère ses services d'infonuagique. Amazon, Google et Microsoft sont les trois principales compagnies spécialisées dans l’infonuagique.

Photo : Reuters / Ivan Alvarado

Le professeur Sébastien Gambs constate également que ce projet présente un risque pour l’intégrité des informations personnelles des Canadiens, notamment si elles se retrouvent à l’étranger.

Même si on fait affaire avec une compagnie américaine qui s’engage à garder les données localement au Canada, avec le CLOUD Act [adopté aux États-Unis] les données pourraient être transférées [à l’extérieur du pays], dit-il.

L’autre défi avec lequel le gouvernement devra composer, c’est de s’assurer qu’un fraudeur ne fasse pas une demande de passeport au nom d’une autre personne.

Dès qu'on est dans un contexte à distance, la vérification de l'identité devient beaucoup plus difficile, soutient M. Gambs.

« Le gouvernement va sûrement devoir collecter plus de données personnelles pour être capable de vérifier l'identité d'une personne. »

La porte-parole d’IRCC, Lauren Sankey, assure néanmoins que la vie privée des Canadiens et la sécurité de leurs renseignements personnels sont une priorité absolue.

De son côté, le président de Crypto.Québec pense qu’il serait plus sûr de faire affaire avec des entreprises 100 % canadiennes qui hébergent les données au Canada.

Sébastien Gambs, lui, espère que le gouvernement va récupérer complètement la gestion de l’application et du service au terme du projet pilote.

Le Commissariat à la protection de la vie privée du Canada a été informé du projet l’été dernier. La porte-parole Annie Tremblay indique que le commissaire doit communiquer avec le ministère pour obtenir plus d’informations avant de commenter le projet.

Une manne pour les réseaux criminels

L’arrivée de ce nouveau service va d’ailleurs probablement entraîner une hausse des fraudes, selon des experts, puisque le passeport canadien est d’une très grande valeur sur les marchés clandestins internationaux.

Les passeports canadiens permettent une très grande mobilité, relate Benoît Dupont, professeur de criminologie à l’Université de Montréal. C’est très attractif pour les groupes criminels organisés qui se spécialisent dans le trafic d'êtres humains.

Ces fraudeurs et cybercriminels pourraient rapidement considérer ce projet comme étant une bonne occasion. Ils vont l'exploiter très rapidement, très intensivement, pour essayer de se procurer le maximum de passeports de façon frauduleuse en un minimum de temps, indique M. Dupont, qui est aussi titulaire de la Chaire de recherche du Canada en cybersécurité.

Les méthodes des fraudeurs pour arriver à leurs fins sont nombreuses : infiltration, cueillette de renseignements, analyse du système en faisant une demande de passeport, soudoiement ou corruption d’employés qui participent au développement de l’application.

« Ça nécessite vraiment des mesures de sécurité qui vont au-delà de ce que l'on va retrouver, par exemple, dans le secteur financier. »

L’an dernier seulement, le Centre antifraude du Canada a répertorié 1806 fraudes reliées à des passeports.

Les risques de la sous-traitance

Pour sa part, l’Institut professionnel de la fonction publique du Canada (IPFPC) déplore qu’une fois de plus le gouvernement ait fait appel au secteur privé pour développer une infrastructure informatique qui aurait très bien pu être conçue par des fonctionnaires.

Le vice-président de l’IPFPC, Stéphane Aubry, souligne que les fonctionnaires ont prouvé à maintes reprises qu’ils détenaient l’expertise nécessaire pour réaliser des projets de cette envergure. Le système d’impôts est un bon exemple, selon lui.

Stéphane Aubry estime que de nombreux problèmes pourraient être évités si le gouvernement faisait appel à ses propres informaticiens.

Photo : Radio-Canada

La sous-traitance risque d’entraîner une perte d’expertise au sein de la fonction publique, ajoute-t-il. C’est un cercle vicieux, au lieu de développer les ressources à l’interne, on donne ça à l'externe, lance M. Aubry. Donc, on n'a plus les connaissances à l'interne, ce qui malheureusement, depuis des années, perdure et qui fait qu'on dépend à présent de ces ressources à l'externe.

L’appel d’offres prévoit d’ailleurs qu'IBM Canada pourrait avoir l’obligation d’appuyer davantage IRCC en matière de formation.

Vers un autre fiasco informatique?

L’IPFPC craint de surcroît que ce projet entraîne un autre fiasco informatique semblable à celui du système de paye Phénix, implanté par la même multinationale.

Le député néo-démocrate Alexandre Boulerice partage les mêmes inquiétudes. Il estime que le gouvernement fait fausse route en octroyant un contrat à une multinationale pour un projet aussi sensible. Il y a des précédents avec Phénix. [...] Quand on est dépendant d'une compagnie externe [...], on perd un peu le contrôle sur nos propres données, déplore-t-il.

« Il faut faire en sorte que ça soit la fonction publique qui ait le contrôle là-dessus. »

Le Nouveau Parti démocratique (NPD) entend talonner les libéraux de Justin Trudeau pour s’assurer que les données personnelles des demandeurs de passeport soient conservées sur des serveurs situés au Canada.

La députée Marie-Hélène Gaudreau, porte-parole du Bloc québécois en matière de protection des renseignements personnels, demande pour sa part au gouvernement de mettre le projet sur pause et de s’assurer de bien protéger les données personnelles des Canadiens, dont il est déjà responsable.

Mme Gaudreau souhaite que le gouvernement corrige au préalable les failles de sécurité de ses autres systèmes informatiques pour mettre fin aux différentes fraudes qui touchent les Canadiens, comme celles entourant la Prestation canadienne d’urgence.