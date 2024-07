On s’est habitué à déverrouiller son téléphone grâce à la reconnaissance faciale, mais cette technologie pourrait bientôt permettre aux usagers des transports en commun du Grand Montréal d’acheter leurs titres de passage. L’Autorité régionale de transport métropolitain (ARTM) envisage de mettre en place d’ici la fin de 2024 un logiciel pour authentifier l’identité des usagers par leur visage, a appris La Presse. Déjà, le projet inquiète des experts en cybersécurité.

Ce qu’il faut savoir L’ARTM veut développer un logiciel de reconnaissance faciale pour faciliter l’achat de titres.

La situation inquiète des experts en cybersécurité.

Le tout survient au moment d’une vaste transition numérique dans le transport collectif.

Dans un document déposé ces derniers jours dans le Système électronique d’appels d’offres du gouvernement (SEAO), l’ARTM dit étudier la possibilité de mettre sur pied une « solution de validation de l’identité numérique » pour « simplifier l’accessibilité aux produits tarifaires » et éviter les déplacements physiques au guichet.

Le logiciel permettrait à un usager du transport collectif du Grand Montréal « de procéder à la vérification de son identité via un système de reconnaissance faciale grâce à la caméra de son téléphone intelligent, ou de son ordinateur le cas échéant », accélérant ainsi l’obtention de titres spécifiques.

Il faudrait pour ce faire fournir des documents officiels comme un passeport, un permis, une carte d’assurance maladie, voire un acte de naissance ou une carte de résident permanent.

Pour le moment, la mise en service du logiciel est prévue au dernier trimestre de 2024. Dans un premier temps, il ne concernerait que les commandes en ligne de cartes pour les aînés, qui touchent des rabais tarifaires. Ceux-ci bénéficient d’ailleurs de la gratuité dans l’île de Montréal. Jusqu’ici, ces personnes doivent se procurer une carte OPUS avec photo, remplir un formulaire et se présenter dans un point de service pour valider leur identité, ce qui s’avère parfois long et ardu.

« Le volume estimé d’usagers potentiels qui pourraient se prévaloir de ce service dans la Communauté métropolitaine de Montréal (CMM) est d’environ 160 000 usagers par année », indique l’Autorité dans son appel d’offres.

Par courriel, l’organisme précise que son logiciel sera à terme « graduellement élargi à d’autres clientèles et services numériques ». Bref, on comprend qu’à terme, tous les usagers du transport collectif pourraient être invités à emboîter le pas. Le tout s’inscrit dans un vaste projet de transition numérique évalué à 162 millions et qui doit culminer en 2027 avec un système multimode au moyen d’une application mobile réunissant le métro, le bus, le REM, l’autopartage, le vélopartage, le taxi, voire le covoiturage.

« L’appel d’offres en cours vise à acquérir une solution logicielle permettant de valider, en ligne, l’identité d’une personne de manière rapide et sécuritaire. Cette solution simplifiera grandement l’accès des usagers [admissibles] aux offres tarifaires, en plus de leur permettre de gagner du temps », explique en ce sens une porte-parole de l’ARTM, Séléna Champagne.

Votre vie privée serait-elle en jeu ?

S’il salue l’intention de simplifier les processus pour l’usager, le coordonnateur au Laboratoire de recherche en médias socionumériques et ludification de l’UQAM, Jonathan Bonneau, ne cache pas avoir certaines inquiétudes liées à l’appel d’offres.

Ça donne un peu l’impression que, comme beaucoup d’entreprises, ils ont surtout en tête de mieux documenter et connaître les comportements de leurs clients. Et je ne suis pas sûr que ça justifie ce type de démarche qui peut tout à fait devenir dommageable si elle est mal gérée. Jonathan Bonneau, coordonnateur au Laboratoire de recherche en médias socionumériques et ludification de l’UQAM

« On est dans une invasion très dangereuse de la vie privée, surtout si une tierce partie avec de mauvaises intentions obtient l’accès à ces données-là. On voit de plus en plus de cas de fraudeurs qui arrivent à le faire sans trop d’expérience en programmation ou en informatique. C’est un réel enjeu, surtout chez les personnes âgées qui y sont d’autant plus vulnérables », poursuit M. Bonneau.

Il suggère plutôt à l’ARTM de sécuriser l’identité des usagers par des « mécanismes qui ont déjà prouvé leur efficacité, mais qui vérifient des données numériques moins importantes », comme des vérifications par envoi de code, ce que des géants numériques comme Google utilisent encore à ce jour.

Aussi préoccupé, le spécialiste en cybersécurité et chargé de cours à l’Université de Sherbrooke Steve Waterhouse seconde son collègue. « Il y a une surexposition d’informations personnelles là-dedans qui est assez importante. Ça doit être beaucoup mieux défini sur l’utilisation qu’ils vont faire de ces données, parce que là, ça me fait peur un peu », lance-t-il.

« Je ne comprends pas, d’ailleurs, pourquoi l’ARTM ne se rattache pas au Service d’authentification gouvernementale (SAG), qui est déjà en place et qui fonctionne assez bien. C’est un peu comme s’ils voulaient réinventer la roue, en quelque sorte. Et ça, je trouve ça dommage », ajoute M. Waterhouse.

Aussitôt utilisées, aussitôt détruites

Consciente des risques, l’Autorité indique de son côté, dans son appel d’offres, que les données personnelles transmises au logiciel ne devraient pas être conservées, mais plutôt « détruites dès leur fin d’utilité ».

En outre, « les données incluant les métadonnées produites par le logiciel […] sont la propriété exclusive de l’ARTM », ajoute l’organisme, qui précise que ces informations ne pourraient donc être « transmises, vendues, accédées ou exploitées par des tiers » sans son autorisation.

L’organisme précise d’ailleurs qu’une « stratégie de sécurisation des données » ainsi qu’une autre « de réponse aux incidents de cybersécurité » devront être définies, documentées et ensuite appliquées par le fournisseur qui livrera le futur logiciel.

Quant à l’hébergement des données, il devra être fait « au Canada, aux États-Unis, au Royaume-Uni ou dans un pays de l’Union européenne », apprend-on dans le document, qui souligne que si les informations sont stockées hors Québec, une évaluation des facteurs relatifs à la vie privée sera requise en vertu de la loi.