Desjardins a été la victime d’un vol de données précieuses de ses membres. Je lis et j’écoute tout ce qui s’écrit et se dit au sujet de la sécurité informatique par des experts qui se penchent sur la question. Les accusations fusent d’une part, les protestations de l’autre.

La même histoire se répète chaque fois qu’un vol de données personnelles se produit. L’entreprise est accusée de laxisme et est appelée à faire mieux en matière de sécurité informatique.

On peut toujours faire mieux. Mais nous ne réglons jamais le problème à la source : comment se fait-il que les entreprises et institutions autres que celles des gouvernements aient dans leurs bases de données nos numéros d’assurance sociale (NAS) ? Ne devrait-on pas réserver ces numéros uniques, nous identifiant auprès des gouvernements, aux transactions entre les citoyens et ces derniers ?

On nous demande constamment d’être prudents et de ne pas donner notre NAS à qui nous le demande. Pourtant, impossible d’obtenir des services de la part d’une institution financière sans qu’on nous demande cedit numéro, afin de nous identifier. Même chose pour les assureurs, les municipalités, nos employeurs, etc.

Benoit Bilodeau

Le problème est que plus on multiplie le nombre de bases de données contenant notre NAS, plus il y a de points d’accès disponibles pour les voleurs.

Le NAS ne devrait pas être conservé dans d’autres bases de données que celles de nos gouvernements. Ceux-ci sont déjà responsables du registre d’état civil. Et quoique imparfait, c’est un bon système.

Alors que faire ?

Comme les gouvernements sont déjà responsables de notre identité, pourquoi ne pas formaliser la chose ? Agence de l’identité (ou insérer le nom de votre choix). Cette agence serait la seule à avoir en main notre NAS. Deux entités, l’agence et le citoyen, ont en main le NAS.

Vous devez, par exemple, ouvrir un compte bancaire avec une institution financière. Celle-ci veut s’assurer d’avoir affaire à la bonne personne. Comme cette institution est identifiée par l’Agence de l’identité du Canada (AIC) comme ayant droit d’obtenir ses services, elle vous demande d’entrer votre NAS dans un terminal (ou peut-être votre carte NAS serait équipée d’une puce ?) suivi d’un numéro d’identification personnel (NIP). L’AIC confirmerait votre identité et attribuerait à l’institution un numéro unique de confirmation de l’identité (NUCI). L’institution conserverait ce numéro dans sa base de données. Celui-ci constituerait la preuve de votre identité auprès de cette institution et ne pourrait être utilisé que par cette institution.

Si un vol de données survient auprès de cette institution, ce vol n’engage que celle-ci puisque les NUCI ne pourraient être utilisés nulle part ailleurs. L’institution pourrait alors relativement facilement corriger cette situation en avisant l’AIC. Chaque client auprès de cette institution n’aurait qu’à se présenter auprès de celle-ci afin qu’elle obtienne un nouveau NUCI.

C’est le même principe que lorsque vous payez chez un commerçant à l’aide de votre carte de crédit ou de débit. Le commerçant ne conserve pas votre numéro de carte, mais il a en main un numéro de transaction.

Ce système (ou un autre similaire) serait utilisé par les institutions, employeurs, municipalités et autres entités devant confirmer votre identité.

On ne peut continuellement faire confiance à chaque institution en ce qui concerne la possession de nos informations personnelles. Même avec la meilleure volonté, le simple fait de multiplier les banques de données où le NAS est conservé multiplie les risques que celui-ci soit dérobé.

Il est plus que temps que les gouvernements prennent leurs responsabilités en matière d’identité en cette ère numérique. Ils ont créé le NAS. Ils doivent maintenant en être les gardiens.

Qu’en pensez-vous ? Exprimez votre opinion.

Qu'en pensez-vous? Exprimez votre opinion