Le 1er janvier dernier entrait en vigueur la Loi édictant la Loi sur le ministère de la Cybersécurité et du Numérique, créant ainsi le tout premier ministère chargé de coordonner les actions de l’ensemble du gouvernement du Québec en matière de cybersécurité et du numérique.

Notamment, la Loi prévoit que le nouveau ministre, Éric Caire, propose les grandes orientations sur lesquelles le gouvernement du Québec devra s’investir, établisse les secteurs d’activité prioritaires et, ainsi, agisse à titre de conseiller en matière de cybersécurité et de transformation numérique auprès des autres ministères et organismes publics.

Certes, avec les milliers de cyberattaques dont nous sommes témoins au quotidien, il sera également de la mission du nouveau ministre de proposer des mesures appropriées de protection des données publiques pour assurer la cyber-résilience de l’ensemble du gouvernement du Québec.

Né de la convergence des équipes d’Infrastructures technologiques Québec et du Sous-secrétariat du dirigeant principal de l’information et de la transformation numérique du Secrétariat du Conseil du trésor, le ministère de la Cybersécurité et du Numérique sera le cerveau central de la gestion des ressources informationnelles et de la sécurité de l’information du Québec.

D’ailleurs, le ministre de la Cybersécurité et du Numérique sera chargé du décloisonnement des bases de données du gouvernement, ce qui facilitera le partage de données publiques, en plus de développer une identité numérique pour les Québécois.

L’identité numérique est d’ailleurs au cœur de cette transformation.

Critiqué par certains pour avoir développé, jusqu’à présent, le projet d’identité numérique avec trop peu de consultation publique, le gouvernement du Québec se doit de concrétiser une stratégie robuste et de s’entourer des meilleures expertises en la matière afin de réaliser cet engagement colossal.

D’ailleurs, le projet avance à toute allure. Il est annoncé pour l’été 2022 : le ministre prévoit lancer des outils logiciels afin de permettre aux Québécois d’utiliser cette preuve d’identité numérique auprès de l’appareil gouvernemental (en remplacement de ClicSÉQUR), et dans leurs affaires quotidiennes pour faciliter les achats en ligne et en magasin. « L’identité des gens ne devrait pas appartenir au privé », affirme-t-il dans un récent article d’un quotidien de Montréal, « ces données seront détenues par le gouvernement ». Lors de son entrevue, le ministre va jusqu’à dire : « La loi 6 nous permet d’agir auprès des organismes et des entreprises pour assurer la cohésion de nos activités de cybersécurité. On n’ira pas dire aux entreprises quoi faire, mais nous pourrons leur imposer des protocoles assez stricts. »

En effet, le Québec est membre du Conseil canadien de l’identification et de l’authentification numériques (CCIAN), une alliance à but non lucratif fondée en 2020 et regroupant des dirigeants des secteurs public et privé de partout au Canada. Le CCIAN développe activement un Cadre de confiance pancanadien (CCP) pour l’identification et l’authentification numériques, axé sur la protection de la vie privée des Canadiens, la transparence, la sécurité et l’interopérabilité de l’écosystème de l’identité numérique canadienne. Les « protocoles assez stricts » mentionnés par le ministre se réfèrent possiblement au programme Voilà Vérifié lancé par le CCIAN, une certification d’identité numérique sécurisée permettant aux entreprises d’afficher leur conformité au CCP. Le CCIAN travaille également à la reconnaissance et à l’interopérabilité de Voilà Verified à l’international, notamment auprès de la norme internationale NIST 800-63, norme qui encadre la sécurité de l’information relative à l’identité numérique, et du Règlement européen eIDAS, qui établit le cadre européen en matière d’identification électronique et de services de confiance et gouverne la sécurité des interactions électroniques entre les citoyens, les entreprises et les autorités publiques.

Heureusement, les entreprises du Québec qui veulent se conformer à la marque de confiance Voilà Verified pourront demander le remboursement des coûts de la conformité par l’entremise du Programme d’innovation en cybersécurité du Québec (PIQC), administré par Prompt, une organisation à but non lucratif qui établit et finance des partenariats de recherche et d’innovation dans les secteurs des technologies de l’information et des communications (TIC), du numérique, de l’intelligence artificielle et de la micro-électronique.

Au revers, l’adoption de l’identité numérique québécoise nous porte à nous préoccuper des questions d’éthique, de sécurité, de confidentialité et de surveillance de masse de l’État.

La porte-parole en matière de stratégie numérique et députée libérale Marwah Rizqy a par le passé exposé certaines lacunes du projet, notamment dans la gestion de l’accès à l’information, qui est aussi sous la responsabilité du ministre Caire, et le besoin d’un débat public sur l’utilisation de la biométrie des citoyens.

Rappelons-nous quelques événements récents, dont les failles de l’application Vaxi-Code Vérif permettant de créer de fausses preuves de vaccination, le moratoire sur l’utilisation de la reconnaissance faciale au Québec, déposé par la députée libérale Marwah Rizqy en réponse à l’acquisition possible d’une technologie de reconnaissance faciale et d’empreintes digitales par la Sécurité du Québec et la surveillance, par la Sûreté du Québec, des appels des journalistes Marie-Maude Denis, Isabelle Richer et Alain Gravel en 20131.

Une mise en application robuste de la loi no 252, modernisant la protection des renseignements personnels, et du projet de loi no 953, introduisant un nouveau cadre de gestion des données numériques gouvernementales afin de renforcer l’infrastructure de sécurité de l’information publique, tout récemment adoptés, sera incontournable afin que convergent la transformation de l’économie numérique dans un cadre strict de protection du droit à la vie privée et des renseignements personnels dont pourront jouir et tous les Québécois.

1. Lisez le texte de Radio-Canada « Marie-Maude Denis, Isabelle Richer et Alain Gravel surveillés comme des suspects par la SQ » 2. Consultez la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels 3. Consultez le projet de loi no 95, Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d’autres dispositions législatives Qu'en pensez-vous? Exprimez votre opinion