« On n’a plus le choix, on est rendu là. Mais plus on attend, plus ça va coûter cher, plus ce sera complexe. »

Vincent Brousseau-Pouliot Vincent Brousseau-Pouliot
La Presse

Claude Vigeant, spécialiste de la cybersécurité, est catégorique : Ottawa devra un jour créer une identité numérique plus sécuritaire pour les Canadiens qu’un numéro d’assurance sociale et une date de naissance. « Le gouvernement fédéral n’aura pas le choix de le faire à un moment donné », dit le président d’OKIOK, firme lavalloise de cybersécurité.

« Du côté technologique, ce n’est pas compliqué. Une vingtaine de pays ont déjà une identité numérique. Du côté politique, c’est plus compliqué », dit Éric Parent, PDG d’EVA Technologies, firme montréalaise de cybersécurité.

En juin dernier, 2,9 millions de membres du Mouvement Desjardins ont été victimes du plus grand vol de données personnelles de l’histoire du Québec. Fin juillet, c’était au tour de 6 millions de Canadiens d’être victimes de vol de données, cette fois chez Capital One.

Ces deux événements n’ont pas convaincu les libéraux ou les conservateurs de promettre une nouvelle identité numérique aux Canadiens au cours de la campagne électorale.

« On reconnaît qu’il faut un système efficace et sécuritaire pour les citoyens. Le gouvernement est en train d’étudier la question [de l’identité numérique] et de tester les paramètres », affirme le candidat libéral David Lametti, ministre fédéral sortant de la Justice, qui évoque un projet pilote mené par le Conseil du Trésor du Canada.

Les conservateurs veulent former un comité d’experts pour étudier la question. « Ça prend une meilleure protection. C’est sûr que ça prend des changements. Comment ? On ne peut pas le dire, le comité d’experts va nous donner les réponses », affirme le candidat conservateur Pierre Paul-Hus.

Le Bloc québécois et le Nouveau Parti démocratique (NPD) veulent aussi qu’Ottawa se penche sur une nouvelle solution, sans préciser laquelle. Le Parti vert du Canada ne prend pas position (voir capsule).

Quasi impossible à copier

Pourquoi une identité numérique réglerait-elle le problème des vols massifs de données ?

Autant avec le gouvernement qu’avec les institutions financières, les Canadiens s’identifient avec les mêmes renseignements personnels, dont la date de naissance et le numéro d’assurance sociale (NAS), qui relève d’Ottawa. Les citoyens fournissent ces informations à plein d’organismes tout au cours de leur vie (recherche d’emploi, demande de crédit, etc.). Il suffit que l’un de ces organismes se fasse voler ces données pour que la personne soit ensuite victime d’un vol d’identité, puis potentiellement d’une fraude financière. Ottawa peut donner un deuxième numéro d’assurance sociale (NAS) à une personne, mais il ne peut pas détruire le premier NAS, qui restera lié à ce citoyen.

En clair, si un fraudeur vole vos renseignements personnels, il peut usurper votre identité.

La solution préconisée par les trois experts consultés par La Presse est un nouveau système d’identité numérique qui pourrait prendre la forme d’une carte à puce cryptographiée avec un NIP, comme une carte de crédit. « Ce serait comme une clé de voiture », illustre José Fernandez, professeur en génie informatique et logiciel à Polytechnique Montréal.

Avant de l’attribuer, le gouvernement identifierait le citoyen, comme il le fait avec un passeport. Une telle carte serait quasi impossible à cloner, car elle n’aurait pas de bande magnétique, seulement une puce. Elle coûterait entre 1 $ et 2 $ par carte à puce. Si une personne se fait voler sa carte d’identité numérique, celle-ci serait annulée, puis remplacée.

Au départ, Ottawa pourrait utiliser cette identité numérique pour ses services gouvernementaux. Des entreprises privées comme les banques pourraient ensuite se servir de l’identité numérique pour identifier leurs clients. L’Association des banquiers canadiens demande d’ailleurs à Ottawa d’agir pour créer un système d’identité numérique au Canada.

L’envers de la médaille ? Le gouvernement fédéral devra identifier tous les Canadiens, soit directement ou par un intermédiaire privé. C’est là que les coûts augmentent. 

« Ça prendrait des années pour mettre en place tous les processus pour accommoder tout le monde », dit Claude Vigeant.

Éric Parent fait valoir que la création d’une identité numérique serait moins complexe qu’on pourrait le croire. Ottawa a déjà recours à une forme d’identité numérique pour les 24 millions de passeports canadiens en circulation.

Il y a aussi la question des provinces, qui donnent beaucoup de services aux citoyens. Sans une entente fédérale-provinciale, les Canadiens pourraient se retrouver avec deux identités numériques, l’une fédérale, l’autre provinciale.

Au début des années 2000, Ottawa avait songé à créer une nouvelle identité numérique, sans finalement aller de l’avant. Une vingtaine de pays utilisent aujourd’hui une identité numérique, dont les pays scandinaves et l’Estonie, souvent montrée en exemple par les experts. « Tout le monde nous a dépassés, dit le professeur José Fernandez. Même la Sierra Leone le fait. On est encore à l’âge de pierre. »

15 milliards de dollars

Et il n’y a pas que la question de la sécurité : une identité numérique pourrait créer 15 milliards en valeur dans l’économie, selon le Digital ID & Authentification Council of Canada (DIACC). « Ça prévient la fraude, mais c’est aussi un moteur de développement économique, dit le professeur José Fernandez. On a plus 30 mots de passe à retenir. En Estonie, je peux vous vendre une auto, faire la transaction devant un ordinateur et recevoir les papiers d’enregistrement du gouvernement tout de suite dans un fichier PDF. »

Ce que disent le NPD, le Bloc et les verts

NPD

« Nous sommes ouverts à l’idée de nous pencher [sur cette question] pour trouver une façon de faire qui ressemble plus au XXIe siècle. Les citoyens déplorent qu’en 2019, un seul chiffre soit suffisant avec d’autres données faciles à obtenir [pour se faire identifier]. C’est le temps plus que jamais de revoir cette façon de faire », dit Pierre-Luc Dusseault, candidat du NPD.

Bloc québécois

Le Bloc veut une consultation sur la nouvelle forme d’identité numérique. « On veut qu’Ottawa se penche sur quelque chose de mieux que le NAS. On voit que le NAS n’est plus fiable. Il faut une consultation ouverte, transparente, et la discussion peut inclure la biométrie », dit Simon Marchand, candidat du Bloc québécois et expert en prévention de la fraude d’identité.

Parti vert du Canada

Le Parti vert n’a pas de position sur la façon d’identifier les Canadiens, selon le chef adjoint du parti Daniel Green. « Avant de décider du mode d’identification des citoyens, il faut modifier les lois sur le Service canadien du renseignement de sécurité pour s’assurer qu’il n’y ait pas de surveillance des Canadiens », dit-il.

Renseignements personnels

Davantage de droits comme en Europe ?

En matière de protection des renseignements personnels, un Européen est mieux protégé qu’un Canadien.

Voici cinq droits qu’ont les Européens depuis 2018 (et que les Canadiens n’ont toujours pas au niveau fédéral) : 

– droit de limiter le traitement de ses données personnelles par une entreprise ou un organisme ;

– droit de s’opposer au traitement de ses données personnelles ;

– droit à la portabilité des données (transférer les données d’un organisme à un autre) ;

– droit de ne pas faire l’objet d’une décision individuelle automatisée ;

– droit à l’oubli et à l’effacement clairement précisé dans la loi.

Au Canada, les gens ont principalement le droit de consentir librement à l’utilisation de leurs données. Un droit qui n’est pas toujours connu, dit Antoine Guilmain, avocat spécialisé en protection des renseignements personnels au cabinet Fasken. « Les gens lisent rarement ce qu’on leur met sous les yeux. Et dans les faits, c’est un choix assez limité, dit-il. Est-ce qu’un employé consent vraiment [à l’utilisation de ses données personnelles] quand il y a un rapport de force avec son employeur ? » Un règlement en vigueur depuis 2018 donne clairement aux Européens le droit de s’opposer au traitement de leurs données personnelles.

En Europe, les autorités réglementaires peuvent imposer des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Au Canada, le commissaire fédéral demande aux élus de modifier les lois fédérales afin qu’il puisse imposer des amendes.

Survol des promesses des partis

Les partis politiques fédéraux promettent-ils davantage de droits aux Canadiens en matière de protection de leurs renseignements personnels ? Autant de droits qu’en Europe ? Survol de leurs promesses en trois questions.

1) Voulez-vous adopter des lois équivalentes ou semblables à celles en vigueur en Europe ?

Parti libéral du Canada : « Je crois que oui [il faut plus de droits]. C’est la raison pour laquelle nous avons adopté une nouvelle charte numérique. On va regarder ce qui se passe en Europe, mais on ne peut pas donner de réponse définitive », dit le candidat libéral David Lametti, ministre fédéral de la Justice et procureur général du Canada.

Parti conservateur du Canada : « C’est clair qu’il faut changer [la loi]. On voit actuellement que la loi et les pratiques ne sont pas adaptées à la rapidité des changements numériques. L’Europe fait partie des options », dit le candidat conservateur Pierre Paul-Hus. Les conservateurs proposent d’établir une marque de cybersécurité au Canada.

Le Nouveau Parti démocratique (NPD), le Bloc québécois et le Parti vert du Canada veulent modifier les lois fédérales en s’inspirant de la réglementation européenne en matière de droits à la protection des renseignements personnels.

2) Voulez-vous donner au Commissariat à la protection de la vie privée du Canada le pouvoir d’imposer des amendes ?

Le Parti libéral du Canada veut accorder plus de pouvoirs au commissaire fédéral, mais n’a pas précisé de quels nouveaux pouvoirs il s’agit dans sa plateforme.

Le Parti conservateur du Canada, le NPD, le Bloc québécois et le Parti vert du Canada veulent accroître les pouvoirs du commissaire fédéral, y compris celui de donner des amendes.

3) Les partis politiques ne sont pas assujettis aux lois fédérales sur la protection des renseignements personnels. Voulez-vous qu’ils y soient assujettis ?

Le Parti libéral du Canada et le Parti conservateur veulent étudier cette question.

Le NPD et le Parti vert du Canada assujettiraient les partis politiques aux lois sur la protection des renseignements personnels.

Bloc québécois : « Si on y assujettit les partis politiques, il faut rouvrir le débat sur le financement public des partis politiques, car les coûts en matière de sécurité seraient impossibles à soutenir. On ferait du financement uniquement pour se conformer aux lois [en matière de protection sur les renseignements personnels] », dit le candidat bloquiste Simon Marchand.