Aperçu du nouveau projet de loi 82 sur l’identité numérique au Québec
Le 21 novembre 2024, un projet de loi concernant l’identité numérique a été déposé à l’Assemblée nationale du Québec. Le projet de loi 82, Loi concernant l’identité numérique nationale et modifiant d’autres dispositions, (PL 82) vise principalement l’établissement d’un cadre légal, bien modeste, au projet d’identité numérique que pousse, depuis des années, le ministre de la Cybersécurité et du Numérique (le ministre), Éric Caire[1].
Des consultations particulières et auditions publiques auront lieu les 28 et 29 janvier 2025 devant la Commission des finances publiques de l’Assemblée nationale.
La Ligue des droits et libertés sera entendue le 28 janvier à 17 h 45 et déposera un mémoire. D’ici là, voici un résumé du contenu du PL 82.
Que contient le PL 82 ?
Quels sont les enjeux de droits humains ?
C’est par l’ajout d’un court chapitre (le 1.1) à la Loi sur la Cybersécurité et du Numérique (LCN) que seront établies les balises de cette identité numérique nationale.
Le PL 82 définit l’identité numérique comme « l’ensemble des moyens dont dispose l’État pour garantir à toute personne un accès sécurisé aux prestations électroniques de services gouvernementales ». Il s’agit donc de sécuriser les échanges en ligne des citoyen-ne-s avec l’État. Mais l’identité numérique doit aussi permettre « de réaliser des interactions dans la collectivité » à l’aide d’attestations gouvernementales certifiant certaines informations (identité, âge, adresse, état civil etc.) sur une application numérique[2]. Ces attestations numériques pourraient donc servir lors de transactions privées (banque, assurances, entreprises etc.).
L’identité numérique ne pourra être exigée par un organisme public afin de fournir une prestation de service gouvernementale. Nous comprenons en revanche qu’elle serait nécessaire dans le cas de prestations électroniques de services; autrement dit les prestations demandées en ligne. Par ailleurs, aucune interdiction d’exiger l’identité numérique n’est prévue pour les entités privées, lors d’interactions dans la collectivité, ce qui constitue une faille importante du PL 82.
C’est le ministre qui assume la gestion centralisée de l’identité numérique, le tout en adéquation avec le virage numérique de l’administration publique. Les organismes publics seront tenus de recourir aux services d’identité numérique offerts par le ministre.
Un registre de l’identité numérique est créé, qui sera aussi sous la responsabilité du ministre. Ce registre est un système de dépôt et de communication des données numériques gouvernementale (DNG). Quelles seront ces données? Il s’agit du nom, date et lieu de naissance d’une personne ainsi que le nom de ses parents; de même que tout autre renseignement que détermine le gouvernement, ce qui confère au gouvernement un pouvoir démesuré. Le registre doit permettre la conservation sécuritaire de ces DNG, leur communication entre organismes publics, l’accès et la traçabilité de tout accès à ces données de même que toute autre fonctionnalité déterminée par règlement. Le ministre ne pourra utiliser ces données à des fins de profilage des personnes[3].
Le gouvernement fixe des cibles aux organismes publics concernant l’identité numérique (accès aux services, taux d’utilisation). Il pourra également déterminer les conditions et modalités d’une entente visant à rendre l’identité numérique québécoise interopérable avec les infrastructures de tout système local, régional, national ou international. Ce qui comporte des risques au plan de la sécurité et de la souveraineté numérique.
En plus des vastes pouvoirs règlementaires énumérés ci-haut, le gouvernement pourra « préciser les données numériques gouvernementale, ayant des caractéristiques biométriques ou contenant des mesures biométriques, qui peuvent être utilisées ».
On pave donc la voie à l’utilisation de la biométrie aux fins de l’identification et de l’authentification des personnes, le tout sans débat public[4], par le biais d’un simple règlement et alors même qu’il s’agit d’une technologie invasive et présentant des risques importants en matière de droits humains.
Le PL 82 soulève d’importants enjeux concernant le droit à la vie privée, les risque de dérive sécuritaire, le détournement de finalités, les menaces à la confidentialité et à la sécurité des données, l’exercice de la souveraineté numérique, l’accroissement de la fracture numérique, les enjeux environnementaux.
La Ligue des droits et libertés est présentement au travail pour analyser en détails le PL 82 et alerter la population sur les risques que le projet d’identité numérique soulève pour les droits humains.
—
Le mémoire du ministre Caire sur le PL 82 déposé au conseil des ministres est maintenant disponible en ligne.
[1] Voir : « Quel respect des droits humains avec l’identité numérique ? », Revue Droits et libertés, automne 2023 / hiver 2024 ; « Pas d’identifiant numérique sans débat ni transparence », Lettre ouverte, La Presse, 24 octobre 2023.
[2] C’est le fameux portefeuille numérique souvent évoqué par le ministre Caire ces dernières années.
[3] Selon le PL 82, « le profilage s’entend de la collecte et de l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne » (art. 6 du PL 82).