Lettre publiée dans Le Devoir, le 24 octobre 2023.
Pas d’identifiant numérique sans débat ni transparence
Anne Pineau, membre du comité surveillance des populations, intelligence artificielle et droits humains de la Ligue des droits et libertés
Lynda Khelil, responsable de la mobilisation à la Ligue des droits et libertés
Il y a un an, le 24 octobre 2022, les commissaires à la protection de la vie privée de tout le Canada publiaient une résolution concernant les systèmes d’identité numérique. Elle énonce les exigences que devraient respecter les gouvernements en la matière. Au Québec, la Commission d’accès à l’information, signataire de la résolution commune, précisait, dans un communiqué, que « le gouvernement doit faire preuve de transparence à toutes les étapes de la réalisation du projet d’identité numérique en sollicitant la participation citoyenne par des consultations élargies, comme l’ont fait certaines provinces ».
Or, force est de constater que le projet de Service québécois d’identifiant numérique (SQIN) se développe actuellement sans débat, et qu’à plusieurs égards, il ne respecte pas les exigences de la résolution : éventuelle utilisation de la biométrie, manque de transparence, absence d’encadrement légal précis.
Un mémoire déposé au Conseil des ministres sur le SQIN en décembre 2021 apporte certaines informations : la « solution d’affaires » vise l’élaboration d’un document d’identité numérique gouvernemental faisant autorité auprès des tiers (public ou privé). Cette identité serait supportée par un portefeuille numérique (application mobile) permettant de conserver des cartes et attestations d’identité diverses. Une vérification d’identité « bonifiée » par l’utilisation potentielle de la biométrie, par exemple la reconnaissance faciale, est prévue (volontaire selon ce qu’a indiqué le ministre de la cybersécurité et du numérique aux médias). Le système aurait un registre doté d’un processus de vérification d’identité de toutes les personnes résidant au Québec.
Le service d’authentification gouvernementale, l’étape 1 du projet SQIN, a été mis en oeuvre dans le cadre de la transformation numérique de la Société de l’assurance automobile du Québec, avec les résultats discutables que l’on connaît. Le portefeuille numérique, dernière phase du projet, est prévu pour 2025.
Le projet SQIN soulève de nombreuses questions. L’élaboration d’un identifiant numérique fiable et sécuritaire doit d’abord respecter le droit à la vie privée. Le système ne devrait pas permettre la surveillance, et aucun détournement de finalités ne doit être possible, ce qui implique l’adoption d’un cadre légal robuste et précis. Les questions de sécurité et de confidentialité des données sont cruciales. En cas de panne, de piratage ou d’attaques par rançongiciels, on peut craindre une paralysie des services gouvernementaux.
Et qu’en sera-t-il en cas de vol d’identité ? Les appréhensions sont d’autant plus importantes que le gouvernement peine à recruter des experts en cybersécurité, ce qui l’amène à dépendre fortement du secteur privé ; d’où un accroissement des coûts et des risques à la confidentialité. Le recours aux géants américains du Web, tels que Google, Amazon et Microsoft, pour l’hébergement des données ajoute aux inquiétudes, le Clarifying Lawful Overseas Use of Data Act (Cloud Act) permettant aux autorités américaines d’accéder aux données hébergées (en infonuagique) par un fournisseur américain, peu importe où elles sont stockées.
Par ailleurs, fonder un système d’identifiant gouvernemental sur l’utilisation, même volontaire, de la biométrie mènerait à la banalisation insidieuse de cette technologie très invasive. Comment, enfin, garantir que l’identifiant numérique n’accentuera pas la fracture numérique d’une partie de la population ?
Autant de défis qui justifient amplement la tenue d’un débat public, démocratique et éclairé sur la question, comme le réclament de nombreux experts et organisations, dont la Ligue des droits et libertés. La confiance est essentielle à la mise en oeuvre d’un identifiant numérique, et celle-ci repose sur la transparence et la consultation publique.