Quel respect des droits humains avec l’identité numérique?

Le gouvernement du Québec développe actuellement un projet de Service québécois d’identifiant numérique (SQIN) sans débat public, démocratique et éclairé. Pour ce type de système, des exigences minimales doivent être respectées selon les commissaires à la vie privée au Canada : éventuelle utilisation de la biométrie, manque de transparence, anonymat, absence d’encadrement légal précis et démocratie.

Quel respect des droits humains avec l’identité numérique?

Retour à la table des matières
Droits et libertés, automne 2023 / hiver 2024

Anne Pineau, Membre du comité Surveillance des populations, intelligence artificielle et droits humains

Selon une enquête réalisée par l’Académie de la transformation numérique (Université Laval) « moins de la moitié des inter­nautes québécois connaissent les concepts d’identité numérique (44 %) et de portefeuille numérique gouvernemental (45 %)1 ». Et seulement 40 % des adultes internautes affichent de l’intérêt « pour installer une carte d’identité numérique sur leur téléphone intelligent ». Malgré ce désintérêt ou cette méconnaissance, le ministre de la Cybersécurité et du Numérique, Éric Caire, avance à marche forcée dans son projet d’identité numérique (IN).

Manque de transparence

Il y a un an, le 24 octobre 2022, les commissaires à la protection de la vie privée de tout le Canada publiaient une résolution concernant les systèmes d’identité numérique2. Elle énonce les exigences que devraient respecter les gouvernements en la matière3.

Au Québec, la Commission d’accès à l’information, signataire de la résolution commune, précisait dans un communi­qué que « le gouvernement doit faire preuve de transparence à toutes les étapes de la réalisation du projet d’identité numérique en sollicitant la participation citoyenne par des consultations élargies, comme l’ont fait certaines provinces »4.

Or, force est de constater que le projet de Service québécois d’identifiant numérique (SQIN) se développe actuellement sans débat, et qu’à plusieurs égards, il ne respecte pas les exigences de la résolution : éventuelle utilisation de la biométrie, manque de consultation, absence d’enca­drement légal précis.

Service québécois d’identité numérique (SQIN)

Un mémoire déposé au Conseil des ministres sur le SQIN en décembre 20215 apporte certaines informations : la « solution d’affaires » vise l’élaboration d’un document d’identité numérique gouvernemental faisant autorité auprès des tiers (public ou privé). Cette identité serait supportée par un portefeuille numérique (application mobile) permet­ tant de conserver des cartes, permis et attestations d’identité diverses. Une vérification d’identité « bonifiée » par l’utilisation potentielle de la biométrie, par exemple la reconnaissance faciale, est prévue. Le système aurait un registre doté d’un processus de vérification d’identité de toutes les personnes résidant au Québec.

En trois volets

Le Service d’authentification gouverne­ mentale (SAG), l’étape 1 du projet SQIN, est une « solution d’authentification » qui permettra aux individus d’accéder en ligne à des services gouvernementaux et de consulter à distance leurs dossiers personnels (santé, SAAQ, Revenu Québec etc.). Comme le mentionne le mémoire au Conseil des ministres, le SAG « met en place les fondements d’une identité numérique » pour les fins gouvernementales. Ce ser­vice a été inauguré dans le cadre de la transformation numérique de la Société de l’assurance automobile du Québec (SAAQ), avec les résultats discutables que l’on sait.

L’étape 2 du SQIN vise l’authentification des entreprises faisant affaire avec le gouvernement.

L’étape 3 concerne l’ajout d’un portefeuille numérique, c’est­-à­-dire un « document d’identité numérique gouvernementale, sur un support numérique, faisant autorité et sur lequel peuvent se fier les tiers dans le cadre de programmes, de services ou d’autres activités ». Le mémoire précise que « les consommateurs de l’identité numérique disposeront d’un moyen simple, fiable et légalement reconnu de valider l’identité d’un résident du Québec avec lequel ils souhaitent faire affaire […] ». Pour mettre au point ce volet « des entreprises couvrant plusieurs domaines d’affaires (finances, télécommunications, assurances) ont été consultées » dans le but « de recueillir ou valider les besoins qui font partie intégrante de la solution proposée ». Le portefeuille s’articule donc autour des besoins des entreprises. Cette dernière phase du projet SQIN est prévue pour 2025.

Le projet SQIN, dans son ensemble, soulève de nombreuses questions.

Respect des droits humains et encadrement légal

L’élaboration d’un identifiant numérique fiable et sécuritaire doit d’abord respecter le droit à la vie privée et les autres droits humains.

Le système ne devrait pas permettre la surveillance et aucun détournement de finalités ne doit être possible, ce qui implique l’adoption d’un cadre légal robuste et précis, allant bien au­-delà des lois générales de protection des renseignements personnels.

Or, aucune loi particulière n’encadre le SQIN. Les commissaires à la vie privée indiquent pourtant que les nombreuses conditions qu’ils posent à l’établissement d’un tel système d’IN devraient « être intégrées à un cadre législatif applicable à la création et à la gestion des identités numériques », et assorti d’interdictions, de sanctions et de recours. Le SQIN devrait aussi faire l’objet d’une évaluation et d’une surveillance par un organisme indépendant.

Sécurité et conception des systèmes : une forte dépendance au privé

Les questions de sécurité et de confiden­tialité des données sont cruciales. En cas de panne, de piratage ou d’attaques par rançongiciels du système d’identifiants, on peut craindre une paralysie des services gouvernementaux.

Et qu’en sera-­t­-il en cas de vol d’identité ? Les appréhensions sont d’autant plus importantes que le gouvernement peine à recruter des experts en cybersécurité, ce qui l’amène à dépendre fortement du secteur privé. La proportion de sous­ traitants en informatique au sein du gouvernement atteignait 34,3 % en 20226, en forte hausse. L’utilisation de ressources externes augmente les coûts de même que les risques sur le plan de la confidentialité (plus de joueurs extérieurs).

Le recours aux géants américains du Web, tels que Google, Amazon et Microsoft, pour l’hébergement des données ajoute aux inquiétudes, le Clarifying Lawful Overseas Use of Data Act (Cloud Act) permettant aux autorités américaines d’accéder aux données hébergées (en infonuagique) par un fournisseur américain, peu importe où elles sont stockées7.

Biométrie

Selon ce que le ministre Caire a maintes fois indiqué aux médias, l’identifiant pourrait être activé par reconnaissance faciale mais au choix de l’utilisatrice ou de l’utilisateur8.

Il a aussi laissé entendre que les photos du permis de conduire ou de la carte d’assurance maladie pourraient éventuel­lement être utilisées9.

Plus récemment, dans le cadre de l’étude des crédits budgétaires de son ministère, le ministre déclarait qu’une consultation aurait lieu sur cette question :

« Mais, pour la reconnaissance faciale, dans le SQIN, ce que je vous avais dit et ce que je vous redis, c’est qu’il y aura consultation publique. Mais, si on veut amener notre service d’identité à ce qu’on appelle un niveau trois, donc c’est un niveau supérieur au niveau de la sécurité, c’est le genre d’élément (…) qu’on devra déployer, donc, l’iden­tification par la biométrie. Et, si on ne souhaite pas ça, évidemment, si les citoyen-­ne­-s ne souhaitent pas aller là, bien, on n’ira pas10 ».

Fonder un système d’identifiant gouver­nemental sur l’utilisation de la biométrie mènerait à une banalisation insidieuse de cette technologie très invasive. Et ce même si son usage demeurait facultatif.

Le critère retenu par les commissaires à la vie privée dans leur résolution n’est pas celui de la volonté mais de la nécessité11. Quant à l’argument de la sécurité, les commissaires à la vie privée notent dans un autre document : « Il ne suffit pas de s’appuyer sur des objectifs généraux de sécurité publique pour justifier l’utilisation d’une technologie aussi intrusive que la reconnaissance faciale12 ».

L’usage de la biométrie semble se répandre au sein du gouvernement québécois. En 2020, la Sûreté du Québec concluait un contrat avec la société Idemia pour une « solution d’empreintes digitales et de reconnaissance faciale en mode infonuagique privé ». En 2022, la SAAQ annonçait adopter elle aussi cette technologie, apparemment pour « faire le ménage » de sa banque de photos13. Si le chaos généré par la transition numérique de l’organisme a mené la ministre des Transports, Geneviève Guilbault, à sus­pendre ce projet, tout indique qu’il ne s’agit que d’une pause14. L’extension pro­jetée de cette technologie à l’identifiant numérique démontre l’insouciance du gouvernement quant aux risques que fait planer cette technologie sur la vie privée et la démocratie. Comme le signalent encore les commissaires à la vie privée :

« Si elle est utilisée de manière inappropriée, la technologie de recon­naissance faciale peut donc avoir des effets durables et sérieux sur la vie privée et sur d’autres droits fon­damentaux. Cela inclut des préjudices subis par certaines personnes dont les renseignements personnels peuvent être recueillis, utilisés ou communiqués, mais aussi des préjudices pour les groupes et les communautés et des préjudices sociétaux plus généraux qui découlent de la plus grande capacité des autorités à surveiller les espaces physiques et numériques dans lesquels les citoyen­-ne-­s interagissent. Il peut être difficile de limiter cette plus grande capacité de surveillance une fois qu’elle est enclenchée15 ».

Fracture numérique

Comment, enfin, garantir que l’identifiant numérique n’accentuera pas la fracture numérique d’une partie de la population ? Que le passage au gouvernement en ligne ne sera pas l’occasion de coupes sévères dans les services téléphoniques ou en personne ? Que les exclu-­e­-s du numérique ne seront pas laissés pour compte dans l’accès aux services gouvernementaux. Cet écart est déjà très préoccupant comme le signale le Protecteur du citoyen dans son dernier rapport : « (…) il existe un véritable fossé entre, d’une part, les services mis en ligne et, d’autre part, les personnes qui éprouvent des problèmes d’accès à ces modes de communication16 ».

Ailleurs dans le monde

La course à l’identifiant numérique dépasse les frontières québécoises. Le ministre Caire collabore depuis quelques années avec le fédéral et les provinces de l’Ontario et de la Colombie-­Britannique pour assurer l’interopérabilité (compatibilité) des services d’IN de chaque gouvernement17.

En France, une application gouverne­mentale (France Identité Numérique) a été lancée en septembre 2023. Le gou­vernement vise une généralisation de l’IN (80 % d’utilisateurs) en 2027. L’IN n’est toutefois pas obligatoire et, fait important, l’État, devant la grogne et des avis défavorables de la Commission nationale de l’informatique et des libertés, l’équivalent de la CAI pour le Québec, a dû renoncer à l’utilisation de la reconnaissance faciale18. Une IN européenne est aussi en cours d’élaboration.

En février 2017, la Banque Mondiale, et d’autres entités, publiaient les Principes généraux sur l’identification pour un développement durable : vers l’ère numérique19. L’objectif officiel : offrir une forme légale d’identification permet­ tant l’accès aux services publics, aux programmes sociaux et au marché en ligne. À cela s’ajoute une initiative de la Banque mondiale (ID4D) pour fournir une gamme complète de  soutiens financiers et techniques aux niveaux national et régional en Afrique.

Mais l’IN ne crée, en soi, aucun droit et l’accès à des programmes sociaux peut demeurer bien théorique, même avec un tel outil. Dans ce contexte, l’IN s’avère surtout un catalyseur de l’économie numérique, une identité « transactionnelle » comme la décrit le Center for Human Rights & Global Justice dans un texte de juin 2022. L’organisme reproche aussi à la Banque Mondiale de soutenir des projets d’IN fondés sur la biométrie.

« La Banque prend soin de préciser que les données biométriques ne sont pas exigées. Mais en insistant autant sur leurs avantages dans toute sa documentation, l’initiative ID4D a contribué à normaliser l’utilisation extensive de la biométrie dans les systèmes d’identification nu­mérique20 ». [Traduction libre]

Coïncidence ? Secure Identity Alliance (SIA), qui compte parmi ses membres les principales entreprises de biométrie, en­dosse les Principes généraux sur l’identification établis par la Banque Mondiale.

Conclusion

L’identité numérique soulève nombre d’enjeux de droits humains : vie privée, protection des données, anonymat, surveil­lance, cybersécurité, inégalités, démocratie, relation des citoyen­-ne­-s avec l’État, accès aux programmes sociaux, etc.

Autant de défis qui justifient amplement la tenue d’un débat public, démocratique et éclairé sur l’ensemble du projet d’iden­tifiant numérique, comme le réclament de nombreux experts et organisations, dont la Ligue des droits et libertés.

  1. Académie de la transformation numérique. Les services gouvernementaux en ligne et l’identité numérique (2021). 27 avril 2022. En ligne : https://transformation-numerique.ulaval.ca/enquetes-et-mesures/netendances/les-services-gouvernementaux-en-ligne-et-lidentite-numerique-2021/
  2. Assurer le droit à la vie privée et la transparence dans l’écosystème d’identité numérique au CanadaRésolution des commissaires à la protection de la vie privée fédéral, provinciaux et territoriaux et des ombudsmans qui assument une fonction de surveillance dans le domaine. En ligne : https://www.priv.gc.ca/fr/a-propos-du-commissariat/ce-que-nous-faisons/collaboration-avec-les-provinces-et-les-territoires/resolutions-conjointes-avec-les-provinces- et-territoires/res_220921_02/
  3. Notamment : participation volontaire des individus; contrôle des personnes sur leurs renseignements; ne pas utiliser de données biométriques sauf nécessité; le système ne devrait pas permettre le traçage ni créer de bases de données centralisées; transparence et encadrement légal du système d’IN incluant des droits de recours pour les citoyen-ne-s.
  4. En ligne : https://www.cai.gouv.qc.ca/identite-numerique-canada-organismes-de-surveillance-demandent-aux-gouvernements-dassurer-le-droit-a-la-vie-privee-et-la- transparence-dans-leurs-projets-et-systemes/
  5. En ligne : https://cdn-contenu.quebec.ca/cdn-contenu/gouvernement/MCE/dossiers-soumis-conseil-ministres/2021-0227_memoire.pdf
  6. Nicolas Lachance, Une transformation numérique sans expertise et sans effectifs pour Éric Caire, Journal de Montréal, 25 avril 2023.
    En ligne : https://www.journaldemontreal.com/2023/04/25/une-transformation-numerique-sans-expertise-et-sans-effectifs-pour-eric-caire
  7. Rousseau, La souveraineté numérique en agroalimentaire au Canada et au Québec, CIRANO, 16 février 2021. En ligne : https://cirano.qc.ca/files/publications/2021PE-03.pdf
  8. Nicolas Lachance, Identité numérique des Québécois: la reconnaissance faciale ne sera pas obligatoire, Journal de Québec, 25 février 2022. En ligne : https://www.journaldequebec.com/2022/02/25/identite-numerique-des-quebecois-la-reconnaissance-faciale-ne-sera-pas-obligatoire
  9. Stéphane Rolland, La Presse canadienne, Des documents financiers seront-ils associés à nos futures identités numériques au Québec?, Le Devoir, 7 janvier 2022. En ligne : https://www.ledevoir.com/politique/quebec/658875/des-documents-financiers-seront-ils-associes-a-nos-futures-identites-numeriques-au-quebec?
  10. Journal des débats de la Commission des finances publiques, Vol. 47 N° 21, Étude des crédits budgétaires du ministère de la Cybersécurité et du Numérique, 26 avril 2023. En ligne : https://www.assnat.qc.ca/fr/travaux-parlementaires/commissions/cfp-43-1/journal-debats/CFP-230426.html
  11. « La collecte ou l’utilisation de renseignements particulièrement intimes, sensibles et permanents, comme les données biométriques, ne devraient être envisagées que s’il est démontré que d’autres moyens moins intrusifs ne permettent pas d’atteindre l’objectif poursuivi; »
  12. Commissariat à la protection de la vie privée du Canada, Document d’orientation sur la protection de la vie privée à l’intention des services de police relativement au recours à la reconnaissance faciale, mai 2022, 62.
  13. Nicolas Lachance, Après ses ratés informatiques, la SAAQ se lance dans la reconnaissance faciale, Journal de Québec, 4 avril 2023. En ligne : https://www.journaldequebec.com/2023/04/04/la-saaq-utilisera-la-reconnaissance-faciale-pour-prevenir-les-fraudes
  14. Nicolas Lachance, Reconnaissance faciale à la SAAQ: Guilbault demande la suspension du projet, Journal de Québec, 4 avril 2023.
    En ligne : https://www.journaldequebec.com/2023/04/04/reconnaissance-faciale-a-la-saaq-guilbault-demande-la-suspension-du-projet
  15. Document d’orientation sur la protection de la vie privée à l’intention des services de police relativement au recours à la reconnaissance faciale. Précité. par. 14
  16. Rapport annuel 2022-2023, page 13. En ligne : https://protecteurducitoyen.qc.ca/sites/default/files/2023-09/rapport_annuel-2022-2023-protecteur-citoyen.pdf
  17. En ligne : https://www.newswire.ca/fr/news-releases/avancees-importantes-en-matiere-d-identite-numerique-pour-le-quebec-rencontre-des-ministres-federal-provinciaux-et- territoriaux-sur-la-confiance-numerique-et-la-cybersecurite-869739478.html
  18. Louis Adam, France Identité numérique veut faire oublier ZDNET, 2 mai 2022.En ligne : https://www.zdnet.fr/actualites/france-identite-numerique-veut-faire-oublier-alicem-39941353.htm
  19. En ligne : https://thedocs.worldbank.org/en/doc/423151517850357901-0190022018/original/webFrenchID4DIdentificationPrinciples.pdf
  20. Center for Human Rights and Global Justice, NYU School of Law, Paving a Digital Road to Hell? A Primer on the Role of the World Bank and Global Networks in Promoting Digital ID, juin 2022. En ligne : https://chrgj.org/wp-content/uploads/2022/06/Report_Paving-a-Digital-Road-to-Hell.pdf