Assurer le droit à la vie privée et la transparence dans l’écosystème d’identité numérique au Canada

Résolution des commissaires à la protection de la vie privée fédéral, provinciaux et territoriaux et des ombudsmans qui assument une fonction de surveillance dans le domaine

St. John’s (Terre-Neuve-et-Labrador), du 20 au 21 septembre 2022

Contexte

Un écosystème d’identité numérique^{Note de bas de page 1} est en train d’émerger au Canada, grâce aux progrès considérables dans les domaines des technologies de l’information et des communications mobiles.

Les développements relatifs à cet écosystème s’inscrivent dans une tendance mondiale visant à permettre aux particuliers, aux entreprises et aux appareils de se connecter les uns aux autres de manière sûre et efficace, de confirmer l’identité des individus au moyen de renseignements fiables et d’effectuer des transactions en ligne et en personne avec un haut degré d’efficacité et de confiance.

L’identité numérique est un élément essentiel de l’environnement numérique, notamment pour moderniser les services publics. Des initiatives en la matière sont mises en œuvre dans tout le pays pour contribuer à étendre, simplifier et sécuriser l’accès des particuliers aux services publics. Au fur et à mesure que l’écosystème d’identité numérique évolue, les parties prenantes du secteur privé sont appelées à jouer un rôle croissant en tant qu’émettrices et consommatrices de renseignements sur l’identité numérique.

Les commissaires à la protection de la vie privée fédéral, provinciaux et territoriaux et les ombudsmans qui assument une fonction de surveillance dans le domaine au Canada reconnaissent les nombreux avantages potentiels d’une identité numérique sécurisée et respectueuse de la vie privée pour les Canadiens. Le déploiement d’efforts similaires dans d’autres administrations montre que, pour être fiables et largement adoptées, les identités numériques et l’écosystème dans lequel elles sont utilisées doivent répondre à des normes élevées en matière de protection de la vie privée, de sécurité, de transparence et de responsabilité. Sans confiance, les avantages que présente un écosystème d’identité numérique ne se concrétiseront pas.

Les avantages que procure un écosystème d’identité numérique ne devraient pas entraîner des conséquences inacceptables telles que : la collecte de renseignements personnels autres que ceux qui sont nécessaires, proportionnels ou justifiés; un risque accru de discrimination; une incidence plus élevée de vols d’identité, de fraude et d’autres préjudices; ou une diminution du rôle des utilisateurs.

Les commissaires à la protection de la vie privée fédéral, provinciaux et territoriaux et les ombudsmans qui assument une fonction de surveillance dans le domaine s’engagent à travailler les uns avec les autres, avec leurs gouvernements respectifs et avec les autres intervenants concernés, afin de s’assurer que l’écosystème d’identité numérique au Canada, y compris la manière dont ses différents éléments interagissent et partagent l’information, est conçu et mis en œuvre de façon responsable afin de respecter le droit à la vie privée et le principe de transparence.

En conséquence

Les commissaires à la protection de la vie privée du Canada et les ombudsmans qui assument une fonction de surveillance dans le domaine au pays demandent à leurs gouvernements respectifs et aux intervenants concernés de veiller à ce que le droit à la vie privée et le principe de transparence soient pleinement respectés tout au long de la conception, de l’exploitation et de l’évolution de l’écosystème d’identité numérique au Canada.

À cette fin, la conception et l’exploitation d’identités numériques respectueuses de la vie privée et d’un écosystème d’identité numérique digne de confiance devraient répondre à la liste non exhaustive suivante de conditions et de propriétés qui devraient également être intégrées à un cadre législatif applicable à la création et à la gestion des identités numériques :

Propriétés de l’écosystème :

Une évaluation des impacts relatifs à la vie privée devrait être réalisée et fournie à l’organisme de surveillance au début de la conception, du développement et aux étapes de mise à jour d’un système d’identité numérique au fur et à mesure que le projet et la solution évoluent;
Les répercussions sur la vie privée de la conception, du fonctionnement et des flux d’information de l’écosystème d’identité numérique devraient être transparentes pour tous les utilisateurs du système;
Une identification numérique ne devrait pas être utilisée pour de l’information ou des services qui pourraient être proposés à des individus sur une base anonyme et les systèmes devraient permettre les transactions anonymes et celles effectuées au moyen d’un pseudonyme, le cas échéant;
Les systèmes ne devraient pas créer de bases de données centralisées;
Le principe de minimisation des renseignements personnels devrait être appliqué à toutes les étapes du processus d’identité numérique : seuls les renseignements nécessaires devraient être recueillis, utilisés, communiqués ou conservés^{Note de bas de page 2}. La collecte ou l’utilisation de renseignements particulièrement intimes, sensibles et permanents, comme les données biométriques, ne devraient être envisagées que s’il est démontré que d’autres moyens moins intrusifs ne permettent pas d’atteindre l’objectif poursuivi;
Les renseignements personnels contenus dans un écosystème d’identité ne devraient pas être utilisés à d’autres fins que l’évaluation et la vérification de l’identité ou à d’autres fins autorisées qui sont nécessaires pour fournir le service. Les écosystèmes ne devraient pas permettre le suivi ou le traçage de l’utilisation des justificatifs d’identité à d’autres fins;
Les mesures de sécurité qui s’appliquent aux renseignements personnels devraient être proportionnelles à la sensibilité de ceux-ci, au contexte et à la mesure dans laquelle ils pourraient être convoités par des acteurs malveillants;
Les renseignements sur l’identité numérique devraient être protégés contre la falsification, la duplication et l’utilisation non autorisées;
Les systèmes d’identité numérique devraient pouvoir être évalués et faire l’objet d’une surveillance indépendante et d’audits;
Les systèmes d'identité numérique devraient offrir des options et des alternatives afin de garantir un accès juste et équitable aux services gouvernementaux pour tous.

Droits et recours des individus :

La participation des individus à un écosystème d’identité numérique devrait être volontaire et facultative;
Les individus devraient pouvoir choisir d’autres moyens d’identification et ces moyens devraient être raisonnablement pratiques et accessibles;
Le consentement exprès et éclairé de l’individu concerné devrait être la base de l’échange de renseignements personnels entre les services;
Les individus devraient avoir le contrôle de leurs renseignements personnels;
Des recours auprès d’un organisme indépendant bénéficiant des ressources et des pouvoirs conséquents devraient être prévus pour les individus en cas d’atteinte aux droits.

Gouvernance et surveillance :

Les gouvernements devraient faire preuve d’ouverture et de transparence quant aux objectifs définis des systèmes d’identité numérique, aux renseignements personnels qui seront utilisés, à la manière dont ceux‑ci seront utilisés et aux personnes qui les utiliseront;
Les gouvernements devraient prévoir un fondement juridique au système d’identité numérique, des interdictions, des sanctions et des recours;
Le cas échéant, les lois existantes sur la protection des renseignements personnels devraient être renforcées pour soutenir la gouvernance numérique et respecter le principe de ne pas causer de préjudice;
Les gouvernements devraient mettre en place des mécanismes de responsabilisation clairs pour assurer le respect des obligations en matière de transparence et de protection de la vie privée, notamment en donnant l’autorité et les ressources aux autorités de réglementation pour exercer une surveillance adéquate et imposer des sanctions appropriées en cas de non-conformité.

En plus d’avoir un écosystème d’identité numérique conforme aux normes et aux meilleures pratiques reconnues à l'échelle internationale, les cadres réglementaires devraient être établis et mis en œuvre de manière à faire respecter le droit à la vie privée et à protéger les données personnelles dans l’écosystème public et privé d’identité numérique. Ces cadres réglementaires devraient être harmonisés partout au Canada pour faciliter l’interopérabilité, tout en respectant les compétences fédérales et provinciales.

De leur côté, les commissaires à la protection de la vie privée du Canada et les ombudsmans qui assument une fonction de surveillance dans le domaine au pays s’engagent à surveiller continuellement l’élaboration des initiatives en matière d’identité numérique, à collaborer entre eux afin de renforcer leur capacité et leurs connaissances collectives dans ce domaine. Ils sont prêts à s’entretenir avec leurs gouvernements respectifs et d'autres parties prenantes concernées afin de leur faire part de leurs points de vue et de leurs conseils sur les programmes et les initiatives en matière d’identité numérique en constante évolution, de manière opportune et constructive, afin d’améliorer la protection de la vie privée et la confiance du public à l’égard de l’adoption des identités numériques.

Note de bas de page 1

Les écosystèmes d’identité numérique sont des systèmes interconnectés auxquels participent des organisations des secteurs public et privé qui acceptent de suivre des règles communes pour gérer l’échange et la vérification des renseignements sur l’identité numérique.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Par exemple, l’approche de preuve à divulgation nulle de connaissance (zero knowledge proof) qui permet à une organisation de prouver qu’elle a vérifié un attribut d’identité (ex. : nom, âge, sexe, etc.) sans transmettre le renseignement personnel à celui qui en demande la confirmation. Par exemple, il est possible de confirmer qu’une personne a plus de 18 ans sans révéler sa date de naissance.

Retour à la référence de la note de bas de page 2