Lettre au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique au sujet des pratiques exemplaires internationales en matière de protection de la vie privée pour l’identité numérique

Le 20 juin 2022

PAR COURRIEL

Monsieur Pat Kelly, Député
Président
Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique
Chambre des communes
131, rue Queen, sixième étage
Ottawa (Ontario) K1A 0A6

Objet : Pratiques exemplaires internationales en matière de protection de la vie privée pour l’identité numérique

Monsieur le Président,

Lors de la comparution du commissaire Therrien devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique le 2 juin 2022, on lui a demandé de fournir au Comité des exemples de pratiques exemplaires internationales en ce qui concerne l’utilisation de l’identité numérique. Je suis ravi de vous fournir les renseignements suivants pour répondre à cette demande.

Comme vous le savez, les identités numériques constituent un moyen de faciliter un accès en ligne efficace à des biens et à des services, tout en s’adaptant aux risques de sécurité changeants. Cependant, elles peuvent faire naître des inquiétudes concernant la localisation et la surveillance, l’utilisation des données à des fins de marketing et de profilage, la perte de l’anonymat lors d’activités routinières et la possibilité d’atteintes à la sécurité des données.

Il est toutefois important de noter que bon nombre de ces inquiétudes peuvent être apaisées en utilisant un système d’identité numérique bien conçu. Voici une liste non exhaustive des pratiques exemplaires de protection de la vie privée qui devraient être des caractéristiques fondamentales des initiatives d’identité numérique :

Ces systèmes doivent être transparents, et l’utilisation personnelle doit être gérée par l’individu;
Les renseignements doivent seulement être échangés entre des services ayant obtenu le consentement clair de l’individu;
Les systèmes doivent être conçus pour prévenir la collecte, l’utilisation ou la communication des renseignements personnels à des fins autres que la vérification de l’identité, comme le marketing et le profilage;
Les systèmes doivent être protégés par des protocoles de sécurité stricts, dont le chiffrement;
Les cadres assurant la mise en place de systèmes d’identité numérique doivent avoir des responsabilités claires;
Les systèmes doivent pouvoir être évalués, vérifiés et assujettis à des mesures de supervision et d’application.

À l’échelle mondiale, plusieurs pays utilisent des systèmes opérationnels d’identité numérique, et de nombreux autres pays sont actuellement dans le processus de conception. Afin de guider la conception de ces systèmes, des entités comme l’Organisation de coopération et de développement économiques^{Note de bas de page 1} (OCDE) et Digital Government Exchange^{Note de bas de page 2} (DGX) ont publié des rapports et des recommandations sur le sujet. Vous trouverez ci-dessous des exemples de pays ayant incorporé des pratiques exemplaires de protection de la vie privée dans leurs initiatives d’identité numérique.

Pour que les systèmes d’identité numérique soient transparents et axés sur les utilisateurs, leur fonctionnement doit reposer sur le consentement, et les individus doivent pouvoir choisir les renseignements personnels qui peuvent être communiqués à d’autres parties à des fins d’identification. C’est le cas au Portugal, où la plateforme Autenticação.Gov permet aux individus de choisir les attributs de données qui sont transmis au fournisseur de services^{Note de bas de page 3}. Dans d’autres pays, comme l’Autriche, l’Espagne, le Danemark et l’Estonie, les systèmes ont des fonctionnalités de localisation des données, et les citoyens ont accès à une piste d’audit ou à un registre des activités qui détaille comment leurs données d’identité numérique ont été accédées et utilisées^{Note de bas de page 4}.

Comparativement aux modèles centralisés, les modèles décentralisés d’identité numérique permettent habituellement aux individus d’avoir plus de contrôle sur leurs données personnelles, ce qui réduit les risques relatifs à la cybersécurité compromise et l’échange accidentel de données. Le Royaume-Uni a récemment mené des consultations sur son cadre de confiance d’identité numérique qui ont permis de suggérer une approche décentralisée^{Note de bas de page 5}. L’identité autosouveraine est un modèle décentralisé qui facilite le stockage directement sur les appareils et qui élimine le besoin d’une administration centralisée^{Note de bas de page 6}. La conception de ce modèle, qui est adopté par plusieurs pays, comme la Corée du Sud et la Finlande, limite les possibilités de localisation^{Note de bas de page 7}.

Les principes de nécessité, de proportionnalité, de spécification des objectifs et de limitation de la collecte et de l’utilisation sont reconnus à l’échelle mondiale et sont des éléments clés des lois canadiennes sur la protection des renseignements personnels. Les identités numériques ne devraient pas entraîner la collecte, l’utilisation ou la communication des renseignements personnels à des fins autres que la vérification de l’identité, comme le marketing et le profilage. Le cadre d’identité numérique du Royaume-Uni interdit explicitement le profilage et la création d’ensembles de données globales pour communiquer des renseignements de nature délicate sur les utilisateurs^{Note de bas de page 8}.

Vu les torts qui pourraient être causés par une atteinte à l’identité numérique d’un individu, des mesures de haute sécurité sont essentielles à la prévention du vol d’identité ou de la fraude. En France et en Australie, les identités numériques s’inspirent de processus cryptographiques pour augmenter le niveau de sécurité^{Note de bas de page 9}. L’OCDE recommande d’utiliser l’authentification à deux facteurs pour veiller à ce que l’accès soit donné au bon utilisateur^{Note de bas de page 10}. En Italie et à Singapour, l’authentification à deux facteurs est exigée la plupart du temps^{Note de bas de page 11}.

Enfin, nous soulignons l’importance de superviser rigoureusement ces systèmes pour permettre aux utilisateurs de s’en remettre à des organismes d’examen indépendants pour obtenir réparation. Le document de consultation du Royaume-Uni pour l’identité numérique a déterminé qu’il serait nécessaire d’avoir un processus de plaintes et des options de recours à l’extérieur des tribunaux pour résoudre les torts^{Note de bas de page 12}. De plus, dans ses principes d’identité numérique, la Banque mondiale reconnaît le besoin d’avoir une supervision indépendante et une façon d’arbitrer les griefs^{Note de bas de page 13}. Les options de recours sont surtout importantes si les identités numériques sont utilisées pour la prise de décision automatique, car cette dernière peut faire l’objet d’un parti pris ou d’autres inexactitudes.

Nous espérons que ces renseignements vous seront utiles et serions heureux de vous fournir de plus amples détails, au besoin.

Je vous prie d’agréer, Monsieur le Président, l’expression de mes sentiments distingués.

Le Sous-Commissaire à la vie privée
Secteur des politiques et de la promotion

(Document original signé par)

Gregory Smolynec

c. c. Nancy Vohl
greffière du comité

Date de modification :: 2022-06-22

Sélection de la langue

Recherche et menus

Recherche

Lettre au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique au sujet des pratiques exemplaires internationales en matière de protection de la vie privée pour l’identité numérique