Sélection de la langue

Recherche

Lignes directrices en matière d’identification et d’authentification

Les présentes lignes directrices ont pour but d'aider les organisations assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) à authentifier l'identité des personnes d'une manière qui concilie, d'une part, le droit à la vie privée et à la protection des renseignements personnels et, d'autre part, le besoin des organisations de recueillir, d'utiliser et de communiquer des renseignements personnels à des fins légitimes.


La confiance, élément essentiel de l'économie canadienne et de l'économie numérique mondiale, se construit au fil des échanges mutuellement bénéfiques entre les organisations et les personnes.

Que ce soit dans le monde réel ou virtuel, de nombreuses organisations élaborent des processus pour gérer leurs interactions avec les individus. Comme ces processus nécessitent souvent la collecte, l'utilisation et la communication de renseignements personnels, les organisations sont tenues de traiter ces renseignements avec soin et de les protéger conformément aux lois canadiennes relatives à la protection de la vie privée.

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est la loi canadienne sur la protection des renseignements personnels applicable au secteur privé. En vertu de cette loi, les organisations qui se livrent à des activités commerciales sont tenues d'obtenir le consentement d'une personne avant de recueillir, d'utiliser ou de communiquer des renseignements personnels la concernant, sauf dans des situations bien précises. Elles doivent aussi préciser les fins pour lesquelles l'information est recueillie et limiter la collecte et l'utilisation aux fins énoncées. Les organisations sont également tenues de protéger les renseignements personnels au moyen de mécanismes de protection appropriés.

Les processus d'identification et d'authentification peuvent favoriser les interactions mutuellement bénéfiques et la protection de la vie privée, mais seulement s'ils sont conçus de manière adéquate. En effet, une organisation a besoin de suffisamment de renseignements à propos d'un individu pour être en mesure d'autoriser une transaction légitime, mais elle doit s'abstenir de recueillir, d'utiliser, de conserver ou de communiquer des renseignements personnels qui ne sont pas requis à cette fin. Le fait de soumettre un individu à des processus d'identification et d'authentification non nécessaires ou de mettre en œuvre des processus fastidieux peut non seulement porter atteinte à la vie privée, mais également nuire au caractère mutuellement bénéfique des interactions.

Le présent document a pour but d'aider les organisations à concevoir des méthodes leur permettant d'identifier les individus et d'authentifier leur identité par des mécanismes conformes aux pratiques relatives à l'équité dans le traitement de l'information énoncées dans la LPRPDE. Il remplace les Lignes directrices en matière d'identification et d'authentification publiées en 2006 par le Commissariat à la protection de la vie privée du Canada (le Commissariat).

En respectant les renseignements personnels des individus et en protégeant leur vie privée, les organisations devraient pouvoir continuer de favoriser les interactions mutuellement bénéfiques tout en renforçant la confiance dans l'économie canadienne, plus particulièrement l'économie numérique en plein essor.

Identification et authentification : Introduction

On confond souvent les termes identification et authentification, que l'on pense interchangeables, mais qui n'ont pas le même sens. L'identification consiste simplement à donner son nom : « Je m'appelle Jean Dupond. Mon numéro de compte est… » L'authentification est la vérification de cette déclaration.

Identité, attributs d'identité et identifiants

L'identité d'un individu peut être définie comme étant la somme de toutes les caractéristiques qui font de cette personne qui elle est, par exemple son nom, sa date de naissance, son lieu de résidence ou d'autre information. Ces caractéristiques sont appelées attributs d'identité.

Un attribut d'identité peut également être un identifiant. Par exemple, on peut désigner une personne en utilisant son nom ou le numéro qui lui a été attribué. Il peut s'agir d'un identifiant commun (p. ex., plusieurs personnes peuvent avoir la même date de naissance) ou unique, dans la mesure où il s'applique à une seule personne.

Il faut garder à l'esprit ces concepts et leurs caractéristiques lorsque l'on réfléchit à la façon d'élaborer et de mettre en œuvre des processus d'identification et d'authentification appropriés.

Identification

L'identification intervient habituellement lorsqu'une personne s'inscrit ou s'enregistre pour une première fois auprès d'une organisation. L'établissement de l'identité consiste à relier un identifiant à une personne afin que cette identité puisse être gardée en mémoire. Identifier une personne permet à l'organisation de s'assurer, par exemple, que les transactions qu'elle effectue sont bien associées à son compte et que les dossiers qui la concernent peuvent être retracés.

En fonction des exigences de la loi et de la nature de l'entreprise, il peut ne pas être nécessaire que les identifiants révèlent la véritable identité de la personne, notamment son nom (p. ex., Jean Dupont). On peut alors créer un identifiant qui servira uniquement pour les besoins de l'interaction (p. ex., client A167). Il s'agit dans les deux cas d'attributs d'identité utilisés comme identifiants afin de reconnaître un individu. Mais il y a une différence de degré dans ce qu'ils révèlent au sujet de la véritable identité de la personne concernée.

Certaines transactions (p. ex., la vente au détail en personne au moyen d'argent comptant) peuvent être conclues dans l'anonymat. D'autres peuvent nécessiter la communication de certains renseignements ou attributs d'identité. Dans certains cas, l'organisation peut être tenue par la loi de connaître exactement l'identité des personnes avec qui elle traite (c'est le cas des banques et d'autres organisations assujetties à la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes).

Authentification et facteurs d'authentification

L'authentification intervient lorsqu'une personne se présente à une organisation ou qu'elle accède à son site Web et déclare être un client avec lequel l'organisation a un lien. En pareil cas, l'organisation peut devoir authentifier cette déclaration.

Il existe différentes manières d'authentifier l'identité d'une personne, à savoir :

  • quelque chose que la personne connaît (par exemple, un mot de passe, un numéro d'identification personnel ou NIP, un numéro de compte, une couleur préférée, le nom du premier animal de compagnie);
  • quelque chose que la personne possède (par exemple, une carte bancaire, un jeton d'authentification, une carte d'identité, un certificat de clé publique);
  • quelque chose qui fait partie de la personne (ou que seule cette personne peut faire) (par exemple, un trait biométrique comme son visage, sa rétine ou sa voix, voire sa démarche).

Dans certains cas, un seul de ces éléments d'information suffit pour authentifier l'identité d'une personne; dans d'autres, des éléments peuvent être combinés. Par exemple :

  • accès au courrier électronique au moyen d'un mot de passe - il s'agit d'un processus d'authentification à un facteur ayant trait à une information que la personne connaît;
  • accès à un secteur restreint au moyen d'une carte d'identité à microcircuit intégré (une carte à puce) et d'un balayage de la main (biométrie) - il s'agit d'un processus d'authentification à deux facteurs qui repose sur un objet qui appartient à la personne (la carte à puce) et une caractéristique physique de la personne (le trait biométrique);
  • accès à un secteur restreint au moyen d'une carte à bande magnétique valide, d'un NIP à quatre caractères et d'un balayage de la main (biométrie) - il s'agit d'un processus d'authentification à trois facteurs qui repose sur un objet qui appartient à la personne (la carte), une information que la personne connaît (le NIP) et une caractéristique physique de la personne (le trait biométrique).

L'authentification reposant sur deux éléments de la même catégorie, par exemple un numéro de compte et un mot de passe - soit deux éléments d'information que la personne connaît - est une authentification multicouches et non une authentification à plusieurs facteurs.

En plus des facteurs d'authentification énumérés ci-dessus, d'autres données comme un comportement adopté par la personne ou un geste qu'elle fait (p. ex., ouvrir une session dans son compte à l'aide d'un ordinateur en particulier, utiliser sa carte de crédit à un certain endroit ou effectuer des recherches sur le Web) peut aider à authentifier l'identité d'une personne.

Assurance et autorisation

L'identification et l'authentification se rapportent essentiellement à la gestion du risque :

  • le risque, pour une organisation mettant en œuvre une pratique d'identification et d'authentification inadéquate, de refuser l'accès à un client légitime ou de donner l'accès à un imposteur;
  • le risque, pour les clients, que leurs renseignements personnels soient perdus ou communiqués à tort, qu'on leur usurpe leur identité, qu'on leur vole leur argent ou encore qu'on porte atteinte à leur vie privée.

Les organisations doivent s'assurer que les clients possèdent véritablement les attributs d'identité nécessaires pour effectuer une transaction en bonne et due forme. De leur côté, les clients doivent être assurés que seules les personnes autorisées peuvent accéder à leur compte, ou effectuer des transactions en utilisant leur identifiant, que ce soit en personne ou en ligne.

Une fois que l'identité d'une personne a été dûment authentifiée ou vérifiée, l'organisation peut autoriser la transaction.

Lignes directrices en matière d'identification et d'authentification

Il n'y a pas d'approche unique en matière d'identification ou d'authentification. Comme nous l'avons mentionné, les présentes lignes directrices ont pour but d'aider les organisations à élaborer des processus d'identification et d'authentification appropriés.

Même si les lignes directrices s'appliquent principalement à l'identification des personnes et à l'authentification de leur identité par des organisations, ces dernières doivent également mettre en place des processus leur permettant d'authentifier les employés ayant accès aux renseignements personnels des clients.

Identifier uniquement lorsque c'est nécessaire

S'il n'y a pas d'obligation juridique à cet égard ou si l'organisation n'envisage pas d'entretenir une relation continue avec la personne, il n'est probablement pas nécessaire de vérifier son identité.

Les organisations doivent se demander si elles ont besoin de recueillir, de stocker ou de communiquer des renseignements personnels pour autoriser une transaction. Autrement dit, l'identification est-elle nécessaire pour effectuer la transaction? La transaction peut-elle être autorisée d'une manière tout aussi sûre sans que l'on recueille des renseignements personnels?

Exemple concret

Dans le résumé de conclusions d'enquête en vertu de la LPRPDE no 2008-396, une entreprise avait recueilli et stocké beaucoup plus de renseignements personnels que nécessaire pour vérifier l'âge d'une personne et lui donner accès à un lieu. Consultez également le résumé de l'entente se rapportant à ce dossier.

Lorsqu'une organisation établit que l'identification est nécessaire pour mener ses activités, elle doit déterminer pendant combien de temps elle devra conserver les renseignements personnels et comment elle les éliminera lorsqu'elle n'en aura plus besoin aux fins établies. Consultez le document d'orientation du Commissariat intitulé Conservation et retrait des renseignements personnels : Principes et pratiques exemplaires pour obtenir davantage d'information.

Déterminer les attributs d'identité nécessaires pour autoriser une transaction

Si une organisation détermine que les personnes avec qui elle fait affaire doivent être identifiées pour que les transactions soient autorisées, elle doit également s'interroger sur la quantité minimale d'information requise pour répondre à ce besoin.

L'organisation doit s'attacher à déterminer s'il est possible d'autoriser la transaction en question d'une manière sécuritaire en ne recueillant qu'un minimum de renseignements personnels. Par exemple, plutôt que de recueillir et de stocker la date de naissance complète d'une personne, il pourrait être suffisant de recueillir uniquement le jour, le mois ou l'année ou bien une attestation que l'âge de la personne est supérieur à une valeur prédéterminée.

De même, il est important d'éviter, dans la mesure du possible, d'utiliser comme identifiants les numéros de permis de conduire ou d'assurance sociale, par exemple, qui ont été créés à d'autres fins. Pour obtenir davantage d'information, consultez le guide intitulé Collecte du numéro du permis de conduire en vertu des lois sur la protection des renseignements personnels applicables au secteur privé - Guide à l'intention des détaillants ainsi que le document intitulé Pratiques exemplaires pour l'utilisation des numéros d'assurance sociale dans le secteur privé du Commissariat.

Informer les personnes et obtenir la forme de consentement appropriée avant l'identification

L'identification de personnes à leur insu ou sans leur consentement limite le contrôle qu'elles exercent sur leurs renseignements personnels et constitue une infraction à la loi. Par conséquent, les organisations sont tenues d'informer les personnes des raisons justifiant la collecte de leurs renseignements personnels.

Le consentement est étroitement lié au principe selon lequel l'information doit être utilisée uniquement aux fins pour lesquelles elle a été recueillie. Si un individu fournit des renseignements personnels à des fins d'identification et d'authentification et que l'on envisage d'utiliser ces renseignements à d'autres fins - par exemple, pour personnaliser ou améliorer l'expérience client, faire de la publicité ciblée, communiquer des mises à jour sur les produits ou renforcer d'une façon ou d'une autre la relation avec le client -, il doit être informé de cette intention et donner son consentement avant la collecte des renseignements ou au moment de la collecte. En outre, dans la plupart des cas, les individus devraient pouvoir obtenir le service demandé sans avoir à consentir à toutes les autres utilisations.

Les progrès technologiques ont donné aux entreprises de nouveaux moyens, moins transparents, d'identifier les individus. Par exemple, l'analyse des métadonnées - soit des données qui fournissent de l'information sur d'autres données - permet d'identifier des personnes sans qu'elles aient à fournir directement de l'information les concernant. (Consultez le document du Commissariat intitulé Métadonnées et vie privée - Un aperçu technique et juridique.)

On peut recueillir des métadonnées par l'intermédiaire de témoins ou de pixels invisibles (consultez le document du Commissariat intitulé Les témoins sous la loupe), de l'empreinte de l'appareil qui est créée en recueillant suffisamment d'information à propos de l'appareil en question pour que l'on puisse le distinguer d'autres appareils, ou de la surveillance des signaux, qui consiste en l'utilisation des signaux cellulaires, Wi-Fi ou Bluetooth pour repérer un appareil et surveiller son emplacement. Comme un appareil est habituellement associé à son propriétaire ou à son utilisateur, des technologies de ce genre peuvent servir à identifier des individus à leur insu.

Lorsque des activités de ce type sont menées sans que les personnes visées en soient informées ou y aient consenti, elles peuvent être considérées comme étant davantage assimilables à de la surveillance et à du profilage qu'à la promotion d'interactions mutuellement bénéfiques propres à renforcer la confiance à l'égard de l'économie canadienne.

Pour obtenir une orientation sur les différentes façons d'obtenir le consentement, selon les circonstances, consultez les Lignes directrices en matière de consentement en ligne du Commissariat.

Authentifier uniquement lorsque c'est nécessaire

Une organisation ne doit procéder à une authentification que lorsque c'est nécessaire aux fins de la transaction. S'il existe déjà une relation d'affaires entre l'organisation et la personne (p. ex., que la personne s'est précédemment soumise à un processus d'identification), il n'est peut-être pas nécessaire de vérifier son identité chaque fois qu'elle effectue une transaction.

S'il faut authentifier l'identité d'une personne, ses renseignements personnels ne doivent lui être communiqués qu'après que l'organisation s'est assurée que cette personne est bel et bien celle qu'elle prétend être.

Exemple concret

Dans le résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-155, la transaction ne nécessitait pas d'authentification et des renseignements personnels ont été communiqués de manière inappropriée.

S'assurer que le niveau d'authentification est proportionnel aux risques

La rigueur des processus d'authentification doit être proportionnelle au risque auquel sont exposées l'organisation et la personne. Ainsi, plus le risque est élevé, plus grandes seront les garanties que l'organisation devra obtenir en vue d'autoriser la transaction. En pareil cas, il peut être nécessaire d'avoir recours à plusieurs facteurs ou couches d'authentification. Voici des exemples :

  • un processus d'authentification à un seul facteur peut être suffisant pour autoriser une personne à accéder à un service de messagerie vocale ou à vérifier le solde de son compte dans le cadre d'un programme de fidélité;
  • un numéro de compte ou de membre ainsi qu'un code d'accès numérique peuvent être requis (p. ex., l'authentification multicouches à un seul facteur) pour autoriser une personne à consulter le solde d'une facture associée à un service public;
  • un processus d'authentification multicouches ou à plusieurs facteurs peut être requis pour les services financiers permettant de donner des instructions de paiement et d'effectuer des transferts à l'intention de tierces parties.

Dans d'autres cas, l'organisation peut choisir de permettre aux personnes d'éviter les procédures d'authentification; c'est le cas notamment lorsqu'une personne utilise un NIP pour accéder à son téléphone intelligent avant d'utiliser un service fourni par une application (p. ex., une application de médias sociaux ou une application d'institution bancaire). En pareil cas, l'organisation doit prendre les mesures nécessaires pour s'assurer qu'une telle façon de faire est appropriée compte tenu du risque auquel elle-même et son client s'exposent.

Exemples concrets

Dans le résumé de conclusions d'enquête en vertu de la LPRPDE no 2002-040, il a été établi que la collecte de renseignements supplémentaires n'était pas nécessaire pour déterminer l'identité en vue de limiter le risque financier.

Dans le résumé de conclusions d'enquête en vertu de la LPRPDE no 2009-012, il a été établi que des renseignements supplémentaires auraient pu être recueillis afin de vérifier l'identité et de prévenir le vol d'identité.

Dans le résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-185, il a été déterminé qu'en raison du caractère sensible du fret manipulé, la collecte de renseignements associée à une authentification à plusieurs facteurs était raisonnable.

Il faut accorder autant d'importance à la qualité des facteurs d'authentification qu'à leur nombre. Les éléments d'authentification ne doivent pas être faciles à reproduire ou à usurper. Les processus reposant sur des attributs d'identité qui sont connus par de nombreuses personnes ou faciles à découvrir (p. ex., la date de naissance), ou encore qui sont fondés sur une authentification à un seul facteur, peuvent être facilement contournés par ceux qui connaissent la personne en question.

Exemple concret

Dans le résumé de conclusions d'enquête en vertu de la LPRPDE no 2012-006, un membre d'une famille qui ne jouissait pas du droit administratif nécessaire pour modifier le compte a été en mesure de le faire en se faisant passer pour son beau père.

Les organisations doivent éviter de mettre en place des processus d'authentification faciles à déjouer en exigeant, par exemple, des mots de passe difficiles à deviner.

S'assurer que les employés ont reçu la formation nécessaire

En vertu des principes 4.1.4 et 4.7.4 de la LPRPDE, les organisations sont tenues d'offrir à leurs employés de la formation concernant leurs politiques et leurs pratiques en matière de protection de la vie privée, et de les sensibiliser à l'importance de préserver la confidentialité des renseignements personnels.

Dans ce contexte, les organisations doivent veiller à ce que tous les représentants du service à la clientèle, toutes les personnes responsables du traitement des données et tous les autres employés ayant accès à des renseignements personnels sur les clients reçoivent une formation appropriée sur l'importance de protéger ces renseignements, notamment contre le risque d'accès et de communication non autorisés. En outre, les organisations doivent assurer une formation continue sur les politiques et les processus relatifs à l'identification et à l'authentification.

Exemple concret

Dans le résumé de conclusions d'enquête en vertu de la LPRPDE no 2007-381, une transaction frauduleuse aurait pu être évitée si les employés avaient reçu une formation convenable et si la tenue des registres des transactions avait été bien exécutée.

Tenir des registres des transactions adéquats

Le processus d'authentification exige la tenue de registres de vérification fiables des transactions d'authentification indiquant la date, l'heure et le résultat. En disposant de registres de ce genre, l'organisation sera mieux outillée pour évaluer le risque et pourra prouver sa conformité aux lois applicables en matière de protection de la vie privée. Le niveau de détail des registres de vérification, de même que la période de conservation des données doivent correspondre au niveau de risque associé aux renseignements ou aux services. En outre, s'il convient de consigner dans les registres les tentatives d'authentification et les échecs, il faut en revanche éviter d'y entrer les renseignements d'authentification comme tels (p. ex., les mots de passe).

En outre, ces registres doivent être protégés car ils peuvent permettre de créer des pistes susceptibles de révéler des renseignements sur des clients. Lorsqu'elles sont reliées à d'autres renseignements d'identification, les métadonnées ainsi créées pourraient constituer des renseignements personnels aux termes de la LPRPDE. Par conséquent, les registres de vérification devraient bénéficier des mêmes mécanismes de protection que ceux qui se rapportent aux autres renseignements personnels.

Évaluer la menace et atténuer le risque de manière continue

Les organisations doivent régulièrement réévaluer la menace et le risque associés à chacun de leurs points de service et prendre les mesures d'atténuation qui s'imposent, y compris le rajustement des processus d'authentification, afin de s'adapter à l'évolution de la menace. Il leur faut donc se tenir au courant des changements touchant les pratiques opérationnelles et les technologies qui peuvent renforcer ou saper, selon le cas, les processus d'authentification en place.

Par exemple, les organisations devraient disposer de systèmes et de procédures pour répondre aux attaques d'un intrus, c'est-à-dire lorsqu'un fraudeur intercepte les communications entre une organisation et une personne. Les organisations devraient également établir des plans pour faire échec au hameçonnage, c'est à dire lorsqu'un imposteur tente de tromper une personne en se faisant passer pour une organisation.

En plus de la diligence raisonnable exigée des organisations en matière d'atténuation du risque, il est également important que leurs clients s'efforcent activement de protéger leurs renseignements personnels en tenant à jour leurs logiciels antivirus et anti-pourriel ainsi que leur pare feu et en évitant de communiquer leur NIP ou leur mot de passe. Parallèlement, les organisations ne devraient pas non plus faire fi des menaces à faible technicité.

Exemples concrets

Dans le résumé de conclusions d'enquête en vertu de la LPRPDE no 2012-004, un imposteur a utilisé des techniques d'ingénierie sociale pour accéder à un compte.

Le résumé de conclusions d'enquête en vertu de la LPRPDE no 2007-372 montre l'importance d'adapter ses politiques et ses pratiques afin d'atténuer les nouveaux risques et de s'assurer que les employés sont formés correctement et suivent des procédures d'authentification de leurs clients dans le but de protéger adéquatement les renseignements personnels de ces derniers.

Protéger les renseignements personnels

Les organisations doivent élaborer des politiques et des pratiques leur permettant de gérer le risque auquel sont exposés les renseignements personnels qu'elles détiennent. Les mécanismes de protection doivent être établis en fonction de la sensibilité des renseignements personnels et du risque connexe. Pour de plus amples renseignements, consultez le document du Commissariat intitulé Protéger les renseignements personnels : Un outil d'auto évaluation à l'intention des organisations.

Compte tenu de la nature potentiellement sensible des renseignements relatifs à l'identité, les organisations doivent également établir un plan pour aviser les personnes concernées en cas d'atteinte à la sécurité des données, et ce, afin de leur permettre de prendre les mesures nécessaires pour se protéger contre le vol d'identité. Pour de plus amples renseignements, consultez la page Web intitulée Comment réagir à une atteinte à la vie privée dans votre entreprise.

Dans le même ordre d'idées, mentionnons que le projet de loi S-4, Loi sur la protection des renseignements personnels numériques, a reçu la sanction royale en juin 2015 et que les modifications touchant le signalement des atteintes à la sécurité des données, de même que les avis et la tenue de registres connexes entreront en vigueur une fois que les règlements applicables indiquant les exigences particulières auront été élaborés et mis en place.

S'appuyer sur des documents ou des justificatifs d'identité provenant de sources fiables

On peut utiliser avec plus de confiance comme éléments d'authentification des documents ou des justificatifs d'identité (p. ex., cartes d'identité, passeports, permis de conduire) lorsqu'il est possible de vérifier leur authenticité. En général, ce sont les autorités qui délivrent les documents en question qui sont le plus à même d'évaluer leur fiabilité.

Théoriquement, les documents et les justificatifs d'identité doivent être utilisés uniquement aux fins prévues à l'origine. Dans les autres cas, l'organisation ne doit se fier à ceux-ci que si elle est convaincue de l'intégrité du processus de délivrance. Par exemple, un permis de conduire délivré à l'étranger peut présenter plus de risques qu'un permis délivré au Canada. Les organisations peuvent également s'appuyer sur des justificatifs électroniques ou des jetons provenant de sources fiables, surtout si elles ont déjà conclu des ententes avec les autorités qui les délivrent.

Faire appel à des organismes dignes de confiance lorsque la gestion de l'identité est confiée à l'externe

En vertu de la LPRPDE, une organisation est responsable des renseignements personnels sous son contrôle, y compris les renseignements confiés à une tierce partie à des fins de traitement.

Par conséquent, lorsqu'une organisation confie les fonctions d'identification ou d'authentification à une tierce partie, elle demeure responsable au premier chef du caractère adéquat des processus. Cela signifie que l'organisation demeure responsable, par voie contractuelle ou autre, de s'assurer que les processus d'identification et d'authentification respectent ses exigences et protègent de manière efficace les renseignements personnels de ses clients.

L'organisation qui confie la gestion de l'identité à des tierces parties devrait d'ailleurs informer ses clients de cette pratique. Quant aux tiers qui agissent en qualité de fournisseurs de service de gestion de l'identité, ils doivent recueillir, utiliser ou communiquer les renseignements personnels conformément aux présentes lignes directrices.

Permettre aux personnes de contrôler l'information relative à leur identification et à leur authentification

Les organisations doivent offrir aux personnes des options leur permettant de gérer l'information se rapportant à leur identification et à leur authentification. Dans la mesure du possible, les personnes doivent pouvoir choisir :

  • leur propre identifiant et ne pas être obligées d'utiliser uniquement leur nom. Cependant, il peut y avoir des cas, notamment pour l'ouverture d'un compte bancaire, où les organisations sont tenues de demander certains renseignements et ne permettront pas l'utilisation d'un surnom ou d'un autre identifiant;
  • leur mot de passe ou leur NIP, y compris lorsque le nombre de caractères et la complexité sont supérieurs au minimum requis;
  • leurs questions et réponses, lorsque des préférences personnelles servent d'éléments d'authentification.

Lorsque la situation s'y prête, les organisations devraient également permettre aux personnes qui le demandent d'utiliser des processus d'authentification renforcés.

Faire preuve de prudence avant d'avoir recours à la biométrie

Avant d'envisager le recours à la biométrie (p. ex., reconnaissance faciale automatisée, lecture de l'empreinte rétinienne, lecture des empreintes digitales et balayage de la main) dans le cadre de leurs systèmes de gestion de l'identité, les entreprises doivent se demander si une telle mesure est nécessaire, si elle est susceptible de se révéler efficace, si elle est proportionnelle au risque pour la vie privée et s'il n'existe pas des moyens plus respectueux de la vie privée d'identifier les individus ou d'authentifier leur identité. Consultez le document intitulé La biométrie et les défis qu'elle pose à la protection de la vie privée pour avoir un aperçu des préoccupations liées à la protection de la vie privée associées à l'utilisation de la biométrie.

Bien qu'ils puissent être d'excellents identifiants (p. ex., une empreinte digitale est un identifiant unique et constant qui correspond à une seule personne la quasi-totalité du temps), les identifiants associés à la biométrie sont loin d'être une panacée. En effet, les visages changent au fil du temps, les empreintes digitales peuvent s'estomper et la démarche d'une personne peut être modifiée par un accident ou une blessure. Selon que l'identifiant biométrique est véritablement unique ou constant et le degré d'efficacité de la technologie utilisée pour apparier les données, les systèmes de reconnaissance automatique peuvent à l'occasion produire des faux positifs ou des faux négatifs.

Contrairement à un mot de passe, si un identifiant biométrique est volé ou altéré, il est très difficile, voire impossible, de le changer. S'il existe un risque qu'un identifiant biométrique soit altéré, il ne faut pas l'utiliser comme facteur unique pour l'authentification -, mais avec un autre facteur d'authentification, par exemple une information que la personne est seule à connaître ou un objet qui lui appartient.

Dans la mesure du possible, plutôt que d'être stockés dans une base de données centrale, les renseignements biométriques devraient être stockés localement (p. ex., dans un dispositif en particulier). En effet, le stockage dans une base centrale accroît le risque de perte des données ou encore de recoupement inapproprié de données entre divers systèmes. En revanche, le stockage local, comme dans un téléphone mobile ou sur une carte à puce, permet aux personnes d'exercer un meilleur contrôle de leurs renseignements personnels.

L'information biométrique est par nature extrêmement sensible et, à ce titre, elle doit être protégée à l'aide de mécanismes de protection appropriés, dont le chiffrement.

Exemples concrets

Dans le résumé de conclusions d'enquête en vertu de la LPRPDE no 2011-012, la transformation immédiate de l'information biométrique en un gabarit binaire chiffré a fait en sorte que celle-ci est devenue difficile à interpréter par d'autres parties et à utiliser à d'autres fins. Les données brutes - l'image biométrique - n'ont pas été conservées.

Dans le résumé de conclusions d'enquête en vertu de la LPRPDE no 2004-281, l'information biométrique a été convertie « en une matrice de nombres qui représentent les caractéristiques comportementales et physiques de la façon dont parle la personne ». Les empreintes vocales ont été sauvegardées dans une base de données protégée, dont l'accès est extrêmement limité.

Les organisations devraient toujours demander le consentement explicite des personnes concernées avant de recueillir des renseignements biométriques et leur donner le choix de ne pas utiliser ces renseignements aux fins de l'identification ou de l'authentification lorsqu'il existe des solutions de rechange acceptables.

Date de modification :