Depuis les quatre dernières années, le Conseil canadien de l’identification et l’authentification numérique (CCIAN) développe le Cadre de confiance pancanadien (CCP); un ensemble de règles commerciales, techniques et juridiques qui s’appliquent à l’identification, l’authentification et l’autorisation d’accéder aux ressources des entreprises.  À ce titre, le 15 septembre dernier, le CCIAN a lancé la phase d’essais alpha de la structure auprès d’entreprises canadiennes publiques et privées.  Les essais se poursuivront sur deux trimestres afin de rendre le programme exploitable le plus rapidement possible. L’objectif principal du CCP est d’uniformiser les pratiques de l’industrie dans le domaine de l’identité numérique et de favoriser une meilleure protection des parties prenantes.

Un cadre plus important que jamais

En raison de la pandémie actuelle et de la multiplication des fuites de données personnelles, la création d’un écosystème cohérent en matière d’identification numérique a pris toute son importance. Au Québec, on pense notamment à la fuite de données touchant les 4.2 millions de clients du Mouvement Desjardins. Plus récemment, on note les vols d’identité liés aux réclamations de la Prestation canadienne d’urgence. Face à ces événements, les entreprises et le gouvernement doivent repenser leurs méthodes d’authentification afin de fournir aux particuliers un service à distance qui ne compromet pas la sécurité des renseignements personnels.

Le communiqué du CCIAN note que ;

« Les Canadiens ont dû composer avec le vol d’identité et la fraude, et une grande anxiété causée par le manque d’accès à des services dont ils avaient cruellement besoin tout en étant confrontés à des mesures de distanciation sociale, a rappelé Dave Nikoljsin, président du Conseil du CCIAN. L’identification numérique estompe tous ces irritants et améliore le quotidien des Canadiens où qu’ils soient. »

Implanter une structure de l’identification numérique à tous les paliers de la société sera également nettement bénéfique pour l’économie canadienne. On parle d’un apport d’environ trois pourcent au PIB, soit environ 100 milliards de dollars directement réimplantés dans l’économie canadienne d’ici 2030.

RESPECT DE LA VIE PRIVÉE

Le CCP propose des normes qui s’accordent avec la Loi sur la protection des renseignements personnels et les documents électroniques (LPRDE) du Canada, loi régissant les organisations du secteur privé. Le CCP établit d’ailleurs 10 principes directeurs, comme le fait la LPRDE; nous élaborerons sur certains de ces principes.

«Les organisations divulgatrices et requérantes, les entités chargées du traitement des avis et consentements, les fournisseurs de réseau et l’organe de gouvernance DOIVENT auditer ou examiner périodiquement leurs pratiques de gestion des renseignements personnels (y compris leurs pratiques de gestion des avis et consentements), à intervalles ne dépassant pas trois ans, pour s’assurer que les renseignements personnels sont traités de la façon décrite dans leur politique en matière de respect de la vie privée » [ nos soulignements]

On observe ici déjà le ton stricte qu’adopte le CCP qui requièrent des entreprises qu’elles effectuent une révision constante de leurs pratiques en matière de collecte de données. Les organisations seraient obligées de régir de manière claire les contours de l’écosystème de l’identité numérique.  Or, le fait de suggérer qu’une entreprise puisse revoir elle-même périodiquement sa pratique de gestion des renseignements personnels pourrait entraîner la perpétration de mauvaises habitudes.

L’imputabilité

Les principes d’imputabilités sont particulièrement développés dans le CCP. Il y est indiqué, entre autres, que;

« Les organisations divulgatrices et requérantes, les fournisseurs de réseau les entités chargées du traitement des avis et consentements DOIVENT mettre à la disposition de l’utilisateur le nom ou le titre de la personne responsable du respect de la vie privée dans leurs organisations respectives et lui donner les moyens de communiquer avec cette personne.»

Cette norme réitère la responsabilité des entreprises relativement au traitement des données de leurs usagers.  

Sur le même thème, le CCP indique que;

« L’organe de gouvernance DOIT :

• assurer l’imputabilité des organisations menant des activités dans l’écosystème de l’identité numérique;

 • le cas échéant, faire en sorte que les participants pertinents à l’écosystème de l’identité numérique satisfont aux exigences spécifiquement définies par une organisation en ce qui concerne les renseignements personnels spécifiques au sujet;

• inclure des règles en matière de normes et d’interopérabilité faisant en sorte que toutes les parties qui interviennent dans le partage des renseignements personnels spécifiques au sujet traitent le sujet et les renseignements personnels spécifiques au sujet d’une manière uniforme et compatible;

• inclure des procédures pour enquêter sur les atteintes à la vie privée et les gérer, notamment en évaluant le risque pour les personnes, et en signalant les cas aux organismes de réglementation et aux personnes; et

• faciliter la surveillance des risques opérationnels (p. ex., fraude, sécurité des renseignements) à l’échelle de l’écosystème de l’identité numérique.  »

Cette norme circonscrit de manière assez exhaustive le processus opérationnel qui doit être mis en œuvre par une entreprise pour s’assurer du traitement équitable des données. Ce dernier comprend l’établissement de politiques internes et des processus d’investigation et de signalement en cas de bris.

Le consentement

En matière de consentement, le CCP élabore également des normes visant à forcer les entreprises à obtenir un consentement éclairer de la part de leurs usagers, aspect qui s’aligne avec ce que la LPRDE établit déjà. Le CCP exige que :

« L’organisation divulgatrice DOIT s’assurer que l’utilisateur a accès aux renseignements nécessaires pour comprendre la nature, la raison d’être et les risques associés à l’utilisation ou à la divulgation des renseignements personnels spécifiques au sujet, à l’intérieur de l’écosystème de l’identité numérique, par exemple au moyen de l’avis sur le respect de la vie privée. »

Cette disposition permet de croire qu’un meilleur pont de communication sera établi entre les organisations et leurs utilisateurs.  Dès lors une entreprise se verrait obligée d’élaborer des Avis de consentement exhaustifs qui seront mis en tout temps à la disposition de l’usager, sauf lorsque cette pratique n’est pas appropriée.  Le CCP exige aussi des entreprises qu’elles élaborent un système adéquat de sauvegarde du consentement et d’authentification de l’usager avant qu’un partage de données soit effectué. En revanche, on remarque qu’aucune ligne directrice n’est donnée aux entreprises sur la manière dont le consentement est géré entre plusieurs organisations divulgatrices, mis à part le fait d’énoncer que les limites du consentement doivent être préservées.

CONCLUSION

Le CCP est un outil novateur puisqu’il confère, non seulement une structure technique d’implantation, mais aussi un cadre au niveau juridique. En réalité, le CCP naît d’un consensus multijuridictionnelle pour atteindre un but commun, soit la participation sûre du Canada à l’économie numérique mondiale. D’ailleurs, le CCP souligne des standards opérationnels spécifiques à certaines industries (environnement, santé, services financiers, etc.).  Or, il est légitime de s’interroger sur la manière dont ces normes seront implantées au sein des petites et moyennes entreprises qui disposent de moins de ressources. Aussi, même si l’imputabilité est un chapitre important du CCP, il est possible de se questionner sur la force coercitive de telles normes.  Plus encore, le CCIAN n’est pas la seule organisation à but non lucratif à travailler sur un outil pour protéger l’identité numérique ; c’est à se demander qui gagnera cette course à la protection du «pétrole du 21^e siècle».