Partout dans le monde, des pays explorent les avantages de l’intégration de systèmes d’identités numériques. Vu le nombre croissant de personnes qui accèdent en ligne aux services et aux produits, ou utilisent des appareils mobiles, le Canada est prêt à adopter un système d’identités numériques plus solide. Dans le présent mémoire, nous explorons les raisons qui justifient un système d’identités numériques au Canada, les moyens utilisés par d’autres pays pour évoluer dans ce domaine et les leçons que nous pouvons tirer de l’expérience des autres dans le développement d’un système d’identités numériques.

Définition de l’identité numérique

Votre identité est la représentation de qui vous êtes. L’identité d’un individu se compose donc de divers attributs, tels que son nom, sa date de naissance, son adresse et sa citoyenneté. Traditionnellement, l’identité est établie grâce à des documents papier (p. ex., permis de conduire, passeport ou carte d’identité), parfois complétés par une vérification concrète, souvent une signature. Dans notre monde de plus en plus numérisé, s’ajoutent à notre identité des noms d’utilisateur et des mots de passe, en plus d’éléments matériels, comme la carte SIM de notre cellulaire. L’identité numérique est donc la façon dont chacun de nous pourra s’identifier dans un environnement numérique, sans devoir recourir à des documents papier.

Il importe de faire la différence entre identification numérique et authentification numérique. L’authentification numérique est un acte que la plupart d’entre nous effectuent au quotidien : nous connecter à notre site de médias sociaux préféré, accéder à notre compte en ligne chez notre détaillant favori, ou même déverrouiller notre cellulaire à l’aide de nos empreintes digitales. L’authentification est l’acte de prouver que la personne accédant à mon compte ou à mon appareil est bien moi. Cette authentification se fait habituellement à l’aide d’un NIP, d’un mot de passe, d’un identifiant biométrique ou d’un autre facteur. L’authentification est conçue pour répondre à la question « est-ce bien vous? ». L’identification, quant à elle, est plus complexe. En effet, l’identification vise à répondre à la question « qui êtes-vous? ». L’identité numérique se propose de répondre à cette question avec grande certitude, sans aucune interaction en personne et sans échange de documents papier.

Motifs pour un système d’identités numériques au Canada

Tous les intervenants au Canada – citoyens, entreprises et gouvernements – ont tout à gagner d’un système d’identités numériques efficace.

  • Économies de coûts – Les secteurs public et privé assument les coûts associés à la collecte d’identités. Or, ces efforts sont parfois duplicatifs. Dans le secteur privé, le processus de vérification de l’identité est coûteux pour les institutions financières et leurs clients. Les coûts de la conformité à la règle de notoriété du client et aux dispositions de lutte contre le blanchiment d’argent s’élèvent mondialement à des milliards de dollarsi. Environ 1,5 million de Canadiens changent de banque chaque annéeii et doivent présenter une preuve d’identité chaque fois qu’ils ouvrent un compte auprès d’une nouvelle institution financière. Dans le secteur public, environ cinq millions de conducteurs à travers le pays doivent renouveler leur permis chaque année, ce qui occasionne un fardeau financier et administratif tant pour les citoyens que pour les gouvernementsiii. Étant donné que ces processus impliquent des documents papier, ils sont lourds, inefficaces et coûteux.
  • Réduction de la fraude – Les criminels exploitent toujours les faiblesses des systèmes d’identités sur papier actuels. Un système d’identités numériques efficace pourra réduire le niveau d’exposition des Canadiens à la fraude financière et au vol d’identité. Un rapport publié par TELUS a révélé que 74 % des entreprises sont affectées par la fraude en ligne et que le coût annuel des crimes relatifs à la fraude au Canada se situe entre 15 milliards et 30 milliards de dollars. Par ailleurs, le pourcentage d’identités mises à risque a augmenté de 23 % en 2015iv et maintient une hausse annuelle. Un problème particulièrement inquiétant est l’augmentation de la fraude par identité synthétique, qui implique la combinaison de renseignements véridiques et de renseignements fabriqués afin de frauder les entreprises et les gouvernements. Un rapport sur la fraude par identité synthétique a révélé que les faiblesses dans les systèmes existants rendent plus facile la création d’identités synthétiquesv. Les restrictions actuelles au partage sécuritaire de renseignements personnels entre les diverses agences gouvernementales créent une occasion pour les fraudeurs d’exploiter le système.
  • Amélioration de la conformité réglementaire – Un système de gestion des identités adéquat favorise une surveillance et un signalement plus efficaces des transactions complexes. Par exemple, selon le rapport annuel de 2015 du Bureau de la vérificatrice générale de l’Ontario, durant l’exercice financier 2014-2015, ServiceOntario a traité plus de 37,5 millions de transactions, dont 70 % ont été effectuées en personne à un centre de servicesvi. De nombreux problèmes ont été relevés dans le processus actuel d’identification par documents papier, notamment des signatures manquantes, des renseignements financiers inexacts et des milliers de cartes en circulation au nom de personnes décédées. La dépendance aux interactions en personne, jumelée aux inefficacités des documents papier, a poussé la vérificatrice générale à recommander au gouvernement de trouver les moyens d’inciter le public à utiliser davantage les services en ligne pour réduire ainsi les coûts et les risques de fraude. En juillet 2017, ServiceOntario a soumis un projet de cadre stratégique entourant l’analyse de rentabilisation de l’identité numérique uniquevii.
  • Augmentation de la confidentialité - La confidentialité et la sécurité des documents d’identification suscitent de plus en plus les inquiétudes. Un système d’identités numériques protège davantage la confidentialité et donne au consommateur un plus grand pouvoir de gestion sur son identité. Contrairement aux documents papier, l’identité numérique peut être standardisée et utilisée par plusieurs entités qui pourront y ajouter des renseignements. En plus, il n’y aura qu’une seule version de chaque identité, réduisant la possibilité de renseignements erronés, de vols d’identité et d’utilisation de données périmées qui ne reflètent pas la situation actuelle de l’individu.
  • Préparation pour l’avenir – Le Canada est l’un des pays qui évaluent actuellement les effets du système bancaire ouvert, adopté en Europe, au R.-U. et au Japon, afin de pouvoir décider de la meilleure façon dont de tierces parties pourraient accéder aux données bancaires des clients. La question de l’identité numérique doit être traitée avant de pouvoir procéder au système bancaire ouvert. Sans un cadre régissant l’identité numérique sur lequel tous les intervenants auraient convenu, les mauvaises personnes pourraient accéder aux renseignements personnels. Par exemple, sous un régime où de tierces parties peuvent accéder aux comptes bancaires et y effectuer des transferts de fonds électroniques, il est essentiel que des normes soient en place afin de veiller à ce que la bonne personne effectue les opérations et de limiter ainsi la fraude et les pertes financières.

Systèmes d’identités numériques – Aperçu mondial

Les systèmes d’identités numériques sont en rapide évolution partout dans le monde. L’initiative ID2020, dont l’ONU est un partenaire, affirme que l’identité est essentielle pour saisir les occasions politiques, économiques et socialesviii. De plus en plus de pays perçoivent la nécessité de trouver une solution aux problèmes que pose la gestion de l’identité. L’Estonie et l’Inde en font partie. Ces deux pays ont réalisé de grands progrès dans le domaine de l’identité numérique et peuvent servir d’exemple pour le Canada dans ce domaine.

Identité numérique en Estonie : vers une nation électronique

L’Estonie présente l’un des cadres réglementaires de l’identité numérique les plus évolués au monde, tous ses citoyens utilisant une identité numérique pour accéder aux services gouvernementaux. L’Estonie a entamé son passage à l’identité numérique en adoptant un cadre de réglementation composé de deux textes de loi fondamentaux :

  • La loi sur les documents d’identification (Identity Documents Act) veille à ce que tous les Estoniens reçoivent une carte d’identité « intelligente ». La carte a été émise avec deux NIP séparés, l’un sert à l’authentification et l’autre comme signature numérique.
  • La loi sur les signatures numériques (Digital Signatures Act) réglemente l’acceptation des signatures numériques à travers l’utilisation de cartes d’identité numérique. Elle encadre également le registre de certification où sont vérifiées les signatures numériques sur les cartes. Cette loi stipule que les signatures numériques sont équivalentes aux signatures manuscrites et que le secteur public doit accepter les documents portant une signature numériqueix.

Le secteur privé a également adopté le cadre de signatures numériques. La loi permet au secteur des services financiers d’utiliser les identités numériques afin d’offrir des services bancaires ainsi que d’autres services. L’adoption généralisée des identités numériques dans le secteur privé a fortement sensibilisé la population et a favorisé l’acceptation du nouveau système. L’Estonie a établi le système X-Road, une voie électronique qui permet aux secteurs public et privé de procéder à un échange sécuritaire des données et de veiller à ce que les renseignements soient compatibles et à jour, de façon à ce que les individus puissent accéder à une variété de services grâce à leur identité numérique. L'identité numérique en Estonie est largement utilisée sur diverses plateformes, notamment les soins de santé, les services bancaires électroniques et même les élections. Jusqu’en 2014, l’identité numérique avait servi à plus de 80 millions d’authentifications et à 35 millions d’opérations numériques, un exploit remarquable pour un pays de 1,3 million d’habitantsx. Ces améliorations ont produit une épargne estimée à 2 % du PIB de l’Estoniexi.

Identité numérique en Inde : gestion nationale

En Inde, l’absence d’un vrai régime national de gestion de l’identité a créé des problèmes d’exclusion sociale et a limité l’accès aux services gouvernementaux. Afin de remédier à cette situation et de créer un programme national unique de gestion de l’identité, l’Inde a eu recours à un système d’identités numériques. D’abord, en 2009, le gouvernement de l’Inde a établi la Unique Identification Authority of India, ou UIDAI, soit l’autorité d’identification unique de l’Inde, avec le mandat de créer un système de gestion des identités qui soit fiable, vérifiable et rentable, connu actuellement sous le nom d’Aadhaarxii.

Tout comme l’Estonie, l’Inde a commencé par élaborer un cadre juridique et réglementaire pour reconnaître les signatures numériques. En 2016, le gouvernement a adopté la loi Aadhaar qui autorise l’UIDIA à gérer tous les aspects du système Aadhaar, et qui lui confie la responsabilité de veiller à ce que les renseignements liés à l’identité des citoyens soient sécurisés. Quoique l’identification dans le système Aadhar ne soit pas obligatoire, il est obligatoire de s’y inscrire pour accéder aux subventions, aux prestations et aux services gouvernementaux. Ainsi, il y a eu peu de résistance à l’adoption du nouveau système. Depuis, la base de données de l’Inde affiche plus d’un milliard d’utilisateurs, soit environ 95 % de sa populationxiii.

Le gouvernement de l’Inde met à profit le système Aadhaar pour travailler vers l’atteinte des objectifs de politique sociale et économique. Un exemple serait India Stack, un regroupement de systèmes sécurisés et interconnectés conçu pour conserver les données personnelles, comme les comptes bancaires et les déclarations de revenus. Ces renseignements peuvent être accessibles et partagés à travers Aadhaarxiv. Ce regroupement constitue la base d’un système « e-KYC » qui permet aux institutions financières d’identifier numériquement un client. Globalement, le système national d’identités numériques a permis au gouvernement d’économiser près de 9 milliards de dollars américains en améliorant la rentabilité et en réduisant la fraudexv.

Système d’identités numériques – Leçons pour le Canada

L’Estonie et l’Inde ont certes adopté des démarches différentes et utilisé des technologies distinctes afin de mettre en oeuvre des solutions pour l’identité numérique. Or, le Canada peut tirer de précieuses leçons des points communs de leurs initiatives. En effet, ces deux pays ont entrepris une transformation numérique totale en suivant un même plan de mise en oeuvre d’une politique publique de fond :

  • Ils ont veillé à ce que le concept d’identité numérique soit intégré dans la loi. Pour faire accepter au gouvernement et aux entreprises l’usage de l’identité numérique, les législateurs se sont rendu compte de l’importance de s’assurer que cette notion répond aux exigences législatives et réglementaires en matière d’identification des clients.
  • Ils ont prévu que, afin de pouvoir lancer un système d’identités numériques sur le marché, le gouvernement doit agir comme catalyseur et élaborer lui-même le système, tout en permettant au secteur privé d’améliorer cette structure en développant des moyens plus efficients et plus sécuritaires pour effectuer les opérations.
  • Ils ont mis en place l’infrastructure de renseignements numériques nécessaire pour que les citoyens, les entreprises et le gouvernement soient tous capables d’utiliser le système d’identités numériques.

Il est clair que le Canada est très différent de l’Estonie et de l’Inde. En tant qu’économie de taille moyenne hautement développée, le Canada possède un secteur privé bien établi sur lequel il peut s’appuyer pour créer l’architecture de l’identité numérique et la déployer. Les leçons tirées de l’expérience estonienne et indienne sont toutefois utiles du point de vue politique publique. En effet, pour faire avancer le système d’identités numériques, le Canada devra suivre le même chemin emprunté par ces deux pays : le Canada doit créer un environnement législatif et réglementaire qui favorisera l’établissement d’un système d’identités numériques accessible à tous, et qui facilitera au secteur privé et au secteur public l’acceptation des identités numériques lorsqu’elles auront cours.

Plan d’action pour l’établissement au Canada d’un système d’identités numériques fédéré

La modernisation du cadre réglementaire, qui facilitera et encouragera la création de solutions novatrices dans le domaine de l’identité numérique, est un facteur clé pour l’établissement d’un système d’identités numériques solide au Canada. Dans son programme d'innovation inclusif, le gouvernement fédéral a fait un premier pas en soulignant des principes clés, notamment le besoin d’être concurrentiel dans un monde numérique et l’impératif de faciliter le commerce. L’élaboration d’un cadre national de l’identité numérique est intimement liée à ces principes clés et est essentielle à la participation future du Canada à l’économie numérique. Bien que les mesures prises par le gouvernement soient encourageantes, une action fédérale supplémentaire est requise afin d’écarter tout obstacle réglementaire pouvant empêcher une large adoption de l’identité numérique. Voici des recommandations susceptibles de faciliter l’établissement et l’adoption d’un système d’identités numériques au Canada.

Exploiter la force du secteur privé

Fortement développé au Canada, le secteur privé est en mesure de créer un système d’identités numériques efficace et novateur, qui évitera les coûts et les risques associés à l’établissement, à partir de rien, d’un large système centralisé. Actuellement, le modèle d’identification au Canada est décentralisé, formé de systèmes isolés conservant différentes composantes de l’identité de chaque individu. À titre d’illustration, pour le même individu en Ontario, le ministère de la Santé émet la carte santé, le ministère des Transports délivre le permis de conduire, et les banques et autres institutions financières gèrent les renseignements financiers. Il n’y a aucun lien ni aucune connexion entre ces différentes données pour pouvoir identifier la personne. Le Canada a la possibilité de créer un système de gestion de l’identité numérique interconnecté, ou « fédéré », liant les gouvernements et le secteur privé, où l’identité électronique et ses différentes composantes seront conservées dans divers systèmes de gestion de l’identité, indépendants mais interconnectés. Le recours à un système fédéré permet aux citoyens de confirmer électroniquement leur identité au moyen d’une combinaison de différentes composantes, à travers le gouvernement (permis de conduire), les coordonnées de connexion bancaires et les données biométriques, comme les empreintes digitales et la reconnaissance faciale.

Un système d’identités numériques fédéré au Canada présente des avantages indéniables. Contrairement à un cadre d’identités numériques centralisé qui remet la gestion de l’identité numérique entre les mains d’un seul acteur clé, un système fédéré fait appel à de multiples systèmes, éliminant la dépendance à l’égard d’un unique fournisseur de services. En d’autres termes, il n’y aura aucun point de contrôle unique ni aucune seule défaillance qui pourront compromettre le système dans son ensemble. En outre, un modèle fédéré sera davantage aligné sur la structure fédérale du Canada, car il crée des connexions entre les systèmes de gestion des identités numériques fédéral et provinciaux. Par ailleurs, un réseau décentralisé réduira les risques de fraude en éliminant les menaces pouvant compromettre les données. Cette capacité de vérifier l’identité à travers un processus unique et simplifié fournit aux individus une plus grande confidentialité, et donne aux clients, aux entreprises et aux gouvernements les moyens d’effectuer une intégration avec plus de facilité et de transparence.

Les institutions financières vigoureuses du Canada se doivent d’assumer un rôle clé à cet effet. Le Forum économique mondial a affirmé que les institutions financières doivent mener les efforts en vue d’établir des systèmes d’identités numériques et être à la tête de la création et de la mise en oeuvre de plateformes de gestion des identitésxvi. En plus de faire l’objet d’une surveillance rigoureuse, les institutions financières et les banques doivent respecter des normes strictes en matière de protection des renseignements personnels. Les Canadiens font confiance aux banques pour conserver et maintenir en toute sécurité leurs données personnelles exactes. Par ailleurs, les banques possèdent l’infrastructure adéquate pour exercer leurs activités dans l’ensemble des provinces et à l’étranger, et donc de soutenir les solutions de gestion des identités numériques au Canada. Voilà des siècles que les banques fournissent à leurs clients des « références » sur papier. Avec l’accélération des développements technologiques, il est naturel que le support papier de ces références évolue en forme numérique. Une plus grande clarté dans la Loi sur les banques au sujet des services d’identité numérique permettra aux banques d’explorer plus en profondeur les occasions dans ce domaine.

Favoriser l’usage de l’identité numérique dans l’ensemble de l’économie

De nombreuses entreprises et agences gouvernementales doivent respecter des exigences législatives et réglementaires au moment d’établir l’identité de leurs clients. Pour que l’identité numérique soit globalement adoptée, la législation et les règlements, comme la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes, devront permettre aux entreprises d’accepter l’identité numérique. Bien que des dispositions existent déjà en matière de vérification de l’identité par des mesures autres qu’en personne, des dispositions élargies et plus claires portant sur l’utilisation de l’identité numérique garantiront aux individus, aux entreprises et aux gouvernements l’accès au système d’identités numériques, tout en envoyant un message sans ambiguïté indiquant que le Canada a adopté l’économie numérique.

Évolution du Canada vers l’identité numérique

L’économie du Canada subit une transformation numérique. Dans notre monde interconnecté, les documents papier occasionnent des ennuis inutiles et ouvrent la voie aux possibilités de fraude et de vol d’identité. Une solution plus sécuritaire et plus fiable peut être conçue pour répondre aux attentes des consommateurs en matière d’opérations fluides, et en matière de confidentialité et de sécurité. Le gouvernement fédéral devra élaborer un cadre juridique permettant la création et l’utilisation de solutions d’identités numériques qui répondent à une stratégie nationale unique, en mettant à profit les capacités du secteur privé. La collaboration est essentielle pour permettre au Canada de participer à l’économie numérique à la fois sur son territoire et à l’étranger, de façon à stimuler l’innovation et la croissance et de créer des solutions pour la gestion de l’identité des citoyens qui soient plus solides et plus sécuritaires.

infographic depicting the roadmap to enable a federated digital id approach in Canada


i https://www.finextra.com/blogposting/13903/kyc-and-blockchain
ii ABC - Estimations basées sur le nombre de Canadiens ayant changé d’institution financière au cours des 3 dernières années selon une enquête de l’ABC, et sur le nombre de Canadiens âgés de 15 ans et plus selon Statistique Canada.
iii ABC – Estimations basées sur le nombre de permis de conduire au Canada, selon les données présentées dans le rapport Recent Changes in the Age Composition of Drivers in 15 Countries, octobre 2011, du University of Michigan Transportation Research Institute, recoupées avec les données du rapport Estimations de la population, selon le groupe d'âge et le sexe au 1er juillet, Canada, provinces et territoires, (Tableau 051-0001 – 2017), de Statistique Canada, et en supposant un cycle d’expiration de cinq ans pour les permis de conduire.
iv TELUS Digital Identity, A Matter of trust
v Equifax, The New Reality of Synthetic ID Fraud, 2015.
vi Bureau de la vérificatrice générale de l’Ontario, Rapport annuel 2015, chapitre 4, section 4,09. ServiceOntario
vii Bureau de la vérificatrice générale de l’Ontario, Rapport annuel 2017, volume 2, chapitre 3, section 3,06. ServiceOntario
viii https://id2020.org/digital-identity-1/
ix https://www.id.ee/public/The_Estonian_ID_Card_and_Digital _Signature_Concept.pdf
x Vassil, Kristjan, Estonian e-Government Ecosystem: Foundation, Application, Outcomes. World Development report, 2016
xi http://theconversation.com/what-australia-can-learn-about-e-government-from-estonia-35091
xii Forum économique mondial, livre blanc, Digital Policy Playbook, Approaches to National Digital Governance Report, 2017
xiii https://www2.deloitte.com/content/dam/Deloitte/in/Documents/ industries/in-india-services-sector-ges-2017-noexp.pdf
xiv Maudlin, John. India’s Tech Revolution Has Already Left the West Behind –It’s the Best Investment Opportunity Now, Forbes
xv https://www.businesstoday.in/current/economy-politics/aadhaar-india-government-save-9-billion-cost-nandan-nilekani/story/261996.html
xvi Forum économique mondial, A Blueprint for Digital Identity - The Role of Financial Institutions in Building Digital Identity, p. 28, août 2016