Le 21 novembre 2024, le projet de loi no 82, intitulé Loi concernant l’identité numérique nationale et modifiant d’autres dispositions (PL 82) a été déposé à l’Assemblée nationale. S’inscrivant dans la transformation numérique de l’administration publique, amorcée il y a de cela quelques années, ce projet de loi vise à simplifier, à sécuriser et à améliorer l’efficacité des services publics. Le PL 82, adopté en principe le 4 février 2025, fait l’objet, en date d’aujourd’hui, d’une étude détaillée par la Commission des finances publiques.
Le PL 82 confère au ministre de la Cybersécurité et du Numérique (MCN ou ministre) des rôles et responsabilités clés pour établir les fondements juridiques de l’identité numérique nationale et renforcer la gestion sécurisée des données et technologies gouvernementales. Il modifie plusieurs lois et règlements, y compris la Loi concernant le cadre juridique des technologies de l’information, afin d’adapter les normes juridiques aux exigences contemporaines de sécurité numérique.
Dans ce premier article, nous proposons une vue d’ensemble du PL 82 et des objectifs qu’il vise à atteindre.
Identité numérique nationale
Le PL 82 attribue au MCN la responsabilité de la gouvernance et de la gestion centralisée de l’identité numérique nationale1, à savoir l’ensemble des moyens dont dispose l’État pour garantir à toute personne un accès sécurisé aux prestations électroniques de services gouvernementales et pour lui permettre d’avoir un niveau de confiance élevé2, notamment à l’aide d’attestations numériques gouvernementales3.
Cette identité numérique inclut aussi l’ensemble des attributs, regroupés en format numérique, permettant à une personne d’interagir de façon sécuritaire, que ce soit afin de s’identifier et de s’authentifier ou de produire la preuve de la possession de certains attributs4.
La définition donnée à l’« identité numérique » met en évidence la variété des attributs associés à celle-ci, lesquels correspondent en grande partie à des renseignements personnels dans le cas des personnes physiques.
La mission du MCN doit être accomplie de manière à offrir une vision à portée gouvernementale en matière d’identité numérique5. Elle doit également s’harmoniser avec la transformation numérique de l’administration publique et les initiatives des organismes publics dans ce domaine6. Enfin, l’identité numérique doit permettre aux personnes de s’identifier, c.-à-d. de se présenter comme une personne distincte, et de s’authentifier, c.-à-d. de garantir la véracité des informations d’identification7.
Le PL 82 prévoit que cette authentification sera déterminée par une attestation numérique gouvernementale, soit un document technologique permettant d’établir l’authenticité ou la véracité d’une information ou d’un fait se rapportant à une personne8.
À terme, chaque utilisateur de l’identité numérique nationale détiendra le contrôle de cette attestation via une application sécurisée9. Le PL 82 vient donc proposer l’utilisation d’un document technologique s’apparentant aux pièces d’identité gouvernementales que nous connaissons, notamment le permis de conduire ou la carte d’assurance-maladie.
Cadre de gouvernance
Le PL 82 confie au ministre la responsabilité de définir et mettre en œuvre un cadre de gouvernance pour les renseignements personnels nécessaires à l’identification et à l’authentification des personnes10. Il doit veiller à la cohérence et à la qualité de ces données11 et peut, par règlement, prévoir des règles relatives aux processus d’identification et d’authentification des personnes12.
Registre de l’identité numérique nationale
Le PL 82 prévoit également que le ministre agit d’office comme source officielle des données numériques gouvernementales, c’est-à-dire :
- le nom et les date et lieu de naissance d’une personne physique ainsi que le nom de ses parents;
- le nom et les coordonnées d’une personne morale ou d’une société de personnes;
- tout autre renseignement que détermine le gouvernement13.
À ce titre, le ministre doit recueillir, utiliser ou communiquer les données numériques gouvernementales ou recueillir des renseignements auprès de toute personne lorsque cela est nécessaire14.
Le registre de l’identité nationale, sous la responsabilité du ministre, constitue un système de dépôt et de communication pour les données numériques gouvernementales15. Ce registre doit, entre autres, permettre la conservation sécuritaire des données pour le compte des organismes publics et la communication entre eux de ces données16. Les contextes dans lesquels les données constituant le registre de l’identité nationale pourront être communiquées restent encore à éclaircir. Il sera sans doute intéressant de voir dans quelle mesure les données de ce registre seront accessibles, notamment à des fins de recherche scientifique, et si les modalités à cet égard introduites par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels s’appliqueront au registre.
Infrastructures et services de télécommunications
Le ministre se voit aussi confier la responsabilité de soumettre et de développer une vision globale des infrastructures et des services de télécommunications jugés utiles ou essentiels pour la conduite des affaires de l’État17. Il doit coordonner les actions des organismes publics dans le but d’assurer une gouvernance intégrée de ces infrastructures à l’échelle gouvernementale18 et peut leur donner tout avis qu’il estime opportun19. Nous aborderons plus en détail cet aspect du PL 82 dans une publication subséquente.
Atteinte à la confidentialité
Le PL 82 modifie également la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (LGGRI). Le nouvel article 12.5.3. de la LGGRI, introduit par le PL 82, prévoit qu’un organisme public qui constate qu’une ressource informationnelle ou une information sous sa responsabilité a fait l’objet d’une atteinte à sa confidentialité, à sa disponibilité ou à son intégrité, doit aviser, avec diligence, le ministre si celle-ci présente un risque qu’un préjudice sérieux soit causé.
Conclusion
Le projet de loi 82 constitue une étape importante dans la modernisation des services publics. En introduisant l’identité numérique nationale, il pave la voie à une gestion plus fluide et sécurisée des données, tout en simplifiant l’accès des citoyens aux services publics. Cependant, certains aspects demeurent à clarifier, notamment en ce qui concerne la mise en place des mécanismes de gouvernance. Ces éléments seront essentiels pour assurer le bon fonctionnement, la sécurité et l’efficacité du système à long terme.