Dans une publication récente (consultez ici), nous vous avons présenté le projet de loi no 82, intitulé Loi concernant l’identité numérique nationale et modifiant d’autres dispositions (PL 82), qui vise à intégrer l’identité numérique nationale au sein des services publics du Québec. Le PL 82 apporte des changements significatifs pour les organismes publics, en particulier en ce qui concerne l’intégration de l’identité numérique dans le cadre de leur prestation de services. 

Dans cet article, nous explorons les répercussions du PL 82 sur les organismes publics.

Services relatifs à l’identité numérique nationale

Le ministre de la Cybersécurité et du Numérique (ministre) a la responsabilité de fournir aux organismes publics les services liés à l’identité numérique nationale1. Cette responsabilité s’inscrit dans sa mission de coordonner la transformation numérique de la fonction publique québécoise depuis la création du ministère en janvier 2022 (voir notre publication à ce sujet). 

Ces services visent à soutenir les organismes publics dans leur transformation numérique, facilitant ainsi leur capacité à fournir des services modernes et efficaces. L’utilisation de ces services est obligatoire, et les organismes devront les adopter selon les conditions déterminées par le ministre. Le gouvernement peut cependant soustraire un organisme à cette obligation2. Aucune information n’est présentement disponible quant aux critères qui pourraient être considérés par le gouvernement.

Activités de cybersécurité

Le PL 82 vient clarifier davantage la règle générale voulant que le ministre encadre les activités de cybersécurité des organismes publics. On vient notamment préciser que les organismes publics autorisés n’ayant pas d’unité administrative spécialisée en sécurité de l’information doivent utiliser les services du ministre à moins qu’ils n’utilisent les services d’un autre organisme selon une entente autorisée par le ministre3.

De plus, tout organisme public qui constate un risque de préjudice sérieux lié à la confidentialité, la disponibilité ou l’intégrité d’une ressource confidentielle ou d’une information sous sa responsabilité doit en aviser le ministre avec diligence4. Le ministre pourra déterminer par règlement les critères, les cas et les circonstances présentant un risque de préjudice sérieux5. L’incidence de cette nouvelle disposition ne doit pas être sous-estimée, puisqu’elle aurait une portée beaucoup plus large que les obligations de notification introduites par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels6 (Loi 25). En effet, la Loi 25 ne visait que les incidents de confidentialité touchant des renseignements personnels, alors que l’obligation créée par le PL 82 vise toute information confidentielle.  

De plus, le sous-ministre se voit attribuer la responsabilité de procéder à des analyses concernant la sécurité offerte par un actif informationnel (dont les données numériques gouvernementales) ou un service en ressources informationnelles, utilisé ou à être utilisé dans les systèmes et les infrastructures d’un organisme public, et donner à ce dernier un avis concernant le niveau de sécurité estimé7.

Source officielle des données numériques

Le ministre joue également un rôle clé en tant que source officielle des données numériques gouvernementales et devra recueillir, utiliser ou communiquer celles-ci. Les « données numériques gouvernementales » incluent le nom et les date et lieu de naissance d’une personne physique et de ses parents, les nom et cordonnées d’une personne morale ou société de personnes. Certains organismes publics devront également recueillir ces données auprès du ministre, les utiliser ou les lui communiquer8. Le PL 82 prévoit aussi que le ministre peut déléguer certaines fonctions aux organismes publics9.

Dans ce cadre, le ministre et les organismes publics ayant accès à ces données doivent respecter des règles strictes en matière de confidentialité et de sécurité, définies par la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement10 :

  • Évaluation des facteurs relatifs à la vie privée (EFVP) : Avant de recueillir ou d’utiliser des renseignements personnels, une EFVP doit être réalisée puis soumise à la Commission d’accès à l’information (CAI)11. Pour plus d’informations sur les EFVP, veuillez consulter notre article sur le sujet (disponible ici).
  • Gestion des renseignements personnels : Les organismes publics et le ministre doivent mettre en place des règles de gouvernance encadrant les renseignements personnels qu’ils détiennent12. Celles-ci doivent notamment prévoir l’encadrement applicable à la conservation et la destruction de ces renseignements et être publiées sur leur site Internet13.
  • Rapport annuel : Suivant chaque fin d’année financière, un rapport détaillant les renseignements personnels recueillis, utilisés ou partagés au courant de l’année doit être soumis à la CAI et publié sur le site Internet des organismes publics et du ministre14.

Les organismes publics qui se voient communiquer des renseignements personnels par un organisme public visé par les présentes exigences ou par le ministre doivent se soumettre à un audit externe pour garantir le respect des normes les plus strictes en matière de sécurité de l’information et de protection des données15. Le ministre peut toutefois prévoir des cas où cette exigence n’est pas requise16.

Objectifs et cibles des organismes publics

Pour les besoins de l’identité numérique nationale, le gouvernement peut définir des objectifs et des cibles applicables aux organismes publics17. Ceux-ci peuvent viser : 

  • L’accès des citoyens à des services simplifiés, intégrés et de qualité;
  • Le taux d’utilisation des services numériques par les citoyens; et
  • La réalisation de projets spécifiques en matière de ressources informationnelles liés à l’identité numérique18.

Le gouvernement peut également préciser les modalités et conditions des ententes permettant l’interopérabilité de l’identité numérique nationale avec les systèmes et infrastructures d’autres entités19. À ce titre, le gouvernement peut exiger que ces ententes soient conclues conjointement par l’organisme public visé et le ministre20. Une publication subséquente traitera de l’incidence du PL 82 en ce qui trait aux infrastructures et aux services de télécommunications des organismes publics. 

Les organismes publics ne peuvent imposer l’utilisation de l’identité numérique nationale aux citoyens pour leur permettre d’accéder aux services publics21. Ainsi, l’identité numérique ne remplacera pas les pièces d’identité physiques existantes. Les organismes publics devront toutefois favoriser son intégration afin d’atteindre les résultats attendus par le gouvernement. 

Conclusion

Le ministre joue un rôle central dans la définition et la coordination des infrastructures et services liés à l’identité numérique nationale, aux données numériques gouvernementales et à la cybersécurité. Avec le PL 82, on voit que le gouvernement québécois déploie la prochaine grande étape de son chantier de transformation numérique, qui aura des répercussions sur tous les organismes publics québécois. Il sera essentiel pour ceux-ci de suivre de près l’évolution du PL 82 pour comprendre comment s’y adapter et tirer pleinement parti de cette initiative dans leur processus de transformation numérique. L’ampleur et la rapidité de la mise en application de ces mesures restent toutefois à déterminer.

Notes

1  

Art. 6 PL 82.

2   Art. 6 PL 82.

3  

Art. 10 PL 82.

4  

Art. 11 PL 82.

5   Art. 11 PL 82.

6  

LQ 2021, c 25.

7  

Art. 12 PL 82.

8   Art. 6 PL 82.

9   Art. 6 PL 82.

10  

RLRQ, c G-1.03 [LGGRI].

11   Art. 12.16, al. 1, par. 1 LGGRI.

12   Art. 12.16, al. 1, par. 2 LGGRI.

13   Art. 12.16, al. 2 LGGRI.

14  

Art. 12.17 et 12.18 LGGRI.

15  

Art. 12.19, al. 1 LGGRI.

16  

Art. 12.19, al. 2 LGGRI.

17  

Art. 6 PL 82.

18   Art. 6 PL 82. 

19  

Art. 6 PL 82.

20   Art. 6 PL 82. 

21  

Art. 6 PL 82.



Personne-ressource

Véronique Barry
Véronique Barry
Associée
Courriel
veronique.barry@nortonrosefulbright.com
T: +1 418 640 5170

Secteur:

Domaine de pratique:

Publications récentes

Digital concept

Publication

Le gouvernement du Québec lance son projet d’identité numérique – répercussions sur les organismes publics

Dans une publication récente, nous vous avons présenté le projet de loi no 82, intitulé Loi concernant l’identité numérique nationale et modifiant d’autres dispositions (PL 82), qui vise à intégrer l’identité numérique nationale au sein des services publics du Québec.

Canada | 27 mars 2025

Technologies
New year, new reporting requirements

Publication

Élargissement du cadre législatif et réglementaire en matière de lutte contre le blanchiment d’argent et le financement des activités terroristes : affactureurs, entités de financement ou de bail et entreprises d’encaissement de chèques

Le 30 novembre 2024, des modifications ont été proposées à certains règlements pris en vertu de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (collectivement, la LRPCFAT), notamment en vue d’élargir le champ d’application de la LRPCFAT à compter du le 1er octobre 2025.

Canada | 27 mars 2025

Institutions financières
red abstract building

Publication

L’allègement des obligations de déclaration de la Corporate Transparency Act des États-Unis n’épargne pas nécessairement les Canadiens

La Corporate Transparency Act (CTA) est une loi américaine visant à renforcer la capacité des organismes d’application de la loi à lutter contre le blanchiment d’argent, le financement du terrorisme et d’autres activités illicites en améliorant la transparence concernant les propriétaires de sociétés à actionnariat restreint.

Canada | 26 mars 2025

Investissements en capital de risque et investissements stratégiques de sociétés
Toutes les publications

Abonnez-vous et restez à l’affût des nouvelles juridiques, informations et événements les plus récents...

Abonnez-vous