Identité numérique: une réforme nécessaire, mais trop hâtive

Avec l’identité numérique pour tous les citoyens québécois d’ici 2025, Québec annonce qu’il deviendra le gouvernement du futur et vante les mérites de cette identification unique que tous les ministères et organismes pourront se partager… Une approche moderne certes, une première mondiale même, mais aussi une réforme à un milliard $, qui va trop vite, menace certains droits des citoyens et demande une consultation publique sérieuse qui n’a pas vraiment eu lieu. Pas question de signer un chèque en blanc au gouvernement Legault qui, une fois de plus, tente d’aller trop vite…



Trop vite, car ce qu’il propose n’est pas anodin, loin de là: sous les apparences d’une réforme technique, ce nouveau projet, bien que nécessaire à certains égards, a toutes sortes d’incidences sur nos droits fondamentaux en plus de poser des enjeux de cybersécurité colossaux.

En l’apparence, l’affaire a l’air simple. Pour chaque citoyen, le gouvernement créera un fichier centralisé contenant les données permettant de l’identifier et les informations personnelles pertinentes pour divers ministères. Le citoyen y aura accès grâce à une simple «clé» de son choix, qui pourrait être un code alphanumérique, biométrique (empreinte digitale ou rétinienne), voire gestuel.

Mais ce n’est pas tout: c’est le gouvernement, devenu ainsi gardien de l’identité numérique des Québécois, qui attestera de votre identité auprès des institutions financières, des cabinets médicaux, de la police, des tribunaux, des divers fournisseurs de service privés, mais aussi des municipalités, des agences gouvernementales diverses ou des OSBL sous-traitants des services gouvernementaux. Rien de moins! Dès 2021, le service sera offert et devrait toucher l’ensemble de la population d’ici 2025.

On a peu dit dans les médias que ce projet d’identité numérique est la clé de voûte d’une réforme beaucoup plus grande qui touchera la totalité des services gouvernementaux. En juin 2019, le gouvernement du Québec a produit une Stratégie de transformation numérique gouvernementale 2019-2023. Dirigée par le ministre délégué à la Transformation numérique gouvernementale, Éric Caire, cette stratégie vise à revoir la totalité des relations de l’État avec les citoyens à travers le numérique.

Après la COVID, où on comptait les morts par fax (!), on a compris l’urgence de la numérisation. Cette stratégie qui vise à numériser tous les services gouvernementaux a donc certes des aspects positifs. Par exemple, vous pourriez recevoir un texto ou un courriel quand votre permis de conduire arrivera à échéance et un lien pour faire le renouvellement. Vous pourriez remplir tous les formulaires gouvernementaux de différents services en ligne. «Prendre rendez-vous chez le médecin sera aussi simple que de réserver une chambre d’hôtel. Accéder à son dossier médical sera aussi naturel qu’[accéder] à son compte bancaire», s’enthousiasme Éric Caire en introduction de sa Stratégie.

Le gouvernement disposera dès lors de mégadonnées qui permettront de créer de nouveaux services auxquels on n’avait jamais pensé: connaître le temps d’attente aux urgences, trouver les restaurants ayant reçu des infractions en matière d’hygiène, le taux de mortalité par CHSLD ou le taux de diplomation des écoles secondaires de votre région. Des services qui pourraient faciliter la vie de bien des citoyens.

Le Conseil du Trésor compte consacrer à cette Stratégie un milliard $ d’ici 2029. Et peut-être quelques milliards de plus pour les centres de données informatiques. Car le gouvernement a promis de rapatrier toutes les données au Québec et de ne pas dépendre de serveurs étrangers – un bon point en sa faveur.

Par ailleurs, plusieurs firmes flairant la bonne affaire, dont Desjardins, essaient de convaincre le gouvernement de sous-traiter au privé la réalisation de son projet. Quoique, sur ce point, il semble que le gouvernement soit résolu à conserver le contrôle total – autre bon point en sa faveur.*

Des remparts svp !

Après les fleurs, le pot. Suivant son habitude, le gouvernement caquiste risque de gâcher une idée potentiellement intéressante, en allant trop vite et en brûlant les étapes. Le défi n’est pas uniquement technique! Car cette transformation numérique, même si elle est nécessaire, aura toutes sortes d’incidences sur une série de principes fondamentaux qui risquent d’être bafoués.

Ce plus vaste projet soulève tellement de questions que le gouvernement ne peut pas faire l’économie d’une grande consultation publique sur ce qu’il propose, à commencer par tout ce qui touche la protection des renseignements personnels et la cybersécurité.

La seule «consultation publique» a eu lieu en ligne cinq semaines avant la publication de la Stratégie – autrement dit, quand celle-ci était déjà écrite. Cette consultation n’était en fait qu’un sondage glorifié: 566 personnes ont pris cinq minutes pour répondre à un formulaire en ligne. Biais évident: on n’a pas pensé à poser les mêmes questions à des répondants non connectés! Mais les députés, eux, ont-ils voté? La moindre des choses serait que l’on fasse une vraie consultation, avec des mémoires sérieux.

L’actuelle loi québécoise sur la protection des renseignements personnels remonte à 1982. Elle n’a pas été réformée pour tenir compte du Web ni de la collecte effrénée et massive de renseignements personnels par l’entreprise privée. Ce devrait être une priorité, qui n’a pas l’air de préoccuper les auteurs de la stratégie gouvernementale.

Cette vieille loi, qui doit être révisée, avait tout de même le mérite de prévoir des cloisons étanches entre les ministères, si bien que les informations que vous donnez à la Santé ou à l’Éducation n’autorisent pas le fisc ou la police à y avoir accès. Or, c’est exactement le contraire que promet la Stratégie, qui revient constamment sur l’idée qu’il serait donc pratique de ne devoir communiquer ses informations qu’une seule fois. Selon le texte du projet, un changement d’adresse communiqué à un établissement de santé serait partagé à l’ensemble des ministères et organismes concernés.

Il y a d’excellentes raisons de préserver des garde-fous. Les citoyens doivent être protégés contre les abus de pouvoir des fonctionnaires, des élus, de la police, de la Protection de la jeunesse, des écoles, des directions de CIUSSS. Contre leur propre négligence, aussi, même quand elle est volontaire, parce que les implications sont trop énormes. Dans un État démocratique normal, c’est l’État qui doit en être le garant.

Un gros volet de cette Stratégie concerne également la cybersécurité, et c’est pourquoi le gouvernement a accouché d’une Politique gouvernementale de cybersécurité en mars 2020. Celle-ci explique, sans trop de détails, qu’il faudra créer un «réseau gouvernemental de cyberdéfense». Aucun doute là-dessus: en créant le premier système centralisé d’identité numérique, le «gouvernement du futur» se pose en cible bien juteuse qui attirera à coup sûr tous les pirates informatiques du monde entier, qui tenteront de «craquer le système» et d’inventer de nouvelles manières de voler des identités, voire de tout saboter. On veut bien que le gouvernement soit «proactif» face aux «menaces émergentes», comme il l’écrit. Mais encore? Chez Desjardins, il s’est suffi d’un employé malhonnête pour exposer les renseignements personnels de plus de quatre millions de clients.

Cette réforme touche aussi à des principes fondamentaux du droit des citoyens dont l’État devrait se porter garant. Nos vies et nos identités sont de plus en plus numériques. Or, dans ce cyberespace, depuis 20 ans, tous les gouvernements ont abdiqué mystérieusement leurs pouvoirs législatifs, juridiques et fiscaux face aux entreprises et aux géants du Web. Il y a donc de quoi s’interroger à voir un gouvernement opérer une métamorphose numérique dans un environnement qu’il refuse ou qu’il est incapable de régir ou d’assainir. Et encore faudrait-il qu’Ottawa coopère à ce chapitre…

Cette politique de cybersécurité n’en dit pas plus sur le problème évident du vol d’identité numérique. Un code d’accès unique, c’est bien beau, mais qu’arrivera-t-il si le citoyen perd la mémoire? Qu’en est-il de la proportion assez élevée d’aînés qui ne sont pas à l’aise avec l’informatique et le Web? Les codes d’accès biométriques sont une solution – sauf pour ceux qui perdent un œil ou des doigts… Et qu’offrira-t-on aux citoyens qui refusent (pourra-t-on refuser?) l’identité numérique par prudence ou parce qu’ils n’ont pas les compétences requises?

Non, il est hors de question que le gouvernement reçoive un chèque en blanc pour exécuter une réforme aussi importante à la va-vite, sans consultation ni contrôle. Il serait dommage qu’une réforme technique par ailleurs nécessaire transforme un État qui est un modèle de démocratie en État totalitaire, par inadvertance, parce qu’on n’aura pas pris les précautions les plus élémentaires.

 

Éditorial

Auteur(e)

Jean-Benoît Nadeau

Chroniqueur au Devoir et collaborateur au magazine L’actualité, Jean-Benoît Nadeau a publié plus de 1 000 reportages et chroniques, remporté deux douzaines de prix journalistiques et littéraires, signé huit livres, vécu dans trois pays, élevé deux enfants et marié une seule femme.