La confirmation de l’identité sur le Web est devenue une mesure essentielle dans le contexte numérique actuel, et la preuve d’identité a évolué au-delà des formes physiques d’identification. Nous comptons de plus en plus sur l’identification numérique ou les « identifiants numériques » comme moyen d’authentification pour accéder aux services de divers niveaux d’organisations et ordres de gouvernement.
Essentiellement, les identifiants numériques constituent un prolongement des pièces d’identité physiques, comme les permis de conduire, les passeports et les cartes d’accès bancaires. Ils permettent de confirmer son identité au moyen de données biométriques à l’intérieur de canaux numériques, un peu comme on présenterait une pièce d’identité physique lors d’une vérification en personne.
Lorsqu’il est question de gérer l’identité, d’authentifier des personnes et de lier des renseignements personnels, les identifiants numériques suscitent la controverse. À mesure que les gens continuent de partager leurs données personnelles pour accéder à des services, par exemple lorsqu’on voyage, des questions de sécurité et de protection des renseignements personnels se posent. Par conséquent, les consommateurs qui divulguent leurs renseignements numériques pour accéder aux services d’une organisation s’attendent à ce qu’un niveau élevé de confidentialité et de sécurité s’applique à la protection de ces données. Après tout, la protection des données est la responsabilité de l’organisation qui les recueille.
Dans un monde de plus en plus numérique où les identifiants sont en voie de devenir la norme, les organisations doivent être tenues responsables de la protection des données des utilisateurs. Elles doivent concevoir et maintenir un cadre normalisé de confiance et de sécurité afin d’établir des règles claires régissant la collecte et l’utilisation des renseignements personnels. Elles doivent également se montrer transparentes quant à la quantité de renseignements qu’elles recueillent et auxquels elles accèdent, à l’endroit où ces données seront stockées et utilisées ainsi qu’à la façon dont elles seront gérées en vue d’assurer la protection du droit intrinsèque à la confidentialité.
Les identifiants numériques : un monde de possibilités
Bien que les identifiants numériques soulèvent des préoccupations en matière de protection des renseignements personnels, ils peuvent s’avérer un excellent moyen d’élargir l’utilisation des systèmes et des services numériques. Il ne fait aucun doute que les identifiants numériques ouvrent un monde de possibilités sur le plan de la simplification des activités des organisations ayant de nombreux besoins en matière d’authentification.
Les organisations telles que les institutions financières peuvent faire des gains considérables en devenant la source des données centralisées utilisée par d’autres organisations pour accéder aux services. Les identifiants numériques permettent aux organisations de créer un processus d’accès à leurs produits et services plus fluide, tout en améliorant leur gestion des données.
De plus, les identifiants numériques s’appuyant sur des données biométriques peuvent être utilisés de façon élargie pour les groupes ayant des contraintes liées à l’âge ou présentant des troubles comme la démence. Grâce à cette technologie, ces groupes peuvent accéder aux services sans devoir se souvenir de leurs noms d’utilisateur et de leurs mots de passe. Cela dit, bien que les identifiants numériques offrent de nouveaux avantages et qu’ils soient même en passe de devenir nécessaires, leur mise en œuvre doit être réalisée prudemment afin de réduire au minimum les risques liés à la confidentialité et à la sécurité.
Saisir l’occasion
Assurer la fiabilité de la technologie
Les identifiants numériques nécessitent une technologie fiable pour ne laisser aucune place à l’erreur, surtout lorsqu’il s’agit de données biométriques. Par exemple, dans certaines situations, certains traits faciaux ou teints de peau n’ont pas été reconnus par la technologie mise en place par les organisations et les gouvernements. Ce genre de situation peut générer de la frustration, compromettre les droits des citoyens et entraîner une perte de confiance.
Si la technologie n’est pas assez fiable, il y a un risque de faux positifs, ce qui viendrait discriminer des populations données. Des cas comme celui-ci laissent entrevoir des risques d’exploitation des vulnérabilités et doivent être évités en misant sur la bonne technologie et des niveaux d’essais rigoureux.
- Adriana Gliga-Belavic
Veiller à la compatibilité des appareils
Au chapitre de la compatibilité de la technologie nécessaire à l’alimentation des identifiants numériques, il faut se rappeler que toutes les personnes et organisations utilisent des appareils et des logiciels différents. Ces appareils peuvent être dotés de différents niveaux de contrôles de sécurité et de capacités de déploiement de ces contrôles. Par conséquent, il importe de s’assurer que les applications utilisées par les organisations sont compatibles avec tous les appareils et qu’elles sont pourvues de mesures de sécurité robustes et intégrées lors de la conception, de manière à protéger les renseignements personnels.
Normaliser la protection des renseignements et l’accès à ceux-ci
Un autre élément à considérer est l’établissement d’un cadre qui normalise la façon de recueillir, de gérer et d’échanger des renseignements d’identification numérique au sein d’un pays (entre les provinces du Canada), entre différentes organisations ou entre des pays qui doivent accéder à des données sensibles. Certains pays ont relevé le défi de l’émission d’identifiants numériques, de même que de l’élaboration et de la mise en œuvre de cadres, avec des succès variés. Toutefois, l’échange d’information entre différents niveaux d’administration est beaucoup plus complexe.
Songez à la nécessité de présenter une preuve de vaccination contre la COVID-19 lorsque vous voyagez dans un autre pays. Comment les différents pays, et même différentes organisations comme les compagnies aériennes, pourront-ils accéder en toute sécurité aux renseignements personnels sur la santé et faire confiance à cette source de données? Quels renseignements personnels devraient être mis à la disposition d’organisations comme les compagnies aériennes pour confirmer la preuve de vaccination? Où doit-on stocker ces données sensibles pour s’assurer que les citoyens gardent le contrôle de leurs données personnelles?
Les utilisateurs d’identifiants numériques doivent tenir compte des risques associés à la communication des renseignements personnels et se demander dans quelle mesure ces données seront consultées et partagées. En ce qui concerne la preuve de vaccination exigée par les compagnies aériennes, il faut savoir où tracer la ligne. Pourquoi les compagnies aériennes doivent-elles avoir accès aux dossiers médicaux personnels? Le doivent-elles vraiment? Si oui, pendant combien de temps? Quelles procédures de sécurité doivent-elles mettre en place pour protéger les données sensibles et le droit à la confidentialité?
À l’heure actuelle, aucun cadre commun ne pourrait être utilisé pour remédier à cet enjeu. II est en outre très complexe d’élaborer et d’autoriser de telles mesures avant qu’elles ne puissent être mises en œuvre avec succès.
Gestion des risques : Préoccupations liées à la protection des renseignements personnels et à la sécurité
Créer différents niveaux d’accès
Les organisations qui ont recours aux identifiants numériques comme moyen d’authentification ont la responsabilité de protéger les données sensibles des utilisateurs. Si une source d’information numérique centrale peut s’avérer utile pour les organisations et les particuliers, elle représente aussi un risque énorme. Les atteintes à la sécurité peuvent avoir des conséquences catastrophiques, puisque les particuliers ne disposent que d’un seul ensemble de données biométriques. Ainsi, les organisations doivent être tenues responsables de la création et de la mise en œuvre de procédures de confidentialité et de sécurité définies visant à protéger les données des utilisateurs contre tout accès non autorisé.
Par exemple, lorsqu’une compagnie aérienne balaie l’identifiant numérique d’une personne pour valider sa preuve de vaccination, elle ne devrait accéder à rien d’autre que cette preuve. De plus, aucune information ne devrait être recueillie et stockée, et ce, de manière à réduire le risque de compromission même en cas d’intrusion dans les systèmes. L’accès à l’information devrait être restreint au contenu et à la durée nécessaires, et l’information elle-même doit être protégée au moyen de solutions comme le chiffrement.
La confiance, qui joue un rôle essentiel dans la protection de la confidentialité et de la sécurité des identifiants numériques, doit s’exprimer de deux façons :
- Les organisations doivent faire confiance aux sources de données servant à vérifier qu’une personne est bien celle qu’elle prétend être.
- Les particuliers doivent faire confiance aux organisations dans l’application des procédures de protection des renseignements personnels et des données sensibles.
Une façon de gérer ce problème consiste à fournir différents niveaux d’accès en fonction du besoin, sans qu’aucune partie prenante externe ne puisse sauvegarder ou utiliser les données à d’autres fins. Ainsi, la personne à qui appartiennent les données en conserve la source, un peu comme les pièces d’identité physiques.
- Adriana Gliga-Belavic
Pour inspirer confiance à la fois aux particuliers et aux organisations, il importe que la vérification systématique soit à la base de ce modèle, avec au cœur des priorités les droits des consommateurs. Le modèle se doit également d’être très rigoureux. La protection des données des utilisateurs incombe à l’organisation qui les recueille. La création d’un cadre normalisé comprenant différents niveaux d’accès aux données sensibles revient donc aux organisations, qui doivent rendre compte de la mise en œuvre appropriée de ce modèle.
Élaborer une politique sur le cycle de vie des données
Les identifiants numériques ne concernent pas seulement la création et l’activation de l’authentification et des données numériques, mais bien l’ensemble du cycle de vie des données, de la façon dont elles sont recueillies, stockées et sécurisées aux méthodes utilisées pour les supprimer. C’est pourquoi les organisations ont le devoir d’élaborer des politiques et des procédures solides à l’égard des données qu’elles recueillent et gèrent.
« Pour accéder aux services, les gens transmettront des renseignements personnels, mais comme ils sont de plus en plus conscients de leurs droits à la confidentialité de leurs données, explique Adriana Gliga-Belavic, ils exigeront que les organisations fassent preuve de transparence et qu’elles se dotent de politiques de confidentialité et de procédures pour protéger leurs données sensibles. »
Mesures de cybersécurité rigoureuses
Les stratégies et les technologies de cybersécurité revêtent une importance capitale pour la protection des données des utilisateurs d’identifiants numériques. Compte tenu des tactiques avancées déployées par les pirates informatiques, la question n’est souvent pas de savoir si l’organisation pourrait être compromise, mais plutôt quand elle le sera. Les organisations doivent donc être préparées à réagir de façon appropriée en misant sur des stratégies de cybersécurité, de contrôles et de mesures de détection en cas d’intrusion. À ce titre, la préparation permet de gagner une longueur d’avance.
« L’intensification de la numérisation mènera sans doute à une recrudescence des attaques un peu partout. Les contrôles et les protocoles d’intervention mis en place seront essentiels pour remporter la bataille. C’est particulièrement vrai dans le cas des identifiants numériques en raison du caractère sensible des renseignements recueillis et stockés », fait remarquer Mme Gliga-Belavic.
Les identifiants numériques recèlent des possibilités infinies pour les organisations et les particuliers. Qu’il s’agisse de centraliser les sources de données, d’offrir plus de commodité ou de faciliter la communication, il devient impératif de surmonter les défis posés par l’identification numérique. Les identifiants numériques s’accompagnent toutefois d’un risque énorme lié à la confidentialité, et il incombe aux organisations de protéger les données des utilisateurs et d’instaurer une confiance numérique. Les organisations se doivent d’assumer les responsabilités suivantes :
- recueillir le moins de données possible;
- protéger les données sensibles des utilisateurs;
- mettre en place des programmes de protection des renseignements personnels rigoureux;
- créer un système d’accès à plusieurs niveaux;
- assurer une transparence dans la collecte et l’utilisation des données.
À l’ère des identifiants numériques, les gens ont intérêt à comprendre leurs droits à la confidentialité et doivent tenir les organisations responsables de la protection de leurs données sensibles.
Nos experts se spécialisent dans la création, la mise en œuvre et le maintien de mesures de sécurité et de protection des renseignements personnels à tous les niveaux. Pour en savoir plus sur les identifiants numériques et sur le rôle que jouent les organisations dans la protection des données des utilisateurs, n’hésitez pas à communiquer avec notre équipe.
Auteur : Adriana Gliga-Belavic
Adriana Gliga-Belavic, CISSP, CIPM, PCIP, est associée, Cybersécurité et leader, Protection des renseignements personnels au bureau de MNP à Toronto. Passionnée par la sécurité et la protection des données personnelles, Adriana accompagne les clients des secteurs public et privé dans l’élaboration de stratégies et de programmes de protection concrets visant à maintenir la confiance des clients et à trouver le bon équilibre entre résultats d’exploitation, cyberrésilience proactive et bonification des mesures de protection.