Fédérer la gestion de l'identité au gouvernement du Canada : Une mise en contexte

Table of Contents

1. Sommaire exécutif

L'identité est une dimension fondamentale au sein de la société canadienne. Elle est à l'origine de la confiance que l'on peut avoir dans les interactions entre la population et le gouvernement; elle est un facteur déterminant qui permet la prestation de services, la sécurité, la protection des renseignements personnels et les activités de sécurité publique. Elle est aussi au cœur du gouvernement et de la plupart des processus opérationnels gouvernementaux. La manière dont nous recueillons, utilisons, gérons et sécurisons l'information sur l'identité est de première importance pour les dirigeants du secteur public qui ont la tâche de préserver la liberté des citoyens, de voir à la protection des renseignements personnels et d'assurer la sécurité de la nation et du public.

La gestion de l'identité a une vaste portée et touche nombre des activités de l'État. En raison de la nature horizontale de la gestion de l'identité, l'adoption de saines pratiques de gestion de l'identité doit être généralisée et constante. Étant donné le rôle habilitant que revêt l'identité dans les activités de l'État, il est tout à fait normal que des pratiques cohérentes de gestion de l'identité soient en place. Pourtant, à l'heure actuelle, il n'existe pas d'approche formalisée en matière de gestion de l'identité au sein du gouvernement fédéral ou parmi les provinces et territoires. Tant qu'on ne disposera pas d'un cadre à cet égard, il ne sera pas possible d'atteindre les objectifs d'une prestation uniforme et coordonnée des services entre les administrations avec accès en tout temps et en tous lieux dans le respect des lois et des exigences en matière de protection des renseignements personnels et de sécurité.

En fédérant la gestion de l'identité, on permet à la confiance - établie par les processus internes de gestion de l'identité - de franchir encore davantage les frontières organisationnelles et aux organisations gouvernementales de tisser des liens de confiance et, idéalement, de viser des objectifs d'interopérabilité en vue d'une harmonisation aussi poussée que possible relativement à leur modèle opérationnel, leurs politiques de TI et leurs objectifs et besoins respectifs en matière de sécurité et de protection des renseignements personnels.

La vision

La vision que nous avons de l'avenir du pays est une fédération d'organisations dont les membres se fient les uns aux autres pour ce qui est des assurances d'identité qu'ils se fournissent mutuellement. Le gouvernement de demain évoluera dans un environnement où l'on pourra utiliser les justificatifs d'identité choisis par les clients et délivrés par le biais d'une diversité de voies de prestation par de multiples fournisseurs faisant partie de multiples administrations publiques, peu importe la technologie utilisée. Pour le client, cela se traduit par un accès pratique et sécuritaire aux services avec l'assurance du respect de son droit à la vie privée. Pour les organisations participantes, cela permet une utilisation optimale des ressources et des gains d'efficience. Du point de vue du gouvernement, cela viendra réduire les coûts d'exécution des programmes, améliorer sa transparence, et augmentera la satisfaction de ses clients.

Si l'on a d'abord misé sur une gestion fédérée de l'identité des clients externes (particuliers, entreprises), ce que l'on vise, à long terme, c'est de rendre possible une fédération qui viendra également appuyer les clients internes (employés).

Principes directeurs présidant à la gestion fédérée de l'identité

  • dégagement d'un consensus quant à des assurances (de justificatif ou d'identité) acceptées et mutuellement respectées, sur les niveaux de risque et quant aux responsabilités;
  • respect des responsabilités au niveau des programmes;
  • au citoyen de décider;
  • permettre l'interopérabilité;
  • favoriser un marché juste et concurrentiel.

Une approche progressive par phases est préconisée

La première phase de cette entreprise de fédération de la gestion de l'identité reposera sur le développement de la prochaine génération des services d'authentification électronique. Plus précisément, on cherchera à fédérer la gestion des justificatifs susceptibles de contenir des caractéristiques d'identité. Au cours de cette première phase, toute donnée d'identité pouvant être liée à un justificatif ne sera pas présumée valide ou acceptable à des fins de vérification de l'identité. Le justificatif sera essentiellement traité comme un « justificatif anonyme » permettant aux clients de prouver les déclarations les concernant et leurs relations avec des organismes gouvernementaux de façon anonyme. L'étape logique suivante consistera à appliquer les leçons tirées de cela à la fédération de l'identité.

La gestion de l'identité est une discipline qui continuera d'évoluer au sein du gouvernement fédéral, et il en ira de même de nos politiques en vue d'aider les ministères à exercer une meilleure gestion de l'identité afin que leurs programmes donnent des résultats. Le calendrier de réalisation d'une fédération de la gestion de l'identité sera fonction des priorités fixées à l'échelle pancanadienne et des pressions opérationnelles venant du gouvernement du Canada.

En retenant une approche progressive, le gouvernement du Canada ne prescrit pas de solution précise. On veut simplement donner au gouvernement les moyens de s'adapter à l'évolution de la situation dans le domaine de la gestion de l'identité. L'approche préconisée rendra possible l'élaboration de solutions économiques et encouragera la concurrence.

Le Secrétariat du Conseil du Trésor du Canada travaille en étroite collaboration avec des ministères et organismes fédéraux ainsi que des partenaires provinciaux et territoriaux pour faire progresser le travail sur des dimensions clés de la fédération. Les initiatives en cours comprennent :

  • l'élaboration du modèle pancanadien d'assurance en collaboration avec des partenaires fédéraux, provinciaux et territoriaux;
  • l'établissement de liens de confiance par l'étude de solutions en matière de modèles de confiance;
  • la fédération technologiquement neutre des justificatifs d'identité par la prestation d'une orientation centralisée et d'un soutien stratégique à l'intention des projets pionniers en vue de la mise au point de la prochaine génération de services d'authentification;
  • l'élaboration d'un modèle d'assurance de l'identité s'inspirant du modèle élaboré pour fédérer les justificatifs.

Le gouvernement du Canada estime que le fait d'aborder cette tâche de fédération selon une démarche planifiée et progressive permettra d'aller de l'avant et de limiter grandement les obstacles éventuels. Des efforts devront être déployés pour que l'on comprenne comment les parties interagissent formellement les unes avec les autres pour relever les défis culturels, politiques et juridiques liés à la gestion fédérée de l'identité.

2. Introduction

Trois grandes étapes ont été franchies en 2008. Tout d'abord, nous avons assisté au lancement de l'initiative de renouvellement de l'authentification électronique, une activité interministérielle fédérale visant à définir un nouveau cadre pangouvernemental d'authentification de l'identité pour les citoyens et les entreprises qui accèdent à des services gouvernementaux par différentes voies de prestation (en personne, par téléphone, par la poste et en ligne). Dans le cadre de cette initiative, on s'est servi des travaux du Groupe de travail intergouvernemental sur la gestion de l'identité et l'authentification (GTGIA) pour l'exécution de ce projet, que l'on a ensuite appliqué à plus grande échelle pour élaborer un modèle fédéré d'assurance répondant aux besoins du gouvernement du Canada. A également fait suite à ces travaux la recommandation que le gouvernement du Canada officialise et adopte une approche fédérée en matière d'authentification.Voir la note en bas de page 1

En deuxième lieu, les membres de la Table des sous-ministres fédéraux-provinciaux-territoriaux (FPT) sur la collaboration relative à la prestation de services en sont arrivés à un consensus pour poursuivre le développement du cadre pancanadien de fédération de la gestion de l'identité et de l'authentification. Un comité directeur intergouvernemental a été mis sur pied pour voir au parachèvement du cadre que le GTGIA avait commencé à mettre au point, plus particulièrement en ce qui concerne les sept dimensions que constituent les questions juridiques, la protection des renseignements personnels, la sécurité, l'identité, l'assurance, la confiance et l'expérience en matière de services d'identité.

En troisième lieu, la version révisée de la Politique sur la sécurité du gouvernement en est aux derniers stades d'approbation. Celle-ci introduira une nouvelle Directive sur la gestion de l'identité afin que l'on remédie aux lacunes et que l'on fasse le nécessaire pour en arriver à une approche fédérée en matière de gestion de l'identité. C'est la première fois que l'on se dotera, au gouvernement du Canada, d'un instrument de politique visant à assurer des pratiques cohérentes de gestion de l'identité. On s'assurera grâce à cela que les exigences en matière de protection des renseignements personnels et de sécurité sont satisfaites et que les services sont conçus, administrés et fournis aux bons clients.

Le présent rapport fait fond sur ces réussites et fait état de la constante évolution de la pensée dans le domaine de la gestion de l'identité et présente l'approche que le gouvernement du Canada se propose d'adopter pour fédérer la gestion de l'identité.

2.1 Contexte

L'identité est une dimension fondamentale au sein de la société canadienne. Elle est à l'origine de la confiance que l'on peut avoir dans les interactions entre la population et le gouvernement; elle est un facteur déterminant qui permet la prestation de services, la sécurité, la protection des renseignements personnels et les activités de sécurité publique. Elle est aussi au cœur du gouvernement fédéral et de la plupart des processus opérationnels gouvernementaux. Une fois qu'une identité est établie, toutes les activités gouvernementales subséquentes, lesquelles vont de la protection des biens à la prestation de services, en passant par les avantages et les droits conférés ainsi que les interventions en cas de catastrophe et d'urgence, reposent sur cette identité.

La manière dont nous recueillons, utilisons, gérons et sécurisons l'information sur l'identité est de première importance pour les dirigeants du secteur public qui ont la tâche de préserver la liberté des citoyens, de protéger les renseignements personnels, de préserver la sécurité nationale et d'assurer la sécurité publique. C'est aussi la préoccupation des clients, qui veulent un accès pratique aux programmes et services du gouvernement sans pour autant s'exposer à un risque de vol d'identité ou de violation de leur vie privée.

Un important travail a été accompli au gouvernement fédéral dans le domaine de la gestion de l'identité avec, par exemple, le laissez-passer électronique (epass), le projet Portageur et l'élaboration d'un modèle d'assurance. Des travaux intergouvernementaux ont permis de définir les principes et le cadre initial pancanadiens de gestion de l'identité et d'authentification ainsi que de réaliser le programme d'interopérabilité des dossiers de santé électronique dans le cadre d'Inforoute Santé du Canada, du programme BCeID en Colombie-Britannique, de l'« Alberta Secure Access Service » et du système québécois ClicSÉQUR, pour ne nommer que quelques réalisations.

La gestion de l'identité a une vaste portée et touche nombre des activités de l'État. En raison de la nature horizontale de la gestion de l'identité, l'adoption de saines pratiques de gestion de l'identité doit être généralisée et constante. Étant donné le rôle habilitant que revêt l'identité dans les activités de l'État, il est tout à fait normal que des pratiques cohérentes de gestion de l'identité soient en place. Pourtant, à l'heure actuelle, il n'existe pas d'approche formalisée en matière de gestion de l'identité au sein du gouvernement fédéral ou au sein des provinces et territoires. Tant qu'on ne disposera pas d'un cadre à cet égard, il ne sera pas possible d'atteindre les objectifs d'une prestation uniforme et coordonnée des services entre les administrations avec accès en tout temps et en tous lieux dans le respect des lois et des exigences en matière de protection des renseignements personnels et de sécurité.

Par le biais d'une orientation visant à assurer la cohérence des pratiques de gestion de l'identité à l'échelle des gouvernements, les organisations pourront acquérir la capacité de tirer réciproquement parti de leurs fonctions de gestion de l'identité afin de mieux gérer les coûts et les risques associés aux programmes (comme le partage de coûts, des gains d'efficience, la normalisation des pratiques) tout en offrant à leurs clients des services améliorés et interopérables.

2.2 But et portée

Le présent rapport s'est fixé les objectifs suivants :

Le présent rapport sert de moyen de communication, et son contenu ne vise pas à remplacer les normes et les lignes directrices qui président à la gestion efficace de l'identité. La portée du présent document se limite à mettre les choses en contexte quant à l'approche globale retenue pour fédérer la gestion de l'identité au gouvernement du Canada. Si l'on s'est d'abord attaché à sécuriser la prestation de services du gouvernement en ligne aux clients externes (particuliers, entreprises), l'intention demeure de faire évoluer la vision en sorte de traiter la gestion fédérée de l'identité pour toutes les voies par lesquelles des services sont fournis (en personne, par téléphone, par la poste et en ligne) et de se tourner du côté des clients internes que sont les employés.

Établissement de l'identité, vérification et confirmation de l'identité, partage de données d'identité, gestion de l'accès et gestion des justificatifs internes : voilà autant de sujets d'importance sur lesquels il faudra se pencher à mesure que le gouvernement du Canada passe à une formule fédérée de gestion de l'identité. L'étude de ces dimensions n'est toutefois pas l'objet du présent rapport.

2.3 À qui s'adresse le présent rapport

Le présent rapport est destiné en premier lieu aux décideurs du gouvernement du Canada. Parmi les autres parties prenantes pour qui le document peut présenter de l'intérêt, on retrouve :

3. Portrait du contexte

3.1 La « fédération » aujourd'hui

La pratique d'une gestion fédérée de l'identité existe déjà. Ce que le gouvernement du Canada a l'intention de faire c'est d'officialiser la façon dont les arrangements de confiance sont façonnés et de rendre explicites, au moyen de politiques et de normes, les responsabilités associées aux assurances partagées concernant les justificatifs ou l'identité.

À l'heure actuelle, certains programmes utilisent comme preuves d'identité des justificatifs d'identité délivrés par d'autres programmes (par exemple, un permis de conduire, un passeport, un numéro d'assurance sociale); or ces arrangements peuvent reposer sur une confiance implicite, voire, dans certains cas, sur le côté pratique de la chose. Cette façon n'est pas évolutive de nos jours et ne saurait faciliter la réalisation de l'objectif d'une prestation intergouvernementale et interopérable de services aux clients.

Pour aller de l'avant, de bons exemples de gestion fédérée de l'identité dans des milieux de responsabilité gouvernementale - tels que le maintien de l'ordre, la sécurité des aliments, la santé et l'éducation - peuvent être mis à profit pour montrer des leçons apprises qui pourront être appliquées à l'ensemble du gouvernement.

3.2 Nécessité d'une approche pangouvernementale


La « fourniture d'assurances d'identités numériques » est une question complexe de politique publique qui relève tout à la fois de la sécurité de l'information, de la protection des renseignements personnels et de la confiance. Se pencher sur cette question nécessite une approche globale pouvant conjuguer les grands vecteurs que sont l'efficacité de la conception et la convivialité, garantir un niveau de sécurité adéquat, informer et sensibiliser le consommateur et établir un cadre juridique et stratégique permettant la protection de la vie privée et une répartition adéquate du risque.

—Adapté du document Protecting and Managing Digital Identities Online; documents de référence actualisés - février 2009, Direction générale du commerce électronique, Industrie Canada

À l'heure actuelle, la diversité des pratiques de gestion de l'identité à l'échelle du gouvernement du Canada et d'autres administrations peut accroître les risques d'usage frauduleux de documents d'identité, de vols d'identité, d'octroi irrégulier de droits, de perte d'avantages et de pertes financières pour les particuliers et les gouvernements ainsi que les risques d'invasion de la vie privée. Sans approche cohérente, uniforme, normalisée et interopérable de gestion de l'identité au gouvernement fédéral et dans les autres administrations, il devient de plus en plus difficile d'élaborer et de mettre en œuvre des stratégies efficaces d'atténuation des risques pour gérer les défis que représente la sécurité nationale tout en assurant le respect de la vie privée, l'intégrité des programmes et la prestation de services axés sur le citoyen.

Certains des principaux facteurs justifiant l'adoption d'une approche pangouvernementale cohérente en matière de gestion de l'identité comprennent les éléments suivants :

3.3 Penser « pancanadien »

Les programmes fédéraux qui se fient aux preuves d'identité fournies par d'autres administrations (provinces, territoires) ou par des organismes internationaux s'exposent souvent à un risque accru en raison de la diffusion des responsabilités et du manque de clarté au sujet des pratiques de gestion de l'identité. En adoptant une approche pancanadienne en matière de fédération, on peut grouper les efforts déployés par tous les ordres de gouvernements, ce qui permet l'élaboration d'une approche qui franchit les frontières des ministères, des organismes et des administrations. Cette approche facilite l'atteinte des objectifs d'une prestation uniforme et coordonnée avec un accès en tout temps et en tous lieux, dans le respect des lois et des exigences en matière de vie privée et de sécurité.

Le gouvernement du Canada collabore étroitement avec les provinces et les territoires pour faire en sorte que le modèle d'assurance de conception fédérale acquiert une portée pancanadienne. Cet aspect est abordé plus en détail à la section 5.4.

3.4 Au-delà des frontières canadiennes

Plusieurs organismes qui suivent l'industrie de près, parmi lesquels les cabinets de consultants Gartner Group et Burton Group, rapportent qu'il existe une demande croissante pour la formule fédérée dans plusieurs industries verticales, alors que nombre d'entreprises se fédèrent à de nombreuses organisations partenaires. On assiste actuellement à une émergence de fédérations hors des industries habituelles, comme les télécommunications; des entreprises telles qu'American Express, Boeing, Harvard University, Hewlett-Packard et Phillips parlent publiquement de leurs projets de fédération.

Les gouvernements d'autres pays ont eux aussi fait d'importants investissements en matière de fédération au cours des dernières années. Aux États-Unis, le programme E-gov (gouvernement électronique) et l'initiative d'authentification électronique (la partie fédération) ont fait de la formule de fédération un but stratégique. La fédération est aussi considérée comme une approche déterminante pour les activités gouvernementales électroniques au Danemark, en Finlande, aux Pays-Bas, en Norvège, au Royaume-Uni, en Nouvelle-Zélande, en Australie et dans bien des pays européens.

Si d'autres gouvernements adoptent une approche fédérée en matière de gestion de l'identité, il se peut que leurs solutions ne cadrent pas directement avec le contexte canadien. Il importera d'apprendre des autres, de retenir les pratiques exemplaires le cas échéant et de s'assurer que les choses qui importent au Canada entrent bien en ligne de compte dans la solution finale retenue. Il n'est pas moins important de veiller à ce que l'approche canadienne cadre avec celle des autres pays pour ce qui est d'appuyer les activités gouvernementales qui vont au-delà des frontières souveraines.

4. La vision de l'avenir

La vision que nous avons de l'avenir du pays est une fédération d'organisations dont les membres se fient les uns aux autres quant aux assurances d'identité (authentification des clients) qu'ils se fournissent mutuellement. Le gouvernement de demain évoluera au sein d'un environnement où l'on pourra utiliser les justificatifs d'identité choisis par les clients et délivrés par le biais de diverses voies de prestation par de multiples fournisseurs faisant partie de multiples administrations publiques, peu importe la technologie utilisée. Pour le client, cela se traduit par un accès pratique et sécuritaire aux services avec l'assurance du respect de son droit à la vie privée; pour les organisations participantes, cela permet d'utiliser les ressources de façon optimale et de réaliser des gains d'efficience. Du point de vue du gouvernement, cela donne lieu à une baisse des coûts d'exécution des programmes, à une transparence accrue et à une plus grande satisfaction des clients.

Ce scénario s'appuie forcément sur les relations de confiance et la gouvernance qui permettent aux organisations gouvernementales de poursuivre avec le plus d'efficacité possible les objectifs d'interopérabilité qui sont les mieux en mesure de s'harmoniser avec leurs modèles de fonctionnement respectif et les politiques, la sécurité, les objectifs de protection des renseignements personnels et les exigences entourant la technologie de l'information.

Si l'on a d'abord misé sur une gestion fédérée de l'identité des clients externes (particuliers, entreprises), ce que l'on vise, à long terme, c'est de rendre possible une fédération qui viendra également appuyer des clients internes (employés).

Les éléments suivants sont jugés déterminants dans une entreprise de fédération de la gestion de l'identité.

Assurance

Au moment d'établir une identité, les ministères fédéraux doivent s'assurer d'avoir affaire au bon client. Pour ce faire, ils font entrer les risques en ligne de compte et se prononcent sur l'authenticité de la personne, de l'entreprise ou de l'objet, le résultat de cette opération étant une assurance de justificatifs ou d'identité. Dans le concept d'une fédération, cette assurance représente une chose de valeur que les membres de la fédération peuvent partager les uns avec les autres.

Confiance

On parvient à une fédération de l'identité lorsque la confiance passe d'une organisation qui identifie et authentifie à une autre.

—Adapté du document Protecting and Managing Digital Identities Online; documents de référence actualisés – février 2009, Direction générale du commerce électronique, Industrie Canada

La formalisation des pratiques de gestion de l'identité entre administrations (y compris de celles qui engendrent des assurances de justificatifs ou d'identité) accroît la confiance entre les entités gouvernementales. Lorsque des entités se font confiance au chapitre de leurs pratiques de gestion de l'identité, cela autorise la fourniture (ou le partage) d'assurances de justificatifs ou d'identité au-delà des limites des programmes, des ministères et des administrations, si bien que les administrations peuvent mettre en commun leurs capacités de gestion de l'identité pour mieux gérer les coûts des programmes et les risques qui leurs sont associés (p. ex., le partage des coûts, la réalisation de gains d'efficience et la normalisation des pratiques) tout en offrant des services améliorés.

Les relations de confiance entre tous les membres d'une fédération peuvent être étayées par des normes et des technologies autorisant la portabilité des assurances de justificatifs et d'identité entre de multiples entreprises.

Pour que la confiance règne entre les ministères et organismes du gouvernement du Canada, il est impératif que les rôles et responsabilités soient clairement définis. On s'attend à ce que la version révisée de la Politique sur la sécurité du gouvernement prépare le terrain pour la mise en place de structures appropriées de gouvernance (modèles de confiance, modèles de gouvernance) conformes aux besoins opérationnels.

Gestion du risque

Au cœur de l'approche que le gouvernement du Canada a retenue pour fédérer la gestion de l'identité se trouve la reconnaissance que les responsables des programmes sont tenus d'atteindre les objectifs des programmes qu'ils réalisent. Cela comprend la responsabilité d'authentifier l'identité des clients aux fins de l'exécution des programmes. C'est la gestion du risque par le responsable de l'opération qui dictera le choix du degré d'assurance approprié dans le cadre d'une opération de confiance, et des conséquences seront prévues.

Des assurances partagées de justificatifs et d'identité permettraient aux membres de la fédération de partager le risque, ce qui contribuerait à réduire le niveau global des coûts afférents à la gestion individuelle des risques. Cette approche de gestion du risque cadre avec la formule intégrée que le gouvernement fédéral a adoptée en matière de gestion du risque.

Rôles de la fédération

Les membres de la fédération représentent des entités autonomes qui sont devenues membres de la fédération. Il peut s'agir de ministères, d'organismes ou d'administrations ayant décidé d'adhérer à la fédération. Au sein de la fédération, les membres assument au moins l'un des rôles suivants :

une partie mandante
c'est-à-dire une entité qui amorce une interaction ou qui est soumise à un résultat. Le mandant est habituellement un particulier qui fournit la preuve d'une requête ou demande un service;
une partie ayant autorité
soit un membre de la fédération qui fournit des assurances (de justificatifs ou d'identité) aux autres parties;
une partie en confiance
c'est-à-dire un membre de la fédération qui reçoit des assurances (de justificatifs ou d'identité) d'un autre membre (la partie ayant autorité).

Cette liste d'éléments clés n'est pas considérée comme exhaustive. Elle s'allongera au fur et à mesure des progrès qui sont réalisés, et il est probable que gouvernance, normes communes, certification et accréditation s'avèrent nécessaires pour rendre la fédération fonctionnelle et l'appuyer.

4.1 Principes

Les principes qui suivent guideront l'élaboration du modèle de fédération à appliquer à la gestion de l'identité :

Ces principes viennent compléter les principes d'identité formulés dans le rapport de juillet 2007 du GTGIA sur la gestion de l'identité et l'authentification (A Pan-Canadian Strategy for Identity Management and Authentication). À mesure que les travaux progressent, les principes énoncés ci-dessus seront peaufinés et on en définira peut-être de nouveaux.

4.2 Avantages et risques

Une approche fédérée de gestion de l'identité offre des avantages, car il n'est pas nécessaire que chaque programme répète ses propres mécanismes d'authentification et d'établissement de l'identité. Gartner relève les avantages suivants dans une fédération :

Bien que ces avantages soient cités sous l'angle de l'« authentification électronique », l'authentification d'un client au moyen de justificatifs électroniques, la vision qui accompagne une gestion fédérée de l'identité va au-delà de la seule authentification électronique. La formule de la fédération peut tout aussi bien s'appliquer à la gestion de l'identité des entreprises, des organisations et des fonctionnaires, tout comme aux dispositifs et machines assujettis aux pratiques de gestion de l'identité. En outre, cette notion peut s'appliquer non seulement aux modes de prestation de services en ligne pour les clients, mais aussi aux autres modes de prestation de services (en personne, par téléphone et par la poste).

Fédérer la gestion de l'identité peut engendrer de nouveaux risques pour les programmes et les organisations, comme les suivants : le fait de se fier à un tiers pour les déclarations ou affirmations d'identité; des règles concernant les documents judiciaires et la conservation de dossiers qui doivent désormais s'appliquer à tous, franchissant ainsi les limites de l'organisation; la prolifération possible de bris de confiance, laquelle pourrait donner lieu à des attaques transversales. Toutefois, selon le Burton Group, la gestion fédérée de l'identité peut entraîner la réduction de certains autres risques :

Le gouvernement du Canada reconnaît qu'un travail considérable sera nécessaire aux chapitres suivants :

5. Stratégie pour aller de l'avant

5.1 Approche progressive par phases

La position adoptée par le gouvernement du Canada pour ce qui est de fédérer la gestion de l'identité ne consiste pas à fixer une solution donnée, mais plutôt à définir des instruments, peu nombreux mais pertinents, qui mettent l'accent sur l'atteinte de résultats. La formule proposée de gestion fédérée de l'identité respecte et appuie les impératifs en matière de sécurité, de respect de la vie privée, de gestion de l'information et de transformation des services, sans oublier les initiatives de gestion de l'identité au sein du gouvernement fédéral. Une approche de mise en œuvre graduelle est recommandée.

Figure 1: Approche graduelle par phases pour fédérer la gestion de l'identité à l'échelle du gouvernement
Graphique de l'Approche graduelle par phases pour fédérer la gestion de l'identité à l'échelle du gouvernement. Version textutelle ci-dessous :
Figure 1 - Version textutelle

Le diagramme est un graphique qui illustre l'évolution des pratiques en matière de gestion de l'identité par rapport à la complexité de la gestion de l'identité. L'évolution est représentée au moyen de l'axe x et la complexité est représentée au moyen de l'axe y. La ligne courbe qui traverse le graphique commence dans le coin inférieur droit et monte vers le coin supérieur gauche, démontrant ainsi qu'à mesure que les pratiques en matière de gestion de l'identité évoluent, la complexité de la gestion de l'identité augmente.

La ligne traverse trois phases. La première phase correspond aux justificatifs; la seconde phase correspond à l'identité; la troisième phase correspond à la gestion fédérée de l'identité.

Les points placés le long de la ligne illustrent le progrès à faire pour appuyer chaque phase et sont dans l'ordre suivant. À la phase 1, le premier point sur la ligne représente le Modèle d'assurance pancanadien. Il est suivi d'un point qui représente les Liens de confiance et la gouvernance, puis d'un point qui représente la Gestion fédérale des justificatifs. Une fois que la ligne a atteint la Phase 2, le point suivant représente l'Amélioration des liens de confiance et de la gouvernance et celui d'après représente l'Assurance fédérale de l'identité. Rendu à dernière phase, le dernier point représente la Gestion fédérée de l'identité.

Le diagramme indique que la politique et l'orientation entrent en jeu au fur et à mesure que l'évolution des pratiques en matière de gestion de l'identité se poursuit. Il démontre aussi que les leçons apprises en cours de route doivent constamment s'appliquer tout du long.

La première phase de cette entreprise de fédération de la gestion de l'identité reposera sur le développement de la prochaine génération des services d'authentification en ligne. Plus précisément, on cherchera à fédérer la gestion de justificatifs technologiquement neutres, qui peuvent ou non contenir des caractéristiques d'identité. Au cours de cette première phase, toute donnée d'identité pouvant être liée à un justificatif ne sera pas présumée valide ou acceptable à des fins d'établissement de l'identité. Le justificatif sera essentiellement traité comme un « justificatif anonyme » permettant aux clients de prouver les déclarations les concernant et leurs relations avec des organismes gouvernementaux de façon anonyme. L'étape logique suivante consistera à appliquer les leçons tirées de cela à la fédération de l'identité. La gestion de l'identité est une discipline qui continuera d'évoluer au sein du gouvernement fédéral, et il en ira de même de nos politiques en vue d'aider les ministères à exercer une meilleure gestion de l'identité afin que leurs programmes donnent des résultats.

En retenant une approche progressive, le gouvernement du Canada ne prescrit pas de solution, mais cherche plutôt à lui permettre de s'adapter à l'évolution de la situation dans le domaine de la gestion de l'identité. L'approche préconisée rendra possible l'élaboration de solutions économiques et encouragera la concurrence. Le recours à une approche moins normative permettra au gouvernement de tirer parti des innovations futures tout en apprenant à mieux connaître et à mieux évaluer l'évolution du marché en matière de gestion de l'identité, plus précisément en ce qui touche le lien entre l'identité et les justificatifs d'identité.

Le calendrier de réalisation d'une fédération de la gestion de l'identité sera fonction des priorités fixées à l'échelle pancanadienne et des pressions opérationnelles venant du gouvernement du Canada. La progression de la nouvelle génération de services d'authentification en ligne devra se faire assez rapidement pour qu'on ait la possibilité d'enregistrer quelques « succès rapides », comme la fédération de la gestion des justificatifs anonymesVoir la note en bas de page 5 (qui sera une occasion de mettre la fédération à l'épreuve), mais elle devra aussi être suffisamment graduelle pour que l'on puisse mettre en application les leçons apprises et que les outils influant sur la cohérence et l'évolution des pratiques de gestion de l'identité produisent leurs effets.

5.2 Politique et orientation

C'est la Directive sur la gestion de l'identité, émise en vertu de la version révisée de la Politique sur la sécurité du gouvernement, qui viendra appuyer la gestion des processus opérationnels liés aux données sur l'identité ainsi que l'interopérabilité, en prescrivant une orientation et des lignes directrices touchant les pratiques de gestion de l'identité. La Directive sera la pierre angulaire de l'élaboration d'instruments obligatoires qui procureront aux ministères une approche cohérente, uniforme, normalisée et interopérable en matière de gestion de l'identité à l'échelle du gouvernement fédéral. Elle donnera aux ministères l'orientation qui leur est nécessaire pour réduire les risques d'usage frauduleux de documents d'identité, d'octroi irrégulier de droits, de perte d'avantages et de pertes financières pour les particuliers et les gouvernements, ainsi que d'invasion de la vie privée. La Directive permettra aux ministères de mieux gérer leurs risques opérationnels tout en relevant les défis liés à la sécurité nationale, au respect de la vie privée, à l'intégrité des programmes et à la prestation des services.

5.3 Initiatives pangouvernementales

Il reste encore beaucoup à faire pour cerner les meilleures façons de fédérer la gestion de l'identité. Le Secrétariat du Conseil du Trésor (SCT) du Canada collabore avec des ministères et organismes fédéraux ainsi que des partenaires provinciaux et territoriaux pour faire avancer cette compréhension, notamment en ce qui a trait aux composantes ou éléments clés de la fédération, soit l'assurance, la confiance, la gouvernance et la gestion du risque. Quelques-unes de ces initiatives pangouvernementales sont décrites ci-après.

5.3.1 Mise au point du modèle d'assurance pancanadien

Le gouvernement du Canada a élaboré un modèle d'assurance qui permettra aux ministères et aux organismes de fédérer l'identité en évaluant le risque et de prendre d'importantes décisions quant à l'authentification en tenant compte du risque, du coût et de la simplicité des opérations du point de vue des clients. Le modèle du gouvernement du Canada offre aussi différentes possibilités pour l'authentification et les technologies connexes, et permet de faire une nette distinction entre l'assurance des justificatifs d'identité et l'assurance de l'identité. L'assurance des justificatifs d'identité a trait au caractère exécutoire du justificatif d'identité d'une personne (sans égard à l'identité de cette dernière) alors que l'assurance de l'identité a trait à l'affirmation que la personne est bien celle qu'elle prétend être. Ces deux assurances sont requises pour assurer l'efficacité de la méthode d'authentification.

Parmi les principaux aspects de la nouvelle approche d'authentification du gouvernement du Canada, on retrouve l'établissement de multiples degrés d'assurance - le choix étant fonction du risque - des composantes et des interfaces normalisées qui serviront d'éléments de base aux méthodes d'authentification, et une interface homogène à l'intention des clients qui se prévalent de programmes ou de services du gouvernement du Canada. Ce modèle a été conçu de manière à ce qu'il puisse être appliqué à toutes les voies de prestation, et être étendu à l'assurance de l'identité, lorsque l'on en sera arrivé à une étape plus avancée. Le modèle actuel s'applique uniquement à l'assurance des justificatifs d'identité, de sorte qu'il reste à définir les modalités de l'assurance de l'identité au niveau des programmes.

Un modèle d'assurance pancanadien est la prochaine étape à franchir dans une évaluation uniforme et l'élaboration d'un cadre décisionnel permettant aux différentes administrations de se fier (c. à d. de se faire confiance) les unes aux autres quant à l'assurance et aux justificatifs d'identité dans le cadre d'un arrangement fédéré. Au cœur de ce modèle se trouve la reconnaissance que la notion d'assurance est une dimension déterminante dans l'officialisation de modalités fédérées et est une composante nécessaire à la gestion des risques au-delà des frontières organisationnelles au sein de la fédération. À cette fin, le gouvernement du Canada s'emploie, de concert avec les parties prenantes fédérales, provinciales et territoriales, à élargir le champ d'application du modèle d'assurance de conception fédérale afin de lui donner une dimension pancanadienne, ce qui permettra la présence de multiples fournisseurs de justificatifs ainsi que l'acceptation de justificatifs émanant d'autres parties ayant autorité (gouvernement fédéral, administrations fédérales et territoriales, municipalités, partenaires commerciaux).

5.3.2 Établir des liens de confiance

Il sera indispensable d'aborder la question de la confiance si l'on veut fédérer la gestion de l'identité et assurer l'interopérabilité gouvernementale à l'avenir. Tous les travaux menés reposent manifestement sur une confiance interprétée comme le mécanisme sous-jacent qui appuiera l'ensemble du réseau fédéré de gestion de l'identité. Il faudra examiner cette confiance sous divers angles, dont ceux des tendances, pratiques exemplaires et méthodes observées au niveau international, dans les secteurs privés et dans les industries connexes (p. ex., en ce qui concerne les données financières, l'assurance, etc.), des exigences, des défis et de la façon d'appliquer les pratiques exemplaires à l'établissement de liens de confiance dans le contexte canadien comme fondement d'une fédération de l'identité. Des travaux préparatoires sont en cours pour étudier les solutions possibles en matière de modèles de confiance.

5.3.3 Fédérer la gestion des justificatifs

Le modèle d'assurance pancanadien est le fondement sur lequel reposera une confiance mutuelle à l'endroit de l'assurance des justificatifs d'identité de chaque partie prenante, et il facilite la fédération de la gestion des justificatifs, non seulement au sein du gouvernement fédéral, mais aussi au sein d'autres administrations publiques. Pendant la première phase, les efforts de fédération des justificatifs seront facilités par la nouvelle génération de services d'authentification en ligne, avec pour résultat que les membres (de la fédération) pourront partager des assurances de justificatifs avec d'autres membres de confiance de la fédération. Au cours de cette première phase, toute donnée d'identité pouvant être liée à un justificatif ne sera pas présumée valide ou acceptable à des fins d'établissement de l'identité. Le justificatif sera essentiellement traité comme un « justificatif anonyme » permettant aux clients de prouver les déclarations les concernant et leurs relations avec des organismes gouvernementaux de façon anonyme.

À l'heure actuelle, il n'est pas courant de partager des renseignements d'identité hors des paramètres stipulés aux termes des mandats des programmes ou des administrations. La solution de rechange consiste à recourir à un justificatif « anonyme », qui peut être partagé maintenant avec un minimum de contraintes sur le plan des lois et de la protection des renseignements personnels. En outre, la distinction claire entre identité et justificatif s'applique à l'ensemble des services. Cela permet d'effectuer des opérations où l'identité du client n'est pas essentielle (comme un recensement), la responsabilité liée à l'assurance de l'identité incombant au programme, comme il se doit. Selon le Gartner Group, cette distinction tient compte du fait que les services de confirmation de l'identité et de justificatifs peuvent être fournis par les mêmes entités ou par des entités indépendantes.Voir la note en bas de page 6 Cette décision engendrera la réalisation de progrès à l'intérieur du cadre législatif et permettra au gouvernement du Canada de tirer parti d'un marché concurrentiel dans lequel nombre de fournisseurs de justificatifs pourraient offrir des services d'émission ou de délivrance de justificatifs d'identité.

5.3.4 Élaboration d'un modèle d'assurance de l'identité

On se servira d'aspects du modèle d'assurance établi dans le cadre de l'Initiative de renouvellement de l'authentification électronique (p. ex., les niveaux d'assurance) et on appliquera ces éléments au traitement d'exigences liées à la fédération de la gestion de l'identité entre organisations ou administrations. On s'emploie actuellement à produire un exemple plus précis du modèle d'assurance qui s'appliquera à l'identité au sein du gouvernement du Canada et qui jettera les bases d'une gestion fédérée de l'identité.

5.4 Collaboration entre les gouvernements fédéral, provinciaux et territoriaux

Le gouvernement du Canada continuera de favoriser l'établissement de relations de confiance à l'intérieur du gouvernement fédéral, ainsi qu'avec les gouvernements provinciaux, territoriaux et municipaux. Le Secrétariat et Service Canada représentent le gouvernement fédéral au sein du Comité directeur fédéral-provincial-territorial (FPT) de la gestion de l'identité (CDGI), lequel relève de la Table des sous-ministres FPT sur la collaboration en matière de prestation de services. Le CDGI est chargé de superviser l'élaboration du cadre pancanadien et des normes de gestion de l'identité, orientant ses groupes de travail à cet égard et encourageant l'adoption d'un cadre et de normes qui s'étendent à toutes les administrations.

En outre, le gouvernement fédéral travaille en étroite collaboration avec les conseils mixtes (Conseil des DPI du secteur public et Conseil de la prestation des services du secteur public) ainsi qu'avec les sous-comités et les groupes de travail qui leur sont associés afin de renforcer la coopération intergouvernementale et de tirer parti des leçons apprises et des pratiques exemplaires en matière de gestion de l'identité. De même, le gouvernement fédéral participe activement aux travaux d'un certain nombre d'organismes nationaux et internationaux s'intéressant à la gestion de l'identité.

6. Conclusion

En fédérant la gestion de l'identité, on permet à la confiance - établie par les processus internes de gestion de l'identité - de franchir encore davantage les frontières organisationnelles et aux organisations gouvernementales de tisser des liens de confiance et, idéalement, de viser des objectifs d'interopérabilité en vue d'une harmonisation aussi poussée que possible relativement à leur modèle opérationnel, leurs politiques de TI, et leurs objectifs et besoins respectifs en matière de sécurité et de protection des renseignements personnels. C'est la direction que prennent d'autres gouvernements, pays et industries pour s'attaquer à la question de la gestion de l'identité. Il importera de comprendre ce que signifie « fédération » dans le contexte canadien, et le présent rapport représente un premier pas dans l'atteinte d'une compréhension commune du concept de fédération et de la façon dont on pourrait l'appliquer à la gestion de l'identité au sein du gouvernement du Canada.

Il y a des travaux d'envergure desquels on peut s'inspirer, comme le travail intergouvernemental accompli par le Groupe de travail intergouvernemental sur la gestion de l'identité et l'authentification, les travaux du Comité directeur de la gestion de l'information et, au gouvernement fédéral, les résultats du Projet de renouvellement de l'authentification électronique, autant d'entreprises qui, à l'issue de vastes consultations, ont débouché sur la production d'un modèle d'assurance. On procède désormais à une application pancanadienne de ce modèle par la collaboration FPT. En outre, une fois instaurée, la Directive sur la gestion de l'identité sera la pierre angulaire de l'élaboration d'instruments obligatoires qui procureront aux ministères une approche cohérente, uniforme, normalisée et interopérable de gestion de l'identité à l'échelle du gouvernement fédéral.

Une approche graduelle en plusieurs phases est préconisée pour aller de l'avant dans le domaine de la fédération de l'identité, et une occasion se présente de procéder à la mise à l'essai de la fédération. Le point de départ proposé consiste à apprendre à se fédérer avec quelque chose de simple et de bien compris, comme les justificatifs anonymes. La première étape consiste à fédérer la gestion des justificatifs et l'on mène actuellement, au gouvernement fédéral, des projets exploratoires visant l'étude des solutions possibles quant à la prochaine génération des services d'authentification en ligne, dans le cadre de l'élaboration d'une stratégie pancanadienne de fédération. Une fois que les relations de confiance nécessaires au fonctionnement de cette entreprise seront en place et bien comprises, l'étape logique suivante consistera à appliquer cette compréhension à la fédération de l'identité.

On estime qu'on pourra aller de l'avant et limiter grandement les obstacles éventuels en s'attelant à cette tâche de fédération selon une démarche planifiée et progressive. Des efforts devront être déployés pour que l'on comprenne comment les parties interagissent formellement les unes avec les autres pour relever les défis culturels, politiques et juridiques liés à la gestion fédérée de l'identité.

Annexe A — Glossaire

Terme Définition
Assurance Degré de certitude concernant la véracité d'un énoncé ou d'un fait.
Assurance de justificatif d'identité Caractère exécutoire du justificatif d'identité d'une personne (sans égard à l'identité de cette dernière).
Assurance de l'identité A trait à l'affirmation que la personne est bien celle qu'elle prétend être. Ces deux assurances (l'assurance de justificatif d'identité et l'assurance de l'identité) sont requises pour assurer l'efficacité de la méthode d'authentification.
Authentification Processus d'établissement de la véracité ou de l'authenticité à des fins de production d'assurance de justificatifs ou d'identité.
Client Bénéficiaire auquel est destiné un extrant de service. Les clients externes sont généralement des particuliers (citoyens canadiens, résidents permanents, etc.) et des entreprises (des secteurs public et privé). Les clients internes sont généralement des agents contractuels et des employés du gouvernement du Canada.
Confiance Une conviction ferme à l'égard de la fiabilité, de la véracité ou de la force (etc.) d'une personne ou d'une chose, permettant d'accorder confiance au caractère ou au comportement de cette personne ou chose, d'y croire, de s'y fier.
Déclaration ou affirmation d'identité Une déclaration ou affirmation de la véracité d'un renseignement concernant l'identité d'un client.
Fédération Une entente de collaboration entre des entités autonomes qui se sont engagées à renoncer à une partie de leur autonomie dans le but de travailler efficacement au déploiement d'un effort collaboratif. La fédération repose sur des relations de confiance et des principes soutenant l'interopérabilité.
Fédération d'identité Groupe d'entités autonomes ayant fondé une collectivité reposant sur des relations de confiance dans le but de gérer l'identité de leurs clients.
Fédération des justificatifs Processus par lequel on établit une fédération dans laquelle les membres partagent des assurances de justificatifs avec des membres de confiance de la fédération.
Gestion de l'identité L'établissement, la validation et l'utilisation de l'identité d'une personne dans le cadre d'opérations avec l'État qui sont fondées sur la confiance, s'appuyant sur une série de principes, de pratiques, de processus et de procédures qui permettent à une organisation de s'acquitter de son mandat et de réaliser ses objectifs liés à l'identité.
Gestion fédérée de l'identité Le partage d'« assurances de l'identité » avec des partenaires (membres) d'une fédération en qui l'on a confiance.
Identité Référence ou désignation servant à distinguer un particulier, une organisation ou un mécanisme unique donné.
Interopérabilité Capacité des ministères fédéraux à fonctionner en synergie au moyen de pratiques uniformes de sécurité et de gestion de l'identité.
Justificatif d'identité Objet (ou identificateur) physique ou électronique unique attribué à un client ou associé à celui-ci.
Justificatifs anonymes Renvoie à un justificatif qui, tout en faisant une affirmation au sujet d'un bien, statut ou droit d'un client ne révèle pas l'identité du client. Un justificatif peut contenir des données relatives à l'identité, mais peut quand même être considéré comme anonyme si les données en question ne sont pas reconnues ou utilisées dans la validation de l'identité. Les justificatifs anonymes offrent aux clients la possibilité de prouver, dans l'anonymat, des déclarations les concernant ou portant sur leurs relations avec des organisations publiques ou privées.
Risque Incertitude entourant les événements et les résultats à venir. Il est l'expression de la probabilité et de l'incidence d'un événement susceptible d'influer sur l'atteinte des objectifs de l'organisation.

Annexe B — Lectures suggérées

Les documents suivants sont recommandés au lecteur comme sources supplémentaires de références sur certaines des recherches fondamentales en matière de gestion de l'identité et en authentification qui ont débouché sur la production du présent rapport ainsi que pour obtenir des explications plus détaillées sur certains des concepts et notions mentionnés mais non décrits dans le présent document, comme les niveaux d'assurance :

Annexe C — Références

  1. Renouvellement de l'authentification électronique, Rapport sur les exigences futures en matière d'authentification électronique au gouvernement du Canada, version finale à des fins de DR, juin 2008.
  2. Rapport final du Groupe de travail intergouvernemental sur la gestion de l'identité et l'authentification - Stratégie pancanadienne en matière de gestion de l'identité et d'authentification, novembre 2007.
  3. Focussing on Identity in the Government of Canada, Direction du dirigeant principal de l'information, juin 2007.
  4. L'identité, la protection de la vie privée et le besoin d'autrui de savoir qui vous êtes : document de travail sur l'identité et les questions qu'elle soulève, Commissariat à la protection de la vie privée du Canada, septembre 2007.
  5. Trust and Identity Management: Experience and perspective from the Province of British Columbia Canada, Peter Watkins, directeur exécutif, Initiatives intergouvernmentales en matière de GI/TI, Bureau du dirigeant principal de l'information, gouvernement de la Colombie-Britannique, 21 et 22 novembre 2007.
  6. Take the Best, Leave the Rest for Identity Federation Governance and Controls, Gartner, 24 décembre 2008. Nº de référence : G00164069.
  7. Realizing the Potential of Identity Management: A Progress Report, Jamie Lewis, PDG et PDG et titulaire de la chaire de recherche (présentation), Digital Identity World, Burton Group, 27 octobre 2004.
  8. Protecting and Managing Digital Identities Online: Understanding and Addressing the Public Policy Issues of Online Identity Assurances; document de référence actualisé, février 2009, Direction générale du commerce électronique, Industrie Canada.
  9. The New Federated Privacy Impact Assessment (F-PIA); Building Privacy and Trust-enabled Federation; Bureau du commissaire à l'information et à la protection de la vie privée et Liberty Alliance, janvier 2009.
Date de modification :