Norme sur l'assurance de l'identité et des justificatifs

Formats alternatifs

1. Date d'entrée en vigueur

1.1 La présente Norme entrera en vigueur le 1er février 2013.

2. Application

2.1 La présente Norme s'applique à tous les ministères, tels que définis aux annexes I, I.1, II, IV et V de la Loi sur la gestion des finances publiques, à moins qu'ils ne soient exclus en vertu de lois, de règlements ou de décrets.

3. Contexte

3.1 La présente Norme favorise l'atteinte des objectifs énoncés dans la Politique sur la sécurité du gouvernement et la Directive sur la gestion de l'identité en imposant aux ministères des exigences afin d'assurer des pratiques de gestion de l'identité conséquentes.

3.2 La Norme appuie également la stratégie du gouvernement du Canada en matière de fédération de l'identité. La fédération de l'identité permet aux ministères et organismes de remplir les exigences liées aux programmes et aux services en se fiant aux processus d'assurance de l'identité et des justificatifs déjà menés à bien par d'autres ministères, administrations ou secteurs.

3.3 La présente Norme exige des ministères qu'ils adoptent une méthode commune d'évaluation des risques liés à l'identité et aux justificatifs et qu'ils choisissent les contrôles ou les mesures préventives qui s'imposent pour atténuer ces risques conformément à un cadre normalisé des niveaux d'assurance.

3.4 L'assurance de l'identité est une mesure d'assurance que la personne, l'organisation ou l'appareil est bien celui qu'il affirme être. Le risque en matière d'identité est le risque qu'une personne, une organisation ou un appareil ne soit pas celui qu'il affirme être.

3.5 L'assurance des justificatifs est l'assurance qu'une personne, une organisation ou un appareil a conservé le contrôle de ce qui lui a été confié (p. ex., clé, jeton, document, identificateur, etc.) et que le justificatif n'a pas été compromis (p. ex., falsifié, corrompu, modifié). Le risque lié aux justificatifs est le risque qu'une personne, une organisation ou un appareil ait perdu le contrôle du justificatif qui lui a été délivré.

3.6 Un cadre normalisé pour les niveaux d'assurance en matière d'identité et de justificatifs est nécessaire pour gérer le risque dans l'ensemble du gouvernement et permettre la fédération. Une fédération est une entente de coopération établie entre des entités autonomes qui ont convenu de collaborer et qui repose sur des liens de confiance et des normes pour rendre l'interopérabilité.

3.7 La présente Norme s'applique à toutes les activités du gouvernement, et chaque ministère doit établir des identités internes ou externes, ou se fonder sur celles-ci.

3.8 L'annexe B et l'annexe C ne s'appliquent qu'à l'identité des personnes.

4. Définitions

4.1 Les définitions à utiliser dans l'interprétation de la présente Norme se trouvent à l'annexe A.

5. Énoncé de la Norme

S'assurer que les risques en lien avec l'identité sont gérés de façon égale et collaborative à l'échelle du gouvernement du Canada et au sein d'autres compétences et secteurs de l'industrie.

Les résultats escomptés sont les suivants:

5.2.1 le risque lié à l'identité est évalué et intégré aux pratiques de gestion des risques du ministère;

5.2.2 les processus et contrôles opérationnels du ministère pour la gestion de l'identité sont déterminés et mis en œuvre à l'aide d'un cadre de niveau d'assurance normalisé;

5.2.3 les ministères participent aux ententes pour la fédération de l'identité de façon à respecter les exigences en matière d'assurance de l'identité et des justificatifs.

6. Exigences

En consultation avec d'autres spécialistes fonctionnels, les gestionnaires de la prestation des programmes et des services sont responsables des activités décrites aux articles 6.1, 6.2 et 6.3.

6.1.1 Cibler et évaluer les risques en lien avec l'identité et les justificatifs à l'aide d'une évaluation des préjudices pour le programme, l'activité, le service ou la transaction.

6.1.2 Déterminer les niveaux nécessaires d'assurance de l'identité et des justificatifs à l'aide des niveaux d'assurance normalisés de l'annexe B.

6.1.3 Choisir les contrôles de l'identité et des justificatifs nécessaires pour respecter les exigences en lien avec le niveau d'assurance précisé à l'annexe B.

6.1.4 S'assurer de respecter les exigences minimums pour l'établissement du niveau d'assurance de l'identité précisées dans l'annexe C.

6.2.1 Assurer la participation au processus de fédération de l'identité à l'aide des critères établis par le dirigeant principal de l'information du gouvernement du Canada.

6.3.1 Surveiller la mise en œuvre de la présente Norme au sein du ministère, et en veiller à ce qu'on s'y conforme, en portant à l'attention de l'administrateur général les problèmes importants, les écarts dans le rendement ou la conformité, et en élaborant des propositions pour les corriger.

6.3.2 Fournir, à la demande du Secrétariat du Conseil du Trésor du Canada, de l'information qui facilite l'établissement opportun de rapports rigoureux sur la conformité et l'atteinte des résultats escomptés de la présente Norme.

7. Surveillance et établissement de rapports à l'échelle du gouvernement

7.1 Le Secrétariat du Conseil du Trésor du Canada surveillera le respect de la présente Norme et l'atteinte des résultats escomptés, et il étudiera l'évaluation des risques en lien avec l'identité et les justificatifs, ainsi que les mesures de contrôle et les ententes pour la fédération de l'identité, par l'entremise de différentes méthodes, dont:

  • des évaluations et des consultations ministérielles et pangouvernementales reposant sur des faits;
  • l'examen des présentations au Conseil du Trésor, des rapports ministériels sur le rendement et des résultats de vérifications, d'évaluations et d'études;
  • l'étude du travail effectué en collaboration avec les ministères.

7.2 Le Secrétariat du Conseil du Trésor étudiera la présente Norme, ainsi que son efficacité, cinq ans après sa date d'entrée en vigueur (ou plus tôt si nécessaire).

8. Conséquences

8.1 Les conséquences du non-respect de la présente Norme sont décrites à l'article 7 de la Politique sur la sécurité du gouvernement.

9. Rôles et responsabilités des organisations gouvernementales

9.1 La Direction du dirigeant principal de l'information aide le Secrétariat du Conseil du Trésor dans le cadre de l'établissement et de la surveillance d'une approche pangouvernementale pour la gestion de la sécurité et de l'identité. Cette approche est un élément clé de toute activité de gestion et permet de veiller au bien fondé des services de soutien pour ces activités et pratiques à l'échelle du gouvernement.

9.2 Cela comprend l'établissement d'une direction pangouvernementale et de priorités, la définition et la formalisation des exigences pour la gestion de l'identité et de la sécurité pour le gouvernement du Canada et les ministères, et l'établissement des normes et des pouvoirs nécessaires pour identifier et justifier des personnes au sein du gouvernement du Canada et à l'extérieur de celui-ci.

9.3 La Direction du dirigeant principal de l'information du gouvernement du Canada assume ces responsabilités de la façon suivante:

9.3.1 aider les comités et les groupes de travail afin de leur permettre de relever les défis pangouvernementaux et de profiter des occasions de mise en œuvre de la présente Norme et des instruments connexes;

9.3.2 communiquer avec l'ensemble du gouvernement et mobiliser les employés et les partenaires d'autres compétences et secteurs afin d'élaborer des stratégies, des approches et des processus communs ou compatibles pour faciliter la fédération de l'identité;

9.3.3 établir des critères de participation à des ententes pour la fédération de l'identité.

11. Demandes de renseignements

Pour obtenir de l'information sur cet instrument de politique, veuillez consulter les Questions de nature générale du Secrétariat du Conseil du Trésor du Canada.


Annexe A: Définitions

Assurance

Une mesure de certitude que l'énoncé ou le fait est juste.

Assurance de l'identité

Une mesure d'assurance que la personne, l'organisation ou l'appareil est bien celui qu'il affirme être.

Assurance des justificatifs

L'assurance qu'une personne, une organisation ou un appareil a conservé le contrôle de ce qui lui a été confié (p. ex., clé, jeton, document, identificateur) et que le justificatif n'a pas été compromis (p. ex., falsifié, corrompu, modifié).

Confirmation basée sur les connaissances

Un processus qui permet de comparer de l'information personnelle ou privée (p. ex., secrets partagés) pour de confirmer l'identité d'une personne. Des exemples d'information pouvant être utilisée pour la confirmation basée sur les connaissances comprennent les mots de passe, les numéros d'identification personnelle, les questions personnelles, l'information propre à un programme et l'information financière ou sur le crédit.

Confirmation de la possession physique

Un processus qui nécessite la possession physique ou la présentation de preuves pour établir l'identité d'une personne.

Confirmation d'un arbitre de confiance

Un processus qui permet de se fier à un arbitre de confiance pour établir un lien avec la personne. L'arbitre de confiance est déterminé selon les critères propres au programme. Des exemples d'arbitres de confiance comprennent les répondants, les notaires et les agents agréés.

Confirmation des caractéristiques biologiques ou comportementales

Un processus qui permet de comparer les caractéristiques biologiques (anatomiques et physiologiques) afin d'établir un lien vers une personne, par exemple, la comparaison d'une photo et d'une personne.

Fédération

Une entente de coopération entre des entités autonomes qui ont accepté de travailler ensemble. Une fédération repose sur des relations de confiance et des normes pour faciliter l'interopérabilité.

Gestion de l'identité

L'ensemble de principes, de pratiques, de processus et de procédures utilisés pour respecter le mandat d'une organisation et ses objectifs en lien avec l'identité.

Identité

Une référence ou une désignation utilisée pour faire la distinction entre une personne, une organisation ou un appareil unique et précis.

Justificatif

Un objet physique ou électronique unique (ou identificateur) émis à une personne, une organisation ou un appareil ou en lien avec celui-ci.

Niveau d'assurance

Un niveau d'assurance sur lequel d'autres peuvent se fier.

Niveau d'assurance de l'identité

Le niveau d'assurance que la personne, l'organisation ou l'appareil est bien celui qu'il affirme être.

Niveau d'assurance du justificatif

Le niveau d'assurance qu'une personne, une organisation ou un appareil a conservé le contrôle de ce qui lui a été confié (p. ex., clé, jeton, document, identificateur) et que le justificatif n'a pas été compromis (p. ex., falsifié, corrompu, modifié).

Partie ayant autorité

Un membre de la fédération qui offre des assurances (de justificatifs ou d'identité) à d'autres membres (parties utilisatrices).

Partie en confiance

Un membre de la fédération qui reçoit des assurances (de justificatifs ou d'identité) d'un autre membre (la partie ayant autorité).

Preuve à l'appui de l'identité

La preuve de l'identité qui corrobore la preuve essentielle et permet d'établir un lien entre l'information d'identification et la personne concernée. Elle peut comprendre également de l'information supplémentaire, comme une photo, une signature ou une adresse. Des exemples comprennent le dossier d'assurance sociale; le dossier de droit de se déplacer, de conduire ou d'obtenir de l'assurance maladie; le dossier de mariage, de décès ou de changement de nom provenant d'une autorité compétente.

Preuve de l'identité

Un document provenant d'une source qui fait autorité et qui confirme l'identité d'une personne. Il existe deux catégories de preuves de l'identité: essentielles et à l'appui.

Preuve de l'identité essentielle

La preuve de l'identité qui comprend de l'information de base, comme le nom de famille, le prénom, la date de naissance, le sexe et le lieu de naissance. Des exemples comprennent les dossiers de naissance, d'immigration ou de citoyenneté provenant d'une autorité au sein de la compétence pertinente.

Risque en lien avec l'identité

Le risque qu'une personne, une organisation ou un appareil ne soit pas celui qu'il affirme être.

Source autorisée

Une collection ou un registre de dossiers entretenu par une autorité qui respecte les critères établis.

Annexe B: Niveaux d'assurance normalisés pour la gestion des risques en lien avec l'identité et les justificatifs

Tableau 1: Niveaux d'assurance de l'identité
Niveau Description
4

Besoin d'un niveau très élevé d'assurance que la personne est celle qu'elle affirme être.

Une compromission pourrait raisonnablement entraîner des préjudices graves, sinon catastrophiques.

3

Besoin d'un niveau élevé d'assurance que la personne est celle qu'elle affirme être.

Une compromission pourrait raisonnablement entraîner des préjudices modérés, sinon graves.

2

Besoin d'un certain niveau d'assurance que la personne est celle qu'elle affirme être.

Une compromission pourrait raisonnablement entraîner des préjudices minimes, sinon modérés.

1

Besoin d'un faible niveau d'assurance que la personne est celle qu'elle affirme être.

Une compromission pourrait raisonnablement entraîner des préjudices inexistants, sinon minimes.


Tableau 2: Niveaux d'assurances des justificatifs
Niveau Description
4

Besoin d'un niveau très élevé d'assurance que la personne a gardé le contrôle du justificatif qui lui a été confié et que celui-ci n'a pas été compromis.

Une compromission pourrait raisonnablement entraîner des préjudices graves, sinon catastrophiques

3

Besoin d'un niveau élevé d'assurance que la personne a gardé le contrôle du justificatif qui lui a été confié et que celui-ci n'a pas été compromis.

Une compromission pourrait raisonnablement entraîner des préjudices modérés, sinon graves

2

Besoin d'un certain niveau d'assurance que la personne a gardé le contrôle du justificatif qui lui a été confié et que celui-ci n'a pas été compromis.

Une compromission pourrait raisonnablement entraîner des préjudices minimes, sinon modérés

1

Besoin d'un faible niveau d'assurance que la personne a gardé le contrôle du justificatif qui lui a été confié et que celui-ci n'a pas été compromis.

Une compromission pourrait raisonnablement entraîner des préjudices inexistants, sinon minimes

Annexe C: Exigences minimales pour établir un niveau d'assurance de l'identité

Exigence Niveau 1 Niveau 2 Niveau 3 Niveau 4
Nota: Lorsque les sources autorisées proviennent de l'extérieur de compétences canadiennes, l'exactitude de l'information sur l'identité doit être déterminée dans le cadre d'une approche de gestion des risques.
Unicité

Définir l'information confirmant l'identité.

Définir le contexte.

Définir l'information confirmant l'identité.

Définir le contexte.

Définir l'information confirmant l'identité.

Définir le contexte.

Définir l'information confirmant l'identité.

Définir le contexte.

Preuve de l'identité

Il n'y a aucune restriction quant à ce qui peut être fourni à titre de preuve de l'identité.

Une preuve de l'identité.

Deux preuves de l'identité.

(Dont au moins une est une preuve essentielle.)

Trois preuves de l'identité.

(Dont au moins une est une preuve essentielle.)

Exactitude de l'information confirmant l'identité

Acceptation de l'affirmation de soi à titre de confirmation de l'information sur l'identité.

Information sur l'identité correspond de façon acceptable à l'affirmation par une personne et à la preuve de l'identité.

et

confirmation que la preuve de l'identité provient d'une autorité compétente.

Information sur l'identité correspond de façon acceptable à l'affirmation par une personne et à toutes les preuves de l'identité

et

confirmation de la preuve de l'identité à l'aide d'une source autorisée

et

confirmation que la preuve de l'identité provient d'une autorité compétente, à l'aide d'une source autorisée

ou

inspection par un examinateur d'expérience.

Information sur l'identité correspond de façon acceptable à l'affirmation par une personne et à toutes les preuves de l'identité

et

confirmation de la preuve de l'identité à l'aide d'une source autorisée

et

confirmation que la preuve de l'identité provient d'une autorité compétente, à l'aide d'une source autorisée

ou

inspection par un examinateur d'expérience.

Lien entre l'information confirmant l'identité et la personne

Aucune exigence.

Aucune exigence.

Au moins un des éléments suivants:

  1. confirmation reposant sur les connaissances,
  2. confirmation des caractéristiques biologiques ou comportementales,
  3. confirmation par un arbitre de confiance,
  4. confirmation de possession matérielle.

Au moins trois des éléments suivants:

  1. confirmation reposant sur les connaissances,
  2. confirmation des caractéristiques biologiques ou comportementales,
  3. confirmation par un arbitre de confiance,
  4. confirmation de possession matérielle.
Date de modification :