Identité numérique

Une solution, mille interrogations

L’usurpation d’identité touche des centaines de milliers de Canadiens par année, et le Québec est la province où le plus grand nombre de cas sont rapportés. Une des solutions au fléau : l’identité numérique, un projet qui pourrait voir le jour dès 2025 et qui soulève des questions inédites sur la propriété des renseignements personnels des Québécois.

« 100 % des Canadiens vont être touchés »

La sonnerie du téléphone a interrompu André Lavallée à l’heure du souper.

Au bout du combiné, une employée d’une agence de recouvrement voulait savoir quand l’entreprise de M. Lavallée comptait payer les 9204,68 $ dus à Rogers Communications. Pour signaler qu’elle était sérieuse, l’employée lui a lu les trois derniers chiffres de son numéro d’assurance sociale.

« C’est là que j’ai su que j’avais un problème », dit-il.

Enseignant dans une école secondaire de Montréal, André Lavallée n’a jamais fondé d’entreprise. Pas plus qu’il ne devait 9204,68 $ à Rogers, avec qui il n’avait jamais fait affaire.

« Je suis marié depuis 15 ans, j’ai déménagé trois fois dans ma vie et j’ai la même carte de crédit depuis l’âge de 18 ans, dit-il. Je n’ai pas le profil… Je suis très stable. »

En état de panique, il s’est rendu le soir même au poste de police de son quartier pour y déposer une plainte. « Le policier m’a dit : “Monsieur, ne stressez pas, vous n’êtes pas le seul, on en voit des dizaines comme vous ici toutes les semaines.” »

Jusqu’à 600 000 victimes chaque année

L’usurpation d’identité touche des centaines de milliers de Canadiens. En forte hausse depuis quelques années, le nombre de rapports reçus au Centre antifraude du Canada est en voie d’avoisiner les 30 000 en 2022, dont le tiers environ provient du Québec, la province où le plus grand nombre de cas d’usurpation d’identité sont rapportés. En 2019, le centre avait reçu moins de 10 000 rapports au total.

« On estime que moins de 5 % des victimes signalent une fraude au Centre antifraude du Canada. »

— Jeff Horncastle, porte-parole du Centre antifraude du Canada

Ce sont donc près de 600 000 Canadiens qui en seraient victimes chaque année.

Aujourd’hui, plus de deux Canadiens sur trois se disent préoccupés par le risque d’usurpation d’identité, selon un sondage de l’Institut canadien des comptables agréés (CPA). Un problème difficile à ignorer quand nous sommes quotidiennement bombardés de pourriels, de textos suspects et de nouvelles récurrentes sur des fuites de données ou des piratages de grandes entreprises.

Malgré tout, nous sous-évaluons notre risque de rejoindre les rangs des victimes, croit Claudiu Popa, PDG de la firme Informatica Corporation et auteur du livre The Canadian Cyberfraud Handbook (Thomson Reuters).

Selon lui, la question n’est pas de savoir si un citoyen sera victime d’une usurpation d’identité, mais quand.

« Les fraudes sont sous-rapportées par les institutions financières canadiennes. On parle de centaines de milliers, voire de millions d’identités frauduleuses en activité, et avec le temps, 100 % des Canadiens vont être touchés. »

— Claudiu Popa, PDG de la firme Informatica Corporation et auteur du livre The Canadian Cyberfraud Handbook

Selon lui, le problème le plus criant est celui de l’usurpation d’identité synthétique, un type de fraude dans lequel un criminel combine des informations réelles et fausses d’une ou de plusieurs personnes pour créer une nouvelle identité fictive. Cette identité « synthétique » peut alors être utilisée pour ouvrir des comptes, demander une carte de crédit ou effectuer des achats frauduleux. Elle peut durer des années sans être détectée, avant qu’une personne se fasse éventuellement appeler au sujet d’une dette dont elle ignorait l’existence.

« Et moins de 12 % des personnes qui se font prendre à exécuter ce stratagème font face à des accusations », dit Claudiu Popa.

Une solution numérique ?

Pour redonner aux citoyens le contrôle de leur identité, de plus en plus de gouvernements mettent sur pied des projets d’identité numérique. Au Québec, le ministre québécois de la Cybersécurité et du Numérique, Éric Caire, affirme que chaque Québécois aura son identité numérique d’ici 2025.

Sébastien Gambs, professeur au département d’informatique de l’UQAM, note que l’identité numérique est tout simplement le fait de mieux sécuriser par des techniques modernes l’identité des gens.

« Par exemple, nos informations identifiantes peuvent se retrouver dans une application de téléphone intelligent développée à cet effet, ou dans une carte d’identité munie d’une puce », dit-il. Bref, une sorte de VaxiCode de l’identité.

Une fois mise en place, l’identité numérique est en premier lieu utilisée pour accéder aux services gouvernementaux, par exemple lors de la remise d’une déclaration de revenus, pour accéder à son dossier de santé ou payer son renouvellement de permis de conduire. Plusieurs pays européens ont déjà implanté des programmes semblables.

À terme, l’identité numérique devient un « couteau suisse » de l’identité, capable de s’adapter et de servir dans plusieurs situations, dit M. Gambs.

« L’identité numérique pourrait être utilisée pour s’identifier auprès d’une banque, ou à la SAQ ou la SQDC pour valider l’âge d’une personne. On pourrait aussi imaginer l’utiliser sur l’internet, pour valider son identité auprès d’une compagnie téléphonique, ou autre. »

Dans un monde où l’identité numérique serait la norme, une fuite de données de l’ampleur de celle qu’a connue Desjardins, et qui a touché les renseignements personnels de plus de 9 millions de membres ou clients, aurait peu d’impact, dit-il.

« La personne qui a accès à mon identité, mais pas à mon identité numérique, ne va pas pouvoir usurper mon identité auprès d’une banque, elle va être refusée », dit M. Gambs.

Deux identités numériques ?

Faudra-t-il avoir deux identités numériques au Canada, soit une qui contiendrait nos données provinciales et une autre qui contiendrait nos données fédérales ? Claudiu Popa, d’Informatica Corporation, croit que c’est probablement ce qui risque de se produire. « Ce ne serait pas idéal, mais ce ne serait pas la fin du monde non plus », dit-il. Il dit être préoccupé par la lenteur du gouvernement fédéral dans ce dossier. « Ils sont lents, ils n’avancent pas vite, et nous avons besoin de solutions maintenant. »

73 %

C’est le pourcentage de Canadiens qui disent avoir reçu au moins un message à visée frauduleuse.

Source : CPA Canada, 2021

33 %

C’est le pourcentage de Canadiens qui disent avoir été victimes d’un ou de plusieurs types de fraude au cours de leur vie, la fraude la plus courante étant la fraude par carte de crédit.

Source : CPA Canada, 2021

Des données à vendre

Le gouvernement québécois n’a pas dit grand-chose publiquement sur les détails techniques de son projet d’identité numérique, note Daniel Lemire, professeur titulaire en informatique à l’Université TÉLUQ, sinon pour dire ouvertement qu’il voulait en vendre les données. Ce qui soulève quelques questions.

L’an dernier, le gouvernement de la Coalition avenir Québec (CAQ) s’est dit en faveur d’un système où les entreprises privées pourraient acheter les données médicales et fiscales des Québécois « dans des conditions strictes », pourvu que les données soient anonymisées.

« On peut facilement imaginer un scénario où, pour attirer une compagnie pharmaceutique au Québec, le gouvernement pourrait dire : venez, et vous allez avoir accès aux données médicales pertinentes de nos citoyens. Une fois que les autorisations sont accordées, c’est assez compliqué de revenir en arrière. »

— Daniel Lemire, professeur titulaire en informatique à l’Université TÉLUQ

Un autre enjeu est celui du stockage des données numériques des Québécois. Selon les appels d’offres, le gouvernement semble intéressé par l’infrastructure d’Amazon pour stocker les données, dit M. Lemire.

« C’est le plus grand fournisseur infonuagique au monde, mais ça signifie que les données des Québécois vont se retrouver massivement sur des serveurs d’une société américaine. Je ne dis pas que c’est une mauvaise chose, mais c’est la réalité. »

Claudiu Popa, PDG de la firme Informatica Corporation, croit, lui, que c’est problématique.

« Nous ne devrions pas confier à une entreprise étrangère la gestion de l’identité de tous les Québécois ou de tous les Canadiens. Ce sont les gouvernements eux-mêmes qui doivent gérer cela à l’interne. C’est possible, et ce n’est pas tellement complexe de le faire, fort heureusement. »

— Claudiu Popa, PDG de la firme Informatica Corporation

L’assurance que les données sur la vie privée des citoyens sont protégées peut d’ailleurs avoir un impact direct sur les taux d’adoption de l’identité numérique chez la population, comme le démontre l’exemple européen (voir capsule à la fin du texte).

Laisser des traces partout

La société doit aussi voir comment les données pourraient servir à des fins qui n’étaient pas prévues au départ.

Daniel Lemire donne l’exemple d’un système qui vérifierait automatiquement l’identité d’un citoyen qui paye pour acheter de la bière au dépanneur pour voir s’il a l’âge de le faire.

Cela peut sembler anodin, jusqu’au jour où on se demandera si une personne qui reçoit de l’aide sociale devrait avoir le droit de le faire, illustre-t-il.

« Est-ce qu’une personne sur l’aide sociale devrait pouvoir s’acheter de la bière ou du fast food ? Ou bien devrait-elle être limitée aux produits essentiels ? Il y a déjà eu un débat là-dessus au Québec. En ce moment, ce n’est pas possible de restreindre le choix, mais avec une identité numérique, ça devient possible, du moins en théorie. »

Même si les élus n’ont aucune intention d’emprunter cette voie, M. Lemire rappelle qu’aucun gouvernement n’est éternel, et que la technologie va servir à d’autres élus dans le futur. « Quand on introduit des changements sociétaux comme ça, il faut voir plus loin. Pourtant, ces enjeux ne sont pas débattus sur la place publique. »

Utiliser son téléphone ou une carte à puce pour valider son identité pourrait aussi laisser des traces numériques de nos gestes et habitudes. Ces traces pourraient être colligées et vendues pour fins d’analyse.

Le professeur Lemire croit qu’il faut imposer des contraintes strictes sur l’identité numérique, avec comme étoile polaire la notion de la protection de la vie privée des citoyens et le partage de ces données sans leur autorisation. « Sinon, ça peut mener à des abus. »

Intégrer les informations sur l’identité des Québécois pourrait donner accès à des gens malintentionnés, par exemple des gens du crime organisé qui se feraient embaucher par le gouvernement, croit le professeur Sébastien Gambs.

« Il faudrait avoir une façon de savoir qui a consulté nos données, et pour quelles raisons. Il faut bâtir des contrôles stricts sur l’accès. »

— Sébastien Gambs, professeur au département d’informatique de l’UQAM

« Tu es vraiment seul »

Depuis son usurpation d’identité subie en 2018, André Lavallée a passé des heures au téléphone à essayer de rectifier son dossier et de laver son nom. Il a consigné toutes ses démarches dans un document Word, qui fait six pages aujourd’hui. Il a réalisé que sa cote de crédit a diminué, ce qui peut lui nuire lorsqu’il veut prendre une nouvelle police d’assurance, par exemple.

« Il n’y a rien qui existe pour t’aider. Quand ça t’arrive, tu es vraiment tout seul. Moi, je m’exprime bien et tout ça, mais je pense à la personne qui est âgée ou à la personne qui ne comprend pas bien le français ou l’anglais… Cette personne-là est complètement démunie face à ça. »

M. Lavallée est maintenant inscrit à Equifax et reçoit chaque mois un relevé qui l’informerait de toute activité suspecte menée en son nom.

Au cours de ses démarches, on l’a informé que son dossier concernant sa dette de 9204,68 $ à Rogers était fermé.

Mais il n’est jamais certain. En mars 2022, il a reçu un appel d’une autre agence de recouvrement lui disant que le montant de sa dette était désormais rendu à plus de 16 000 $ et que son dossier avait été transféré à Paralegal House, une entreprise ontarienne spécialisée dans la gestion des dettes des consommateurs.

« Je les ai appelés plusieurs fois, et personne ne répond », dit-il.

Quand les criminels nagent dans nos données

Le premier identifiant des Canadiens auprès du gouvernement fédéral est le numéro d’assurance sociale, un numéro qu’on gardera toute la vie et qui est aujourd’hui demandé par toutes sortes d’institutions publiques ou privées. « Quand nous faisons une demande d’emploi, on peut nous demander notre numéro d’assurance sociale, note Claudiu Popa, PDG de la firme Informatica Corporation. Nous avons le droit de refuser, mais si nous ne le donnons pas, nous allons toujours nous demander si ça ne va pas nous nuire… » On peut aussi nous demander notre numéro d’assurance sociale pour l'abonnement à un service de téléphonie, contracter un prêt, louer une voiture ou un appartement – même si nous sommes en droit de refuser. Résultat : chaque année, des tonnes de numéros d’assurance sociale finissent au recyclage ou dans les poubelles. « Et on ne saura jamais si notre identité a été usurpée tant qu’il ne nous arrivera pas quelque chose de majeur », résume Claudiu Popa.

L’exemple européen

L’Europe a des années d’avance sur le Canada et le Québec pour ce qui est du déploiement de l’identité numérique. Or, l’exemple européen montre aussi que tout n’est pas simple dans ce domaine. Selon une analyse réalisée l’année dernière par le cabinet de conseil Oliver Wyman, seuls cinq pays européens disposent de programmes d’identité numérique considérés comme « matures », c’est-à-dire que les services sont utilisés par plus de 40 % de leurs citoyens. Parmi les pays les plus actifs, on compte la Norvège, la Suède, la Finlande, le Danemark et la Belgique. En France, en revanche, le programme FranceConnect lancé en 2016 n’est pas encore au point : près de 80 % des citoyens français disent encore avoir des numérisations et des copies de documents officiels sur leur téléphone, selon une analyse de Tech Monitor, ce qui soulève des questions sur la sécurité des données. Le pays le plus avancé d’Europe pour ce qui est de l’identité numérique est l’Estonie, où 44 % des citoyens ont utilisé leur identité numérique sur leur téléphone ou leur ordinateur pour voter aux élections de 2019, et ce, peu importe où ils se trouvaient dans le monde. L’Union européenne veut que l’identité numérique soit utilisée par 80 % des citoyens de son territoire d’ici 2030.

Ce texte provenant de La Presse+ est une copie en format web. Consultez-le gratuitement en version interactive dans l’application La Presse+.