« […] les exigences minimales à respecter ainsi qu’un ensemble de contrôles relatifs au maintien de la confiance dans les services et systèmes numériques qui, dans le cadre du mandat d’une organisation, établissent ou emploient des identités ou justificatifs en ce qui concerne les données sur les personnes ou organisation. »

Dans ce billet de blogue, nous nous pencherons sur l’utilité même des normes dans le domaine du numérique ainsi que les acteurs impliqués dans l’élaboration de ces dernières, pour ensuite effectuer une brève analyse des éléments constitutifs de la première version de la norme, élaborée par le Comité technique 4 (TC 4) du Conseil stratégique des DPI sur la gouvernance des données. À titre de juristes, nous sommes de plus en plus portés à délaisser la lecture unique de nouveaux textes de lois et règlements, alors que la publication de normes techniques par des organismes spécialisés comme le CSDPI connait un fort élan. 

L’effervescence de l’intérêt des juristes envers les technologies et le domaine du numérique depuis les dernières décennies a incontestablement mené à la réalisation que le droit codifié et traditionnel comporte parfois certaines lacunes. Il est possible de lire sur le site web du Conseil canadien des normes (CCN) que

« les normes forment une infrastructure invisible qui préserve la sécurité de la population canadienne. Elles garantissent que les produits, les services et les systèmes dont nous dépendons sont sécuritaires et fiables, et qu’ils fonctionnent conformément à ce qui était prévu ».                   

Comme mentionné par le Professeur Karim Benyekhlef dans son ouvrage sur l’histoire de la norme, les activités concernées par le domaine des technologies se déroulent souvent dans le cadre d’une globalisation généralisée, ce qui constituerait un facteur de reconsidération du droit (page xx ?). De façon concise, l’existence de normes dans le domaine du numérique peut-être expliquée comme suit :

« si la sécurité de l’information est intégrée dans plusieurs lois fédérales et provinciales, elle est aussi relayée par plusieurs normes, dont celles de la famille ISO/CEI 27000 et suivantes. La sécurité de l’information repose donc sur des lois complétées».

Différents acteurs peuvent être amenés à rédiger des normes. D’abord, le Conseil stratégique des DPI (CSDPI), est un organisme sans but lucratif, accrédité par le CCN comme organisme d’élaboration des normes. Ses normes sont élaborées conformément aux Exigences et lignes directrices – Accréditation des organismes d’élaboration de normes, 2017-04-05, du CCN.

Ensuite, il convient de mentionner que le Conseil canadien des normes (CCN) est une société d’État fédérale qui a pour mission de promouvoir la normalisation au Canada, en encadrant le domaine des normes nationales et internationales et des services d’accréditation. Tel que mentionné sur une page de leur site internet, la normalisation consiste en l’élaboration et en l’application des normes, à savoir des publications qui établissent les pratiques, les exigences techniques et les terminologies adoptées pour les produits, les services et les systèmes. Les normes améliorent la qualité, la sécurité et l’efficacité des méthodes et des produits, et constituent un élément essentiel de la technologie, de l’innovation et du commerce.

Comme souligné précédemment, la nouvelle norme fixe les exigences minimales relatives au maintien de la confiance dans les services et systèmes numériques qui établissent ou emploient des identités ou justificatifs en ce qui concerne les données sur les personnes ou organisations (art. 1), sans toutefois privilégier ou imposer une méthode, un processus ou une application technologique en particulier. La norme se présente sous deux aspects : les informations relatives à l’application d’un cadre de fiabilité d’abord, suivi du processus en lui-même.

D’abord, fait intéressant à noter, dans la première section de la norme qui s’intéresse à certaines définitions, la norme elle-même effectue certains rappels à d’autres documentations. Par exemple, en ce qui concerne le « niveau d’assurance », la norme mentionne appliquer les directives du Secrétariat du Conseil du Trésor établissant quatre niveaux d’assurance reproduits en annexe. Ainsi, pour bien saisir l’étendue des informations contenues dans une norme technique, il est souvent essentiel de consulter d’autres sources connexes. L’identité numérique, quant à elle, est définie dans la norme comme la

« représentation électronique d’une entité, utilisée exclusivement par cette dernière pour accéder à des services probants qui lui permettront d’effectuer des opérations en pleine confiance ».

En premier lieu, quand l’organisation utilise une identité, elle devrait appliquer des critères de sélection d’un cadre de fiabilité qui pourra régir le fonctionnement de son système de gestion de l’identité et les droits et obligations des membres. Pour l’établissement de tels critères, la norme énumère explicitement les facteurs à prendre en compte, notamment les obligations contractuelles de l’organisation, son secteur d’activité, les lois en vigueur et les normes applicables, dont la présente (art. 4.1.1.1). Sous certaines conditions, l’organisation peut accepter des identités ou des justificatifs par l’intermédiaire d’un cadre de fiabilité adopté au lieu d’un service ou d’une ressource fournis en personne.

En second lieu, quant à la gestion de l’identité numérique, plusieurs devoirs sont imposés à l’organisme qui adhère à la norme. D’abord, l’organisation doit choisir des attributs d’identité numérique visant à distinguer une identité unique (art. 4.2.1.1.), et évaluer les risques associés à la vérification de l’identité numérique et des justificatifs en étudiant les répercussions potentielles sur un individu, une activité, un service, une opération ou un secteur donnés (art. 4.2.1.2). De plus, l’organisation devra surveiller son système de gestion de l’identité et ses processus pour en garantir la confidentialité, l’intégrité et la continuité (art. 4.2.1.4).

Finalement, la seconde partie de la norme, élaborée sous l’article 5, précise les étapes relatives à de nombreux processus, notamment ceux relatifs à l’identité. L’identité est définie comme une référence ou désignation utilisée pour distinguer une personne, une organisation ou un appareil unique et précis. Dans cette section, il est question d’instaurer chez l’organisation des processus pour établir, notamment :

• Ce que constitue une preuve d’identité (art. 5.2.1.1.) ;
• La création d’un document d’identité pour un sujet dans une population desservie par un programme ou service (art. 5.4.1.1) ;
• La vérification de l’exactitude des renseignements sur l’identité d’un sujet qui ont été établis par l’émetteur (art. 5.5.1.1) ;
• La confirmation que la preuve d’identité (physique ou électronique) présentée est acceptable (art. 5.7.1.1) et que les renseignements sur l’identité d’un sujet soient exacts, complets et à jour (art. 5.9.1.1).

Aujourd’hui, les juristes ont fortement intérêt à suivre l’adoption de diverses normes émanant d’organismes tels que le Conseil stratégique des DPI. En effet, les normes rédigées dans le domaine des techniques informatiques afin d’encadrer les révolutions technologiques se font de plus en plus nombreuses. Les entreprises d’aujourd’hui sont bien conscientes que leur adhésion aux normes augmente leur compétitivité dans un contexte de mondialisation et la connaissance par les juristes de l’immense documentation leur étant associée devient de plus en plus un atout. De plus, l’importante prise de conscience quant à l’importance de la protection des renseignements personnels dans le cadre de l’utilisation de technologies de l’information renforce le phénomène de l’adoption de diverses normes de plus en plus techniques et précises.  La liste des normes publiées est facilement accessible sur cette page du site web du CCN