Introduction
Dans cet article, je vais traiter de l’identité nummérique nationale (eID), qui est de plus en plus populaire auprés des différents états à travers le monde.
Qu’est-ce que l’identité numérique nationale (eID) ?
L’eID est une identité qui repose sur l’utilisation de plusieurs technologies permettant de s’assurer hors de tout doute qu’un individu est bien la personne qu’il prétend être lorsque celle-ci souhaite utiliser un service gouvernemental (Revenu Québec, SAAQ, Revenu Canada, RRQ ect.).
Elle utilise différents intrants pour la création de cette identité tels que (liste non exhaustive !) :
Les données biométriques (empreintes digitales, scan du visage, scan de l’iris) ;
Les données personnelles (nom, prénom, date de naissance, lieu de naissance, la filiation, le numéro d’assurance sociale délivré par le gouvernement) ;
Tout autre document délivré par un palier gouvernemental (passeport, permis de conduire, carte d’assurance maladie).
Au 🇨🇦 la collecte d’une donnée biométrique est réglementée par diverses lois federales (LPRPDE - PIPEDA) [1] et provinciale [2] ( Loi 25 au Québec).
Quels sont les principaux avantages de l’identité numérique nationale (eID) ?
Pour un État, le principal avantage est d’adapter ces services aux technologies modernes, d’adresser sa transformation numérique pour être plus compétitif et performant. Dans ce contexte, une identité numérique nationale a toute sa légitimité.
Quels sont les principaux fournisseurs d’identité numérique ?
Il existe plusieurs solutions technologiques qui permettent d’offrir un service d’authentification numérique :
🇺🇸 Palantir Foundry [3] ,solution proprétaire proposée depuis 2010. Même si à l’origine cette solution n’a pas été développée pour de l’identification numérique elle supporte dorénavant les protocoles utilisés pour ce type de service ;
🇨🇦 Bluink eID-Me [4] ,solution propriétaire proposée depuis 2020 par la compagnie Ontarienne Bluink;
🇨🇦 Identité+ [5] , solution propriétaire proposée depuis 2021 par canadapost-postescanada ;
🇨🇦 Le Pan-Canadian Trust Framework (PCTF) [6] , solution propriétaire qui existe depuis 2016, proposée par le gouvernement fédéral ;
Bien évidemment, il est possible de développer sa propre solution eID en utilisant des solutions libres comme Keycloak. [7]
Quels sont les principaux risques de l’identité numérique nationale (eID) ?
Comme toute solution technologique, il est probable que cette eID soit un jour vulnérable et potentiellement compromise si une des vulnérabilités venait à être exploitée, entrainant une fuite de confidentialité.
Certaines de ces identités numériques ont déjà par le passé subi ce genre d’évènement, comme par exemple en octobre 2023, où le système Aadhaar 🇮🇳 [8] a eu une fuite de 815 millions d’informations personnelles.
Plus récemment, en septembre 2025, plus de 250 millions de dossiers d’identité ont été exposés dans sept pays [9] , incluant le Canada dans une fuite massive de données due à des serveurs mal configurés.
Et les risques sur la vie privée ?
Une mauvaise utilisation de cette identité numérique peut être à l’origine d’un profilage algorithmique, à la mise en place d’un crédit social basé sur une surveillance permanente associée à des récompenses ou des punitions selon le comportement de l’individu.
Le gouvernement chinois est connu pour faire ce genre de profilage [10] , mais depuis les dernières années il y a eu plusieurs évènements en lien avec du profilage algorithmique et ces évènements n’ont pas nécessairement eu lieu dans des pays considérés comme totalitaires, au contraire ! [11]
Ce scénario dystopique n’est pas si loin si on s’attarde aux différents moyens et propositions de lois actuellement en discussion. (Projet de loi C-2) au Canada. L’Europe [12] a aussi la sienne.
Quelle approche adopter pour s’assurer de déployer une eID ?
Afin de s’assurer de déployer une eID éthique, interopérable, robuste et sécuritaire, il est nécessaire au préalable de mettre en place une stratégie et une gouvernance solide.
Voici quelques étapes qui me semblent pertinentes et intéressantes à mettre en place dès lors que les objectifs d’affaires sont identifiés et alignés :
Lister valider les exigences réglementaires et légales en lien avec le besoin d’affaires, cadre relatif à l’identité numérique européenne , Le Pan-Canadian Trust Framework (PCTF) etc.
Définir les rôles et responsabilités ;
S’assurer de définir une architecture cible interopérable en s’inspirant des différents cadres disponibles comme celui européen [13] , qui découpe cette interopérabilité en quatre niveaux : juridique, organisationnel, sémantique et technique. Actuellement, l’Amérique du nord ne semble pas avoir de quoi de similaire, elle s’appuie plus sur différents protocoles (SAML, OIDC, FIDO2, etc.) pour développer leur solution comme le SQIN [14] au Québec.
Identifier et évaluer les risques ;
S’assurer que le déploiement soit sécuritaire. Pour y parvenir, appliquer le concept Security by Design en se basant sur le Framework; OWASP Secure by Design [15] ;
S’assurer que le modèle retenu soit éthique et que celui-ci respecte la vie privée. Pour y parvenir, appliquer le concept Privacy by Design (PbD). Il existe différentes normes, des frameworks qui traitent de ce concept, par exemple : SO/IEC 27701:2019 [16] , NIST SP 800-53 [17] , Règlement Général sur la Protection des Données (RGPD) [18] ;
S’assurer de mettre en place des indicateurs de performance – Key Performance Indicator (KPI), mais aussi des indicateurs de risque – Key Risk Indicator (KRI), le tout visible dans différents rapports qui seront utiles pour les prises de décisions ;
Conclusion
Les enjeux d’une eID ne sont pas technologiques, puisque la technologie actuelle permet à mon avis le déploiement d’une eID avec un niveau de maturité Technology Readiness Levels (TRL) entre 8 et 9 . Les enjeux portent plus sur la transparence, le respect de la vie privée, la protection des données collectées, la surveillance et le profilage algorithmique potentiel.
⚠️ Au Canada et plus particuliérement au Québec il y a le projet de loi 82 concernant l’identité numérique nationale, [19] .
Du côté du Royaume-Uni, cela ne se passe pas comme souhaité puisque le géant Palentir [20] a refusé de participer au projet de l’eID britannique, invoquant des motifs éthiques et l’absence de consensus démocratique.
Commentaires et Discussion
Partagez et discutez
💬 Je suis Yannick Vollenberg , si vous souhaitez participer à la discussion sur les réseaux sociaux. C'est le meilleur moyen de me faire part de vos commentaires et de partager l'article.