Transcription du épisode 12 de PayPod: Identification et authentification numériques : l’innovation continue

Le paiement numérique continue de gagner en popularité, et le besoin d’établir des mesures d’identification et d’authentification pour en garantir la sûreté et la sécurité s’impose. Des pays partout dans le monde utilisent déjà ces processus numériques dans toutes sortes de contextes, bien au-delà des paiements. L’animatrice de PayPod, Cyrielle Chiron, s’entretient avec Joni Brennan, présidente du Conseil d’identification et d’authentification numériques du Canada (CCIAN), et Ian Glazer, vice-président, Gestion de produits d’identité à Salesforce et fondateur et président d’IDPro. Ensemble, ils se pencheront sur les mesures que doivent prendre les gouvernements et les entreprises pour inciter le Canada à étendre le champ d’application des technologies d’identification et d’authentification numériques tout en veillant à la sûreté, à la sécurité et à l’utilisation responsable des données recueillies.

Invité:

Transcription:

Cyrielle Chiron :
Beaucoup de gens estiment que les Canadiens doivent avoir le contrôle de leurs données personnelles, doivent pouvoir décider qui y a accès et à quel moment, et doivent aussi avoir le droit d’en préserver la confidentialité. Mais quelles sont les normes à ce sujet, s’il y en a? Alors que le nombre de transactions électroniques ne cesse d’augmenter, le besoin de renforcer la sécurité se fait de plus en plus pressant.

Cyrielle Chiron :
Cependant, les fournisseurs doivent aussi s’adapter. Le besoin de sécurité et de protection des identités numériques continue de s’accroître, et nos méthodes d’authentification des clients et des entreprises doivent évoluer en parallèle. L’identification numérique peut faciliter la vérification de l’identité et combler les lacunes de sécurité; c’est ce dont nous discuterons avec mes invités d’aujourd’hui.

Cyrielle Chiron :
Je m’appelle Cyrielle Chiron, et j’anime la deuxième saison de PayPod, un balado qui aborde sous tous ses angles l’ambitieuse mission de l’organisme de paiements du Canada et explore les thèmes déterminants pour le monde des paiements, ici et ailleurs dans le monde.

Cyrielle Chiron :
Pour les organismes de paiements des quatre coins du monde, la robustesse des mécanismes d’authentification demeure une priorité. L’incapacité de confirmer l’identité des clients peut mener à bien des conséquences indésirables. C’est aussi d’un motif de préoccupation important pour les consommateurs. Selon une étude réalisée par Interac l’année dernière, 83 % des Canadiens affirment que leur identité est l’un de leurs plus précieux actifs. Mais beaucoup comprennent mal le concept d’identification numérique, sans parler de son utilité dans le système de paiements.

Cyrielle Chiron :
Aujourd’hui, nous entendrons le point de vue de deux grands défenseurs de l’identification numérique et des principaux acteurs du secteur des logiciels pour découvrir comment les professionnels du pays peuvent rendre l’industrie des paiements plus fluide et sécuritaire.

Cyrielle Chiron :
Je reçois donc aujourd’hui Joni Brennan, présidente du Conseil d’identification et d’authentification numériques du Canada, ou CCIAN. Forte de 15 ans d’expérience dans les domaines de l’accès à l’identité, de l’innovation et de l’élaboration de normes, Joni aide le CCIAN à concrétiser sa vision qui consiste à organiser les forces du marché du pays afin de faire bénéficier tous les Canadiens des avantages économiques de l’identification et de l’authentification numériques.

Cyrielle Chiron :
Je reçois aussi Ian Glazer, vice-président de la gestion du produit Identity de Salesforce, notamment responsable de la direction de l’équipe de gestion du produit, de la stratégie du produit et des travaux liés aux normes en matière d’identification. C’est aussi le fondateur et le président d’IDPro, où il cherche à offrir plus de services et de valeur aux membres, à recueillir des fonds pour l’organisation et à découvrir ce que les professionnels de la gestion apprennent les uns des autres.

Cyrielle Chiron :
Merci à vous deux de vous joindre à moi pour cette édition du PayPod.

Ian Glazer :
Ravi d’être ici.

Joni Brennan :
Merci de nous recevoir.

Cyrielle Chiron :
Quel sujet passionnant nous avons aujourd’hui! Le terme « identification numérique » est sur toutes les lèvres depuis un moment déjà. Je l’ai souvent lu dans les médias, et certaines entreprises offrent ce service depuis quelques années. Mais j’ai l’impression que j’entends tout et n’importe quoi. Alors commençons par vous, Joni. Vous pouvez m’aider à répondre à ces questions : qu’est-ce que l’identification numérique, quels sont ses avantages, pourquoi est-elle importante et, en fait, pourquoi tout le monde en parle?

Joni Brennan :
Oui, eh bien, ce concept peut être difficile à expliquer. Le CCIAN a donc fait une étude, et nous avons découvert que le commun des mortels ne comprend pas ce qu’est l’identité numérique. Donc, un travail de pédagogie s’impose. Pour moi, l’identité numérique, c’est un ensemble d’éléments que j’appelle « attributs » – autrement dit, un ensemble de descripteurs – qui servent à décrire une personne dans un environnement numérique. Par exemple, les données peuvent indiquer que je vis en Colombie-Britannique ou que je suis une résidente permanente du Canada. Alors si l’on pense à cette représentation de données au sujet d’une personne, ces fragments regroupés peuvent former une identité. Et c’est qu’on veut dire par « identité numérique ».

Joni Brennan :
Bien sûr, ce concept suppose de nombreuses fonctions. Par exemple, l’authentification (soit la façon dont on s’authentifie auprès d’un service) fait partie de l’identité. Mais concrètement, l’identité en soi comprend les descripteurs qui nous définissent, leur degré de vérifiabilité et les façons de les présenter à autrui pour effectuer une transaction.

Cyrielle Chiron :
D’accord, donc, en fait, ils indiquent qui nous sommes; c’est un ensemble de données numériques. Ian, êtes-vous d’accord avec ces définitions et les explications de Joni? Vous en faites-vous une idée différente, ou souhaitez-vous apporter des précisions?

Ian Glazer :
Eh bien, j’aimerais préciser l’idée selon laquelle il faut utiliser deux éléments, en quelque sorte.

Cyrielle Chiron :
D’accord.

Ian Glazer :
Il y a la collecte des éléments qui vous décrivent dans un univers en ligne.
 

Cyrielle Chiron :
D’accord.

Ian Glazer :
Et c’est vous qui définissez certains de ces éléments, n’est-ce pas? Il y a l’information que l’on fournit soi-même. Il y a des choses qui se combinent, si vous voulez, à des éléments provenant d’autres sources. Il en résulte, par exemple, une représentation numérique de votre citoyenneté, ou simplement de votre adhésion à un association.

Ian Glazer :
Mais il y a aussi l’autre côté de l’histoire, soit que les organisations doivent savoir comment utiliser ces renseignements et comprendre en quoi ils consistent. Et les deux côtés sont aussi importants l’un que l’autre. Car si vous avez une représentation numérique d’une identité et que personne ne peut s’en servir, vous n’avez rien qui puisse être utilisé de manière productive, en quelque sorte. Il n’y a aucune façon d’interagir.

Cyrielle Chiron :
Oui.

Ian Glazer :
Il faut donc réfléchir aux rites d’identification en ligne, ainsi qu’aux façons dont les organisations publiques et privées tirent parti de ces renseignements et s’assurent, d’une part, de comprendre ce en quoi ce processus consiste et, d’autre part, de respecter la volonté des individus quant à l’utilisation de ces renseignements.

Cyrielle Chiron :
D’accord. Très intéressant. Vous avez raison : en quelque sorte, il est inutile d’enregistrer une identité dans un emplacement donné si elle ne peut être utilisée et si les deux parties concernées ne peuvent pas effectuer de transactions.

Cyrielle Chiron :
En fait, j’ai une autre question. La définition de l’identité numérique peut être très complexe; il y a les données – par exemple, la citoyenneté, le permis de conduire ou autres –, mais qu’en est-il de la biométrie? Les empreintes digitales et les yeux, est-ce que cela fait partie de l’identité numérique?

Joni Brennan :
Je dirais que les données biométriques constituent une partie de l’identité numérique. C’est, en quelque sorte, un moyen d’identification numérique parmi d’autres. Une partie des données biométriques peut figurer parmi les données qui servent à valider l’identité. Elles peuvent donc être intégrées au processus d’identification numérique. Dans d’autres cas, des données biométriques ou leur représentation peuvent être utilisées dans le processus d’authentification, par exemple, pour allumer un téléphone par votre empreinte digitale.

Joni Brennan :
Les données biométriques peuvent donc servir à plusieurs choses. Par exemple, pour vérifier si une image correspond à celle contenue dans un dossier. Pour l’authentification. Seules, les données biométriques font partie de l’individu, et donc, de l’identité numérique. Elles sont très puissantes lorsqu’elles sont utilisées dans des systèmes, des solutions et des services. Et, bien sûr, aujourd’hui peut-être plus que jamais, les débats sur les façons dont la biométrie peut et doit être utilisée sont essentielles, car nous n’avons pas nécessairement de normes sur la façon dont ces données peuvent ou non être utilisées, par exemple, par la police ou par des tiers. C’est donc un sujet important pour nous, au Canada, et je dirais aussi à l’échelle mondiale : où et quand peut-on recueillir et utiliser des données biométriques dans le contexte d’un grand écosystème d’identification numérique?

Cyrielle Chiron :
Oui, je crois que vous avez raison quand vous parlez des normes concernant l’utilisation de ces données. C’est très pertinent en effet, et j’aimerais approfondir le sujet. D’ailleurs, Ian, j’aimerais vous demander… Parce que dans le cadre de votre travail, vous réfléchissez à… vous interagissez fréquemment avec les entreprises. Y a-t-il des différences entre les consommateurs et les entreprises, ou est-ce que le concept d’identité numérique est le même pour les deux?

Ian Glazer :
Forcément, je les séparerais.

Cyrielle Chiron :
D’accord.

Ian Glazer :
La situation est différente selon qu’on veut répondre aux besoins des travailleurs, des citoyens ou des clients financiers, par exemple. Cela va de soi. Mais je crois que dans ce contexte, il est plus important de se concentrer dès le départ sur les besoins des entreprises et les raisons pour lesquelles elles s’intéressent à l’identité numérique.

Ian Glazer :
Et ce qu’on constate, c’est que l’identité est cruciale dans toute interaction numérique, pour toute transformation numérique. Toutes les organisations qui modernisent leurs plans de transformation numérique, par exemple, en raison de la pandémie de COVID-19 se rendent compte que pour interagir avec des étudiants, des citoyens ou des clients en ligne, il faut avoir un minimum d’identification. Et pour en faire plus, eh bien, il faut se développer dans ce domaine.

Ian Glazer :

Et pas seulement dans le cadre de mon emploi, mais aussi dans le cadre de mes autres fonctions, en tant que fondateur et président d’IDPro, l’association professionnelle de gestion de l’identification numérique, nous en parlons beaucoup. C’est-à-dire que nous constatons que la volonté d’interagir sur des plateformes en ligne avec des clients, peu importe le secteur, l’industrie ou le lieu, est plus forte que jamais. Et fondamentalement, cela signifie que toutes les organisations ont besoin de façons d’interagir avec des identités numériques.

Cyrielle Chiron :
Oui, bien sûr. Donc c’est vraiment important en effet. Je comprends pourquoi tout le monde en parle. Merci pour ces explications. Et maintenant, à vous, Joni, parce que… c’est important. On vient de le voir. Mais si ce n’est pas déployé au Canada, on passe à côté de quoi? Serons-nous dépassés, ou quoi?

Joni Brennan :
Je crois que la réponse à cette question est très claire. Nous serons dépassés si nous ne déployons pas des mesures d’identification internes sécurisées et assurant le respect de la vie privée sur le marché numérique canadien. Il y a eu plusieurs études sur le potentiel économique du déploiement de solutions d’identification numérique pour les particuliers et les entreprises, en ce qui concerne les types de transactions qu’ils pourront effectuer.

Joni Brennan :
Et, vous savez, je crois qu’on peut dire sans risque de se tromper que sans système d’identification robuste et sécuritaire, nous nous privons d’une croissance potentielle du PIB allant de 2 % à 3 %. Cela dit, dans le contexte actuel de la pandémie, on constate que oui, l’identité numérique a un énorme potentiel économique. Cependant, ce que nous n’avions peut-être pas prévu, ce sont les déplacements de masse, par exemple, pour que les gens puissent travailler à la maison en toute sécurité, continuer leur travail lorsqu’ils ne peuvent pas aller au bureau, ou trouver un emploi, ou recruter, dans la situation actuelle.

Joni Brennan :
Alors si on ne règle pas ces questions, on a beaucoup à perdre, économiquement et socialement. Donc, c’est crucial. Par contre, on constate aussi que, comme le dit l’adage, un succès instantané vient après 10 ans de préparation. On a bien vu à quelle vitesse il a été possible d’instaurer la Prestation canadienne d’urgence (PCU), la subvention d’urgence du gouvernement, pendant la pandémie de COVID-19. Il a fallu 48 heures. Et si cela a été possible, c’est grâce à l’étroite collaboration entre les banques, les pouvoirs publics et les réseaux de paiement. C’est ainsi que les éléments du processus d’identification qui étaient déjà en place sont devenus très, très efficaces lorsqu’il a fallu les mettre en œuvre en 48 heures afin de verser des prestations aux personnes qui en avaient si cruellement besoin.

Joni Brennan :
Il y a donc beaucoup à perdre, il y a beaucoup et à gagner, et il y a peut-être plus à perdre si on ne bouge pas.

Cyrielle Chiron :
Oui, j’aimerais vous donner un exemple concret de ce potentiel économique, c’est-à-dire la croissance du PIB, mais aussi, comme vous l’avez mentionné, des répercussions sociales. Quand on sort, il faut avoir sur soi une pièce d’identité, non? On doit pouvoir prouver qui on est. Alors je crois que vous avez absolument raison. Il y a certainement toutes sortes de potentialités pour le pays.

Cyrielle Chiron :
Ian, avez-vous des exemples du monde des affaires montrant clairement comment ces outils peuvent être utiles aux entreprises?

Ian Glazer :
Eh bien, je pense qu’il faut revenir à ce j’ai dit tout à l’heure, soit que l’identification est indispensable aux interactions numériques. C’est la base; c’est essentiel. Donc, vous avez beau, comme entreprise, avoir une présence sur le Web, si vous souhaitez servir des gens, votre clientèle, encore une fois, peu importe où vous êtes, vous avez besoin d’une véritable interaction numérique. L’une des erreurs que les entreprises ont souvent commises par le passé a été d’offrir un service en ligne isolé, avec des données d’identification spécifiques, puis d’offrir un deuxième service en ligne isolé et distinct du premier. Le problème, c’est qu’il est alors impossible de bien servir la personne, puisque vous avez un portrait fragmenté de vos interactions avec elle.

Ian Glazer :
Alors pour avoir une vision globale, l’entreprise doit disposer d’un genre d’infrastructure pour l’identification des gens. Cependant – et c’est très important –, si vous offrez un tel service, vous devez vous assurer que vous pouvez respecter les exigences en matière de confidentialité et d’utilisations des données de manière totale et constante. Pour, oui, avoir un meilleur portrait de vos interactions avec la personne en ligne – que ce soit par une application, un navigateur ou un appareil connecté, peu importe –, mais aussi pour communiquer activement avec elle afin de savoir ce qu’elle veut qu’on fasse – ou non – de ses données.

Ian Glazer :
Et on n’a pas le choix. Et ce n’est pas seulement à cause du nouveau Règlement général sur la protection des données (RGPD). L’idée, c’est que les gens prennent des décisions fondées sur la confiance. C’est toute la question de la marque. Chacun d’entre nous – particuliers, organisations et gouvernements – avons une marque. Les choix qu’on fait, basés sur la confiance, dépendent souvent des interactions répétées et de ce qu’elles donnent.

Ian Glazer :
Donc, si vous avez une bonne expérience avec votre épicerie, où vous pouvez maintenant commander en ligne et qui livre des fruits et légumes d’excellente qualité, et que cette expérience se confirme d’une fois à l’autre, vous allez probablement revenir. C’est pareil pour les petites choses qui entourent l’identité numérique. Par exemple, vous interagissez avec un fournisseur en ligne, et tout d’un coup, vous recevez une tonne de courriels non sollicités de ses partenaires. C’est insultant. Vous allez nécessairement aller ailleurs. D’où l’intérêt d’avoir une image constante du profil d’une personne dans vos échanges numériques. Mais c’est insuffisant sans la confidentialité. Et c’est parce que vous voulez bâtir une relation de confiance. Parce que de là, vous pouvez développer une relation de qualité.

Ian Glazer :
Donc, les entreprises qui se penchent sur leur stratégie de transformation numérique et se demandent comment interagir avec leurs clients en ligne doivent penser à tout cela en même temps.

Cyrielle Chiron :
Oui, merci d’avoir mentionné la confiance. C’est tout à fait vrai : la confiance est au cœur de tout. Lorsqu’on la perd, il est difficile de la regagner.

Cyrielle Chiron :
Bon, je vais rester avec vous, Ian, pour examiner cette question dans une perspective mondiale, même si, peut-être, vous n’êtes pas spécialiste de cet aspect. Pouvez-vous nous dire s’il y a des pays qui sont à l’avant-garde dans le domaine de l’identification numérique et, si c’est le cas, ce que nous pouvons apprendre d’eux?

Ian Glazer :
Disons que la façon d’utiliser l’identification numérique varie selon les secteurs. Parfois, le financement vient de l’État. L’Estonie est un exemple classique : les citoyens estoniens – en fait, les citoyens numériques – peuvent obtenir une identité numérique et l’utiliser pour différentes choses, même pour un prêt hypothécaire.

Cyrielle Chiron :
Impressionnant… 

Ian Glazer :
N’est-ce pas?

Cyrielle Chiron :
Effectivement.

Ian Glazer :
Oui, c’est vraiment génial. Ça fonctionne à une certaine échelle. Et dans les pays nordiques, il y a, par exemple, des identités bancaires qui peuvent être utilisées dans un certain groupe de pays et d’institutions bancaires. Et au Kenya, par exemple, il existe un réseau de paiement omniprésent qui est une forme d’identité numérique et fonctionne dans tout format. C’est vraiment remarquable.

Ian Glazer :
Et selon moi, ce qui est intéressant, c’est qu’ils ont tous été créés pour répondre à un besoin précis.

Cyrielle Chiron :
Ah, d’accord.

Ian Glazer :
Pour servir le client, qu’on le considère en tant que citoyen ou sous le seul angle commercial – le client au sens classique du terme. Ils ont été créés parce qu’il fallait répondre à un besoin. Et c’est parfait. Par contre – et j’en ai parlé il y a environ deux semaines : on m’a invité à l’événement Identiverse pour faire une présentation sur les 10 prochaines années en matière d’identité. L’une des choses qui me préoccupent est le côté négatif de cette tendance. Permettez-moi de vous donner un exemple : dans la prochaine décennie, nous assisterons probablement à la balkanisation d’Internet, c’est-à-dire que nous verrons des réseaux distincts d’Internet pour la Chine, la Russie et le reste du monde. Et il y aura probablement des processus d’identification étanches qui sépareront ces versions d’Internet.

Ian Glazer :
Et c’est un exemple de développement du concept d’identification numérique qui va à l’encontre du bien commun, et qui sert des intérêts tout à fait différents. Et encore une fois, il s’agit là de l’une de mes préoccupations, disons-le, à long terme, mais qui part du même point, soit que les processus d’identification numérique sont conçus pour répondre à un besoin, pour une raison. Pour répondre aux besoins des citoyens. Ou des personnes mal servies par les banques. Ou de certains secteurs du marché. Tout ça peut se développer et prendre une très grande envergure, comme on l’a vu en Europe et comme on le voit en Afrique.

Ian Glazer :
Mais le processus peut aussi devenir négatif et entraver l’efficacité opérationnelle. Un moyen de surveiller la population. La simple existence d’un processus d’identification ne signifie pas nécessairement, d’une part, qu’il soit efficace ou utile ni, d’autre part, qu’il serve le bien commun.

Cyrielle Chiron :
D’accord, merci. Dans tous ces pays, ce processus est-il géré par l’État ou par le privé? Car c’est une question importante, non? Qui doit gérer les processus et leur fonctionnement?

Ian Glazer :
Alors, dans les exemples que j’ai donnés, c’est géré par le secteur public dans certains, et par le secteur privé dans d’autres cas.

Cyrielle Chiron :
D’accord.

Ian Glazer :
Ici, aux États-Unis, nous avons déjà essayé de lancer une initiative de partenariat public-privé. Elle n’a pas atteint les résultats escomptés.

Cyrielle Chiron :
D’accord.

Ian Glazer :
Nous essayons cette fois une initiative dirigée par le secteur public.

Cyrielle Chiron :
D’accord.

Ian Glazer :
Mais je pense que les différents secteurs entreprennent de tels projets pour des raisons différentes, mais que leurs critères de réussite sont similaires : les personnes qui possèdent l’une de ces identités doivent pouvoir s’en servir pour bénéficier de services concrets. Si ce critère est satisfait, il faut se demander si ce service est offert par un seul fournisseur. Par exemple, avec telle identité numérique, peut-on obtenir seulement des services municipaux, ou peut-on aussi en obtenir du gouvernement provincial ou fédéral, ou même du secteur privé? C’est une des réponses possibles.

Cyrielle Chiron :
D’accord.

Ian Glazer :
L’autre réponse possible, c’est que l’identité ne fonctionne que dans tel ou tel cas particulier. Alors, l’une des solutions réussira mieux que les autres, et c’est normal. Où pouvez-vous l’utiliser, et en tirez-vous des avantages concrets? C’est là que tout se joue, si vous voulez, que l’initiative soit issue du secteur public ou privé.

Cyrielle Chiron :
Très bon point. À partir de là, Joni, j’aimerais qu’on en vienne au Canada. Je crois que l’an dernier, en octobre, vous avez mené un sondage révélant que 70 % des Canadiens souhaitaient vivement que le secteur public et le secteur privé collaborent pour créer un cadre commun d’identification numérique au Canada. À votre avis, qui devrait piloter cette initiative : le privé ou le public? Et si l’initiative est menée par le secteur public, comme en parlait Ian, devrait-elle relever du fédéral ou du provincial? Selon vous, qui devrait encadrer l’identification numérique au Canada?

Joni Brennan :
Boni, alors, comme vous l’avez souligné, le sondage nous indique que, oui, 70 % des répondants des quatre coins du pays souhaitent vivement que le secteur public et le secteur privé travaillent en concertation. Nous croyons donc que ces résultats confirment la direction que nous avons déjà prise au Canada, soit le partenariat public-privé.

Joni Brennan :
Je crois aussi que, pour vos auditeurs, je vais revenir très, très loin en arrière, vers 2012. Durant la crise économique de 2008-2009, le ministère des Finances a mis sur pied un groupe de travail sur les paiements électroniques devant examiner le système de paiements, en particulier. En 2012, ce groupe de travail a publié un rapport indiquant que pour être robuste et sécuritaire dans le contexte des crises qui se produisent dans le monde, le système de paiements devait pouvoir compter sur un bon système d’identification et d’authentification numérique. Et on précisait que ce système devait être élaboré par une entité autonome regroupant des membres du secteur public et du secteur privé qui pourraient ainsi le concevoir ensemble.

Joni Brennan :

C’est ce qui est à l’origine du CCIAN : c’est une table de concertation du secteur public et du secteur privé. Maintenant, l’une des caractéristiques du Canada, c’est que nous sommes juste assez décentralisés pour que ce soit intéressant sans que ce soit paralysant. Aux États-Unis, comme vous savez, il y a 50 gouvernements avec des directeurs des systèmes d’information d’État qui changent constamment, ainsi qu’un gouvernement fédéral, sans parler du secteur privé. Eh bien, au Canada, ces nombres sont beaucoup plus raisonnables : vous le  savez, on compte treize gouvernements provinciaux et territoriaux, et un gouvernement fédéral, en plus du marché.

Joni Brennan :
À ce nombre, il est un peu plus facile de se concerter sans sombrer dans l’anarchie. En soi, cette caractéristique aide les Canadiens, je dirais, à accepter le principe de la concertation entre le public et le privé.

Joni Brennan :
Je crois qu’il y a un autre aspect aux rôles respectifs du public et du privé, et c’est lié à certains des points dont Ian a parlé en ce qui concerne les nuances entre l’identité de consommateur et l’identité d’entreprise. Donc si vous pensez à cette vision globale de l’identification, nous, vous et moi, sommes la constante. La constante, c’est moi, non? Et mes priorités peuvent être différentes selon que j’interagis avec l’administration, avec ma banque, avec un commerce ou avec mon employeur. Mais je suis toujours la constante.

Joni Brennan :
Alors tout tourne autour de moi. Donc si on pense au rôle de l’État dans cette histoire, on peut se dire que c’est le rôle qui lui revient déjà : garantir la confiance dans l’économie, dans la société. Mettons que vous allez au restaurant : vous savez qu’il y a des inspecteurs. Et que le restaurant s’est inscrit comme société. On peut aussi penser à ces bouts de papier délivrés par le gouvernement, qui sont aussi des gages de confiance, qui disent que je peux conduire, etc.

Joni Brennan :
Le rôle de l’État peut et doit être de publier des données qui peuvent et doivent être fiables et vérifiables, et peuvent être utilisées où moi je veux et quand moi je veux, et c’est important aussi que les données créées ne soient pas communiquées constamment : il n’y a pas lieu de les communiquer constamment au gouvernement pour indiquer, par exemple, que je suis allée acheter du vin aujourd’hui, puis que je me suis aussi acheté des tacos. Il n’est pas nécessaire que ces informations soient communiquées à l’émetteur. C’est sur ce genre de choses que nous nous penchons aujourd’hui. Et ce que l’État peut faire, c’est de produire des données fiables qui peuvent être acceptées sur le marché.

Joni Brennan :
On pourrait penser à un permis de conduire ou à un dossier de conduite numérique qui pourrait être accepté comme preuve d’identité par votre banque.

Joni Brennan :
Maintenant, ce qu’il faut préciser aussi, c’est que j’effectue en fait beaucoup plus de transactions avec ma banque et avec notre réseau de paiement qu’avec le gouvernement provincial ou fédéral. Il y a donc un écosystème de vérification et de fournisseurs de données. En ce qui concerne la fiabilité des actions et des données quotidiennes, ce pourrait être votre banque ou votre réseau de paiement qui constate quelque chose de suspect pouvant nécessiter des contrôles de sécurité accrus au moment de la transaction. Le secteur privé est bien mieux placé pour s’occuper de ces aspects dans le cadre de la collaboration le public et le privé. Nous sommes donc convaincus que c’est la voie à suivre et, selon moi, c’est ce qui distingue le Canada. Et nous avons vu d’autres pays qui, jusqu’à un certain point, empruntaient une voie similaire – par exemple, la Nouvelle-Zélande et l’Australie. Mais je dirais que les collaborations qui favorisent le bien-être économique et sociétal sont exclusivement canadiennes.

Cyrielle Chiron :
C’est un bien beau système, mais, comme vous l’avez mentionné plus tôt, il faut préserver la confiance. Il faut s’assurer que tout est sécurisé et que les données sont confidentielles. C’est très important. La sécurité et la confidentialité sont les deux sujets qui reviennent encore et toujours.

Cyrielle Chiron :
Et j’irais même un peu plus loin. Vous en avez tous les deux déjà parlé, mais plutôt à propos des données. Parce qu’on recueille, ou, disons, le système recueille des données. Et si ces données se perdent dans la nature, ça peut très mal tourner, non? C’est ce qu’on veut éviter. Alors comment les sécuriser? En fait, pour commencer… oui, d’une part, comment peut-on les protéger? D’autre part, il semble que l’identification numérique soit plus sûre que les méthodes habituelles, n’est-ce pas? Dans ce cas, comment peut-on s’assurer qu’elles sont vraiment protégées? Et d’après vous, où faudrait-il stocker les données, et qui doit être responsable? On ne peut pas passer à côté de ces questions.

Cyrielle Chiron :
Mais, surtout, qui est responsable en cas d’incident? Commençons par vous, Ian. Pourriez-vous nous parler de cet aspect de la sécurité, de la confidentialité, de la responsabilité et de la gestion des données?

Ian Glazer :
On peut certainement essayer! Il y a beaucoup à dire. Tout d’abord, il n’y a pas juste des données protégées et des données non protégées. Il y a toutes sortes de zones grises.

Cyrielle Chiron :
D’accord.

Ian Glazer :
Les pratiques que les organisations – du secteur public ou privé – mettent en place sont celles qui donnent les meilleurs résultats possibles, qui font la vie dure à ceux qui cherchent à déjouer ou à corrompre le système. Mais il n’y a pas de solution magique et parfaite. Il y a seulement un ensemble de pratiques exemplaires qui s’additionnent pour donner de bons résultats. 

Ian Glazer :
Et d’ailleurs la question ne se résume pas à la nécessité de garder les données à un endroit secret, quel qu’il soit; il faut aussi les utiliser conformément aux contraintes imposées par la personne. Alors tout comme la sécurité absolue n’existe pas, la confidentialité absolue n’existe pas non plus; ce qui existe, c’est les pratiques mises en place par les réseaux et des organismes connectés pour respecter la volonté de la personne.

Ian Glazer :
Il faut… C’est une opinion personnelle. Et Joni et moi, on en a souvent discuté. La question de la propriété des données – et là, je suis assis dans mon bureau et je mime des guillemets – est « plein de périls », car, tout d’abord, elle réduit les représentations numériques des humains à un bien. C’est un mauvais point de départ. Ça éclipse certaines des responsabilités à examiner. Et en réalité, votre troisième question portait sur ce point : qui est responsable en cas de pépin? Pour y répondre, il faut d’abord savoir : en cas de quel genre de pépin, se produisant où?

Ian Glazer :
Parce qu’il n’y a pas d’interaction simple en vase clos. L’identification numérique n’est pas utilisée en un seul lieu ou à un moment magique donné. Ça se fait en continu, puisqu’on a un lien permanent avec le fournisseur. Donc, un problème peut se produire dès le départ, lorsque vous vous présentez au service en tant qu’entité numérique. Un problème peut aussi se produire lors de la prestation du service et, par la suite, lors du stockage et de la gestion des renseignements sur cette interaction. Il faut donc préciser de quel moment on parle. L’une de mes plus grandes préoccupations concerne le rite de présentation pour obtenir un service.

Ian Glazer :
Je m’explique : aujourd’hui, la plupart des gens se sentent relativement à l’aise de se rendre sur une page comprenant deux champs dans lesquels ils saisissent un courriel et un mot de passe. C’est le rite de présentation. Et soyons bien honnêtes : ce n’est pas un summum de convivialité. On peut faire beaucoup mieux. On peut rendre ce rite plus sûr, c’est-à-dire plus difficile à corrompre. On peut le rendre plus facile pour les personnes de tous âges et de toutes capacités. Et tant qu’on parle uniquement de sécurité et de confidentialité, on oublie souvent un élément tout aussi important : la convivialité.

Ian Glazer :
Et je crois que c’est précisément sur la question de la convivialité que l’État a un rôle important à jouer, autant en ce qui concerne la description de ce que… du minimum, soit le degré minimal de convivialité attendu dans les interactions, que de la responsabilisation des fournisseurs de services, qui doivent être garants de cette nouvelle convivialité pour ce nouveau type de rite. Parce que nous allons soudainement le changer. Désolé, pas « soudainement ». Nous allons le changer, mais ça prendra du temps. Et les personnes qui font appel au fournisseur de services auront une expérience très différente, et ce, très rapidement.

Ian Glazer :
Alors comment pouvons-nous guider les gens vers de nouveaux processus de présentation plus sûrs qui garantissent la confidentialité? Selon moi, c’est une question fascinante, et c’est là en particulier que l’État a un rôle à jouer.

Cyrielle Chiron : 
J’aime beaucoup la façon dont vous décrivez le rite de présentation. Je pense que c’est exactement ça. J’aime l’analogie. Ça rend les choses un peu plus claires pour moi. Oui, désolée, j’ai tellement de questions. Ce sujet est tellement intéressant. Et il faut qu’on en vienne aux données, parce qu’on parle tout le temps de la collecte de données, mais il est indispensable de connaître les mesures de sécurité et de protection de la confidentialité. C’est très important. Mais j’aime votre explication.

Cyrielle Chiron :
J’aimerais revenir à vous, Joni. Je pense avoir lu dans une récente étude du CCIAN que 54 % des Canadiens – comme vous le disiez tout à l’heure – ne saisissent pas le concept de l’identification numérique. Alors comment fait-on pour informer les gens? Car, comme vous l’avez tous deux mentionné tout à l’heure, on peut recueillir des données, mais si on ne peut pas les utiliser et si seulement la moitié de la population sait de quoi on parle, ça ne marchera pas, non?

Cyrielle Chiron :
Alors comment explique-t-on l’importance de l’identification numérique aux intervenants de l’écosystème, et qui doit donner ces explications?

Joni Brennan :
Oui, je crois que c’est une question importante : il faut savoir informer les gens à propos de l’identité numérique et des données, et de tout ce dont on a parlé. Je dirais que même au sujet de l’étude dont vous parlez, ce que le CCIAN voulait faire entre autres, c’était de demander aux gens ce qu’ils pensaient ou savaient à propos de l’identification numérique, car, comme vous le savez, c’est une initiative d’identification numérique, donc nous ne voulions rien présumer. Nous voulions savoir ce que pensent les Canadiens au départ. C’est important.

Joni Brennan :
Nous avons été surpris par certaines réponses et moins par d’autres. Il y avait même des différences entre la Colombie-Britannique et le Québec, par exemple. Ou Terre-Neuve. Donc, les gens ne se font pas la même idée de l’identification et des données numériques selon la région où ils vivent. En soi, c’est fascinant.

Joni Brennan :
Maintenant au CCIAN, dans notre dernière stratégie quinquennale, nous avons décidé de faire porter nos efforts sur les décideurs : les directeurs des systèmes d’information, les journalistes, les députés… Ces personnes qui prennent des décisions au sujet des systèmes sur lesquels l’identification numérique peut avoir une incidence. Ce sont eux que nous visons. Et dans le cadre de notre travail, nous avons établi des liens avec des universités, et nous avons décelé un intérêt pour la création d’un programme commun sur l’identification numérique. 

Joni Brennan :
Donc, ce que nous constatons, c’est que les entreprises n’arrivaient pas à trouver du personnel possédant l’ensemble de compétences nécessaires pour aborder l’identification numérique du point de vue d’un professionnel.

Joni Brennan :
Vous voyez peut-être où je veux en venir; à cette étape, nous avons aussi communiqué avec des professionnels de l’identité et avec leurs associations pour leur dire que nous ne savions pas vraiment comment créer un programme, mais que nos contacts nous supplient de les aider. Et si on veut que les programmes répondent aux attentes du marché ou aux besoins des employeurs, les professionnels de l’identité sont les interlocuteurs à privilégier. Nous avons donc commencé à dialoguer avec les universités pour définir ce qu’un professionnel de l’identité doit savoir et ce qu’il pourra utiliser concrètement au travail.

Joni Brennan :
Mais il y a un aspect encore plus important : ce que les gens savent et ce que les gens comprennent. Donc, si on leur demande d’accomplir ce fameux rite, ils doivent avoir une connaissance de base de ces types de systèmes ainsi que de leurs risques et de leurs avantages potentiels pour comprendre un programme éducatif axé d’emblée sur le numérique.

Joni Brennan :
J’ai donc commencé dernièrement, au CCIAN, à faire une petite enquête pour savoir qui exactement faisait un travail de pédagogie auprès du public, et pour savoir le contenu des informations diffusées, car cela peut varier considérablement en fonction de la population. Par exemple, si on parle d’une personne comme moi, une immigrante au Canada qui vit en Colombie-Britannique, ça peut être très différent d’une personne des Premières Nations, qui n’a pas la même culture ni la même perception ou expérience du monde. Il faut donc réfléchir aux différentes façons d’instruire le grand public, une initiative gigantesque qui, à mon avis, nécessite la concertation des secteurs public et privé. Ensuite, nous devons nous demander comment adapter cette formation selon les différentes cultures et populations dont la perception des données ou les réalités ne sont pas homogènes.

Joni Brennan : 
Ce qui nous ramène à la confiance. En qui les gens ont-ils confiance, et de qui se méfient-ils? Je crois que les programmes de formation doivent être conçus de manière à inspirer confiance, pour que les gens soient plus instruits. Je crois donc qu’il s’agit d’une immense partie du travail à laquelle nous pouvons tous participer dans une certaine mesure pour que l’ensemble du Canada et des Canadiens soient bien outillés pour prendre des décisions. Prendront-ils toujours des décisions parfaites? Non, mais ils pourront prendre de meilleures décisions, plus éclairées.

Cyrielle Chiron :
Oui, et ce que vous dites me fait penser aux générations… aux générations plus âgées qui peuvent être complètement perdues. On le voit bien lorsqu’on passe des paiements analogiques aux paiements numériques. Comment pouvons-nous les aider à faire cette transition? Je vois en quoi ça peut être un immense travail, indéniablement.

Cyrielle Chiron :
Et parlant de paiements, j’aimerais revenir à ce sujet et faire le lien entre les paiements comme tels et l’identification numérique. Aujourd’hui, comme je l’ai mentionné, nous vivons dans un monde où les paiements évoluent très rapidement, et où pratiquement tout est effectué par voie électronique.

Cyrielle Chiron :
J’aimerais donc continuer avec vous, Joni. Pouvez-vous nous en dire un peu plus, c’est-à-dire, selon vous, quel rôle joue de l’identification numérique dans les paiements?

Joni Brennan :
Oui. Je crois que c’est une question importante. Et durant notre conversation, je me suis dit justement que l’identification et les paiements, ce n’est pas la même chose, mais c’est deux choses qui ont assurément beaucoup en commun et qui dépendent l’une de l’autre. C’est la base : pour effectuer un paiement, il faut pouvoir identifier avec certitude l’entreprise à laquelle il est destiné.

Joni Brennan :
Et pour produire une facture, ou pour me payer en tant que citoyenne ou bénéficiaire ou pour me demander de produire une facture, il faut effectuer une transaction basée sur l’identité, c’est indissociable. Les deux sont donc étroitement liés. Ils dépendent vraiment l’un de l’autre, et si l’un des deux ne se fait pas comme il faut, ça nuit à l’autre.

Joni Brennan :
En ce qui concerne ce qu’on voit dans les systèmes financiers, je crois que vous avez demandé tout à l’heure ce qui se passera en cas de problème et qui sera responsable. L’identification et les paiements, ce n’est pas la même chose, mais c’est deux choses qui ont beaucoup en commun. Je trouve que c’est rassurant de savoir qu’il existe des modèles et des cadres juridiques pour les paiements. Je crois qu’on peut voir le système financier, le système de paiements, comme un exemple de cas d’utilisation très spécifique.

Joni Brennan :
Et dans une certaine mesure, par exemple, vous savez, on peut voir un lien avec le Groupe d’action financière international (GAFI), un organisme international qui s’intéresse à la finance, la connaissance du client et les paiements et lutte contre le blanchiment d’argent. L’une des modifications qu’il a récemment apportées consistait à remplacer la formule « preuve d’identité originale » par « preuve d’identité authentique ». Ce simple mot nous a ouvert un monde de possibilités.

Joni Brennan :
Donc, l’identification et les paiements sont étroitement liés, sans être la même chose, mais nous avançons tout le monde ensemble pour faire évoluer cet écosystème. Donc, un processus d’identification numérique robuste améliore la fiabilité du système de paiement qui, en retour, rend l’identification utile pour effectuer plus de transactions. 

Cyrielle Chiron :
C’est important que vous ayez dit que l’identification numérique et les paiements sont deux choses différentes mais complémentaires… Je trouve effectivement que c’est une précision pertinente. Car, comme vous le savez peut-être – et j’aimerais que l’auditoire de PayPod le sache –, le Canada est en train de moderniser son système de paiements. C’est donc le bon moment pour parler de l’identification numérique.

Cyrielle Chiron :
Et j’aimerais vous demander, Ian, d’aider les Canadiens à comprendre ce qu’il faut pour intégrer l’identification numérique dans le processus. Selon vous, qu’est-ce que les organismes de paiement peuvent apprendre des autres secteurs? Vous en avez parlé un peu tout à l’heure, mais quels conseils donneriez-vous à ces organismes aujourd’hui?

Ian Glazer :
Je dirais qu’il y a plusieurs éléments. Premièrement, en ce qui concerne les paiements –  mais c’est aussi vrai dans les autres secteurs réglementés –, il n’est pas bon de faire cavalier seul. Il faut que les secteurs prennent le virage numérique tous ensemble.

Ian Glazer :
Évidemment, certaines organisations prendront les devants, mais il faut vraiment que ce soit un effort sectoriel, car il faut des normes communes sur les comportements acceptables, les rites de présentation et autres, et les ententes. Des genres de cadres de fiabilité sur l’utilisation acceptable de l’identification numérique.

Ian Glazer :
Je pense non seulement aux secteurs de la finance et des paiements, mais aussi à la santé. Ce sont là deux exemples de terreaux fertiles pour une action sectorielle visant à établir de véritables normes. Et il y a aussi l’État. Il faut examiner les réussites des programmes gouvernementaux… et aussi les échecs! Il est aussi important de se pencher sur les choses qui n’ont pas bien fonctionné.

Ian Glazer :
Enfin, j’inviterais les organisations à réfléchir au fait qu’elles seront les gardiennes d’une grande quantité de données; pas seulement l’identité numérique, mais aussi des renseignements sur le lien entre l’identité et tel ou tel ensemble de transactions. Il peut être extrêmement tentant d’utiliser ces renseignements de toutes sortes de manières, mais il faut garder notre attention sur la personne avec qui a tout commencé. Et il faut s’assurer que le concepteur du système, mais pas seulement lui : le système lui-même, tienne compte de la volonté des personnes.

Cyrielle Chiron :
Excellent. J’ai encore tellement de questions! Vous savez tellement de choses; je pourrais encore vous poser des questions pendant des heures. Mais je crois que je vais me contenter d’une petite dernière en guise de conclusion, car… je trouve que ce que vous avez à dire est passionnant. J’ai beaucoup appris grâce à vous. Mais à vous deux, rapidement : selon vous, à quel rythme peut-on s’attendre à ce que les cadres d’identification numérique s’implantent au Canada? À quel moment tout sera en place, de sorte qu’on puisse aller à Service Canada sans apporter de factures originales ou de preuves d’identité?

Joni Brennan :
Pour ce qui est de la vitesse d’intégration des cadres d’identification numérique aux processus de paiement au Canada, je dirais que ça avance très bien. En ce qui concerne le travail effectué par le CCIAN pour présenter un cadre de fiabilité pancanadien axé à la fois sur l’intersection entre les réseaux de services publics et privés et sur les citoyens clients, la première version viable du cadre est prête à être déployée cet été, et nous allons commencer le test alpha. Ce projet avance dans la foulée de la modernisation de Paiements Canada, un important partenaire dans nos travaux liés au cadre de fiabilité pancanadien.

Joni Brennan :
Je pense que nous avons aussi constaté à quel rythme les organismes et les institutions peuvent agir lorsqu’ils ont la bonne motivation et qu’il y a une volonté politique. Et je crois donc que la pandémie de COVID les incitera assurément à faire avancer rapidement une partie de ces travaux, en particulier à l’approche de l’automne. Nous nous concentrons donc sur ce que nous pouvons accomplir et tentons d’accélérer le rythme pour l’automne et l’hiver 2020-2021.

Joni Brennan :
Nous voyons déjà des éléments se mettre en place, et je crois qu’il reste encore du temps. L’écosystème d’identité, l’identification, les paiements et la prestation des services continuent d’évoluer. Je pense que ce ne sera jamais vraiment terminé. Ce sera peut-être le cas si nous atteignons la singularité de Kurzweil, mais pour l’instant, nous n’avons pas fini. Il faut donc avancer. Mais je crois que nous sommes dans une bulle portée par la prochaine vague d’utilisation des technologies de paiements, de transactions gouvernementales et de transactions liées à la santé, et d’interactions avec celles-ci. Je crois aussi qu’au cours des douze prochains mois, nous verrons beaucoup plus d’avancées concrètes, avec la participation de l’État et du secteur privé et, idéalement et surtout, des personnes qui bénéficient de ce travail.

Cyrielle Chiron :
Et vous, Ian?

Ian Glazer :
De mon point de vue, je dirais que je suis très encouragé par l’autre côté de ce processus, soit l’accès commun à des technologies qui facilitent les rites que nous voulons adopter. Et je pense que ces types de technologies deviendront plus répandues au cours des deux ou trois prochaines années, ce qui signifie que les organisations avant-gardistes peuvent s’y mettre dès maintenant. Je pense que nous verrons cette vague continue de technologie omniprésente au cours des trois prochaines années, disons, et que nous pouvons commencer à voir des rites conventionnels et courants de nouvelle génération, si vous voulez, au milieu de la décennie.

Ian Glazer :
J’ai donc très hâte à 2025, car je pense que cette massification ou cette capacité commune facilitera vraiment ces rites et créera le monde d’identification numérique que nous souhaitons tous.

Cyrielle Chiron :
Eh bien j’ai hâte moi aussi. Comme je le disais, j’ai encore tellement d’autres questions, mais je crois qu’il faut savoir s’arrêter. Merci beaucoup pour votre expertise. C’était vraiment impressionnant. Je vous suis très reconnaissante pour notre conversation d’aujourd’hui.

Joni Brennan :
Merci beaucoup de nous avoir reçus. C’était une très bonne discussion.

Ian Glazer :
Merci, c’était parfait.

Cyrielle Chiron :
Comme nous le savons, la sécurité et les paiements vont de pair. Il incombe aux organismes de paiements de continuer de s’informer pour que cette intégration soit aussi solide que possible tout en expliquant aux Canadiens comment ces avancées dans l’identification numérique peuvent simplifier les transactions quotidiennes et les rendre plus sûres.

Cyrielle Chiron :
L’identification numérique est un concept qui ne fera que gagner en importance au fil des avancées de l’industrie des paiements, et les organismes comme le CCIAN et IDPro ont un rôle déterminant à jouer. La modernisation des méthodes d’identification numérique du Canada servira non seulement à protéger les personnes qui effectuent les transactions, mais permettra aussi au Canada de rester concurrentiel et de se démarquer dans le monde.

Cyrielle Chiron :
Une fois de plus, j’aimerais remercier Joni Brennan et Ian Glazer d’avoir discuté avec nous aujourd’hui. Comme toujours, PayPod peut être téléchargé sur votre application de baladodiffusion préférée ou à paiements.ca. Participez aux discussions en ligne en utilisant le mot-clic #paiementsmodernes, et revenez-nous pour continuer d’explorer les mutations du monde des paiements.

Cyrielle Chiron :
C’est tout pour aujourd’hui. À la prochaine!