Première
Précédente
Portée et nature des principes
Principes d'Authentification Électronique
Cadre canadien
Mai 2004
Ces principes se rapportent à l'authentification des communications électroniques dans son sens large.
Les principes sont censés s'appliquer aux processus d'authentification utilisés en rapport avec les communications électroniques entre des entreprises ou des administrations publiques et d'autres organisations, entre des organisations et des personnes physiques (les consommateurs et les citoyens), et entre des personnes physiques.
Il peut exister toutes sortes de relations entre les authentificateurs et les utilisateurs finals, et entre les utilisateurs finals. Nombreuses sont ces relations qui sont régies par des ententes. Les principes sont censés orienter l'élaboration de ces ententes et s'appliquer à la gamme complète de ces relations.
Les parties à des contrats négociés sont habituellement les mieux placées pour déterminer les modalités qui conviennent à leurs besoins particuliers. Toutefois, les principes revêtent une importance particulière dans les situations où une partie peut ne pas avoir la possibilité de négocier les modalités de son interaction avec l'autre partie (ou les autres parties) à la transaction.
Les principes devraient être considérés et appliqués comme s'ils formaient un tout.
Les dispositions des divers principes sont interreliées et interdépendantes; les principes ne peuvent pas atteindre leurs buts s'ils sont mis en œuvre sélectivement, quoiqu'ils peuvent ne pas tous s'appliquer dans tous les cas. Les personnes chargées d'appliquer les principes pour définir ou mettre en œuvre les processus d'authentification sont encouragées à dépasser les points de repère que les principes établissent et à les élargir en vue de répondre aux exigences de leur application ou de leur contexte de sécurité particulier.
Les principes sont de nature très générale et ils sont neutres sur le plan technologique.
Les Canadiens peuvent choisir parmi une variété de technologies pour authentifier leurs communications électroniques, selon la nature de la communication particulière et les exigences des parties prenantes.
La mise en œuvre des processus d'authentification varie aussi en fonction des objectifs commerciaux ou légaux à atteindre ainsi que des caractéristiques de l'environnement dans lequel la communication électronique se fera, comme les besoins en matière de sécurité et de protection des renseignements personnels et les autres obligations législatives ou réglementaires. Ces facteurs définissent la fonctionnalité requise d'un processus d'authentification et, dans certains cas, ils définiront même le type d'authentification utilisé.
Les principes sont conçus de manière à favoriser un marché juste et concurrentiel qui fonctionne bien pour les produits et les services d'authentification.
Les processus d'authentification devraient être efficaces, efficients, fiables et faciles à appliquer; ils devraient également respecter les intérêts des personnes physiques et morales. Chaque fois que la chose est possible, les principes laissent place au choix : choix de la technologie, choix des services, des solutions et du degré de confiance par les utilisateurs finals et choix des outils utilisés pour assurer la conformité.
Les principes mettent l'accent sur la proportionnalité.
Le niveau de responsabilité et de risque assumé par chaque partie prenante au processus d'authentification devrait être raisonnablement proportionnel au niveau de connaissance que celle-ci devrait posséder et au niveau de contrôle qu'elle devrait exercer ainsi qu'à la nature et à la valeur de la communication électronique même. Étant donné que les parties prenantes peuvent accomplir des fonctions multiples, qui peuvent être combinées différemment, le niveau de risque et de responsabilité assumé par une partie prenante peut varier selon ces fonctions.
Les principes mettent l'accent sur la protection des renseignements personnels.
Les principes reconnaissent que le cadre juridique qui existe au Canada pour la protection des renseignements personnels évolue et ils tiennent compte de la façon dont les normes de protection des renseignements personnels s'appliquent à l'authentification. Les principes visent la jonction entre les pratiques liées au respect de la vie privée et les pratiques liées à l'amélioration de la sécurité. L'importance de la protection des renseignements personnels pour les Canadiens oblige les responsables de la conception et de la mise en œuvre des mesures d'authentification électronique à voir comment leurs systèmes peuvent le mieux respecter la protection des renseignements personnels à chaque étape du processus.
Les principes ont été élaborés afin d'assurer la compatibilité avec les innovations internationales dans le domaine de l'authentification.
Le Canada est engagé à continuer de participer aux différents forums internationaux qui traitent de la nécessité de créer des cadres mondiaux pour l'authentification. Cette participation fait en sorte que l'approche du Canada reste alignée sur celle des autres pays, ce qui permet à l'industrie canadienne d'être concurrentielle sur le marché international.