ARCHIVÉE — Principes

Principes d'Authentification Électronique
Cadre canadien
Mai 2004

---

Principe 1 : Responsabilités des parties prenantes
Principe 2 : Gestion du risque
Principe 3 : Sécurité
Principe 4 : Protection des renseignements personnels
Principe 5 : Obligations d'information
Principe 6 : Traitement des plaintes

---

Principe 1 : Responsabilités des parties prenantes

Les parties prenantes à un processus d'authentification devraient être conscientes des fonctions qu'elles accomplissent et des responsabilités liées à ces fonctions. Les responsabilités des parties prenantes sont proportionnelles au niveau de connaissance que celles-ci devraient posséder et au niveau de contrôle qu'elles devraient exercer.

Toutes les parties prenantes devraient agir prudemment et prendre des mesures raisonnables pour s'informer de la nature du processus d'authentification, notamment des exigences et des limites du processus, pour protéger l'information liée au processus et pour gérer les risques auxquels elles s'exposent (voir le principe 2).

Les responsabilités particulières des parties prenantes se rattachent à la fonction ou aux fonctions qu'elles exercent, dont les suivantes :

Administration de l'authentification

Il incombe à l'administrateur d'appliquer des mesures appropriées et éprouvées de sorte que les autres parties prenantes puissent avoir confiance dans la crédibilité des attributs revendiqués. Lorsque l'administrateur délègue une partie de la fonction d'administration à un tiers, il lui appartient de s'assurer que le tiers applique aussi des processus appropriés et éprouvés.

Spécification

La partie prenante responsable de la spécification est chargée de choisir un système, comme une infrastructure ou un processus d'authentification, qui répond aux exigences de protection des renseignements personnels et de sécurité et aux autres exigences politiques et juridiques liées à une communication électronique. Cela peut comprendre le mécanisme par lequel on vérifie l'autorisation d'une partie prenante de prendre part à une communication électronique et l'intégrité de la communication comme telle.

Utilisation finale

La responsabilité qu'ont les utilisateurs finals de s'informer du processus d'authentification est limitée par la mesure dans laquelle une information claire et évidente leur est divulguée (voir le principe 5). La responsabilité qu'ont les utilisateurs finals de protéger l'information concernant le processus d'authentification peut être limitée par des obligations juridiques ou contractuelles. Tel est le cas lorsque celles-ci obligent les utilisateurs à divulguer de l'information se rapportant au processus qu'ils utilisent pour déterminer la fiabilité des communications électroniques.

Élaboration de normes

Les parties responsables de l'élaboration de normes sont chargées de veiller à ce que les normes soient solides, extensibles et adaptables afin d'encourager l'uniformité dans la mise en œuvre de l'authentification. Cette responsabilité englobe l'incorporation d'une vaste gamme de points de vue et de pratiques exemplaires dans les normes proposées, ce qui permet de voir à ce qu'elles soient pertinentes, actuelles et continuellement applicables. Une élaboration de normes prudente tient compte des technologies et des pratiques internationales existantes et émergentes.

Évaluation de la conformité

Il incombe aux responsables de l'évaluation de la conformité de maintenir et d'appliquer des connaissances et des pratiques professionnelles et actuelles afin de pouvoir fournir une évaluation raisonnée et éclairée des processus d'authentification.

Prestation d'infrastructure

Les prestataires d'infrastructure sont chargés de respecter les pratiques exemplaires et les normes pour mettre en œuvre et appuyer l'infrastructure qui permet l'authentification.

---

Principe 2 : Gestion du risque

Les risques liés aux processus d'authentification des communications électroniques devraient être déterminés, évalués et gérés d'une manière raisonnable, juste et efficace.

Les responsabilités des parties prenantes en matière de gestion des risques sont proportionnelles au niveau de connaissance que celles-ci devraient posséder et au niveau de contrôle qu'elles devraient exercer. On reconnaît que la capacité des parties prenantes de déterminer, d'évaluer et de gérer les risques varie considérablement et qu'on ne peut pas raisonnablement attendre de certaines parties prenantes (par exemple les consommateurs et les petites entreprises) qu'elles déterminent, évaluent et gèrent les risques dans la même mesure que les parties prenantes qui ont accès à des ressources plus importantes ou qui définissent les relations de travail.

Détermination

Les risques devraient être déterminés dans la mesure du possible. Les risques peuvent être financiers, incluant les dommages immédiats, directs et indirects issus d'une exécution défectueuse ou d'un retard d'exécution de la communication; ils peuvent aussi se rapporter, entre autres, à la perte de confidentialité ou de renseignements personnels, à des dommages à la réputation et au vol d'identité.

Évaluation

La gravité et l'incidence possible des risques devraient être évaluées. Lorsqu'on évalue les risques, il faut prêter une attention spéciale aux circonstances où l'on fait confiance au processus d'authentification; en outre, il peut être utile de tenir compte des responsabilités liées à chacune des six fonctions (voir le principe 1).

Gestion

Les risques devraient être gérés jusqu'à hauteur de la plus grande efficience économique, c'est-à-dire qu'ils doivent être assumés, évités, réaffectés ou atténués. Le risque est efficient sur le plan économique lorsque le risque résiduel qu'une partie prenante assume après avoir géré les risques avec prudence n'est pas plus grand que les avantages qu'elle tire de sa participation.

Rôle des contrats

Les contrats peuvent être utilisés pour encadrer la participation de chaque partie prenante. Les contrats devraient indiquer clairement les risques assumés par chaque partie et répartir les risques de manière raisonnable, juste et efficiente. Dans le cas des contrats qui ne sont pas négociés librement entre parties égales³, il peut être nécessaire de prendre des mesures pour protéger les intérêts des parties les plus faibles.⁴

Processus de décision

Peu importe les moyens utilisés pour attribuer les risques, l'attribution devrait être raisonnable et juste et tenir compte de la capacité des parties prenantes de gérer les risques ou d'absorber les pertes. Elle devrait aussi inciter les parties chargées de l'élaboration et de la mise en œuvre des processus d'authentification à voir à ce que leurs produits et leurs services soient sûrs et fiables.

---

Principe 3 : Sécurité

Toutes les parties prenantes à un processus d'authentification devraient être responsables et comptables de la sécurité en proportion des rôles qu'elles ont joués dans ce processus. Toutes les parties prenantes sont chargées de contribuer à atténuer les risques grâce à de saines pratiques en matière de sécurité. Toutefois, il appartient principalement aux prestataires d'infrastructure et aux intervenants dans l'administration de l'authentification de concevoir et d'offrir des systèmes basés sur des politiques et des procédures qui tiennent compte des lois, des règlements, des politiques, des normes industrielles et du contexte socio-culturel pertinents.⁵

La sécurité de l'information a pour objet d'atténuer les risques inhérents au partage d'information par voie électronique. Les prestataires d'infrastructure et les intervenants dans la spécification et l'administration des processus d'authentification prennent souvent l'initiative dans la conception et la mise en œuvre des mécanismes de sécurité et ils ont donc intérêt à sensibiliser davantage les autres parties prenantes en les renseignant sur ces mécanismes et sur le rôle qu'elles ont à jouer dans leur maintien (par exemple, choix et protection des mots de passe des utilisateurs). Les mécanismes de sécurité devraient se conformer aux normes généralement reconnues.

Protection, détection et réaction

S'il y a lieu, toutes les parties prenantes devraient être mises au courant et, en tout temps, être conscientes des risques pour la sécurité, des menaces connues et des vulnérabilités ainsi que des mesures de protection existantes. Dans un processus d'authentification, un incident de sécurité qui touche une seule partie prenante peut avoir des répercussions pour toutes les parties prenantes. Les parties prenantes devraient donc en tout temps agir de manière à prévenir de tels incidents et elles devraient être prêtes à répondre de façon appropriée et capables de le faire. Les parties prenantes devraient échanger des informations au sujet des menaces, des vulnérabilités et des risques connus, car c'est une mesure de prévention efficace qui permet d'accroître la vigilance au niveau de la détection et d'assurer une réponse opportune. Les mesures de sécurité de l'information efficaces devraient être proportionnelles au risque pour l'information et devraient respecter les droits des parties prenantes, conformément aux principes démocratiques d'une société ouverte.

Les technologies de l'information évoluent rapidement. Par conséquent, une saine gestion de la sécurité consisterait à faire en sorte que toutes les parties prenantes soient informées de manière fiable des menaces nouvelles et existantes et du rôle que les parties prenantes devraient jouer pour prévenir, détecter et régler les incidents.

Examen et évaluation

Il est essentiel d'examiner et d'évaluer continuellement les programmes de sécurité afin d'en assurer l'efficacité permanente. Les responsables de l'établissement des processus d'authentification et les prestataires d'infrastructure en particulier, de concert avec les autres parties prenantes au processus d'authentification, devraient vérifier et prouver qu'ils adhèrent à de saines pratiques de gestion de la sécurité, chacun en proportion du rôle qu'il joue. Une personne indépendante du processus d'authentification devrait examiner périodiquement les pratiques de sécurité associées au processus. Un tel examen devrait faire partie intégrante de l'accréditation et de la certification au regard des normes généralement reconnues.

---

Principe 4 : Protection des renseignements personnels

Les organisations engagées dans la conception ou l'exécution des processus d'authentification devraient se conformer aux normes de protection des données énoncées dans les codes de pratique (codes en matière de protection des renseignements personnels) en plus de se conformer aux lois et à la jurisprudence (lois en matière de protection des renseignements personnels)⁶ applicables. En particulier, la collecte, l'utilisation et la divulgation de renseignements personnels⁷ devraient être réduites au minimum dans le contexte de l'authentification.

L'authentification fondée sur l'identité peut entrer en conflit avec les questions de protection des renseignements personnels. Par exemple, une authentification plus poussée peut nécessiter la collecte et la comparaison d'une plus grande quantité de renseignements personnels. Toutefois, il est essentiel à la sécurité et à la protection des renseignements personnels de réduire au minimum la collecte, l'utilisation et la divulgation de renseignements personnels dans le contexte de l'authentification. Des mesures de protection des renseignements personnels peuvent en fait contribuer à la sécurité des processus d'authentification.

Administration de l'authentification

L'administration de l'authentification devrait faire intervenir la collecte de renseignements personnels seulement lorsqu'elle est nécessaire. Les renseignements personnels recueillis ne devraient être utilisés qu'aux fins d'authentification. L'authentification d'une entreprise devrait focaliser sur les attributs de l'entreprise plutôt que sur les attributs personnels des employés individuels.

Si la collecte de renseignements personnels est nécessaire, elle doit être réduite au minimum. L'utilisation ou la divulgation de renseignements personnels devrait également être réduite au minimum. Les renseignements personnels ne devraient être recueillis, utilisés ou divulgués qu'avec le consentement éclairé de la personne physique.

Les renseignements personnels ne devraient être conservés qu'aux fins d'authentification.

Spécification et prestation d'infrastructure

Les processus d'authentification doivent être conçus de manière à exiger que le moins possible de renseignements personnels soient recueillis, utilisés et divulgués. La conception des processus devrait tenir compte des droits d'accès des parties prenantes et de l'obligation qu'ont les organisations de communiquer de l'information au sujet de leurs politiques en matière de protection des renseignements personnels. Les organisations qui utilisent des processus d'authentification conçus par d'autres sont chargées de faire en sorte que ces processus protègent les renseignements personnels.

Utilisation finale

Les utilisateurs finals des processus et des services d'authentification devraient prendre des mesures raisonnables pour s'assurer que les renseignements personnels placés sous leur contrôle sont protégés contre la collecte, l'utilisation ou la divulgation non autorisée.

Élaboration de normes

Les normes d'authentification devraient être élaborées en pleine conformité avec les principes concernant la protection des renseignements personnels qui sont énoncés dans les lois et les codes sur la protection des renseignements personnels. La protection des renseignements personnels devrait être explicitement enchâssée dans les normes d'authentification. Les responsables de l'élaboration des normes devraient tenir compte de la concordance entre les mesures qui contribuent à la protection des renseignements personnels et celles qui sont conçues pour assurer la sécurité des processus d'authentification.

Évaluation de la conformité

L'évaluation de la conformité devrait notamment déterminer si l'organisation en question se conforme aux principes de protection des renseignements personnels énoncés dans les lois et les codes. Les évaluateurs de la conformité devraient protéger la confidentialité des renseignements personnels dont ils prennent connaissance dans le contexte de leurs évaluations, conformément aux lois et aux codes sur la protection des renseignements personnels.

---

Principe 5 : Obligations d'information

Les parties prenantes qui offrent des services d'authentification devraient divulguer des informations aux autres parties prenantes afin de faire en sorte que toutes les parties prenantes soient conscientes des risques et des responsabilités inhérents à leur participation.

L'information qui est divulguée concernant les services d'authentification devrait inclure les politiques, les pratiques et les procédures et indiquer si les services sont examinés ou vérifiés régulièrement. Une divulgation appropriée exige que l'information soit suffisamment détaillée pour l'objectif visé, qu'elle soit formulée en langage simple et qu'elle soit évidente. Les trois facteurs auront une incidence sur la connaissance de l'information divulguée que les autres parties prenantes devraient raisonnablement posséder.

Étendue et nature de la divulgation

L'information divulguée ne devrait pas inclure les informations liées à la sécurité qui, si elles étaient divulguées, introduiraient des vulnérabilités et augmenteraient le risque. Toutefois, la quantité et la nature des informations divulguées devraient permettre aux parties prenantes de comprendre leurs responsabilités et de prendre des décisions éclairées en matière de gestion du risque, pour ce qui est de la confiance à accorder à l'authentification. La portée et la nature de l'information peuvent varier selon que l'utilisateur final est une personne physique ou une organisation.

Notification

Les parties prenantes devraient être informées de l'accessibilité d'une telle information et des changements qui y sont apportés. Il se peut qu'une preuve de la notification soit exigée, selon la nature du processus d'authentification et des applications connexes.

Lien aux autres principes

Les parties prenantes qui offrent des services d'authentification devraient divulguer leur politique et leurs pratiques en matière de collecte de renseignements personnels. Le principe 4 de la protection des renseignements traite plus en profondeur des renseignements personnels et de leur divulgation.

Les obligations d'information doivent du même coup être considérées de concert avec le principe 1 (responsabilités des parties prenantes) et le principe 2 (gestion du risque).

---

Principe 6 : Traitement des plaintes

Les organisations qui mettent en œuvre un processus d'authentification devraient élaborer une méthode de traitement des plaintes permettant aux parties prenantes de répondre à ces plaintes de façon efficace et efficiente, et de régler les problèmes d'inobservation de façon appropriée.

Les processus de traitement des plaintes devraient refléter les éléments suivants.

Visibilité

L'information sur les modalités de dépôt des plaintes devrait être communiquée à toutes les parties prenantes et à leur personnel et aux autres parties intéressées et devrait inclure des renseignements complets sur le processus de traitement des plaintes.

Accessibilité

Le processus de traitement des plaintes devrait être facilement accessible à toutes les parties prenantes et l'organisation doit faire en sorte qu'il soit facile d'obtenir des renseignements sur les détails du règlement des différends. Le processus et l'information à l'appui devraient être faciles à comprendre et à utiliser par les personnes physiques faisant des plaintes. Ils devraient être expliqués en langage simple et être accessibles dans les langues des produits et des services offerts à l'origine.

Rapidité de réaction

Les plaintes devraient faire l'objet d'une étude rapide et minutieuse. Elles devraient être examinées du point de vue de la sécurité et réglées en priorité, selon les répercussions négatives qu'elles pourraient avoir sur les parties prenantes en cause ou sur la mise en œuvre de l'authentification dans l'ensemble.

Équité et objectivité

Chaque plainte devrait être réglée de manière objective grâce au processus de traitement des plaintes et le règlement devrait être équitable pour le plaignant et pour la partie prenante visée par la plainte.

Frais

L'accès au processus de traitement des plaintes ne devrait rien coûter au plaignant.

Confidentialité et protection des renseignements personnels

Les renseignements personnels sur les plaignants devraient être accessibles seulement aux points de l'organisation qui traitent la plainte et ils doivent être activement protégés contre toute divulgation à moins que le plaignant consente expressément à la divulgation.

Reddition de comptes

Les organisations devraient s'assurer qu'une personne physique désignée ou qu'une unité identifiable de l'organisation soit responsable de la consignation systématique des plaintes et de leur règlement, et qu'elle rende compte des actions et des décisions de l'organisation relativement au traitement des plaintes.

Amélioration continue

L'amélioration continue de la qualité des produits et services est facilitée par le processus de traitement des plaintes qui est basé sur les commentaires des clients et d'autres parties. Le processus même de traitement des plaintes devrait être surveillé en permanence et examiné et évalué à la lumière des commentaires.

Plaintes non réglées

Dans les cas où les plaintes ne peuvent pas être réglées à l'interne, les organisations devraient être prêtes à utiliser les processus de règlement des plaintes de tiers, à la demande du plaignant, y compris les processus administrés par des tiers du secteur privé. Toutefois, les plaignants devraient continuer à avoir accès au système de justice.

---

³ Un exemple d'un tel cas sont les contrats qui imposent la durée des services aux utilisateurs.

⁴ Les mesures en ce sens peuvent être prises au niveau du secteur d'activité et se traduire par l'inclusion de dispositions dans les codes ou au niveau gouvernemental et se traduire par l'adoption de politiques ou de lois.

⁵ Le principe de la sécurité reconnaît et adopte les Lignes directrices de l'OCDE [Organisation de coopération et de développement économiques] régissant la sécurité des systèmes et réseaux d'information : vers une culture de la sécurité (voir page 24). Le texte intégral des Lignes directrices se trouve en ligne à l'adresse suivante: www.oecd.org/dataoecd/16/22/15582260.pdf

⁶ Les lois générales de protection des renseignements personnels dans le secteur privé qui sont actuellement en vigueur incluent la Loi sur la protection des renseignements personnels et les documents électroniques (loi fédérale) et les lois adoptées par l'Alberta, la Colombie-Britannique et le Québec. Les autres provinces ainsi que les territoires peuvent choisir d'adopter des lois générales de protection des renseignements personnels. Des lois fédérales, provinciales et territoriales en matière de protection des renseignements personnels qui s'appliquent au secteur public et des lois de protection des renseignements personnels propres à un secteur peuvent aussi s'appliquer. Le Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation, (CAN/CSA-Q830-96), a été incorporé dans la loi fédérale intitulée Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, chap. 5, à titre d'annexe 1. Le code a été élaboré par un groupe de travail multipartite et adopté par le Conseil canadien des normes à titre de norme nationale en 1996. Beaucoup de codes de pratiques industriels traitent aussi de la protection des renseignements personnels.

⁷ Conformément à la définition de la Loi sur la protection des renseignements personnels et les documents électroniques: « tout renseignement concernant un individu identifiable ».