|
Standing Committee on Access to Information, Privacy and Ethics
(1530)
[English]
The Vice-Chair (Mr. Charlie Angus (Timmins—James Bay, NDP)):
Good afternoon. We're going to begin.[Translation]
I would like to make an announcement first. There has been an uprising and I am the new captain of this committee. The anarchists have arrived.
An hon. member: Temporarily. [English]
The Vice-Chair (Mr. Charlie Angus): Welcome, my friends, to the Standing Committee on Access to Information, Privacy and Ethics. This is meeting 139, pursuant to Standing Order 108(3)(h)(vii), for the study of the privacy of digital government services.
Today, we have two groups of witnesses. We have, from the Herjavec Group, Matthew Anthony, the vice-president, incident response and threat analysis, and Ira Goldstein, senior vice-president of corporate development. We also have, from SecureKey Technologies Inc., Andre Boysen, chief information officer, and Rene McIver, chief security officer.
Each group will have 10 minutes to present. We are pretty reasonable here, but when you get close to the 10 minutes, I will start to jump up and down very loudly, not to distract you, but just to let you know. Then our first round of questions will go for seven minutes and then we will go to a five-minute round.
Is the Herjavec Group ready to begin?
Mr. Ira Goldstein (Senior Vice-President, Corporate Development, Herjavec Group):
Good afternoon. My thanks to the chair and vice-chairs and the members of the committee for the opportunity to speak today.
My name is Ira Goldstein. I'm the senior vice-president of corporate development at the Herjavec Group. I've spent the last decade working in information security to help companies and governments secure their most critical digital assets.
I'm joined by Matt Anthony, our vice-president of security remediation services at Herjavec Group, whose remarks will follow mine.
Herjavec Group was founded in 2003 by Robert Herjavec, who immigrated to Canada with his parents from eastern Europe. A dynamic entrepreneur, Robert has built Herjavec Group to be one of the largest privately held cybersecurity firms in the world. Our experience includes working with private and public sector organizations in complex multi-technology environments to ensure their data security and privacy.
We are honoured to address the committee today on behalf of Robert, Herjavec Group and our fellow Canadians.
Our statement will address two subject areas related to the committee's study. First, I will outline why digital identity is a key building block in the transformation of government services. I will then outline steps to manage, govern and secure our digital identities.
My recommendation is for the government to tread lightly on the broader transformation path to ensure that privacy and security are top priorities. In parallel, the government should move quickly on a pilot project to expand the existing success of Canada's digital presence.
Digital government services must be built on a foundation of good identity governance. If our identities are to be digitized and managed by government, citizens expect a system that ensures security and privacy. Our identity attributes are assumed to be protected by the issuer, our federal government. In any system, physical or digital, fraud is a risk that must be mitigated through effective and ongoing assessment.
These concepts are not far from realization. When a baby is born or a new immigrant arrives, individuals may request their identity documentation online. Ultimately, physical artifacts are issued as proof of identity, but the fact that we have an online portal today to provision identification means that we have the foundation to leverage that data for use in digital government services.
Several government services are already online. One of the most critical functions of government, tax collection, is digitized through Canada Revenue Agency's EFILE system. Presumably the push to EFILE was supported by efficiency outcomes and stands as a successful case of digital transformation.
Any further steps to digitize citizen identity must consider the perception of the impact on individual privacy. Individuals may perceive digital identity as a threat to privacy despite the expected benefits. One recent example is the speed at which public perception soured over Statistics Canada's plan to collect personal financial information. Despite the involvement of the Privacy Commissioner and plans to anonymize the data, perception quickly turned negative toward this prospect.
The contrast between CRA's EFILE success and Statistics Canada's attempt to gather financial information is a guiding light for the committee. Digitizing government services will be welcomed by the public if managed and messaged thoughtfully. The upside of this effort is more access for historically marginalized groups and geography, so the opportunity cannot be ignored.
Historically, identity-proofing has required a trusted centralized authority to govern provisioning and usage. If I want to prove who I am, I need to show government-issued identification. I foresee this authoritative proof as a permanent feature of modern democracy, so despite the advances in decentralized identity, the government has an important role to play in identity management.
In sum, I strongly recommend that the committee seize the opportunity to further digitize components of citizen identity to enable the efficient and secure delivery of government services, while being cautious in the line that we must draw between centralizing data and ensuring that individual privacy is maintained.
(1535)
Mr. Matthew Anthony (Vice-President, Security Remediation Services, Herjavec Group):
Thanks, Ira.
My name is Matt Anthony. I'm the vice-president of security remediation services. I've been working in information security for over 20 years. I'm honoured to be here today to address the committee. I'll keep my remarks focused on two main areas.
Firstly, I'd like to address the issue of e-government, specifically the pace and volume of change. There have been great successes. Ira has already mentioned tax filing. You can do anything from tax filing to pet registrations at all levels of government. I think we're seeing real advantages from some of those, but I also see that fear of missing out and reputation enhancement are drivers for a lot of the initiatives that influence the adoption of and adaptation to electronic government services.
Mark Zuckerberg, the founder of Facebook, is famous for saying, “Move fast and break things”. While that was taken on as a mantra for global developers in all areas of business and the private sector, I don't think the Government of Canada should or could have that same kind of capability to move fast and break things. Herjavec Group's cyber-incident response teams have see the direct impact of moving fast and breaking things. We come back and sweep some of that up. Breaches are large, costly and very damaging.
Adding to that, there is a global skills shortage in the core capabilities needed to securely govern, develop, test, deploy and maintain complex software systems. Current published figures show that there'll be about three and a half million cybersecurity job openings by 2021—that's worldwide, obviously. The global digital transformation is in direct tension with that. There are more projects, more services and more data being created, stored, managed and mined. Canada and Canadian governments will feel this tension very directly.
The committee has heard a great deal about three case studies. Ira mentioned this already, and I've heard some talk in the corridors about a couple of them. They are Sidewalk Toronto, Estonia and Australia.
I want to address the Estonian example briefly, because it's been held up as a high-water mark for digital transformation, but Estonia has had a few major advantages in doing this that Canada doesn't enjoy. They have a very small population, a very small geography, a relatively green field in the post-Soviet era for technology and a relatively homogenous population accustomed to central control.
When I talk about those things, I think you can reflect on Canada not having many of those advantages in trying to do these kinds of services. The model would look very different for Canada.
While that transformation appears successful, we also don't know a whole lot about the security and privacy concerns. The political and cultural aspects of what would be expected, including how much we might learn about security and privacy aspects, might not be evident for years, or even longer than that. I caution against using Estonia as a North Star for our transformations in Canada.
You can't stand still, obviously, and we have to move forward, but my hope is that we go slowly enough to be assured that the changes we do are fully governed and secured to the appropriate level. Go carefully according to strong principles. Wait for the necessary technology, such as AI and automation controls, to support us better. Don't allow fear of missing out in international comparisons to cause us to hurry ahead of our abilities and capabilities.
Secondly, I'd like to briefly address information-sharing. I want to commend the data strategy road map, in that there are six most important things laid out in that document. I can't do much more than say that they are precise and correct. I would like to amplify them.
The concepts are simple: develop a strategy; provide clarity on data stewardship; develop standards and guidelines for governance; improve recruitment to gather the needed skills; and, develop technology systems that support the strategy. Those are all easy to say, but enormously difficult to do, individually and severally.
In 1984, Stewart Brand presciently wrote, “Information wants to be free.” At the time, he was talking about how the technology costs were going lower and lower, but now it has become synonymous with the difficult problem of keeping access control. Once information is beyond the source's control, it will tend to get distributed widely. It follows, then, that secondary and tertiary uses of the government's data need to be as acutely and astutely controlled as primary use is.
The government faces a monumental task in understanding and managing legacy data and systems. Reconciling inconsistent or undocumented consents for use, information silos, usage rules, data structures, identity platforms and administrative processes will each also be monumental in scale.
I believe that taking a greenfield approach may be advantageous, that is, by establishing rules clearly for new data collection and allowing legacy data to be integrated in the future, as capabilities such as AI and other data collection and tagging can be paired with lower costs for transformation through automation. Don't rush to data lake models, as unexpected de-anonymization and information correlations will emerge—I've seen them—some of which may be contrary to public policy, law or intent. (1540)
There are a lot of assertions being made that opportunities will emerge and efficiencies will be achieved by aggressively mining, aggregating and sharing data. I urge the committee to show evidence for that. It's easy to get caught up in the rush to take that approach.
You cannot stand still, but I advise, indeed urge, the committee and industry to slow down, be more careful and do not allow ambition to overshadow capability. Go slowly enough to fully understand, measure and manage information risks. Remember, criminals like data, and breaches are messy, complicated and very expensive.
Thank you.
The Vice-Chair (Mr. Charlie Angus):
Thank you very much.
We'll go to SecureKey Technologies, please.
Ms. Rene McIver (Chief Security Officer, SecureKey Technologies Inc.):
Good afternoon. I am Rene McIver, chief security and privacy officer at SecureKey.
I'd like to begin by thanking the committee for giving us the opportunity to participate in its study on privacy and digital government services. My background is in crypto-mathematics, biometric standards and identity. I've spent time at the Communications Security Establishment and have been with SecureKey for the past decade.
I'm joined here today by my colleague Andre Boysen, our chief identity officer and co-founder of SecureKey. Andre's been in the fintech industry for 30 years and is a globally recognized leader in digital identity and privacy. He also serves on the board of the Digital ID & Authentication Council of Canada.
SecureKey is a proud Canadian company. SecureKey has been the provider of record for the Government of Canada's partner login service since 2012, also known as SecureKey Concierge. We are a world leader in providing technology solutions that enable citizens to efficiently access high-value digital services while also protecting the security and privacy of their personal information. We do this by building highly secure networks that span and merge the strengths of the public and private sectors.
As we know, the digital age has ushered in a host of new services, business models and opportunities to participate in the world. Not long ago, it would be unimaginable to order a shared ride from a device in your pocket, or to confidentially access government services from your home. Today, we take these things for granted and often get irritated when we come across something that can't be done online.
It's not just about citizen expectation. Companies, governments and other organizations have strong incentives to move services and transactions online in order to enhance client experiences, realize cost savings and increase business surety. An organization's ability to do this hinges on a single question: Can I trust the person or digital identity at the other end of the transaction?
This digital identity challenge is equally problematic on both sides.
To recognize clients and provide trusted access to services online, organizations typically deploy a mix of analogue and digital measures to confirm identity and mitigate risk. As we have seen, however, these solutions tend to be complex and inadequate. As a result, confidence in them has suffered.
On the other side, citizens are asked to navigate a myriad of identification methods to satisfy the organizations they seek services from, without knowing where the information's going and in the face of a steady stream of news about data breaches and online impersonators.
These concerns are well founded. Fraudsters are collecting information to know as much, and sometimes more than the citizens they are impersonating. Standard physical cards are easily counterfeited, and it's often impossible to check their validity with the issuing sources. Even biometric methods, which have often been touted as the solution to digital fraud, are targeted by hackers, increasing the risk that biometric data may also be compromised.
These factors are driving complexity up, trust in the system down, and adversely affecting privacy—exactly the opposite of what needs to happen. Our siloed system is too hard for consumers to use and too expensive to be sustained.
The challenge we face is not simply a matter of finding the best technology, the right skills or enough money to fix it; rather, everyone with a stake in the system needs to focus on solving the digital identity problem that underpins all digital services. We need to bring data and identity information back under the control of the citizen.
To solve this challenge, we must find ways to combine the prime factors of identity. These factors are the unique things we know, like shared secrets; the unique things we have, like verifiable chip cards or mobile devices; and the unique things we are, like our fingerprints or our face scans. By combining these factors, we can resolve identity and give organizations confidence that their clients are who they say they are.
Experience to date proves that single-factor methods are not up to the task. This means that trusted networks—ecosystems of trusted participants—are needed. All participants must be involved in the solution, including, and perhaps especially, the citizens, whose control over their own data and privacy will underpin its security. (1545)
Only by combining the best aspects of each system can we solve the digital identity problem and rebuild the trust that is equally required by both organizations and citizens. For example, governments are the initial issuers of individual identities, including birth registries, immigration documents, permits and licences. Governments also can link their records to a living person by issuing a driver's licence or passport. But governments are not as adept as the commercial sector at knowing if that person is actually at the other end of a given digital transaction. Banks, however, successfully conduct billions of authentications a year.
Compared to other organizations, citizens only rarely interact with governments during their lives. They may renew a licence or passport every five years or pay taxes online once a year, but they will log in to their bank accounts several times a week. This frequency generates a higher level of trust and immediacy to that interaction.
Then think about mobile devices, which are both identifiable within a cellular network and tied to subscriber accounts through the user's SIM card. All parts have something valuable to offer within a successful network.
Imagine a scenario where citizens can choose to share information securely within a network made up of organizations that they already trust. This gives the ability to use a layered approach to proving identity. The citizens would access the network using their trusted online banking credentials on a mobile device that the telecommunications operator can validate, all to share reliable information from multiple sources, including information from digitally enabled government issued documents. Using this layered approach, we get a significantly higher level of confidence in the identity of the person conducting the transaction.
The trick is how to do this without becoming a surveillance network or creating a new honey pot of data. We need to establish the basis for privacy and trust while minimizing the level of data sharing going on between the parties.
Triple blind privacy solves this challenge. The receiving organization does not need to know the actual issuer of the information, only that it comes from a trusted source. The issuer does not need to know who the receiving organization is. And the network operators are not exposed to the unprotected personal information. That's triple blind.
What this means is that none of the transaction participants actually gets a complete picture of the user transaction. This proven formula has been recognized by the privacy community worldwide, including by the office of Ontario's information and privacy commissioner.
This is not the distant future. All pieces are already in place to enable a system that has authoritative information, provides receivers of information with confidence in the transaction and allows the citizens to fully trust the system as they control their own data in a privacy-enhanced way. This type of arrangement is the cutting edge and is happening now.
With the information and resources we have, Canada has the opportunity to solve the digital identity challenge and become the model for the world. These include co-operative jurisdictions, technologically advanced telecommunications and world leadership in developing new approaches, such as privacy and security by design, developed by Dr. Ann Cavoukian, as well as the pan-Canadian trust framework that's championed by the Digital Identification and Authentication Council of Canada. We have the opportunity to build services that can provide identity validation claims from multiple parties in a single transaction while ensuring complete privacy and control for the citizen.
Key factors for any solution to be successful will be citizen acceptance and trust and the potential to reach a large user base quickly.
The responsibilities to protect privacy and to provide a sense of security to citizens are fundamental factors in the success of any solution. It is critical that Canada's approach connects together the trusted parts of the digital economy such as finance, telecommunications, government and commerce. Only this will provide citizens with the confidence they demand to use the providers they already trust and to have access to the information they want to securely share.
The cyber-risk around digital identity is high. Any solution that does not involve both private and public sectors will be of limited success. It will perpetrate the siloed approach that is currently under strain and will not have the security or public trust to enable the digital economy of tomorrow.
Thank you.
(1550)
[Translation]
The Vice-Chair (Mr. Charlie Angus):
We will start the round of questions.
Ms. Fortier, go ahead.
Mrs. Mona Fortier (Ottawa—Vanier, Lib.):
Thank you very much, Mr. Chair.
My thanks to the witnesses for being here. I see you have a higher level of expertise than I do. I am very pleased to see that you have the expertise that will allow us to go further in this study and accomplish what we want to do.
Mr. Anthony, your expertise is very important to the committee. You said it was important to go slowly, which is interesting. However, it is also important to go surely. That's my understanding.
Everything in society is moving very fast right now. There is some pressure to move faster to meet the digital service needs of Canadians.
How can we strike a balance to do things right? If we proceed slowly, which government services do you think we should put forward first?
(1555)
[English]
Mr. Matthew Anthony:
I'm afraid that's a very specific question without a very specific answer, which is how you balance a very complex, multi-variant challenge with a simple clear strategy.
When Rene Heller from the Max Plank Institute described an innovation trap, he said it doesn't matter when you might want to launch a spaceship for interstellar travel; it would always be better to wait because you'll always overtake yourself because of technological change.
We can also see that with regard wondering whether or not to buy a personal computer this month or next. That's the same kind of innovation trap.
We're faced with that in public policy as well, in making considered decisions on a case-by-case basis about what data we're comfortable with and whether we can comfortably control the necessary aspects of information security and privacy before we make the decision to move forward. You have to do the research continually, which is the go-slow part, to make an assessment about whether we're ready to go through to production, which is the move-fast part.
Go slowly until you're ready, and then move quickly when you are.
[Translation]
Mrs. Mona Fortier:
I understand. Thank you.
The second question I would like to ask the other three witnesses is about cybersecurity.
We know that things will evolve. How far do you think cybersecurity can go? Are there more effective and reliable innovative approaches that you would like to share with us and that we should consider?
Ms. Mclver or Mr. Boysen, do you want to go first?
Mr. Andre Boysen (Chief Information Officer, SecureKey Technologies Inc.):
Yes. Thank you for your question, Ms. Fortier.[English]
I would say that one of the tricks here is that cybersecurity and privacy is a very complex topic, and the challenge with the model today is that everybody in Canada has to understand how the system works in order for the security system to be effective. That to me is fundamentally bad design.
What I'd like to do is pick up on Matt's comments about Estonia. Estonia did an amazing thing for itself, but when it comes to digital ID, I'd say there are two key messages I want to deliver today. Message number one is that every government in the world wants their digital identity information to be sovereign. They don't want to be beholden to some foreign corporation beyond the reach of their jurisdiction. That's one challenge.
However, the bigger challenge is that identity is very cultural. What works in one country won't necessarily work in another. This is particularly acute in the example of Estonia. When it comes to national ID cards, I would say that there are only two types of countries in the world: the countries that have national ID cards, and the countries that hate national ID cards. I would say Canada, the U.S., the U.K., Australia, New Zealand and many parts of Europe are against this idea of a national ID card.
There are several reasons for this. Part of it is because of World War Two. We saw all of the harms that came from governments having these large databases. The government had no intent of harm when it created these systems, but when somebody came in after—the Germans—they created all sorts of unanticipated harms. We saw the danger of having all the data in one place. I would say that this, on balance, is a better scheme, but I'm not here to criticize what Estonia did. I think their model is very good, but they come from a different cultural place, and I think Matt made that point very well.
If we're going to do this right, then rather than looking at a country of a million, why don't we look at the biggest and most successful identity and authentication scheme in the world—the credit card scheme? We have six billion cards in circulation for payments around the world, and we don't see news breaking every week about a credit card being compromised here, or Starbucks having problems there, or users losing credit cards. We don't see that. Why is that?
The reason is that the global payment system is managed very differently from the online identity system we have today. As a consumer, I don't have to understand how the payment scheme works. I just have to know how to tap my card, and if I can do that, I'm good. When it comes to the cards, we've done two very clever things. One is that we made it super simple for the user—when I do this, I know I'm committing myself, so it's hard for a crook to trick me out of it. Moreover, I don't have to understand it. I know the barista can't change my $10 to $1,000 after I leave. That's the first thing that makes the global payment system safe.
The second thing that keeps the global payment system safe is that there's a trusted network operative in the middle. The crook can't pop up in the middle and say, “I'm a crook, I take Visa.” You have to apply to get into that network and you have to behave to stay in the network.
It's not the same as the Internet. On the Internet, it's very different. None of the banks in Canada send SMS messages to their customers for security. The reason is that they don't believe it's secure enough. The problem is that every other service does. Facebook does it, Apple does it, Netflix does it, Google does it. When my dad gets a message on his phone saying “Suspicious activity on your account. Please click on this URL: www.bmo.com.crookURL.com”, my dad doesn't know how a URL works, and he clicks on this thing, thinking it's going to go to BMO. Despite the fact that BMO has very good control—by the way, this is not about BMO, which has very good security controls in place—BMO's got a security breach on its hands because my dad didn't get what was going on.
So hiding the complexity from the user and having a trusted network operator is really important.
Now, I want to bring it back to something Rene said a second ago. The third thing that keeps the global payment system safe is user behaviour. When I lose my payment card, I will call the bank within minutes. I didn't call them up because I promised I would—I don't care about them, I care about me. I'm terrified that the crook who found my card is going to spend my money and I'm going to be responsible. That user behaviour, that self-interest, causes me to do the right thing and turn it off. That's what keeps the global payment system safe, which is very unlike the way we manage digital identity today.
So if we want to look to a model, rather than look at Estonia—though I do think that what they did is good for them—we should look at and learn from what we've done in Canada. We should look at our own experience here. Every other government in the world is looking at us and asking how we got this partner login service with all the banks in Canada. They all want that. Everyone else is looking here, and we're looking over there.
(1600)
The Vice-Chair (Mr. Charlie Angus):
Thank you.
Mr. Andre Boysen:
We have an amazing story to tell here. We need to build upon it rather than trying to reinvent.
Mrs. Mona Fortier:
Thank you.
The Vice-Chair (Mr. Charlie Angus):
Mr. Kent, I'm going to have to take one minute of her time off yours. Is that okay?
Hon. Peter Kent (Thornhill, CPC):
Collegiality prevails at this committee, so I would share my time if you feel it's necessary to do that.
The Vice-Chair (Mr. Charlie Angus):
Continue, continue.
Hon. Peter Kent:
Thank you all for coming in.
To pick up on that point, the Canadian Bankers Association is pursuing a digital ID program, but their CEO, in a speech in January, suggested that the banks could well play a central part in any national digital government network extension. How many levels of proprietary technology could eventually be involved and at what cost? Or would you suggest that after RFPs, after pilot projects, one digital technology vendor would be selected and run the entire show?
Mr. Andre Boysen:
No. In fact, I'd argue that would be a bad thing.
To go back to my example of the global payment scheme, when we look around the world, we see five to 10 global payment brands—Visa, Amex, Mastercard, Discover and others. The reason they all exist is that they all serve their constituencies in a slightly different way. Some are merchant-focused; some are more consumer-focused. Some try to do it all. They all exist because they serve in the right way.
What's good about that model is that all of us can make different choices about our favourite financial provider, and we're not stuck with that choice. If you start with one bank and you say, “I hate this bank. I want to go to another one,” you can, and you can continue on as you were.
I think having a single provider of this whole thing would be dangerous. We want to have an open scheme so that we can have multiple providers. That's quite important. And it has to be based on standards, not on proprietary, lock-in technology.
Hon. Peter Kent:
That would argue against the Estonian single-chip common card technology.
Mr. Andre Boysen:
To draw the difference on that, Estonia is trying to make sure other countries do what it did, so that they're not doing their own thing—which is smart. Otherwise, if the rest of the world goes in a different direction, they're going to have to change. That's why they're out there evangelizing—and doing a good job of it, I would say.
We have that same opportunity. The challenge for us is that if we did what Estonia did, just as an example, and the U.S. decided to go in a different direction, then we'd have to change. The opportunity for Canada is to get our own house in order, get our own economy working, and then we can make this an export standard and create a gold standard for the world, because everyone else will be looking here and saying, “This is really cool. We want this.”
That's our opportunity.
Hon. Peter Kent:
I think, Mr. Goldstein, it was you who suggested starting with a basic-scale pilot project. What size are you talking about? Would it be in one single government department?
Mr. Ira Goldstein:
I think we should look at the services that are already online and the capability that's already in the federal government. The Canadian Centre for Cyber Security was a huge step forward in bringing that capability together. There is immense capability there, even if Canadians are just now starting to learn about it publicly because of that announcement.
We should look at the government services that are already somewhat digitized, and look at how we can leverage those together to get better outcomes for citizens.
I agree with a lot of what everyone has said, but I think interacting with services outside of government may be step three or four. Step one is to enable the digitization of government services that currently aren't digital.
One of the other reasons people are so confident in the banking system is the deposit insurance. There is backing that tells me if money is lost with a financial institution, it's probably not going to come out of my pocket as long as I follow the rules of the game.
I reiterate that I think government has an important role to play as the arbiter of that identity. Let's look at what is already digitized within the government. CRA is an example; let's add to that. Let's go through the federal government services and see how we can bring those together and leverage the existing digitization.
(1605)
Hon. Peter Kent:
The website in Estonia tells us that 98% of their population have been issued digital ID cards. Given human nature in Canada—the reluctance, the skepticism, the cynicism, the fear of or opposition to digital ID—would you suggest making it optional in any pilot project?
Mr. Ira Goldstein:
When I say “pilot”, I mean more that the capability should be piloted, but it should be available to all Canadians. I don't think it should be necessarily a pilot group, or one province or group. The capability should be piloted to a specific-use case. With the CRA example, you could just continue to expand it.
I'm not worried about the government having information about me as a citizen that they already have. Look back to the StatsCan example. The reason there was public outrage was that people said, “Hmm, the government doesn't have this information today. Now they want it. This is outrageous.” Had we said—
Hon. Peter Kent:
It was also the lack of consent.
Mr. Ira Goldstein:
But if the information is anonymized, where is that consent?
If we had said we're embracing open data and we want certain aggregated, anonymized information to make the provision of services cheaper, better and more focused, a lot of people would have been really excited about it. Canadians are progressive with that mindset of moving to digital. It's almost more about how you do it than about what you do.
To Matt's point about treading lightly, you need to go slowly with it in that way, plan your communications carefully, but I think we all firmly believe that Canadians are ready for this. It's just a question of execution.
Hon. Peter Kent:
Okay.
I have a chicken and egg question. The EU has brought in the general data protection regulation, or GDPR. There have been suggestions that Canada is far behind with regard to the protection of privacy, which has now been enabled—perhaps over-enabled or overprotected in some aspects—in Europe. Before digital government is implemented in Canada, would you suggest the writing of regulations similar to the privacy protections and guarantees of the GDPR?
Mr. Ira Goldstein:
That's a big question.
I think Canadian privacy legislation is not something we should just say is insufficient. There are some good privacy frameworks here. It's a question of what are those definitions? What is “real risk of significant harm”? What does that mean to a company like the companies we help, who are trying to determine what they should tell the government when there is a security or privacy breach?
We need to make it more practical for companies and individuals to abide by these frameworks. I'm not saying that we should go all the way to GDPR. I'm sure we all have varying opinions on GDPR. Matt is shaking, now.
The reason people are abiding by GDPR is that there are financial fines behind it, and that's why there are a lot of—
Hon. Peter Kent:
Absolutely.
Mr. Ira Goldstein:
—consultants making a lot of money on it, and all of that.
We shouldn't go all the way in that direction, but we need to make it easier for Canadian business to consume that type of regulation in Canada. We need to keep that strong privacy framework, but make it easier for businesses to consume.
Mr. Matthew Anthony:
Could I just elaborate for a second on Ira's comment and respond to your question on whether we should we go all the way to a GDPR-type answer?
The answer is yes. I think the global push towards having governments protect citizens, balanced with citizens maybe becoming less interested in privacy on an individual point level, raises the interest of government to protect citizenship collectively.
But what Ira said is really important and I tried to address it tangentially as well, which is making the expectations really clear about how to handle and manage data so that people understand what they are expected to do and how they're expected to do it before you start pushing stuff to the online realm. That is really very useful.
I can't tell you whether or not we need to make a change to our regulations, policies and practices, but at the very least making those transparent and easier, so that—
The Vice-Chair (Mr. Charlie Angus):
Thank you very much.
I'll now speak for seven minute. Just to be fair, I will put the gavel beside the clerk and if I go over the time, he will hit me with it.
I find this fascinating, and Mr. Anthony seemed to tread lightly. I find that very surprising.
I used to be a digital believer, and in the digital believing world things were going to be better, we were going to move faster. The longer I am in this job, the more wary I get. I think “tread lightly” is a very interesting example.
I just want to talk a bit about my sense of how Canadians see privacy and digital innovation. I was talking with tech people in the U.S. and they were marvelling about and saying that we really take this stuff seriously.
We had a serious digital copyright battle that involved citizens and letter writing campaigns. The net-throttling issue was a big issue. It was Canada that did the first investigation of Facebook, but at the same time, as Mr. Boysen has pointed out, people here hate identity cards. I think of my voters and they would be up in arms over this.
We look at Statistics Canada as a good example of how not to do this. Statistics Canada has a worldwide reputation and the trust of Canadians. They thought they were doing something in the public interest, but it struck Canadians the wrong way.
What would your advice be to a government that may think that gathering more information is in the best interest? You talked about the danger of the opportunities they say will emerge from increased efficiencies from mining, aggregating and sharing data, but you're saying that we need to require evidence to show that. What are the parameters we need to be looking at on this?
(1610)
Mr. Matthew Anthony:
There is a lot bundled into that question—
The Vice-Chair (Mr. Charlie Angus):
Yes.
Mr. Matthew Anthony:
—and I'll try to set it out.
Firstly, I'll say that when you collect data, it's an addictive process. It's easy to do. You collect large amounts of data and you can't lose what you don't have. When I say “go slowly”, I want to reiterate that I see people on their worst days very often dealing with breach management. I see the outcome and aspects of the failure to do the things that I am advising to do.
How to balance out the issues of what data to collect, why you're collecting it, making sure that there is consent for its use are the real keys to answering your question, I think.
When we have historical data, consent to use might be very difficult to derive. I can't tell you what consent I gave to the data I gave to the federal government five years ago. I don't remember and can't tell you. I don't remember signing anything away. It was probably in the fine print. You can make a studied case that I did somehow give you, the government, my consent to do that, but if I didn't have clarity about that, if it weren't communicated correctly to me, then I am going to be very unhappy with you when you use the data exactly the way you said you might.
I think that communication and clear consent is probably at the centre of the Statistics Canada case in particular. But I would say, don't collect data you don't need, and be very clear about how you're going to use it and get clear consent for how you're going to use it if it's personal information.
The Vice-Chair (Mr. Charlie Angus):
Thank you.
Mr. Boysen, I was interested in what you were talking about with the example of the banks. If I don't like the banks.... Actually, I go to my credit union, the Caisse populaire—
Mr. Andre Boysen:
It's part of the service.
Some hon. members: Oh, oh!
The Vice-Chair (Mr. Charlie Angus):
—and I have good service, and if I have a problem, they call me right away and we deal with that.
Our committee has spent a lot of time looking at how we access online. We don't have choice. This is what we found with Facebook, and this is what we're finding with Google. We've begun to talk about the issue of antitrust, which is not generally in the realm of our committee, but for the rights of citizens and protecting data.... I mean, if you have a problem with Facebook, what are you going to do? You can't do anything. You can't go to WhatsApp, because it's controlled by them. They control all the other avenues.
In terms of overall public policy, do you feel that the issue of having not enough choice in how we engage online and in how our private information is collected and used by the data-opolies has a negative effect overall on where we're moving?
Mr. Andre Boysen:
Yes. The short answer is, yes, it's a problem.
I think we have to think about this in a very different way.
The challenge we have today with the architecture of the Internet is that every web service delivery organization is on its own when it comes to registering customers online. We can see what that's produced for all of us in the room. Some of us have ten passwords, some of us have 25, some of us have 100. Some of us have 100 but it's really just one, because it's all the same password.
So what we see in this model is that when everybody is by themselves, the only way we can have confidence that someone is really who they say they are is by having a very thorough enrolment process. This is particularly acute in government because your duty of care is so high. The consequence is that oftentimes the customer can't get through this process, and when they do, the problem is that you have all of the data. So when you get breached, you have to remediate all of the data.
We only have this problem online. In person, it's not as much of a problem. In person, we already collaborate and co-operate when it comes to identity. When I want to get a bank account, I bring in a government-issued ID and something from somewhere else and I can get a bank account. When I want to prove I've lived in Ontario for six months, I bring my bank statements to show I've been living at that address for that long. We already co-operate in the real world in doing these identity services. It's only online where we have this challenge.
So one of the things I would put to you is that one of the things you should be thinking about is not merely solving this from the government point of view but thinking from an economy point of view. The challenge, and one of the reasons the banks are here and they want to be in on the scheme, is that from a banking point of view, this is not that interesting from a revenue point of view. They want to be able to open bank accounts online and they want to take the risk problem down. The challenge they have is that they can't verify that the driver's licence is real. What the crooks do is to take a real driver's licence like mine, scratch my photo out, stick their photo in it and go get a line of credit; and they're defenceless against that type of attack.
What the banks want the government to do is to get its house in order and to make all government-issued documents ready to participate in the digital economy.
Back in 2008, Minister Flaherty put together a task force here in Canada to talk about how we were going to make digital payments work. That task force ran for about two years. I participated in it and the report that was produced by Pat Meredith—who did a very good job of running the task force—said that you can't have a digital economy and can't do digital payments without having digital identity.
With digital identity, the point is that it has to work across the economy. It's not about solving health care. It's not about solving the CRA's problem. It's about solving it for the consumer across the economy, because when you look at your own life, the counter is that you have to show up with your driver's licence to get the thing you want, and that takes a long time.
(1615)
The Vice-Chair (Mr. Charlie Angus):
I have to stop you there so that I can end five seconds short of my time, just to put that on the record.
Some hon. members: Oh, oh!
The Vice-Chair (Mr. Charlie Angus): Mr. Saini.
Mr. Raj Saini (Kitchener Centre, Lib.):
Thank you very much for your presentation.
I want to get some clarity, because you mentioned that there's an issue whenever we have a national identity card. But I would say to you that we already have subnational identity cards. We have a driver's licence; we have a passport; we have a social insurance number.
Mr. Andre Boysen:
Yes.
Mr. Raj Saini:
In Ontario I have an OHIP card. We might not have one number that's ubiquitous across the whole system, but we have cards underneath.
Mr. Andre Boysen:
Yes.
Mr. Raj Saini:
With regard to the Estonian model, I agree with you. I think the reason we use that or the reason we started with that is that Estonia is one of the countries that are more advanced than are maybe some others.
Mr. Andre Boysen:
Yes.
Mr. Raj Saini:
But as you said—and I agree with you wholeheartedly—or I think Mr. Anthony said, the population of Estonia is 1.3 million. They had a lot of greenfields. They had no legacy systems from the previous regime that they had under Russia. They have four million square hectares of land, half of which is forest. So they don't have any problems compared to what we have.
However, eventually, we will have to move to some sort of digital identifier. I'm asking you this question, Mr. Boysen, because I know your company. I'm looking at a March 2017 press release. In that press release, you wrote that IBM and SecureKey were working together to enable a new digital identity and attribute-sharing network based on IBM blockchain.
I really don't know what that means—
Some hon. members: Oh, oh!
Mr. Raj Saini:—but it sounded good. The reason I mention this is that blockchain would be one of those processes we could look at to see if there's any deviation. You mentioned credit cards. I'm a retailer, a pharmacist, so I know how difficult it was even to get credit card machines in my store, because of all the knowledge, all the paperwork and everything that had to be sent to them. Could blockchain, that technology.... Maybe you can highlight, now that you've been working with IBM for a year, how that has come forward. Could the government not adapt that?
Mr. Andre Boysen:
The short answer is yes. The scheme we're proposing actually sees the government, at both the federal and the provincial level, being a key participant in the scheme. You're required to make it more successful. It could run without you, but it would be way more successful if you participate.
However, your point is right that we already have these documents that we use. We use the documents we have to get the things we want. That's how the current model works. We use the stuff we have to get the new service that we don't yet have and we want.
That's the way the real world works. It's only online where we have this problem because the documents aren't digitize. One of the asks is actually to digitize the government documents so it can participate in the scheme with the banks, the telcos, health care, insurance and the rest of them.
To get to your question about blockchain, there are a couple of things I hear. The first thing I would say is that the best way to be successful with blockchain is not to talk about blockchain, because the problem is that it is very laden. There are a lot of different ideas about what it is and what it isn't.
Secondly about blockchain, one of the things I would bring on is the privacy component. One of the properties and benefits of blockchain is that it's immutable; it will never change. The challenge is that when you put that together with the GDPR, with my right to be forgotten, if I sign up for your service and then say “I want you to forget me”, the only way to honour my agreement is to blow up your blockchain.
Putting personal information on blockchain is a really bad idea. This is standard industry wisdom now. However, what it is good for is integrity proofs.
I want to go back to the credit card example I gave you a few minutes ago. The challenge is, Raj, if I know enough about you today, I can be you on the Internet. The organization that I'm trying to fool is defenceless, because I have all your data. I got it from the dark web.
We don't have that problem in the credit card scheme. There are two types of payments in the credit card scheme. When I go to the store and I pay in person, the risk of fraud is almost zero for the reasons I outlined earlier. However, when I go online and buy something at Amazon, Amazon didn't get to see my credit card, so that transaction is riskier. It's called “card not present”. Today, all e-commerce is “card not present”. It's riskier.
Here's the thing: All identity today is “card not present”. We have no idea if these assertions that are being presented to us at the counter are real.
(1620)
Mr. Raj Saini:
So—
Mr. Andre Boysen:
Sorry. I'm just going to answer your blockchain question.
What we're using blockchain for is integrity proofs. We use it as a method to implement triple blinds so the issuer of the data can demonstrate that they wrote the data and that's the same data that they gave to the user to present. The receiver can get the data and know that it hasn't been altered. Then the consumer can have confidence that we're not oversharing data. That's what blockchain is being used for.
Mr. Raj Saini:
Thank you for that point. I appreciate that.
My second point is that the one benefit that Estonia has is that it has a unitary level of government.
Here in Canada, in the region I come from, southwestern Ontario, there are actually four levels of government, because we have a regional government. Now you have the federal government that is a repository of certain information; you have the provincial government that's a repository of certain information; you have a regional government that does the policing and other things, which is another repository of information; and all my property tax and everything is in another level of government, municipal government.
Mr. Andre Boysen:
As well, you need user IDs and passwords for all of them.
Mr. Raj Saini:
That's fine.
The thing is, though, when you look at taxation or at health, if I have to prove something, I might have to acquire information from different levels of government.
How do you get the interoperability?
It's not just one level of government. You can start off at the federal government level, but eventually, if this is going to work, you should have access to all the information that's reposed, deposited or held through the different levels of government.
Mr. Andre Boysen:
I'm going to comment, and then Rene is going to add something.
The truth is, the way the world works today, every service makes its own rules. The organizations that you just listed all make their own rules. They want to keep that property. They want to force everybody to do the same thing, because they want to make their own business decisions.
However, what's important, as you said, is that when you talk to the driver's licence folks in Canada, they will tell you that the driver's licence is not an identity document. It just proves that you learned how to drive, yet you cannot sign up for any online service without your driver's licence. It's not an identity card; it just gets used that way.
The Vice-Chair (Mr. Charlie Angus):
You have one minute left.
Mr. Andre Boysen:
The important thing here is making sure that we can get a scheme that works for consumers across the economy.
I want to get Rene in, so I will just stop there.
Ms. Rene McIver:
Briefly, the expectation for this service is that all of these departments and authoritative sources of information participate in this ecosystem so that when I as a user need to share information from these multiple sources, I can do that through the service with no expectation that the service is collecting any of that information to now create this new centralized honeypot that becomes another centre of attack.
The authority of the information is where the information stays.
Mr. Raj Saini:
How much time do I have, 20 or 30 seconds?
The Vice-Chair (Mr. Charlie Angus):
You have 15 seconds, but I'm being nice tonight.
Mr. Raj Saini:
Okay.
I agree with you on that point. The one thing I like about the Estonian model is the fact that they have an X-Road system, where you have silos of information along the route. I don't know whether that's safe or not in terms of technology. I would never suggest that information be held in one place where it could be attacked, but I think that's what Estonia did. They have this X-Road that everything diffuses into.
Maybe you could comment. Is that scheme the same?
Mr. Andre Boysen:
The scheme is the same.
Mr. Raj Saini:
Okay.
The Vice-Chair (Mr. Charlie Angus):
Thank you.
Ms. Rene McIver:
Sure.
[Translation]
The Vice-Chair (Mr. Charlie Angus):
We'll continue with Mr. Gourde for five minutes.
Mr. Jacques Gourde (Lévis—Lotbinière, CPC):
Thank you, Mr. Chair.
My thanks to the witnesses for being here this afternoon.
The unique digital identifier seems to be a way forward. However, I liked Mr. Anthony's rather moderate position that you have to take the time to do things right, for a number of reasons. First, we already have a digital service infrastructure available to Canadians, unlike Estonia, which started from scratch and went all the way to the unique digital identifier. However, the baby should not be thrown out with the bathwater.
We have already invested a lot of money to build digital infrastructures. Will we have to drop them and gradually replace them with the unique identifier, or will we be able to recover the base of the existing infrastructure? If we have to start from scratch, we will have to spend billions of dollars. Do you have any idea how challenging it is to provide this service to all Canadians across the country?
My questions are for everyone. I'm not sure who wants to answer first.
(1625)
[English]
Mr. Matthew Anthony:
I wouldn't mind answering that question, or at least contributing to the answer to that question. I don't have an opinion about whether it's a private sector or a public sector function to create that single digital identifier. I do know that, when I hear concepts that I'm going to use my bank or perhaps some other identifier, I have to understand that better. I do tend to trust that our public institutions maybe have more information that's more trusted, and might look at that. The scale, though, is immense.
I would start in the federal government at least looking at all of the different identifiers you have now and picking places where you could integrate and create a single authentication system that would allow high-fidelity identification for transactions that are happening within and around the government services. I would start there before I looked outside.
The scale is enormous, and I can't help but hear Andre's comments about how we have a good identifier physically and the problem only exists online. I would argue that our very weak tower of identifiers aggregating into a passport or a driver's licence document are not actually strong authentications. There's very little proof today that I am who I say I am. I am, but there's very little proof of that.
Mr. Andre Boysen:
I just want to add to that by saying that it's not about having a single identifier; it's about having confidence about who's on the other side of the transaction. I have today already in my real life, both online and in person, lots of identifiers, and what's good about that is it allows me to segment and compartmentalize my life so that I can only share this much information with this organization and this much information over there.
A single identifier will allow somebody to see everywhere that I've gone across the Internet. The service that we have with the Government of Canada is that the thing you originally asked for was a service that had a single identifier. You wanted an MBUN service, a meaningless but unique number that I could use across government, and when we looked at this we said this is a terrible idea because you're going to create a surveillance network. You're going to be able to see everywhere: they went to the beer store, the doctor, the beer store, the doctor, the tax department. You could have followed me everywhere. I don't want this thing. We designed triple-blind privacy to solve that problem. It's not about getting to a single identifier. In government, the service we built actually gives you a plurality of identifiers.
When I go to each government department, I have a unique identifier that I only use there and that's a better scheme because my relationship is contextual. I don't have a global view of my data. I have very contextualized, compartmentalized view of my life and I want it to stay that way. I don't want a big honey pot somewhere. Giving people the tools and the capabilities to do this is important.
I just want to pick up on Mr. Anthony's comments for a moment, though. The passport is not an authentication document. We use it for identity to prove that you're in the government's book of names. Let me just share something that's really important when you get to identity. When you are asking who somebody is, you're asking two questions that have to be answered at the same time. The first question is: Does such a person named Andre Boysen exist? The government, without dispute, is the author of that record and has domain over that record.
The second question has to be answered concurrently: Is he Andre Boysen? If you can't answer those two questions at the same time, you can't do a good job. Awesome authentication that's really strong but you don't know who it is, it's not that helpful. You have to be able to bind it to who did it. If you can combine it with self-interest, then the users will do the right thing when they lose access to the credential, which means the crook gets shut down. An identity is three components and they need to be kept separate.
The Vice-Chair (Mr. Charlie Angus):
Thank you.
Mr. Andre Boysen:
The first part is the identity question: who are you? The second question is authentication: are you the person who showed up the first time? The third thing is authorization: what can I do inside your service?
That third domain is mostly what you've been talking about today. The first two questions are what we're arguing: it should be both a public and private service across the economy. We need all of these organizations to participate.
The Vice-Chair (Mr. Charlie Angus):
All right, thank you.
I'm going to turn it over to Mr. Graham.
Mr. David de Burgh Graham (Laurentides—Labelle, Lib.):
It was a good answer.
The Vice-Chair (Mr. Charlie Angus):
Yes, it was a good answer. That's why I've been so reasonable.
Mr. David de Burgh Graham:
That's fair.
I don't have a lot of time, so I'll ask you to use...I'll call it “lossy compression” on your answers.
Voices: Oh, oh!
Mr. David de Burgh Graham: In the digital world, is there privacy without security?
(1630)
Mr. Matthew Anthony:
Yes.
Mr. David de Burgh Graham:
There is privacy without security.
Mr. Matthew Anthony:
Well it depends on how you think about that question. It deals with access, so a record can be kept private. You can talk about making it secure, but you don't.... It's a complicated question.
Ultimately, every aspect of privacy is expressed as a security control of some type. I think academically the answer is yes, but practically, no.
Mr. Ira Goldstein:
I think if you flip that around and say that you can have security with varying levels of privacy, it's more aligned to what we're talking about here.
The reason that companies driven by advertising revenue are so popular is that it allows them to be better at the provision of services or selling you more things. The government should take a page from that book—with respect, obviously, to citizens' privacy—to say that the future of government is going to be a more directed and precise provision of services, and that can be secured at the level of privacy that the citizen is willing to participate in.
If we give citizens a trade-off to say that can do much more with government with the existing information we have if we can derive analysis from that, like the private sector does, and ask whether they are in, I think the overall answer from Canadians is going to be yes, if they understand what we're talking about here.
Mr. David de Burgh Graham:
Okay.
Mr. Anthony, when you started answering the first question from Ms. Fortier, you had trouble hearing because the microphone was on and therefore your speaker was off. It was causing a problem. It ties to a point that I want to make about non-intuitive interfaces and that the biggest problem we have in security is the user. I checked and it's not on the record, and perhaps it should be.
Who is Kevin Mitnick, and could we talk a bit about that?
Mr. Matthew Anthony:
Do you want to talk about Kevin Mitnick?
Mr. David de Burgh Graham:
I think it's a really important point. He hacked a massive number of systems. He wasn't really using a computer to do it; he was using social engineering.
Mr. Matthew Anthony:
Yes. In the industry sometimes, we don't like to talk about Kevin Mitnick being a hacker. He was a social engineer at heart, which meant he was working human and offline systems to get information, and then replaying that into trust relationships with other people and to some extent other computer systems. He got famous. He went to jail. He's now making a career from getting famous and going to jail.
When we look at the entirety of accessing computer information systems and stored data, if you're attacking that, you're going to naturally use the least effort. The least effort is almost always people. So it's not enough just to secure the technologies, you also have to help secure the people.
Mr. David de Burgh Graham:
That's fair.
Yes?
Ms. Rene McIver:
Sorry, I just want to add that we have to get to a point where we make the data almost useless. What is important is the validation that comes with the data. Therefore, if there is an attack—a social engineering attack or otherwise—where the data is collected by the attackers and somehow attempted to be invoked into the system, it's rejected because it's not coming from a validated source.
We want to make our personal information, on its own, useless. Give it to the attackers. Fine. They can't do anything with it it because they can't validate it properly.
Mr. David de Burgh Graham:
That's fair.
Mr. Andre Boysen:
That's the card-present identity idea. The only person who could have done this is somebody who had something that belonged to the real user, and the real user will turn it off when they lose it.
That's where trust and integrity will come from.
Mr. David de Burgh Graham:
Another weakness I see is that when you're processing encrypted data, at some point you have to decrypt data to figure out what you're doing with it.
Is there any way around that? Can we process data without decrypting it? I know the EFF has worked on it a bit, but I don't know if there's been an answer to that.
Ms. Rene McIver:
I think there are a couple of things there. It depends on who the “we” are.
In the service where there's an identity network, the network never needs to see the protected information, right? Sure, it has to send it. It has to hold it temporarily until the receiver of the information picks it up, but the network doesn't need to see the personal information. So, yes, you can process data without having to decrypt it.
Really, the encryption happens at the provider. The receiver of the information should decrypt it.
The other thing is about data minimization. We also need to get to a point where I'm not sending my birthdate to say how old I am or that I'm the age of majority; I'm sending a validated, “Yes, this person is over 19.”
Those two things together can add the security we need from a data-minimizing point and reducing the exposure of personal information.
Mr. David de Burgh Graham:
I want to—
What's that you're telling me?
The Vice-Chair (Mr. Charlie Angus):
Five minutes.
Mr. David de Burgh Graham:
Is time up?
The Vice-Chair (Mr. Charlie Angus):
Yes. Is that okay? You're doing so well.
Mr. David de Burgh Graham:
I have at least five more minutes.
The Vice-Chair (Mr. Charlie Angus):
I know you do, but I have to give them to Mr. Kent.
Hon. Peter Kent:
It's always a hard reality.
Mr. Boysen, I'll come back to your point. The NEXUS card uses biometrics, not at every occasion, but there's a place.... And sometimes the Canadian passport does; we're using the iris or the fingerprint. Is that the sort of double perfect-positive identification that you're talking about?
(1635)
Mr. Andre Boysen:
Yes. What I liked about the NEXUS card is it gave consumers choice. If you told Canadians they had to get a retina scan to get a passport, there would be outrage.
Hon. Peter Kent:
Yes.
Mr. Andre Boysen:
However, when you gave people a choice, saying, “If you want to get through the airport faster, submit your biometrics and you can get through faster”, lots of people made that choice. By providing choice it was accepted.
I would also say your own GC login service, the partner login service, also gave choice. You did not compel Canadians to use the bank account to get to CRA if they didn't want to. They could still use a government-issued user ID and password. By giving choice, that gave comfort. You're not compelling me, so I'll try it out and see what happens. That choice element is a key component to getting the adoption of schemes like this.
Hon. Peter Kent:
The iris identification technology in the NEXUS card, which has to be purchased, would seem to be a huge mountain for the government, for the finance minister and his budget, to climb.
Mr. Andre Boysen:
I would argue that's not really a good thing for online service delivery. It feels heavy-handed to do a retina scan if I'm trying to vote. I would argue that each of these things needs to be used.... We need to look at the spectrum of services and then the level of assurance. Not all of these things are in the same kind of category.
For low-level assurance services, we don't need as much trust, so getting to that higher level is not as important. What's also important about the retina scan and the NEXUS card is that it's done in a controlled environment. I have to go to a controlled kiosk with people watching me so they can see if I'm tampering with the machine or mucking about with the card. It's that controlled environment that gives them the confidence to do it that way. You couldn't do a retina scan from home, as an example, with any kind of confidence, because it could be a replay attack.
Hon. Peter Kent:
Yet.
Mr. Andre Boysen: Yet.
Mr. Ira Goldstein:
Yet maybe you can if we're trying to learn from the private sector and look at one of the more elegant authentication methods that exist today. On a smartphone, it's made biometrics and now face ID just ubiquitous. It is heavy-handed to do a scan of your face every time you want to unlock your phone, but do you know what? Now that's the reality, people don't seem to mind it because the technology is so good that they want access to it and it's easy for them.
I think we need to take a page out of that book. There are ways in which authentication is being handled today where they're doing a biometric every time you want to open your phone. And it's not a new system, but an existing system that's in place today.
Mr. Andre Boysen:
Just to clarify, on-device biometrics is a good idea. Trying to register my biometrics everywhere is a bad idea. That's the point I was trying to make.
Hon. Peter Kent:
Toronto hospitals, the hospital networks, have been trying for more than a decade.... The Ontario government's been encouraging them to have an online exchange of medical information for all sorts of reasons—emergency room access and so forth.
Have either of your companies worked with the hospital networks, with doctors' offices to try to come up with a safe system?
Mr. Andre Boysen:
Yes, we have a pilot going on with UHN right now. One of the challenges...and I've actually done a TEDx talk on health care and identity, because as a country, the biggest need for digital identity is in health care. We need to solve this problem because we can't continue to have health care consume the whole budget.
We are doing pilots now. One of the critical elements in getting this right in health care is that a “health care only” bespoke solution won't work, because most of the population uses the health care system very infrequently, which means they're going to forget the damn password; and then the balance of the population are very heavy users of the scheme and they're always in there in person anyway.
We need a mechanism to access services online that will work for everyday Canadians. We saw how successful the government service was for CRA. We think that model can be extended to other public and private sector services.
The Vice-Chair (Mr. Charlie Angus):
This is the final round.
Mr. Saini is beginning.
Mr. Raj Saini:
I have one quick question. If you can't completely answer today, could you give written answers? I would appreciate that.
We keep talking about Estonia, but I know there are other countries that have begun the process. If you could give us a list of those countries or the countries you would suggest we study, and maybe some relevant reading material, we could include that in our understanding.
Second of all, this is something that fascinates me because coming from the private sector and owning a pharmacy, my technology was always cutting edge. Whatever was the newest, I had to keep up with. Now, you will have a NEXUS point eventually going forward where the private sector is going to interact with the public sector in exchanging information.
How do we keep the technology relevant, because the private sector is always going to be ahead? The public sector comes behind. You might get the policy directive right, you might get the understanding right, you can solve the issues with privacy, but eventually technology is going to be the key because one will always be out of step with the other. If this is really going to work, how do we solve that problem?
Mr. Andre Boysen:
I want to pick up on Matthew's earlier comment about how you've got to go slow and then go fast when you can.
When you compare the Internet and the payment card system, what's interesting is that the way we pay for stuff has barely changed at all in 70 years. It started with a paper card and then we went to a plastic card. Then we had two problems, transaction speed and fraud, so we moved to a mag stripe. Then the crooks figured out how to do the mag stripe, and so we moved to a chip card. Since we've gone to chip card, in-person fraud has gone to zero, but we have this online problem, so now we're putting it in the phone.
What's important is that the way users pay for stuff across the globe has barely changed at all in 70 years. On the Internet, it's changing every single week. Users can't keep up.
(1640)
Mr. David de Burgh Graham:
You were talking a moment ago about face identification for logging in.
If your biometrics are compromised, what can you do about it? An example of that is the famous hacking of Angela Merkel's fingerprints by somebody who had a photograph of her.
Mr. Ira Goldstein:
I would refer back to my depository insurance comment to say that, if we're actually going to roll out biometric authentication for government services, there has to be that buffer zone where citizens believe that if there were some compromise, there's a way to fix it.
How do you get new biometrics? I don't have a good answer for that. Maybe Matt does.
Mr. Matthew Anthony:
I will say that it's become increasingly difficult to fake a biometric, as the technology for sensors has improved. Therefore, as we move away from a thumbprint to a face print to—we're looking now at vein pattern recognition on some new phone systems.... We've had palm print technologies for a long time. It is always perhaps possible to spoof those. Any problem can be solved with enough money and technology. They can be spoofed, but they can't perhaps be overtaken, unless you don't register them yourself.
If you have your phone and don't ever register anything except a four-digit PIN and then somebody comes along and puts their thumbprint in, it's in there. That's on you, not them. The ability to actively impersonate somebody with a biometric, unless it hasn't been registered to you in the first place, is getting to the level of practical impossibility. Fifteen years ago, I could fake a fingerprint and replay it fairly easily. I can't do that anymore.
Mr. David de Burgh Graham:
That's fair.
Ms. Rene McIver:
It really is about the way it's inputted into the system, again. I worked on biometric standards for about 10 years actually and it was interesting. There was always discussion about the input into the system and taking a fingerprint and putting the fingerprint in. There was always a discussion about liveness detection, but really, your input system should have a means to identify whether or not it's a live biometric. Liveness is really about a biometric, so it is increasingly complex to figure out how to accurately get the information in that isn't spoofed. It's not just a static fingerprint.
You see it in some of the face recognition algorithms. The input is that there's actually a request for you to do different things, like smile, turn your head, look down or close your eyes. There are increasingly harder ways to actually get the input.
Mr. Matthew Anthony:
To amplify that, I would just like to say that if the level of access that you need requires you to go to those lengths, I guarantee you there are easier ways to get your data.
Mr. David de Burgh Graham:
Fair enough.
Mr. Andre Boysen:
I don't want to take your time, but I just want to say that with biometrics, don't think of it with silver bullet thinking, believing that you're going to solve it with biometrics. Rather, it's about the use of biometrics with what you have and what you don't have.
The Vice-Chair (Mr. Charlie Angus):
Thank you very much.
I have a deep feeling that my colleague Mr. Graham would like to filibuster if he could, because he's really got a lot to say. I would normally like to continue, but we do have an agreement on Thursdays that for people who are going to head out for flights, we end after this round.
I want to thank you very much. This has been a fascinating discussion with really excellent information. If you have things that you think we should be looking at, or if you're checking our testimony in that regard, certainly feel free to write our committee because we will be preparing a report.
Go ahead, Mr. Saini.
Mr. Raj Saini:
Just to all four of you, I mentioned the one specific issue about the countries, but if there's any other information that any of you think we need, we'd be deeply grateful if you could pass it on in a submission to give us the opportunity to expand our own thinking on this topic.
Mr. Andre Boysen:
We'll share some information for sure.
Thank you for having us.
The Vice-Chair (Mr. Charlie Angus):
The meeting is adjourned.
|
Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique
(1530)
[Traduction]
Le vice-président (M. Charlie Angus (Timmins—Baie James, NPD)):
Bonjour. Nous allons commencer.[Français]
Je voudrais d'abord faire une annonce. Il y a eu une révolution et je suis le nouveau capitaine de ce comité. Les anarchistes sont arrivés.
Un député: Temporairement.[Traduction]
Le vice-président (M. Charlie Angus): Bienvenue, mes amis, au Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique. Il s'agit de la réunion 139, conformément à l'article 108(3)h)(vii) du Règlement, pour l'étude sur la protection des données personnelles dans les services gouvernementaux numériques.
Aujourd'hui, nous recevons deux groupes de témoins. Nous avons, du Herjavec Group, Matthew Anthony, vice-président, Cas d'incident et analyse des menaces, et Ira Goldstein, vice-président directeur, Expansion de l'entreprise. Nous avons également, de SecureKey Technologies Inc., Andre Boysen, dirigeant principal de l'information, et Rene McIver, chef de la sécurité.
Chaque groupe aura 10 minutes pour présenter son exposé. Nous sommes raisonnables, mais quand vous approcherez des 10 minutes, je commencerai à m'agiter bruyamment, non pas pour vous distraire, mais pour que vous le sachiez. Ensuite, nous aurons notre première série de questions de sept minutes, puis une série de cinq minutes.
Le Herjavec Group est-il prêt à commencer?
M. Ira Goldstein (vice-président directeur, Expansion de l'entreprise, Herjavec Group):
Bonjour. Je remercie le président, les vice-présidents et les membres du Comité de nous donner l'occasion de nous exprimer aujourd'hui.
Je m'appelle Ira Goldstein. Je suis vice-président directeur à l'Expansion de l'entreprise du Herjavec Group. Je travaille depuis 10 ans dans la sécurité de l'information afin d'aider les entreprises et les gouvernements à sécuriser leurs actifs numériques les plus précieux.
Je suis accompagné de Matt Anthony, vice-président chargé des mesures correctives en matière de sécurité dans notre groupe, qui s'exprimera après moi.
Le Herjavec Group a été fondé en 2003 par Robert Herjavec, qui a immigré au Canada avec ses parents d'Europe de l'Est. M. Herjavec, entrepreneur dynamique, a fait du Herjavec Group une des plus grandes sociétés privées du monde dans le domaine de la cybersécurité. Nous travaillons avec des organisations des secteurs public et privé dans des environnements multi-technologies complexes afin de garantir la sécurité et la confidentialité de leurs données.
C'est un honneur pour nous de témoigner devant le Comité aujourd'hui au nom de M. Herjavec, du Herjavec Group et de nos concitoyens.
Notre exposé portera sur deux sujets liés à l'étude du Comité. J'expliquerai d'abord que l'identité numérique est un élément essentiel de la transformation des services gouvernementaux. Ensuite, je présenterai les étapes de la gestion et de la sécurisation de nos identités numériques.
Je recommande au gouvernement de procéder avec circonspection sur la voie de la transformation plus générale afin de s'assurer que la protection des données personnelles et la sécurité viennent en tête des priorités. Parallèlement, le gouvernement devrait mettre sur pied sans tarder un projet pilote afin d'élargir le succès existant de la présence numérique du Canada.
Les services gouvernementaux numériques doivent reposer sur une bonne gestion des identités. Si leur identité doit être numérisée et gérée par le gouvernement, les citoyens s'attendent à un système qui garantisse la sécurité et la protection des renseignements personnels. Nous partons du principe que l'émetteur, notre gouvernement fédéral, protège les attributs de notre identité. Dans tout système, physique ou numérique, la fraude est un risque qui doit être atténué par une évaluation efficace et continue.
Ces concepts ne sont pas loin de se réaliser. Quand un enfant naît ou qu'un nouvel immigrant arrive, il est possible de demander des pièces d'identité en ligne. Ensuite, des objets physiques sont délivrés comme preuve d'identité, mais le fait que nous ayons aujourd'hui un portail en ligne pour fournir des pièces d'identité signifie que nous avons les bases pour tirer parti de ces données pour une utilisation dans les services gouvernementaux en ligne.
Plusieurs services gouvernementaux sont déjà en ligne. Une des fonctions les plus essentielles du gouvernement, la perception des impôts, est numérisée dans le cadre du système TED de l'Agence du revenu du Canada. On peut penser que la perspective de gains d'efficacité a facilité l'adoption de TED, qui est un cas de transformation numérique réussie.
Toute autre mesure visant à numériser l'identité des citoyens doit prendre en considération la perception des répercussions sur la protection des renseignements personnels. Malgré les avantages escomptés, certains peuvent voir dans l'identité numérique une menace à leur vie privée. J'en veux pour exemple récent la vitesse à laquelle la perception du public s'est détériorée lorsqu'il a été question que Statistique Canada collecte des données financières personnelles. Malgré l'intervention du commissaire à la protection de la vie privée et les mesures prévues pour rendre les données anonymes, la perception est vite devenue négative à cette perspective.
Le contraste entre le succès de TED de l'Agence du revenu du Canada et la tentative de Statistique Canada de collecter des données financières devrait guider le Comité. La numérisation des services gouvernementaux sera bien accueillie par le public si elle fait l'objet d'une gestion et de messages mûrement réfléchis. Cette démarche a pour aspect positif d'améliorer l'accès de groupes historiquement et géographiquement marginalisés, ce qui fait qu'on ne peut ignorer l'occasion qui se présente.
De tout temps, la vérification d'identité a nécessité qu'un pouvoir centralisé fiable régisse la fourniture et l'utilisation des pièces d'identité. Si je veux prouver qui je suis, je dois présenter une pièce d'identité délivrée par le gouvernement. Je prédis que cette preuve officielle demeurera une caractéristique permanente de la démocratie moderne. Par conséquent, malgré les progrès de l'identité décentralisée, le gouvernement a un rôle important à jouer dans la gestion de l'identité.
En résumé, je recommande vivement que le Comité saisisse l'occasion de poursuivre la numérisation des éléments de l'identité des citoyens afin de permettre la prestation efficace et sûre des services gouvernementaux, tout en étant prudent quant à la limite à établir entre la centralisation des données et la protection des renseignements personnels à assurer.
(1535)
M. Matthew Anthony (vice-président, mesures correctives en matière de sécurité, Herjavec Group):
Merci, Ira.
Je m'appelle Matt Anthony. Je suis vice-président chargé des mesures correctives en matière de sécurité. Je travaille dans la sécurité de l'information depuis plus de 20 ans. C'est un honneur pour moi de témoigner devant le Comité aujourd'hui. Mes observations porteront sur deux principaux domaines.
Je parlerai d'abord de la question du cybergouvernement, en particulier le rythme du changement et son volume. De grands succès ont été enregistrés. Ira a déjà mentionné la production des déclarations de revenu. On peut tout faire, de la production des déclarations de revenu à l'enregistrement des animaux, à tous les paliers de gouvernement. Nous voyons, selon moi, de réels avantages à certaines de ces démarches, mais je vois aussi que la peur de se priver de quelque chose et l'amélioration de la réputation sont les moteurs de bon nombre des initiatives qui influencent l'adoption des services gouvernementaux électroniques et l'adaptation à ces services.
Mark Zuckerberg, le fondateur de Facebook, est célèbre pour avoir dit qu'il faut aller vite, quitte à tout casser. Dans le monde entier, les concepteurs en ont fait un mantra dans tous les domaines des affaires et dans le secteur privé, mais je ne pense pas que le gouvernement du Canada devrait ou pourrait avoir le même type de capacité d'aller vite, quitte à tout casser. Les équipes d'intervention du Herjavec Group en cas de cyberincident voient les conséquences directes quand on est allé vite, quitte à tout casser. Nous revenons recoller les morceaux. Les atteintes à la sécurité sont importantes, coûteuses et très préjudiciables.
En plus, il y a une pénurie générale de compétences dans les capacités principales nécessaires pour gérer, développer, essayer, déployer et entretenir en toute sécurité des systèmes logiciels complexes. Les chiffres actuels publiés montrent qu'on offrira environ 3,5 millions d'emplois dans la cybersécurité d'ici 2021, dans le monde, évidemment. La transformation numérique mondiale est en tension directe avec cela. Il y a plus de projets, plus de services et plus de données créées, entreposées, gérées et exploitées. Le Canada et les administrations canadiennes ressentiront très directement cette tension.
Le Comité a beaucoup entendu parler de trois études de cas. Ira l'a déjà mentionné et j'ai entendu parlé de deux d'entre elles dans les couloirs. Il s'agit de Sidewalk Toronto, de l'Estonie et de l'Australie.
Je parlerai brièvement de l'exemple de l'Estonie parce qu'on le considère comme un record en matière de transformation numérique. Cependant, l'Estonie a engrangé au passage des avantages importants que ne connaît pas le Canada. Le pays est peu peuplé, a une très petite superficie, est assez neuf sur le plan technologique à l'ère post-soviétique et a une population assez homogène habituée à un contrôle central.
Quand je parle de ces choses, je pense qu'on peut réfléchir au fait que le Canada n'a pas beaucoup de ces avantages quand il essaie d'offrir ces genres de services. Le modèle serait très différent au Canada.
Cette transformation semble réussie, mais nous n'en savons pas beaucoup sur les problèmes de sécurité et de protection des renseignements personnels. On ne connaîtra probablement pas avant des années, voire plus, les aspects politiques et culturels relatifs aux attentes, et on devra probablement aussi attendre pour en apprendre plus au sujet des aspects liés à la sécurité et à la protection des renseignements personnels. Je mets en garde contre la tentation de prendre l'Estonie comme point de référence pour nos transformations au Canada.
On ne peut pas rester sans rien faire, c'est évident, et nous devons avancer, mais j'espère que nous procéderons assez lentement pour nous assurer que les changements que nous opérons sont entièrement régis et garantis comme il convient. Il faut procéder doucement en suivant des principes rigoureux. Il faut attendre que la technologie nécessaire, comme l'IA et les commandes d'automatisation, soit prête à mieux nous soutenir. Il ne faut pas laisser la peur d'être à la traîne dans les comparaisons internationales nous pousser à nous précipiter sans avoir les capacités voulues.
Ensuite, je parlerai brièvement de l'échange d'information. Je tiens à saluer la feuille de route de la Stratégie de données pour la fonction publique fédérale, car il y est question de cinq ou six choses importantes. Je me contenterai de dire qu'elles sont précises et correctes. J'aimerais cependant entrer dans plus de détails.
Les concepts sont simples: définir une stratégie; préciser davantage qui est responsable des données; définir des normes et des lignes directrices en matière de gouvernance; améliorer le recrutement afin de réunir les compétences nécessaires; et créer des systèmes technologiques à l'appui de la stratégie. Tout cela est facile à dire, mais beaucoup plus difficile à faire, individuellement et solidairement.
En 1984, Stewart Brand écrivait de façon prémonitoire que l'information veut être libre. Parallèlement, il expliquait comment le coût de la technologie ne cessait de baisser, mais à présent, cela est devenu synonyme de difficulté à contrôler l'accès. Une fois que le contrôle de l'information échappe à sa source, ladite information tend à être largement diffusée. Il faut donc que l'utilisation secondaire et tertiaire des données gouvernementales soit contrôlée d'aussi près que l'utilisation primaire.
Le gouvernement est confronté à une tâche monumentale pour ce qui est de comprendre et de gérer les données et les systèmes anciens. Rapprocher les consentements à l'utilisation contradictoires ou non consignés, le cloisonnement de l'information, les règles d'utilisation, les structures de données, les plateformes d'identité et les processus administratifs, la tâche sera immense dans chacun de ces aspects.
Il peut être avantageux, selon moi, d'adopter une approche nouvelle, c'est-à-dire d'établir clairement les règles pour la collecte de nouvelles données et autoriser dans le futur l'intégration des données anciennes, lorsqu'il sera possible d'associer des capacités telles que l'IA et la collecte et le marquage d'autres données avec des coûts inférieurs pour la transformation, grâce à l'automatisation. Ne vous précipitez pas sur les modèles de type lacs de données, car il se produira une dé-anonymisation et une mise en corrélation d'information imprévues — je l'ai vu arriver — parfois contraires à l'intérêt public, à la loi ou à l'intention. (1540)
Beaucoup déclarent que l'extraction, l'agrégation et le partage actifs de données ouvriront des possibilités et permettront des gains d'efficacité. Je demande instamment au Comité d'en montrer la preuve. Il est facile de se laisser tenter par cette approche.
On ne peut pas rester sans rien faire, mais je conseille, en fait, j'encourage le Comité et l'industrie à ralentir, à se montrer plus prudents et à ne pas laisser l'ambition l'emporter sur les capacités. Allez assez lentement pour bien comprendre, mesurer et gérer les risques liés à l'information. Rappelez-vous que les criminels aiment les données et que les atteintes à la sécurité sont compliquées et très coûteuses.
Je vous remercie.
Le vice-président (M. Charlie Angus):
Je vous remercie.
Nous allons passer à SecureKey Technologies. Vous avez la parole.
Mme Rene McIver (chef de la sécurité, SecureKey Technologies Inc.):
Bonjour. Je m'appelle Rene McIver, je suis chef de la sécurité et agente à la protection de la vie privée chez SecureKey.
Je tiens d'abord à remercier le Comité de nous donner l'occasion de participer à son étude sur la protection des renseignements personnels dans les services gouvernementaux numérisés. Je suis spécialisée dans les crypto-mathématiques, les normes biométriques et l'identité. J'ai travaillé au Centre de la sécurité des télécommunications et je travaille chez SecurKey depuis 10 ans.
Je suis accompagnée aujourd'hui par mon collègue Andre Boysen, notre dirigeant principal de l'information et cofondateur de SecureKey. M. Boysen travaille dans le secteur de la technologie financière depuis 30 ans et est un chef de file mondialement reconnu dans le domaine de l'identité numérique et de la protection des renseignements personnels. Il siège par ailleurs au conseil d'administration du Digital ID & Authentication Council of Canada.
SecureKey est une fière entreprise canadienne. Depuis 2012, elle est le fournisseur officiel de service de partenaire de connexion du gouvernement du Canada, aussi appelé Service de concierge. Nous sommes parmi les leaders mondiaux dans la fourniture de solutions technologiques qui permettent aux citoyens d'accéder efficacement à des services numériques de grande valeur, tout en assurant la sécurité de l'information et en protégeant leurs renseignements personnels. Pour cela, nous créons des réseaux hautement sécurisés qui conjuguent les points forts des secteurs public et privé.
Comme nous le savons, l'ère numérique a permis de créer quantité de nouveaux services, de modèles d'entreprise et de possibilités de participer aux activités internationales. Il n'y a pas longtemps encore, il aurait été inimaginable de commander un covoiturage sur un appareil qui tient dans la poche ou d'accéder en toute confidence à des services gouvernementaux, de chez soi. Aujourd'hui, nous tenons ces choses pour acquises et souvent, nous sommes irrités quand nous tombons sur quelque chose qui ne peut pas être fait en ligne.
Il ne s'agit pas seulement des attentes des citoyens. Les entreprises, les gouvernements et d'autres organisations ont de très bonnes raisons de mettre en ligne des services et des transactions, comme améliorer l'expérience du client, réaliser des économies et accroître la sécurité des activités. La capacité d'une organisation de faire cela repose sur une seule question: est-ce que je peux faire confiance à la personne ou à l'identité numérique à l'autre bout de la transaction?
Le défi de l'identité numérique est tout aussi problématique des deux côtés.
Pour reconnaître les clients et leur fournir un accès fiable à des services en ligne, les organisations déploient généralement un ensemble de mesures analogiques et numériques afin de confirmer l'identité et d'atténuer les risques. Comme nous l'avons vu, cependant, ces solutions tendent à être complexes et inadéquates. Résultat, elles inspirent moins confiance.
En revanche, on demande aux citoyens de se soumettre à quantité de méthodes d'identification pour satisfaire les organisations dont ils sollicitent les services, sans savoir où va l'information et alors qu'on ne cesse de révéler des atteintes à la sécurité des données et que les imposteurs en ligne sont toujours plus nombreux.
Ces préoccupations sont tout à fait fondées. Les fraudeurs recueillent des données pour en savoir autant et parfois plus que les citoyens dont ils usurpent l'identité. Les cartes physiques standard sont faciles à contrefaire et il est souvent impossible de vérifier leur validité auprès des émetteurs. Même les méthodes biométriques, qu'on vante souvent comme étant la solution à la fraude numérique, sont la cible des pirates, ce qui augmente le risque que des données biométriques soient compromises.
Ces facteurs augmentent la complexité, font douter du système et nuisent à la protection des renseignements personnels, ce qui est exactement l'inverse de ce qui doit se passer. Notre système cloisonné est trop difficile à utiliser pour les consommateurs et trop cher à maintenir.
Le défi pour nous n'est pas seulement de trouver la meilleure technologie, les bonnes compétences ou suffisamment de fonds pour corriger les problèmes; en fait, quiconque a un intérêt dans le système doit chercher à résoudre le problème de l'identité numérique qui sous-tend tous les services numériques. Nous devons redonner au citoyen le contrôle des données et des renseignements concernant l'identité.
Pour relever ce défi, nous devons trouver des moyens d'associer les principaux facteurs de l'identité. Ces facteurs sont les choses uniques que nous connaissons, comme des secrets partagés; les choses uniques que nous avons, comme les cartes à puces vérifiables et les appareils mobiles; et les choses uniques que nous sommes, comme nos empreintes digitales ou nos images faciales. En combinant ces facteurs, nous pouvons résoudre le problème de l'identité et faire en sorte que les organisations sachent que leurs clients sont bien qui ils disent être.
L'expérience à ce jour montre que les méthodes à facteur unique ne suffisent pas. Il faut donc des réseaux sécurisés, autrement dit des écosystèmes de participants de confiance. Tous les participants doivent participer à la solution, y compris, et peut-être surtout, les citoyens, dont le contrôle de leurs propres données et la protection de leurs renseignements personnels en garantiront la sécurité. (1545)
Ce n'est qu'en associant les meilleurs aspects de tous les systèmes que nous réglerons le problème de l'identité et que nous rebâtirons la confiance dont ont tout autant besoin les organisations et les citoyens. Par exemple, les gouvernements sont les premiers émetteurs de documents d'identité, y compris les registres des naissances, les documents d'immigration, les permis et les licences. Ils peuvent également relier leurs dossiers à une personne vivante en délivrant un permis de conduire ou un passeport. Mais ils ne sont pas aussi aptes que le secteur commercial à savoir si cette personne est bien à l'autre bout de la transaction numérique. Les banques, toutefois, réussissent à effectuer des milliards d'authentifications par an.
En comparaison d'autres organisations, les citoyens ne sont que rarement en contact avec les administrations durant leur vie. Il leur arrive de renouveler un permis ou un passeport tous les cinq ans ou de payer des impôts en ligne une fois par an, mais ils se connectent plusieurs fois par semaine à leurs comptes bancaires. Cette fréquence renforce le degré de confiance et confère à cette interaction plus d'instantanéité.
Pensez aux appareils mobiles, qui sont à la fois identifiables dans un réseau cellulaire et rattachés aux comptes de l'abonné par la carte SIM de l'utilisateur. Tous les éléments ont quelque chose d'utile à offrir au sein d'un réseau performant.
Imaginez un scénario où les citoyens puissent choisir de partager l'information en toute sécurité à l'intérieur d'un réseau constitué d'organisations en qui ils ont déjà confiance. Cela permet d'utiliser une approche multiniveaux de la justification de l'identité. Les citoyens accéderaient au réseau en utilisant sur un appareil mobile leurs identifiants de connexion bancaire fiables que l'opérateur de télécommunications pourra valider, le tout pour partager des données fiables de multiples sources, y compris des renseignements figurant sur des documents numériques émis par le gouvernement. En utilisant cette approche multiniveaux, nous obtenons un degré de confiance nettement supérieur dans l'identité de la personne qui effectue la transaction.
La difficulté, c'est d'y parvenir sans devenir un réseau de surveillance ou sans constituer un nouveau trésor de données. Nous devons établir les bases de la protection des renseignements personnels et de la confiance, tout en réduisant au minimum le partage de données entre les parties.
La protection des renseignements personnels en triple aveugle résout ce problème. L'organisation qui reçoit les renseignements n'a pas besoin de connaître l'émetteur même de l'information, il lui suffit de savoir qu'elle vient d'une source fiable. L'émetteur n'a pas besoin de savoir qui est l'organisation qui reçoit les renseignements. Et les exploitants de réseau ne sont pas exposés aux renseignements personnels non protégés. Voilà comment fonctionne l'approche en triple aveugle.
Autrement dit, aucun des participants à la transaction ne voit, en fait, la totalité de la transaction de l'utilisateur. Cette formule éprouvée est saluée par les spécialistes de la protection des renseignements personnels dans le monde entier, y compris par le commissaire à l'information et à la protection de la vie privée de l'Ontario.
On ne parle pas d'un avenir lointain. Toutes les pièces sont déjà en place pour être capable d'utiliser un système dont l'information est fiable, qui permet à ses destinataires d'avoir confiance dans la transaction et aux citoyens d'avoir totalement confiance dans le système, car ils contrôlent leurs propres données d'une manière qui renforce la protection de leurs renseignements personnels. Ce type d'agencement est à la pointe de ce qui se fait et est actuellement utilisé.
Avec l'information et les ressources dont nous disposons, le Canada a la possibilité de régler le problème de l'identité numérique et de devenir le modèle dont le reste du monde peut s'inspirer. Nous avons des administrations qui coopèrent, des télécommunications avancées sur le plan technologique et un leadership mondial dans le développement de nouvelles approches, comme la confidentialité et la sécurité des renseignements personnels assurés dès la conception, approche mise au point par Ann Cavoukian, et aussi le cadre de fiabilité pancanadien que promeut le Digital Identification and Authentication Council of Canada. Nous avons l'occasion de créer des services capables de présenter les demandes de validation d'identité de multiples parties en une seule transaction, tout en garantissant au citoyen le plein contrôle et l'entière protection des renseignements personnels.
Les facteurs clés du succès de toute solution seront l'acceptation et la confiance des citoyens et le potentiel d'atteindre rapidement un grand nombre d'utilisateurs.
La responsabilité de protéger les renseignements personnels et de donner aux citoyens un sentiment de sécurité est essentielle au succès de toute solution. Il est vital que l'approche du Canada relie ensemble les parties fiables de l'économie numérique, comme la finance, les télécommunications, le gouvernement et le commerce. C'est le seul moyen de donner aux citoyens la confiance qu'ils exigent pour utiliser les fournisseurs auxquels ils se fient déjà et pour avoir accès à l'information qu'ils souhaitent partager de façon sécuritaire.
Les cyberrisques sont grands pour l'identité numérique. Le succès de toute solution à laquelle ne participent pas le secteur privé et le secteur public sera limité. L'approche compartimentée aujourd'hui malmenée sera perpétuée. Elle n'offrira pas la sécurité et n'aura pas la confiance du public nécessaires à l'économie numérique de demain.
Je vous remercie.
(1550)
[Français]
Le vice-président (M. Charlie Angus):
Nous allons commencer la période des questions.
Je vous cède la parole, madame Fortier.
Mme Mona Fortier (Ottawa—Vanier, Lib.):
Merci beaucoup, monsieur le président.
Je vous remercie, chers témoins, d'être présents. Je vois que vous avez un niveau d'expertise supérieur au mien. Je suis très contente de constater que vous possédez une expertise qui nous permettra d'aller plus loin dans cette étude et d'accomplir ce que nous voulons faire.
Monsieur Anthony, votre expertise est très importante pour le Comité. Vous avez dit qu'il était important d'aller lentement, ce qui est intéressant. Toutefois, il faut aussi aller sûrement. C'est ce que je comprends.
Dans la société, tout va très vite présentement. Il y a une certaine pression qui nous pousse à vouloir aller plus vite pour pouvoir répondre aux besoins des Canadiens et des Canadiennes sur le plan des services numériques.
Comment pouvons-nous établir un équilibre pour bien faire les choses? Si nous procédons lentement, quels services gouvernementaux devrions-nous mettre en avant en premier, selon vous?
(1555)
[Traduction]
M. Matthew Anthony:
Je crains qu'il s'agisse d'une question très précise à laquelle je n'ai pas de réponse très précise. C'est ainsi qu'on concilie un défi très complexe à plusieurs variantes avec une stratégie claire et simple.
Quand Rene Heller, de l'Institut Max Plank, décrit le piège de l'innovation, il explique que peu importe le moment où on veut lancer un vaisseau spatial pour un voyage interstellaire, mieux vaut toujours attendre parce qu'on se dépassera toujours à cause de l'évolution de la technologie.
C'est ce qui arrive aussi quand on se demande si on doit acheter un ordinateur personnel ce mois-ci ou le mois prochain. C'est le même genre de piège de l'innovation.
Nous sommes confrontés à ce dilemme en politique publique aussi, lorsque nous prenons au cas par cas des décisions réfléchies par rapport aux données qui ne nous poseraient pas de problème ou à la possibilité de suffisamment contrôler les aspects nécessaires de la sécurité de l'information et de la protection des renseignements personnels avant de décider d'aller de l'avant. Il faut faire la recherche continuellement, ce qui est la partie où l'on procède lentement, pour déterminer si on est prêt à passer à la production, qui est la partie où l'on va vite.
Il faut aller lentement jusqu'au moment où on est prêt, puis passer à la vitesse supérieure.
[Français]
Mme Mona Fortier:
Je comprends. Merci.
L'autre question que j'aimerais poser aux trois autres témoins concerne la cybersécurité.
On sait qu'une évolution va se produire. Jusqu'où la notion de cybersécurité peut-elle se rendre, selon vous? Existe-t-il des approches innovantes plus efficaces et plus fiables dont vous aimeriez nous faire part et que nous devrions prendre en considération?
Madame Mclver ou monsieur Boysen, voulez-vous vous exprimer en premier?
M. Andre Boysen (dirigeant principal de l'information, SecureKey Technologies Inc.):
Oui. Merci de votre question, madame Fortier.[Traduction]
La cybersécurité et la protection des renseignements personnels sont un sujet très complexe et, dans le modèle d'aujourd'hui, le fait que tout le monde au Canada doit comprendre la façon dont le système de sécurité fonctionne pour que celui-ci soit efficace est un défaut de conception fondamentale à mon avis.
J'aimerais revenir sur les remarques de Matt au sujet de l'Estonie. Ce pays a fait quelque chose d'extraordinaire pour lui-même, mais j'ai deux points clés à communiquer en ce qui concerne l'identification numérique. Premièrement, tous les gouvernements du monde veulent la souveraineté de leurs données d'identification numérique. Ils ne veulent pas être tributaires d'une société étrangère qui échappe à leur compétence. C'est là un défi.
Cependant, l'identité est une chose qui est très culturelle, ce qui constitue un défi encore plus grand. Ce qui fonctionne dans un pays ne fonctionnera pas nécessairement dans un autre. Ceci est particulièrement prononcé dans l'exemple de l'Estonie. En ce qui concerne les cartes d'identité nationale, je dirais qu'il n'y a que deux types de pays dans le monde: les pays qui ont des cartes d'identité nationale, et les pays qui détestent les cartes d'identité nationale. Je dirais que le Canada, les États-Unis, le Royaume-Uni, l'Australie, la Nouvelle-Zélande et de nombreux pays d'Europe sont contre l'idée d'une carte d'identité nationale.
Plusieurs raisons sont à l'origine de cet état de fait. C'est, en partie, à cause de la Deuxième Guerre mondiale. On a bien vu les préjudices causés par ces grandes bases de données de gouvernements. Le gouvernement n'avait aucune intention de causer du tort en créant ces systèmes, mais quand d'autres autorités sont venues par la suite — les Allemands —, elles ont créé toutes sortes de préjudices imprévus. On a bien vu le danger que représente le regroupement de toutes les données en un seul endroit. Je dirais que ceci, comparativement, est un meilleur mécanisme, mais je ne suis pas ici pour critiquer ce que l'Estonie a fait. Son modèle est très bon, mais son contexte culturel est différent, et je crois que Matt a fort bien souligné ce point.
Si nous voulons bien faire les choses, pourquoi ne regarderions-nous pas le système d'identification et d'authentification le plus grand et le plus réussi au monde, le système des cartes de crédit, plutôt que de contempler ce qu'a fait un pays d'un million d'habitants? Six milliards de cartes de paiement circulent dans le monde et nous ne voyons pas des manchettes toutes les semaines annonçant qu'une carte de crédit a été compromise en un endroit, ou que Starbucks a des problèmes dans un autre, ou encore que des utilisateurs ont perdu leurs cartes de crédit. Pourquoi ne voyons-nous pas cela?
En effet, le système mondial de paiement est géré d'une façon très différente du système d'identification en ligne que nous avons aujourd'hui. En tant que consommateur, je n'ai pas besoin de comprendre comment le mécanisme des paiements fonctionne. Tout ce que j'ai besoin de savoir, c'est comment passer ma carte sur le lecteur et, si j'arrive à le faire, tout est bon. Dans le domaine des cartes, nous avons accompli deux choses très intelligentes. Tout d'abord, c'est super simple pour l'utilisateur: quand il fait ceci, il sait qu'il s'est engagé, et il est donc difficile pour un escroc de profiter de lui. De plus, il n'a pas besoin de comprendre le fonctionnement. Il sait que la serveuse ne peut transformer son 10 $ à 1 000 $ après son départ. C'est la première chose qui fait que le système mondial de paiement est sûr.
La deuxième chose qui le rend sûr, c'est la présence d'un réseau de confiance en intermédiaire. L'escroc ne peut surgir au milieu et déclarer: « Je suis un escroc, j'accepte Visa. » Il faut présenter une demande pour rentrer dans le réseau et bien se comporter pour y rester.
Ce n'est pas la même chose qu'Internet. Sur Internet, c'est très différent. C'est pour des raisons de sécurité qu'aucune des banques du Canada n'envoie des messages textes à ses clients. Ces banques ne croient pas que ce genre de messages est suffisamment sûr. Malheureusement, tous les autres services le font. Facebook le fait, Apple le fait, Netflix le fait et Google le fait. Quand mon père reçoit dans son téléphone un message disant: « Activité suspecte dans votre compte. Veuillez cliquer sur l'URL www.bmo.com.escrocURL.com », mon père ne sait pas comment fonctionnent les URL, et il clique dessus en pensant que cela ira chez BMO. Malgré le fait que BMO a de très bons contrôles — soit dit en passant, il ne s'agit pas de BMO qui a d'excellents mécanismes de sécurité en vigueur —, la Banque se retrouve avec une atteinte à la sécurité sur les bras parce que mon père ne savait pas de quoi il s'agissait.
Par conséquent, cacher la complexité à l'utilisateur et disposer d'un exploitant de confiance du réseau sont des choses extrêmement importantes.
J'aimerais maintenant revenir sur une chose que Rene a mentionnée il y a quelques instants. La troisième chose qui assure la sécurité du système mondial de paiement est le comportement des utilisateurs. Quand je perds ma carte de crédit, j'appelle la banque dans les minutes qui suivent. Je n'appelle pas parce que j'avais promis de le faire; je ne me soucie pas d'eux, je ne me soucie que de moi. Je suis terrifié à l'idée que l'escroc qui a trouvé ma carte va dépenser mon argent et que j'en serai responsable. Ce comportement d'utilisateur, cet intérêt personnel, me conduit à faire ce qu'il faut et à l'annuler. C'est ce qui garantit la sécurité du système mondial de paiement, un aspect qui diffère entièrement de la façon dont nous gérons l'identification numérique aujourd'hui.
Par conséquent, si nous voulons nous inspirer d'un modèle, au lieu de regarder du côté de l'Estonie — bien qu'à mon avis, ce qu'elle a fait est très bon pour elle —, nous devrions nous inspirer et apprendre de ce que nous avons fait au Canada. Nous devrions examiner notre propre expérience ici. Tous les autres gouvernements du monde nous regardent et demandent comment nous avons réussi à établir un tel service d'ouverture de session du partenaire de connexion avec toutes les banques du Canada. C'est une chose qu'ils veulent tous. Tout le monde regarde ici et nous, nous regardons là-bas.
(1600)
Le vice-président (M. Charlie Angus):
Merci.
M. Andre Boysen:
Nous avons ici des antécédents extraordinaires. Nous devons prendre appui sur eux plutôt que tenter de réinventer la roue.
Mme Mona Fortier:
Merci.
Le vice-président (M. Charlie Angus):
Monsieur Kent, je vais devoir retrancher pour elle une minute de votre temps. Êtes-vous d'accord?
L'hon. Peter Kent (Thornhill, PCC):
L'esprit de collégialité régnant à ce comité, je partagerai le temps que vous jugez nécessaire.
Le vice-président (M. Charlie Angus):
Poursuivez, poursuivez.
L'hon. Peter Kent:
Je vous remercie tous de votre présence.
À ce sujet justement, l'Association des banquiers canadiens étudie un programme d'identification numérique, mais son PDG, dans un discours en janvier, a mentionné que les banques pourraient très bien avoir un rôle central dans tout élargissement du réseau national de services gouvernementaux numériques. Combien de niveaux de technologie exclusive cela exigerait-il éventuellement, et quel en serait le prix? Ou encore, diriez-vous que, après la DP, après les projets pilotes, un seul vendeur de technologie numérique sera choisi et mènera la barque à lui seul?
M. Andre Boysen:
Non. En fait, je dirais que ce serait une très mauvaise chose.
Pour revenir à mon exemple du système mondial de paiement, il y a dans le monde 5 à 10 marques mondiales — Visa, Amex, MasterCard, Discover, et d'autres. Ces marques doivent leur existence au fait qu'elles servent toutes leur clientèle d'une façon légèrement différente. Certaines sont axées sur les marchands, d'autres sur les consommateurs. D'autres encore essayent de tout faire. Elles existent toutes parce qu'elles offrent leurs services de la bonne façon.
L'avantage dans ce modèle, c'est que nous pouvons tous choisir notre fournisseur de services financiers préféré, et nous ne sommes pas bloqués dans ce choix. Si l'on commence avec une banque puis découvre qu'on ne l'aime pas du tout, on peut changer de banque et poursuivre comme à l'accoutumée.
À mon avis, il serait dangereux d'avoir un fournisseur unique pour tout cela serait. Il nous faut un mécanisme ouvert pour que nous puissions avoir de multiples fournisseurs. C'est très important. Et ce mécanisme doit reposer sur des normes, et non pas sur de multiples technologies brevetées.
L'hon. Peter Kent:
Cela irait contre la technologie estonienne de cartes courantes monopuces.
M. Andre Boysen:
À la différence près que l'Estonie essaie de convaincre d'autres pays de faire ce qu'elle a fait, pour qu'elle ne soit pas la seule à le faire, ce qui est intelligent. Sinon, si le reste du monde s'oriente différemment, elle devra changer. Voilà pourquoi elle sillonne les routes prêchant pour sa paroisse — et le faisant très bien, à mon avis.
La même occasion s'offre à nous. Dans notre cas, si nous faisons ce que l'Estonie a fait, par exemple, et si les États-Unis décident de se diriger différemment, nous serons obligés de changer. Le Canada peut saisir l'occasion de mettre de l'ordre dans ses affaires, relancer son économie, puis faire de ceci une norme exportable et créer une norme de référence mondiale, parce que tout le monde nous regardera avec admiration, disant: « C'est super, on veut la même chose. »
C'est là l'occasion qui s'offre à nous.
L'hon. Peter Kent:
Monsieur Goldstein, c'est vous, je crois bien, qui avez proposé de commencer avec un projet pilote de petite envergure. Quelle envergure entrevoyez-vous? Un seul ministère?
M. Ira Goldstein:
Je crois qu'il faudrait examiner les services qui sont déjà en ligne et la capacité déjà établie au gouvernement fédéral. Le Centre canadien pour la cybersécurité a été un grand pas vers la concrétisation de cette capacité. Il y a une immense capacité, même si les Canadiens commencent tout juste à la découvrir publiquement en raison de cette annonce.
Nous devrions envisager les services gouvernementaux qui sont déjà quelque peu numérisés et voir comment nous pourrions prendre appui sur eux pour obtenir de meilleurs résultats pour les Canadiens.
J'approuve une grande partie de ce que tout le monde a dit, mais, à mon avis, interagir avec des services hors du gouvernement pourrait être la troisième ou la quatrième étape. La première étape consiste à faciliter la numérisation des services gouvernementaux qui ne sont pas présentement numérisés.
L'assurance-dépôts est une autre raison pour laquelle les gens ont tant confiance dans le système bancaire. C'est une garantie qui leur dit que si une institution financière perd de l'argent, ce n'est probablement pas le leur dans la mesure où ils ont suivi les règles du jeu.
Je répète qu'à mon avis, le gouvernement a un rôle de maître d'oeuvre important dans cette identification. Voyons ce qui est déjà numérisé au gouvernement. L'ARC est un exemple que l'on peut augmenter. Passons en revue les services fédéraux et voyons comment nous pourrions les réunir et prendre appui sur la numérisation existante.
(1605)
L'hon. Peter Kent:
Le site Web de l'Estonie nous informe que 98 % de la population a reçu une carte d'identité numérique. Compte tenu de la nature humaine du Canada — la réticence, le scepticisme, le cynisme, la peur ou le refus à l'endroit de l'identification numérique —, pensez-vous qu'il faudrait que ce soit facultatif dans tout projet pilote adopté?
M. Ira Goldstein:
Quand je dis « pilote », il s'agit plus de la nature pilote de la capacité, mais celle-ci devrait être offerte à tous les Canadiens, et non pas forcément à un groupe pilote ou une province ou un groupe en particulier. Cette capacité pilote devrait porter sur un usage précis. Dans le cas de l'ARC, par exemple, on pourrait tout simplement continuer à l'augmenter.
Le citoyen ne s'inquiète pas de l'information sur lui dont dispose déjà le gouvernement. Reprenons l'exemple de Statistique Canada. Si le public s'est soulevé, c'est que les gens ont dit: « Humm, le gouvernement ne dispose pas de ce renseignement aujourd'hui. Maintenant, il le veut. C'est scandaleux. » Si nous avions déclaré...
L'hon. Peter Kent:
C'était aussi l'absence de consentement.
M. Ira Goldstein:
Mais si les renseignements sont anonymisés, où est ce consentement?
Si nous avions déclaré que nous adoptons les données ouvertes et recherchons certaines données regroupées et anonymisées pour faire en sorte que les services offerts soient moins coûteux, meilleurs et plus ciblés, beaucoup de gens auraient été réellement emballés. Les Canadiens sont de mentalité progressiste pour l'adoption du numérique. Il s'agit plus de la façon dont vous faites les choses plutôt que de ce que vous faites.
Quant à procéder avec circonspection, comme Matt l'a dit, il vous faut avancer lentement, planifier vos communications soigneusement, mais nous sommes tous fermement d'avis que les Canadiens sont prêts pour cela. Il s'agit simplement de la façon de le faire.
L'hon. Peter Kent:
Bon.
J'ai une question du style la poule ou l'oeuf. L'Union européenne a adopté le Règlement général sur la protection des données, le RGPD. Il a été dit que le Canada traîne loin derrière en ce qui concerne la protection des renseignements personnels, ce que l'Europe vient d'instituer, peut-être excessivement, ou exagérant la protection de certains aspects. Avant que l'on ne mette en oeuvre le gouvernement numérique au Canada, devrions-nous élaborer un règlement semblable pour instituer des mesures de protection et de garantie comme celles du RGPD?
M. Ira Goldstein:
C'est une vaste question.
Je ne crois pas que l'on puisse dire simplement que les lois canadiennes sur la protection des renseignements personnels sont insuffisantes. Nous avons quelques cadres stratégiques en la matière valables. Il s'agit de déterminer les définitions. Qu'est-ce que le « risque réel de préjudice grave »? Que cela signifie-t-il pour les sociétés comme celles que nous aidons, qui tentent de déterminer ce qu'elles doivent dire au gouvernement quand il y a eu atteinte à la sécurité ou à la vie privée?
Il faut faire en sorte qu'il soit plus pratique pour les sociétés et les particuliers de respecter ces cadres stratégiques. Je ne dis pas que nous devrions aller jusqu'à un RGPD. Nous avons certainement tous une opinion variée du RGPD. Matt tremble, maintenant.
Si les gens respectent le RGPD, c'est qu'il comporte des pénalités financières, et c'est pourquoi il y a un grand nombre de...
L'hon. Peter Kent:
Tout à fait.
M. Ira Goldstein:
... consultants qui font beaucoup d'argent dans ce domaine et pour toutes ces questions.
Nous ne devrions pas aller jusqu'au bout dans ce sens, mais il faut faire en sorte qu'il soit plus facile pour les entreprises canadiennes de fonctionner avec ce type de règlement au Canada. Nous devons conserver ce solide cadre stratégique de protection des renseignements personnels, mais faire en sorte qu'il soit plus facile pour les entreprises d'en tenir compte.
M. Matthew Anthony:
Puis-je parler un instant de la remarque d'Ira, puis répondre à votre question à savoir si nous devrions aller jusqu'au stade d'une sorte de RGPD?
La réponse est oui. La tendance mondiale à inciter les gouvernements à protéger les citoyens, contrebalancée par le fait que les citoyens sont, peut-être, de moins en moins intéressés à la protection des renseignements personnels sur le plan individuel augmente la motivation pour les gouvernements de protéger les citoyens, collectivement.
Cependant, ce qu'Ira a dit est vraiment important, et j'ai essayé d'en toucher un mot tangentiellement aussi, c'est-à-dire expliquer clairement comment manipuler et gérer les données de sorte que les personnes comprennent ce qui est attendu d'elles et comment elles doivent le faire, avant de commencer à propulser les choses dans l'univers en ligne. C'est une considération réellement très utile.
Je ne saurais vous dire si nous devrions ou non changer nos règlements, politiques et pratiques, mais il faudrait à tout le moins rendre ceux-ci transparents et plus faciles, de sorte que...
Le vice-président (M. Charlie Angus):
Merci beaucoup.
C'est mon tour maintenant pendant sept minutes. Par souci d'équité, je vais placer le marteau à côté du greffier et, si je dépasse mon temps, il s'en servira pour me cogner dessus.
Je trouve cela fascinant, et M. Anthony semblait procéder avec circonspection. Je trouve cela très surprenant.
Il fut un temps où je croyais fermement à la valeur du numérique et que, dans un monde où règne le numérique, les choses iraient mieux, que nous avancerions plus rapidement. Plus je passe du temps dans ce travail, plus je deviens méfiant. Je crois que « procéder avec circonspection » est un exemple très intéressant.
J'aimerais parler un peu de l'opinion qu'ont, d'après moi, les Canadiens de la protection des renseignements personnels et de l'innovation numérique. Je bavardais avec des gens du milieu des technologies aux États-Unis, et ils me disaient être émerveillés de voir à quel point nous prenions ces choses au sérieux.
Nous avons eu une importante bataille sur les droits d'auteur numériques dans laquelle il était question de citoyens et de campagnes épistolaires. La question du ralentissement de la circulation de l'information sur Internet a été toute une affaire. C'est le Canada qui a fait la première enquête sur Facebook, mais, parallèlement, comme l'a précisé M. Boysen, les gens ici détestent les cartes d'identité. Je pense à mes électeurs qui s'insurgeraient contre cette notion.
Nous prenons Statistique Canada comme un bon exemple de la façon de ne pas faire cela. Statistique Canada a une réputation dans le monde entier et les Canadiens lui font confiance. Cette organisation pensait que ce qu'elle faisait était dans l'intérêt public, mais les Canadiens l'ont mal perçu.
Quels conseils donneriez-vous à un gouvernement qui penserait que recueillir davantage de renseignements est dans l'intérêt public? Vous avez parlé des risques éventuels qui pourraient découler d'une augmentation de l'efficacité dans la collecte, le rassemblement et le partage des données, mais vous dites qu'il nous faut des preuves pour le démontrer. Quels paramètres devrions-nous prendre en compte à cet égard?
(1610)
M. Matthew Anthony:
Beaucoup de choses sont réunies dans cette question...
Le vice-président (M. Charlie Angus):
Oui.
M. Matthew Anthony:
... et je vais tenter d'y répondre.
Tout d'abord, recueillir des données, c'est comme une drogue, on s'y accoutume. C'est facile à faire. On recueille de grandes quantités de données et on ne peut pas perdre ce que l'on n'a pas. Quand je dis « Allez-y doucement », c'est que je vois des gens vivre leur plus gros cauchemar pour gérer les retombées d'une atteinte à la vie privée. Je vois ce qui arrive quand ce que j'ai conseillé de faire n'a pas été fait.
La véritable réponse à votre question se situe dans la façon d'atteindre un équilibre entre les diverses questions, soit quelles données recueillir, pourquoi les recueillir et veiller à l'obtention d'un consentement pour leur utilisation.
Le consentement d'utilisation peut être très difficile à dépister dans le cas des données historiques que l'on a déjà. Je ne pourrai pas vous dire quel consentement j'ai donné pour les données que j'ai fournies au gouvernement fédéral il y a cinq ans. Je ne m'en souviens pas et je ne pourrais pas vous le dire. Je ne me rappelle pas avoir signé une autorisation quelconque. C'était probablement caché dans les petits caractères. Le gouvernement pourrait présenter des arguments voulant que je lui aie donné un consentement, mon consentement de le faire, mais si je ne comprenais pas de quoi il s'agissait, si cela ne m'a pas été correctement communiqué, je serais alors très fâché contre vous quand vous utiliserez les données exactement comme vous aviez dit pouvoir éventuellement le faire.
Je crois que la communication et le consentement éclairé sont probablement au coeur même du cas de Statistique Canada. Cependant, je dirais: ne recueillez pas des données dont vous n'avez pas besoin, soyez très clairs dans la description de la façon dont vous les utiliserez et obtenez un consentement éclairé de la façon dont vous les utiliserez s'il s'agit de renseignements personnels.
Le vice-président (M. Charlie Angus):
Merci.
Monsieur Boysen, ce que vous avez dit dans votre exemple des banques m'a interpellé. Si je n'aime pas les banques... En réalité, je traite avec ma coopérative de crédit, la Caisse populaire...
M. Andre Boysen:
Cela fait partie du service.
Des députés: Oh, oh!
Le vice-président (M. Charlie Angus):
... et j'obtiens un bon service; si j'ai un problème, on m'appelle tout de suite et nous réglons le problème.
Notre comité a passé beaucoup de temps à examiner les modalités d'accès en ligne. Nous n'avons pas le choix. C'est ce que nous avons découvert au sujet de Facebook et de Google. Nous avons commencé à débattre de la question de l'antitrust, qui ne relève pas normalement de notre comité, mais pour les droits des citoyens et la protection des données... Autrement dit, si vous avez un problème avec Facebook, qu'allez-vous faire? Rien. Vous ne pouvez pas vous adresser à WhatsApp, parce qu'il est contrôlé par eux. Ils contrôlent toutes les autres voies.
En ce qui concerne l'intérêt public général, estimez-vous que le fait de n'avoir pas suffisamment de choix dans la façon dont nous accédons en ligne et la façon dont nos renseignements personnels sont recueillis et utilisés par les géants de collecte de données nuit dans l'ensemble à la cible que nous tentons d'atteindre?
M. Andre Boysen:
Oui. En bref, oui, c'est un problème.
À mon avis, nous devons aborder ceci tout à fait autrement.
Le défi que nous oppose l'architecture actuelle d'Internet réside dans le fait que chaque organisation de prestation de services Web est livrée à elle-même dans la façon dont elle procède à l'inscription de ses clients en ligne. On sait ce que cela a donné pour nous tous ici dans la salle. Certains d'entre nous ont 10 mots de passe, d'autres en ont 25 et d'autres encore 100. Certains d'entre nous en ont 100, mais c'est en réalité un seul, parce que c'est le même mot de passe.
Par conséquent, dans ce modèle où tout le monde est livré à lui-même, le seul moyen d'avoir la certitude qu'une personne est réellement qui elle prétend être est l'établissement d'un processus d'adhésion très détaillé. Cela est particulièrement vrai au gouvernement, car votre obligation de diligence est extrêmement élevée. Par conséquent, il arrive souvent que le client ne puisse suivre entièrement ce processus et quand il y arrive, le fait que vous possédez toutes les données devient un problème. Par conséquent, lorsqu'il y a brèche, vous devez remédier à toutes les données.
Nous n'avons ce problème qu'en ligne. En personne, ce n'est pas vraiment un problème, parce que nous collaborons et coopérons déjà en ce qui concerne l'identité. Si je veux ouvrir un compte en banque, je présente une pièce d'identité émise par un gouvernement et quelque chose venant d'ailleurs, et j'obtiens un compte en banque. Si je veux prouver que j'ai vécu en Ontario les six derniers mois, je présente mes relevés bancaires pour démontrer que j'ai vécu à cette adresse tout ce temps-là. Nous coopérons déjà dans le monde tangible pour cette identification. Ce n'est qu'en ligne que nous avons le problème.
Je vous dirais donc, entre autres, que vous devriez envisager non seulement de régler cet aspect du point de vue du gouvernement, mais du point de vue de l'économie dans son ensemble. Si les banques sont ici aujourd'hui et souhaitent participer au mécanisme, c'est parce que de leur point de vue, ce n'est pas intéressant sur le plan du revenu. Elles souhaitent ouvrir des comptes en banque en ligne, et elles veulent faire réduire les risques. Le défi pour elles est qu'elles ne peuvent s'assurer que le permis de conduire est authentique. Les escrocs prennent une image d'un permis de conduire, effacent la photo qui s'y trouve, apposent la leur à sa place et vont en ligne obtenir une marge de crédit; les banques sont sans défense contre ce genre d'attaque.
Les banques voudraient que le gouvernement mette de l'ordre dans ses affaires et fasse en sorte que tous les documents émis par le gouvernement soient prêts à participer à l'économie numérique.
En 2008, le ministre Flaherty avait constitué un groupe de travail au Canada chargé de débattre de la façon dont les paiements numériques fonctionneraient. Ce groupe de travail a travaillé pendant deux ans. J'y ai participé et, selon le rapport produit par Pat Meredith — qui a très bien dirigé le groupe de travail —, il ne peut y avoir une économie numérique et des paiements numériques sans une identité numérique.
L'identité numérique doit pouvoir fonctionner dans l'ensemble de l'économie. Il ne s'agit pas de régler le système de soins de santé ni de régler le problème de l'ARC. Il s'agit de régler la situation pour les consommateurs dans l'ensemble de l'économie, parce que, si l'on y pense bien, le contraire signifie qu'il faut se présenter sur les lieux avec son permis de conduire pour obtenir ce que l'on veut, et cela prend beaucoup de temps.
(1615)
Le vice-président (M. Charlie Angus):
Je dois vous arrêter ici, pour que l'on puisse mettre au compte rendu que j'ai arrêté cinq secondes avant la fin de mon temps.
Des députés: Oh, oh!
Le vice-président (M. Charlie Angus): Monsieur Saini.
M. Raj Saini (Kitchener-Centre, Lib.):
Je vous remercie de votre exposé.
J'aimerais tirer une chose au clair, parce que vous avez mentionné un problème chaque fois que l'on parle de carte d'identité nationale. Cependant, nous avons déjà des pièces d'identité infranationales. Nous avons un permis de conduire, un passeport et un numéro d'assurance social.
M. Andre Boysen:
Oui.
M. Raj Saini:
En Ontario, j’ai une carte du Régime d’assurance-maladie de l’Ontario. Il se peut que nous n’ayons pas à utiliser un seul et même numéro pour tous les éléments du système, mais notre système repose sur l’utilisation de cartes.
M. Andre Boysen:
C’est exact.
M. Raj Saini:
En ce qui concerne le modèle estonien, je partage votre avis. La raison pour laquelle nous utilisons cette solution, ou la raison pour laquelle nous avons commencé à l’utiliser est que l’Estonie fait partie d’un groupe de pays plus avancés que d’autres.
M. Andre Boysen:
C’est vrai.
M. Raj Saini:
Mais vous avez dit, et je suis tout à fait d’accord avec vous, en vérité, je crois que c’est M. Anthony qui l’a dit, l’Estonie compte 1,3 million d’habitants et une grande partie de son territoire est à l’état vierge. Le régime antérieur, lorsqu’elle était sous la coupe de la Russie, n’a pas laissé de système patrimonial. Elle dispose d’un territoire d’environ 40 000 km2 dont la moitié est couverte de forêts. Les problèmes auxquels elle doit faire face ne se comparent en rien aux nôtres.
Il faudra toutefois que, un jour, nous adoptions une forme d’identificateur numérique. Si je vous pose cette question, M. Boysen, c’est parce que je connais votre société. J’ai lu un communiqué de presse de mars 2017 dans lequel vous dites qu’IBM et SecureKey collaborent à la mise au point d’une nouvelle identité numérique et d’un réseau de partage des attributs reposant sur la chaîne de blocs d’IBM.
Je n’ai aucune idée de ce que cela veut dire…
Des députés: Oh, oh!
M. Raj Saini: … ,mais cela fait bonne impression. La raison pour laquelle j’y fais allusion est que la technologie des chaînes de blocs est l’une de celles qu’on pourrait envisager d’étudier pour voir s’il y a des écarts. Vous avez parlé des cartes de crédit. Je suis un détaillant, un pharmacien pour être précis, et je sais combien il a été difficile d’obtenir des machines à cartes de crédit dans mon magasin. Il a fallu acquérir des connaissances. Nous avons eu quantité de papiers à remplir qu’il a fallu expédier au fournisseur. Est-il possible que la technologie des chaînes de blocs… Maintenant que cela fait un an que vous collaborez avec IBM, vous pouvez peut-être nous rappeler comment cette technologie est apparue. Le gouvernement pourrait-il se permettre de ne pas s’y adapter?
M. Andre Boysen:
En bref, la réponse est oui. Dans le projet que nous proposons, les gouvernements, aussi bien le fédéral que les gouvernements provinciaux, jouent un rôle important. Ils doivent s’assurer de maximiser la réussite du projet. Le projet pourrait se passer d’eux, mais sa réussite sera beaucoup plus marquante s’ils y participent.
Vous avez toutefois tout à fait raison de rappeler que nous avons déjà ces documents. Nous les utilisons pour obtenir les services dont nous avons besoin. C’est ainsi que fonctionne le modèle actuel. Nous utilisons le modèle à notre disposition pour obtenir de nouveaux services auxquels nous n’avons pas encore accès ou des services que nous voulons.
C’est ainsi que les choses fonctionnent dans le monde réel. Le problème se pose uniquement lorsque nous voulons accéder à ces services en ligne, parce que les documents ne sont pas numérisés. L’une des choses que nous demandons est précisément de numériser les documents des gouvernements afin que leurs diverses entités puissent participer au projet avec les banques, les compagnies de télécommunications, les prestataires de soins de la santé, les compagnies d’assurances et les autres prestataires de services.
Pour revenir à votre question sur les chaînes de blocs, il y a un certain nombre de choses que j’entends dire à ce sujet. Je dirais que la première est que pour assurer la réussite du projet des chaînes de blocs, il vaut mieux ne pas parler de ces dernières, parce qu’on a déjà dit tant de choses à leur sujet. Quantité d’idées différentes de ce qu’elles sont et ne sont pas circulent déjà.
Ensuite, toujours au sujet des chaînes de blocs, l’un des sujets que j’aimerais aborder est celui de la protection des renseignements personnels. L’une des caractéristiques des chaînes de blocs, qui constitue aussi un avantage, est qu’elles sont immuables. Elles ne changeront jamais. La difficulté que cela pose quand on fait intervenir le Règlement général sur la protection des données est le droit à l’oubli. Imaginez que je consente à vos conditions pour utiliser vos services et que je vous dise ensuite: « Je veux que vous m’oubliiez ». La seule façon d’honorer l’entente que nous avions est d’effacer votre chaîne de blocs.
Ce serait vraiment une mauvaise idée que d’inscrire des renseignements personnels dans une chaîne de blocs. Cette forme de sagesse est maintenant devenue la norme. Cependant, ce qui est bien est de disposer de preuves d’intégrité.
Je voudrais revenir à l’exemple de la carte de crédit que je vous ai donné il y a quelques minutes. La difficulté, monsieur Saini, est que si j’apprends assez de choses sur vous aujourd’hui, je peux me substituer à vous sur Internet. L’organisme que j’essaie de tromper est sans défense, parce que je détiens toutes vos données. Je les ai trouvées sur le Web caché.
Nous n’avons pas ce problème avec le système des cartes de crédit. Avec ce système, il existe deux types de paiements. Lorsque je me rends dans un magasin et que je paye en personne, le risque de fraude est pratiquement nul pour les raisons que je vous ai données précédemment. Toutefois, lorsque je vais acheter quelque chose en ligne chez Amazon, Amazon ne peut pas voir ma carte de crédit. Cette transaction est donc plus risquée. On parle ici de « transaction en l’absence de carte ». C’est le cas aujourd’hui de toutes les transactions de commerce électronique. Les risques sont plus élevés.
Voici ce qu’il faut savoir: de nos jours, tout ce qui concerne l’identité se fait « en l’absence de cartes ». Nous ne savons absolument pas si tout ce qu’on nous dit est vrai.
(1620)
M. Raj Saini:
Donc…
M. Andre Boysen:
Je vous demande pardon, mais je vais finir de répondre à votre question sur les chaînes de blocs.
C’est pour vérifier les preuves d’intégrité que nous utilisons les chaînes de blocs. Pour nous, la chaîne de blocs est une méthode pour mettre en place une triple barrière afin de permettre à l’émetteur des données de prouver qu’il en est l’auteur et qu’il s’agit des mêmes données qu’il a fournies à l’utilisateur pour qu’il en fasse état. Le récepteur reçoit alors les données en sachant qu’elles n’ont pas été modifiées. Le consommateur peut alors avoir confiance que ces données n’ont pas été partagées indûment. C’est pour cela qu’on utilise des chaînes de blocs.
M. Raj Saini:
Je vous remercie de cette précision. Je saisis son intérêt.
Mon second point est de rappeler que l’Estonie bénéficie d’un avantage, car elle n’a qu’un seul palier de gouvernement.
Ici au Canada, en tout cas dans la région d’où je viens, le Sud-Ouest de l’Ontario, il y a en vérité quatre paliers de gouvernement parce que nous avons un gouvernement régional. Dans l’état actuel des choses, nous avons donc quatre dépositaires de renseignements, soit le gouvernement fédéral, le gouvernement provincial, le gouvernement régional, qui élabore des politiques et fait d’autres choses, et les administrations municipales, responsables, par exemple, des taxes foncières. Chaque dépositaire gère les informations propres à son palier.
M. Andre Boysen:
Et il vous faut une identification d’utilisateur et un mot de passe pour chacun d’eux.
M. Raj Saini:
C’est exact.
Ce que je voulais dire est que lorsqu’il est question de fiscalité ou de santé, si vous devez prouver quelque chose, il faut que vous obteniez l’information de divers paliers de gouvernement.
Comment allez-vous parvenir à l’interopérabilité?
Vous n’avez pas à traiter avec un seul palier de gouvernement. Vous pouvez commencer par celui du gouvernement fédéral, mais, pour que cela fonctionne, vous allez devoir accéder à toutes les informations détenues par les divers paliers de gouvernement.
M. Andre Boysen:
J’ai quelques commentaires à vous faire et, ensuite, Mme McIver aura quelque chose à ajouter.
En vérité, actuellement, chaque service élabore ses propres règles. C’est le cas des organismes que vous venez d’énumérer. Ils tiennent à continuer à le faire. Ils veulent obliger tout le monde à faire la même chose, parce qu’ils veulent pouvoir prendre leurs propres décisions d’affaires.
Toutefois, il est important de rappeler, comme vous l’avez fait, que lorsque vous parlez aux responsables canadiens des permis de conduire, ils vont vous dire que le permis de conduire n’est pas une pièce d’identité. Il atteste seulement que vous avez appris à conduire et pourtant vous ne pouvez pas accéder à n’importe quel service en ligne sans votre permis de conduire. Ce n’est pas une pièce d’identité, mais il est utilisé comme tel.
M. Charlie Angus:
Il vous reste une minute.
M. Andre Boysen:
Ce qui importe ici est de nous assurer de pouvoir obtenir un projet que les consommateurs de tous les secteurs de l’économie pourront utiliser.
Comme je tiens à céder la parole à Mme McIver, je vais m’en tenir là.
Mme Rene McIver:
En résumé, pour ce service, nous comptons bien que tous les ministères et toutes les sources d’information faisant autorité participent à cet écosystème de façon à ce que moi, comme simple utilisatrice, lorsque j’aurai besoin d’échanger les renseignements provenant de ces sources multiples, je puisse le faire par l’intermédiaire de ce service en sachant qu’il ne recueillera aucune de ces informations pour créer ce nouveau piège à pirates centralisé qui pourrait devenir une autre cible d’attaques.
C’est l’organisme qui détient l’information qui exerce le pouvoir sur celle-ci.
M. Raj Saini:
Combien de temps me reste-t-il, 20 ou 30 secondes?
Le vice-président (M. Charlie Angus):
Vous disposez de 15 secondes, mais je suis tolérant ce soir.
M. Raj Saini:
Très bien.
Je suis d’accord avec vous sur ce point. Il y a une chose qui me plaît dans le modèle estonien: il utilise un système X-Road, avec des silos d’information le long de la route. J’ignore si c’est une solution sécuritaire ou non d’un point de vue technologique. Je ne proposerais jamais que l’information soit conservée à un endroit où elle pourrait être attaquée, mais je crois que c’est ce que l’Estonie a fait. Elle a ce système X-Road sur lequel tous les services sont interconnectés.
Pouvez-vous nous dire ce que vous en pensez? S’agit-il du même type de projet?
M. Andre Boysen:
La nature du projet est la même.
M. Raj Saini:
D’accord.
Le vice-président (M. Charlie Angus):
Je vous remercie.
Mme Rene McIver:
Certainement.
[Français]
Le vice-président (M. Charlie Angus):
Nous continuons avec M. Gourde pour cinq minutes.
M. Jacques Gourde (Lévis—Lotbinière, PCC):
Merci, monsieur le président.
Merci aux témoins d'être ici cet après-midi.
L'identifiant numérique unique semble être une avenue d'avenir. Par contre, j'aimais la position assez modérée de M. Anthony selon laquelle il faut prendre le temps de bien faire les choses, et ce, pour plusieurs raisons. Tout d'abord, nous avons déjà une infrastructure de services numériques offerts aux Canadiens, contrairement à l'Estonie, qui est partie de rien pour se rendre à l'identifiant numérique unique. Cependant, il ne faut pas jeter le bébé avec l'eau du bain.
Nous avons déjà investi énormément d'argent pour mettre en place des infrastructures numériques. Serons-nous obligés de les laisser tomber pour les remplacer graduellement par l'identifiant unique, ou serons-nous capables de récupérer la base de l'infrastructure existante? Si nous devons recommencer à zéro, il faudra dépenser des milliards de dollars. A-t-on une idée de l'ampleur du défi que représente ce service qu'on veut offrir à tous les Canadiens partout au pays?
Mes questions s'adressent à tous. Je ne sais pas qui veut y répondre en premier.
(1625)
[Traduction]
M. Matthew Anthony:
Je n'ai pas de problème à répondre à cette question ou, du moins, à contribuer à y répondre. Je ne sais pas si c’est au secteur public ou au secteur privé qu’il incombe de créer un identificateur numérique unique. Je sais, par contre, que quand j’entends parler de concepts impliquant l’emploi de mon identificateur à la banque, ou peut-être d’un autre identificateur, je veux mieux comprendre de quoi il s’agit. J’ai tendance à croire que nos institutions publiques peuvent disposer de plus d’informations qui sont davantage fiables, et qu’elles pourraient s’occuper de cette question. Mais il faut être conscient de l’ampleur de la tâche: énorme!
Je commencerai par suggérer au gouvernement fédéral d’au moins examiner l’ensemble des différents identificateurs qui sont utilisés actuellement et de choisir des endroits où il pourrait les intégrer à un système d’identification unique qui garantirait une identification de haute qualité pour les transactions qui se font au sein des services gouvernementaux et dans leur environnement. C’est par là que je commencerai avant de m’attaquer à l’extérieur.
C’est un projet d’une ampleur énorme, et je ne peux que me souvenir des commentaires de M. Boyson voulant que nous ayons un bon identificateur matériel et que le problème se pose uniquement en ligne. Je prétendrai que l’ensemble très fragile des identificateurs qui s’agrègent dans un passeport ou dans un permis de conduire ne constituent pas en vérité des authentifications rigoureuses. On ne dispose aujourd’hui que de très peu de preuves confirmant que je suis qui je dis être. J’existe, mais il n’y en a que très peu de preuves.
M. Andre Boysen:
Je veux seulement ajouter qu’il ne s’agit pas d’avoir un identificateur unique, mais bien d’avoir confiance dans l’identité de la personne à l’autre bout de la transaction. Je possède déjà aujourd’hui, dans ma vraie vie, quantité d’identificateurs. L’avantage est que cela me permet de segmenter et de compartimenter ma vie afin de ne partager que certaines informations avec cet organisme et certaines autres avec d’autres.
Un identificateur unique permettrait à quelqu’un de voir tous les endroits où je suis allé sur Internet. L’entente que nous avons avec le gouvernement du Canada est que la demande formulée au départ visait à accéder à un service précis utilisant un identificateur unique. Vous vouliez un service avec un numéro unique non significatif, un MBUN, que je pourrais utiliser partout au gouvernement. Quand nous avons examiné cette solution, nous avons conclu qu’il s’agissait là d’une idée abominable parce que nous allions mettre en place un vrai réseau de surveillance. Vous pourrez savoir tous les endroits où des gens sont allés: au magasin de bière, chez le médecin, au centre fiscal. Vous auriez pu me suivre partout. Je ne veux pas de cela. Nous avons conçu un système de protection des renseignements personnels à triple barrière pour résoudre ce problème. Nous ne l’avons pas fait pour obtenir un identificateur unique. Au gouvernement, le service que nous élaborons actuellement vous donne une pluralité d’identificateurs.
Lorsque je veux accéder au service d’un ministère donné, je dispose d’un identificateur unique que je n’utilise que pour ce ministère et c’est un meilleur modèle parce que ma relation est contextuelle. Je n’ai pas une vision complète de l’ensemble de mes données. J’ai une vision très contextualisée et compartimentée de ma vie et je veux que cela reste ainsi. Je ne veux pas un gros piège à pirates quelque part. Il est important de donner aux gens les outils et les moyens de faire cela.
J’aimerais cependant revenir un instant sur les commentaires de M. Anthony. Le passeport n’est pas un document d’authentification. Nous l’utilisons à des fins d’identité, pour prouver que nous sommes bien inscrits dans les répertoires du gouvernement. Permettez-moi de partager avec vous un élément vraiment important quand il est question d’identité. Lorsque vous demandez qui est une personne donnée, vous posez en réalité deux questions auxquelles il faut répondre en même temps. La première question est: « Existe-t-il bien une personne qui s’appelle Andre Boysen? » Il ne fait aucun doute que le gouvernement est l’auteur de ce dossier et que c’est lui qui en est responsable.
La seconde question à laquelle il faut répondre en même temps est: « Est-il Andre Boysen? » Si vous ne pouvez pas répondre en même temps à ces deux questions, vous ne parviendrez pas à faire un bon travail. Vous avez une authentification impressionnante qui est vraiment rigoureuse, mais si vous ne savez pas de qui il s’agit, cela n’est pas très utile. Il faut que vous soyez en mesure de faire le lien avec la personne qui l’a fait. Si vous pouvez combiner ce mécanisme avec le propre intérêt de la personne, les utilisateurs feront alors ce qui convient lorsqu’ils perdront l'accès à la pièce d'identité, ce qui signifie que l’escroc est éliminé. Une identité est composée de trois éléments qu’il faut garder isolés les uns des autres.
Le vice-président (M. Charlie Angus):
Merci.
M. Andre Boysen:
La première partie est la question sur l'identité: qui êtes-vous? La deuxième question vise l'authentification: êtes-vous la même personne que celle qui s'est présentée la première fois? Le troisième élément est l'autorisation: que suis-je autorisé à faire à l'intérieur de votre service?
Ce troisième domaine englobe majoritairement ce dont vous avez parlé aujourd'hui. Les deux premières questions correspondent à ce dont nous discutons: il devrait s'agir d'un service à la fois public et privé à l'échelle de l'économie. Il faut que toutes ces organisations participent.
Le vice-président (M. Charlie Angus):
Très bien, merci.
Je vais céder la parole à M. Graham.
M. David de Burgh Graham (Laurentides—Labelle, Lib.):
C'était une bonne réponse.
Le vice-président (M. Charlie Angus):
Oui, c'était en effet une bonne réponse. C'est pourquoi je me suis montré si raisonnable.
M. David de Burgh Graham:
C'est juste.
Je ne dispose pas de beaucoup de temps, aussi je vous demanderais de recourir à ce que j'appelle la « compression de données avec perte » dans vos réponses.
Des voix: Oh, oh!
M. David de Burgh Graham: Dans le monde numérique, la protection des renseignements personnels peut-elle exister sans la sécurité?
(1630)
M. Matthew Anthony:
Oui.
M. David de Burgh Graham:
La protection des renseignements personnels existe sans la sécurité.
M. Matthew Anthony:
Tout dépend de l'angle sous lequel vous considérez la question. Il est question de l'accès, afin qu'un dossier puisse demeurer confidentiel. On peut discuter des moyens de le sécuriser, mais dans ce cas... C'est une question assez compliquée.
En fin de compte, tous les aspects de la protection des renseignements personnels s'expriment sous la forme d'une certaine mesure de contrôle de la sécurité. Je pense que, théoriquement, la réponse est oui, mais que, concrètement, la réponse est non.
M. Ira Goldstein:
Je pense que si l'on inverse cette affirmation et que l'on dit plutôt que l'on peut se doter de certaines mesures de sécurité assorties de divers niveaux de protection des renseignements personnels, ce serait davantage en phase avec ce dont nous sommes en train de discuter.
La raison pour laquelle les sociétés motivées par les revenus publicitaires sont si populaires est simple; c'est parce que ces revenus leur permettent d'améliorer leur prestation de services ou de vous vendre davantage de choses. Le gouvernement devrait s'en inspirer— en ce qui concerne, évidemment, la protection des renseignements personnels des citoyens — pour dire que le gouvernement de l'avenir se caractérisera par une prestation de services plus précise et plus ciblée, et une prestation de services pouvant être sécurisée en fonction du niveau de protection des renseignements personnels les concernant que les citoyens sont prêts à accepter.
Si on offre aux citoyens un compromis, notamment en leur affirmant que l'on peut faire beaucoup plus au gouvernement avec les renseignements dont on dispose déjà en en faisant l'analyse, à l'instar du secteur privé, et en leur demandant s'ils sont d'accord, je pense que la majorité des Canadiens répondront positivement s'ils comprennent de quoi il retourne.
M. David de Burgh Graham:
Très bien.
Monsieur Anthony, lorsque vous avez commencé à répondre à la première question de Mme Fortier, vous aviez de la difficulté à entendre parce que le microphone était allumé et, par conséquent, le haut-parleur était fermé. Ce qui était à la source du problème. Ce qui me permet de faire un lien avec un point que j'aimerais soulever au sujet des interfaces non intuitives et du fait que notre plus grand problème en matière de sécurité tient à l'utilisateur. J'ai vérifié, et cela ne figure pas au compte rendu, peut-être que ce devrait y être consigné.
Qui est Kevin Mitnick, et pourriez-vous nous en parler un peu?
M. Matthew Anthony:
Vous voulez que nous parlions de Kevin Mitnick?
M. David de Burgh Graham:
Je pense qu'il s'agit d'un point très important. Il a piraté un nombre impressionnant de systèmes. Il ne se servait pas vraiment d'un ordinateur pour le faire, il avait plutôt recours au piratage psychologique.
M. Matthew Anthony:
En effet. Dans l'industrie, il arrive que l'on évite de qualifier Kevin Mitnick de pirate informatique. Au fond, il s'agissait d'un pirate psychologique, ce qui signifie qu'il manipulait les systèmes hors ligne et les individus pour obtenir de l'information, et qu'il s'en servait ensuite pour établir des relations de confiance avec d'autres personnes et, dans une certaine mesure, avec d'autres systèmes informatiques. Il est devenu célèbre. Il a fait de la prison. Aujourd'hui, il gagne sa vie grâce à sa célébrité et pour être allé en prison.
Si l'on considère l'ensemble de l'accès aux systèmes informatiques et aux données qui y sont stockées, et la possibilité de s'y attaquer, le mouvement naturel consistera à se diriger vers ce qui demande le moins d'effort. Et ce qui demande le moins d'effort est presque toujours le facteur humain. Donc, il ne suffit pas de sécuriser les technologies, il faut aussi contribuer à sécuriser les personnes.
M. David de Burgh Graham:
C'est juste.
Oui?
Mme Rene McIver:
Désolée, je voulais seulement ajouter que nous devons en arriver à un point où nous pourrons rendre les données pratiquement inutilisables. Parce que, ce qui compte vraiment, c'est la validation qui vient avec les données. Par conséquent, s'il y a une attaque — qu'il s'agisse de piratage psychologique ou autre — au cours de laquelle les agresseurs s'emparent de données et tentent de quelque manière de les réintroduire dans le système, elles seront rejetées parce qu'elles ne proviennent pas d'une source validée.
Nous voulons faire en sorte que les renseignements personnels proprement dits deviennent inutiles. Laissez les attaquants s'en emparer. Pas de problème. Ils ne peuvent rien en tirer parce qu'ils sont incapables de les valider correctement.
M. David de Burgh Graham:
Tout à fait.
M. Andre Boyson:
C'est l'idée sous-jacente de l'identité dans les transactions avec carte. La seule personne susceptible d'avoir effectué la transaction est quelqu'un qui avait en sa possession une chose qui appartient au véritable utilisateur, et le véritable utilisateur va annuler sa carte s'il la perd.
C'est de là que viendront la confiance et l'intégrité.
M. David de Burgh Graham:
Une autre faiblesse que je vois tient au traitement des données chiffrées; tôt ou tard, il faut déchiffrer ces données pour savoir quoi faire avec.
Existe-t-il un moyen de contourner cela? Est-il possible de traiter des données sans avoir à les déchiffrer? Je sais que FFE a travaillé sur la question, mais j'ignore si on a trouvé une solution.
Mme Rene McIver:
Il faut tenir compte de deux facteurs pour répondre à cette question. Tout dépend de qui veut traiter les données en question.
Dans le service où il existe un réseau d'identité, il n'est pas nécessaire que le réseau voie les renseignements protégés, n'est-ce pas? Bien entendu, il doit les transmettre. Il doit les stocker temporairement jusqu'à ce que le destinataire de l'information vienne les récupérer, mais le réseau n'a pas à voir les renseignements personnels. Donc, oui, il est possible de traiter des données sans avoir à les déchiffrer.
En réalité, le chiffrement s'effectue au niveau du fournisseur. Le destinataire de l'information devrait la déchiffrer.
L'autre facteur concerne la minimisation des données. Nous devons aussi en arriver à un point où je ne transmets pas ma date de naissance pour révéler mon âge ou que j'ai atteint la majorité; je devrais plutôt transmettre la réponse validée suivante: « Oui, cette personne est âgée de plus de 19 ans. »
Ces deux facteurs réunis peuvent contribuer à la sécurité dont nous avons besoin, du point de vue de la minimisation des données et de la réduction de l'exposition des renseignements personnels.
M. David de Burgh Graham:
J'aimerais...
Qu'est-ce que vous dites?
Le vice-président (M. Charlie Angus):
Cinq minutes.
M. David de Burgh Graham:
Mon temps est écoulé?
Le vice-président (M. Charlie Angus):
Oui. Est-ce que c'est correct? Vous vous débrouillez si bien.
M. David de Burgh Graham:
Il me reste encore au moins cinq minutes.
Le vice-président (M. Charlie Angus):
Je sais, mais je dois les accorder à M. Kent.
L'hon. Peter Kent:
C'est la dure réalité.
Monsieur Boysen, j'aimerais revenir à votre point. Le programme de cartes NEXUS utilise les données biométriques, pas dans tous les cas, mais dans certaines situations... Et parfois, le service des passeports canadiens le fait également; nous utilisons les empreintes digitales ou les images d'iris. Diriez-vous qu'il s'agit du genre d'identification positive parfaite et double dont vous nous parliez?
(1635)
M. Andre Boysen:
En effet. Ce qui me plaisait dans le programme de la carte NEXUS, c'est qu'il laissait le choix aux consommateurs. Si vous disiez aux Canadiens qu'ils doivent subir un balayage biométrique de l'iris pour obtenir un passeport, cela susciterait une vive indignation.
L'hon. Peter Kent:
En effet.
M. Andre Boysen:
Cependant, si vous donnez le choix aux gens en leur disant: « Si vous voulez accélérer le service dans les aéroports, il suffit de soumettre vos données biométriques, et vous franchirez les contrôles beaucoup plus rapidement ». Et beaucoup de gens ont fait ce choix. En laissant la possibilité de faire un choix, ces contraintes ont été acceptées.
J'ajouterais que votre propre service de connexion au gouvernement du Canada, le service des partenaires de connexion, lui aussi donne le choix. Vous n'avez pas forcé les Canadiens à utiliser leur compte de banque pour avoir accès à l'ARC s'ils ne le souhaitaient pas. Ils pouvaient toujours continuer d'utiliser un ID utilisateur fourni par le gouvernement et un mot de passe. En leur donnant le choix, vous les avez rassurés. Je ne suis pas forcé, donc je vais l'essayer et je verrai bien comment les choses se passent. Cet élément de choix est une composante clé dans l'adoption de systèmes comme celui-ci.
L'hon. Peter Kent:
La technologie de reconnaissance de l'iris utilisée pour la carte du programme NEXUS, dont l'acquisition n'a pas encore été effectuée, semble représenter une énorme montagne à gravir pour le gouvernement, le ministre des Finances et son budget.
M. Andre Boysen:
Je me permettrais de dire que ce n'est pas vraiment un bon outil pour la prestation de services en ligne. Ça me semble un peu exagéré d'exiger un balayage de la rétine si tout ce que je veux c'est me prévaloir de mon droit de vote. J'ajouterais que chacun de ces outils doit être utilisé... Il faut considérer l'ensemble des services et également, le niveau d'assurance. Toutes ces choses ne relèvent pas de la même catégorie.
En ce qui concerne les services exigeant un faible niveau d'assurance, il n'est pas nécessaire de se doter d'un tel niveau de confiance; dans ces situations, l'atteinte d'un tel niveau de fiabilité n'est pas aussi importante. Dans le cas du balayage de la rétine et de la carte du programme NEXUS, il faut également tenir compte du fait que les activités se déroulent dans un environnement contrôlé. Il faut se rendre à un poste contrôlé où des gens nous observent pour s'assurer que l'on n'essaie pas de trafiquer la machine ou de tripoter la carte. C'est cet environnement contrôlé qui est garant du processus. Vous ne pourriez pas procéder à un balayage de la rétine à partir de chez vous, par exemple, sans aucune forme de garantie, parce qu'il pourrait s'agir d'une attaque par réinsertion.
L'hon. Peter Kent:
Déjà.
M. Andre Boysen: Oui, déjà.
M. Ira Goldstein:
Mais peut-être pourriez-vous le faire finalement si nous nous inspirons du secteur privé et si nous examinons l'une des méthodes d'authentification les plus élégantes qui existent aujourd'hui. Avec les téléphones intelligents, les données biométriques et la reconnaissance faciale sont désormais monnaie courante. Effectuer un balayage de votre visage chaque fois que vous souhaitez déverrouiller votre téléphone peut sembler une approche indûment rigoureuse, mais vous savez quoi? Maintenant, c'est la réalité; les gens ne s'en formalisent pas parce que la technologie est tellement avancée, et qu'ils veulent y avoir accès, et que ça leur facilite les choses.
Je pense que nous devrions nous en inspirer. L'authentification est utilisée aujourd'hui de bien des manières, notamment lorsque l'on utilise les données biométriques chaque fois que l'on veut ouvrir son téléphone. Et il ne s'agit pas d'un nouveau système, mais d'un système existant, qui est déjà en place.
M. Andre Boysen:
Permettez-moi d'ajouter des précisions, l'utilisation des données biométriques sur un appareil est une bonne idée. Mais essayer d'enregistrer ses données biométriques à droite et à gauche n'est pas une bonne idée. C'est l'argument que j'essayais de faire valoir.
L'hon. Peter Kent:
À Toronto, les hôpitaux, les réseaux d'hôpitaux tentent depuis plus d'une décennie de... Le gouvernement de l'Ontario les encourage à mettre en place un système d'échange en ligne de renseignements d'ordre médical pour un éventail de raisons — accès à l'urgence et ainsi de suite.
Est-ce que l'une ou l'autre de vos entreprises a travaillé avec les réseaux d'hôpitaux, les cabinets de médecins pour tenter de parvenir à un système sûr?
M. Andre Boysen:
Oui, nous avons actuellement un projet pilote en cours avec le Réseau universitaire de santé. L'une des difficultés que... et j'ai d'ailleurs présenté un exposé TED sur les soins de santé et l'identité, parce que, à l'échelle du pays, le besoin le plus important en matière d'identité numérique se trouve dans les soins de santé. Nous devons résoudre ce problème parce que nous ne pouvons pas continuer à laisser les soins de santé gruger le budget.
Nous menons des projets pilotes actuellement. L'un des éléments cruciaux pour redresser la situation dans les soins de santé est qu'une solution sur mesure visant les « soins de santé seulement » ne fonctionnera pas. La raison en est que la majorité de la population utilise le système de soins de santé très rarement, ce qui signifie que les gens vont finir par oublier leur fichu mot de passe. Quant au reste de la population, il est constitué d'utilisateurs très assidus du système de santé qui, de toute façon, se rendent toujours sur place.
Il nous faut un mécanisme d'accès aux services en ligne qui fonctionnera pour les Canadiens ordinaires. Nous avons vu à quel point le service gouvernemental a donné de bons résultats pour l'ARC. C'est pourquoi nous pensons que ce modèle pourrait être étendu à d'autres services des secteurs public et privé.
Le vice-président (M. Charlie Angus):
Il s'agit cette fois du dernier tour.
C'est M. Saini qui commence.
M. Raj Saini:
J'ai une question rapide. Si vous ne pouvez pas me fournir une réponse complète aujourd'hui, pourriez-vous le faire ultérieurement par écrit? Je I'apprécierais beaucoup.
Nous parlons de l'Estonie, mais je sais que d'autres pays ont amorcé le processus. Si vous pouviez nous fournir la liste de ces pays ou nous suggérer une liste de pays que nous devrions étudier, et peut-être de la documentation pertinente, nous pourrions nous en servir dans le cadre de notre étude.
Et ensuite, voilà une chose qui me fascine, parce que, étant issu du secteur privé, et propriétaire d'une pharmacie, ma technologie était toujours à la fine pointe. Peu importe ce qu'il y avait de plus récent, je devais emboîter le pas. Maintenant, il est question d'un point NEXUS qui ira de l'avant, et dans ce contexte, le secteur privé et le secteur public vont échanger de l'information.
Comment faire pour que la technologie demeure à jour parce que le secteur privé sera toujours en avance? Le secteur public tire de l'arrière. Peu importe si les directives en matière de politique sont justes, si tout le monde a bien compris, on peut régler les problèmes en lien avec la protection des renseignements personnels, mais tôt ou tard la technologie deviendra l'élément clé parce que l'une des deux parties sera toujours en décalage avec l'autre. Si nous voulons que tout cela fonctionne correctement, comment devrions-nous procéder pour régler ce problème?
M. Andre Boysen:
J'aimerais revenir sur le commentaire de Matthew tout à l'heure, comme quoi il faut procéder lentement parfois, et ensuite rapidement, lorsque c'est possible.
Si on compare Internet et le système de paiement par carte, il est intéressant de souligner que notre manière de régler nos achats a à peine changé depuis 70 ans. Au début, nous avions une carte en papier, puis plus tard elle a été remplacée par une carte en plastique. Ensuite, nous avons fait face à deux problèmes, la vitesse des transactions et la fraude, alors nous sommes passés à la bande magnétique. Puis les escrocs ont compris comment fonctionnait la bande magnétique, et c'est alors que nous sommes passés à la carte à puce. Depuis l'adoption de la carte à puce, la fraude en personne est devenue quasi nulle, mais il reste le problème des transactions en ligne, c'est pourquoi maintenant nous la mettons dans le téléphone.
Ce qui importe, c'est que la manière dont les acheteurs paient leurs achats partout dans le monde a à peine changé en 70 ans. Sur Internet, ce mode de paiement change pratiquement toutes les semaines. Les utilisateurs ont du mal à suivre.
(1640)
M. David de Burgh Graham:
Vous parliez tout à l'heure de la reconnaissance faciale pour l'ouverture de session ou la connexion.
Si vos données biométriques ont été compromises, que pouvez-vous y faire? J'en prends pour exemple le célèbre cas du piratage des empreintes digitales d'Angela Merkel à partir d'une photographie de cette dernière.
M. Ira Goldstein:
J'aimerais vous reporter à mon exemple de l'assurance-dépôts pour vous dire que, si nous décidons d'y aller avec le déploiement de l'authentification à l'aide de données biométriques dans le contexte des services gouvernementaux, il faudra prévoir une zone tampon grâce à laquelle les citoyens seront persuadés qu'en cas de compromission, il y aura toujours un moyen de corriger le problème.
Comment faut-il faire pour obtenir de nouvelles données biométriques? Je n'ai malheureusement pas de bonne réponse à cette question. Peut-être que Matt peut répondre.
M. Matthew Anthony:
D'entrée de jeu, je dirais qu'il devient de plus en plus difficile de falsifier des données biométriques compte tenu de la sophistication de la technologie des capteurs. Par conséquent, alors que nous délaissons les empreintes digitales pour les images du visage — il est même question d'utiliser la reconnaissance du réseau veineux sur certains nouveaux systèmes téléphoniques... Nous avons utilisé la technologie de l'empreinte palmaire pendant longtemps. Peut-être qu'il est toujours possible de créer quelque mystification avec ces données. N'importe quel problème peut être résolu si on y consacre suffisamment de temps et la technologie nécessaire. On peut les trafiquer, mais je doute que l'on puisse les usurper, à moins que vous ne les ayez pas enregistrées vous-même.
Je m'explique. Si vous possédez un téléphone et que vous n'enregistrez rien, sauf un NIP à quatre chiffres, et qu'une personne s'empare de votre téléphone et y enregistre l'empreinte de son pouce, c'est trop tard, son empreinte est enregistrée dans votre appareil. Cela vous incombe, et pas à eux. La capacité de se faire passer pour quelqu'un d'autre à l'aide de données biométriques, à moins que vous n'ayez enregistré les vôtres au départ, est en train de devenir pratiquement impossible. Il y a 15 ans, je pouvais falsifier une empreinte digitale, et la réexécuter assez facilement. Mais désormais ce n'est plus possible.
M. David de Burgh Graham:
Je comprends.
Mme Rene McIver:
Tout tourne autour de la manière dont elles sont entrées dans le système, encore une fois. J'ai travaillé sur les normes relatives aux données biométriques pendant près de 10 ans en fait, et c'était intéressant. Il y avait toujours une discussion au sujet de l'entrée dans le système et de la prise de l'empreinte et de l'insertion de l'empreinte. Il y avait toujours une discussion au sujet de la détection du caractère vivant. Mais dans les faits, le système d'entrée doit comporter un moyen de détecter s'il s'agit vraiment de données biométriques réelles. Le caractère vivant caractérise vraiment les données biométriques; il devient donc de plus en plus complexe de trouver comment obtenir avec précision l'information qui prouve qu'elle n'a pas été trafiquée. Il ne s'agit pas seulement d'une empreinte digitale statique.
On peut voir la même chose dans les algorithmes de reconnaissance faciale. L'entrée des données passe par une requête vous demandant d'exécuter diverses choses, comme sourire, tourner la tête, regarder vers le bas ou fermer les yeux. Il devient de plus en plus difficile de mettre la main sur les données saisies.
M. Matthew Anthony:
Si je peux me permettre, j'ajouterais simplement que si le niveau d'accès dont vous avez besoin exige de telles précautions, je vous garantis qu'il existe des moyens plus simples d'obtenir vos données.
M. David de Burgh Graham:
Je comprends.
M. Andre Boysen:
Je ne veux pas prendre trop de votre temps, mais j'aimerais ajouter qu'en ce qui concerne les données biométriques, il ne faut pas les voir comme une solution miracle, et s'imaginer que l'on va régler tous les problèmes grâce à elles. Il faut plutôt penser à l'utilisation des données biométriques avec ce que vous avez déjà, et ce que vous n'avez pas.
Le vice-président (M. Charlie Angus):
Merci beaucoup.
J'ai vraiment l'impression que mon collègue M. Graham se lancerait dans l'obstruction, s'il le pouvait, parce qu'il a vraiment beaucoup de choses à dire. Normalement, j'aimerais bien poursuivre, mais comme nous avons pris l'engagement de finir tôt les jeudis, afin d'accommoder ceux qui ont des vols à prendre, nous allons mettre fin à la séance après cette série de questions.
Je vous remercie énormément. Nous avons eu une discussion fascinante et obtenu d'excellents renseignements. Si vous pensez à des éléments d'information susceptibles de nous être utiles dans notre étude ou si vous consultez nos témoignages à ce sujet, n'hésitez pas à nous faire part de vos commentaires parce que nous allons préparer un rapport.
Je vous en prie, monsieur Saini.
M. Raj Saini:
Je m'adresse à vous quatre, j'ai mentionné la question au sujet des pays, mais si vous pensez à tout autre renseignement susceptible de nous aider, nous vous serions très reconnaissants de nous le transmettre dans une déclaration pour que nous ayons la possibilité d'élargir notre réflexion sur ce sujet.
M. Andre Boysen:
Nous vous transmettrons de l'information, soyez-en sûrs.
Merci de nous avoir invités.
Le vice-président (M. Charlie Angus):
La séance est levée.
|