Jump to Left NavigationJump to Content Commissariat à la protection de la vie privée du Canada / Office of the Privacy Commissioner of Canada Gouvernement du Canada
EnglishContactez-nousAideRechercheSite du Canada
AccueilQuoi de neufÀ propos de nousFAQsCarte du site
Notre mandat
Conclusions de la commissaire
Exemples de plaintes réglées (Rapidement / En cours d'enquête)
Résumés d'incidents
Questions-clés
Centre des médias
Centre des ressources
Trousse pour les entreprises
Trousse pour le grand public
Rapports et Publications
Programme des contributions
Discours
Activités à venir
Informations sur le domaine de la vie privée
Aperçu des lois provinciales/
territoriales
Législation
Évaluation des facteurs relatifs à la vie privée
Fiches d'information
Jeu-questionnaire sur la protection de la vie privée
Divulgation proactive
Centre des ressources

Lignes directrices en matière d’identification et d’authentification

Octobre 2006

Comme beaucoup de lois en matière de protection des renseignements personnels, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ) exige, sauf dans un nombre limité d’exceptions particulières, qu’une organisation communique des renseignements personnels uniquement avec le consentement de la personne à qui ils se rapportent. De plus, la LPRPDÉ prévoit que l’organisation doit protéger les renseignements personnels au moyen de mesures de sécurité correspondant à la sensibilité des renseignements. Pour se conformer à ces exigences, les organisations peuvent devoir être en mesure d’identifier leurs clients.

Les processus d’authentification peuvent contribuer à la protection de la vie privée en réduisant le risque de communications non autorisées, mais seulement s’ils sont correctement conçus en tenant compte de la nature délicate de l’information et des risques qui sont associés à cette information. Trop de processus rigoureux d’authentification ou de requêtes inutiles d’authentification auprès de personnes, peuvent conduire à une invasion de la vie privée.

Ce document a pour but d’aider les organisations à concevoir des méthodes d’identification et d’authentification des clients qui respectent les pratiques équitables prévues dans la LPRPDÉ et qui garantissent la conformité aux dispositions en matière de sécurité de cette loi, en assurant la protection maximale des renseignements personnels des clients. 

La portée de ce document se limite aux techniques d’identification et d’authentification utilisées entre les organisations et les personnes. L’authentification interentreprise va au‑delà de la portée de ce guide. Pour obtenir des conseils particuliers sur l’authentification dans un environnement électronique, consultez le document  « Principes d’authentification électronique : cadre canadien »,  mis au point par un groupe de travail formé de plusieurs intervenants sous la direction d’Industrie Canada, http://e-com.ic.gc.ca/epic/internet/inecic-ceac.nsf/fr/h_gv00240f.html.

Même si les lignes directrices visent principalement l’authentification effectuée entre des organisations et des personnes, les organisations doivent avoir en place des processus qui leur permettent d’authentifier les employés ayant accès aux renseignements personnels des clients. Les organisations doivent pouvoir authentifier les employés pour éviter, par exemple, les cas où une personne se ferait passer pour un employé afin d’accéder aux dossiers des clients.

Introduction

Les mots identification et authentification sont souvent confondus. Pourtant, ils n’ont pas le même sens. 

L’identification consiste simplement à donner son nom : « Je m’appelle Jean Dupond. Mon numéro de compte est… » L’authentification est la vérification de cette déclaration.

Beaucoup d’entreprises doivent identifier leurs clients. Alors que certaines transactions (par exemple, des ventes au détail) peuvent se faire dans l’anonymat total, un grand nombre d’autres opérations exigent que l’entreprise sache avec qui elle fait affaire. 

L’identification d’un client permet à l’entreprise de s’assurer que les transactions que celui‑ci effectue sont portées au bon compte et que les enregistrements de ces transactions sont accessibles. Il n’est pas nécessaire que l’identité donnée au client soit une « vraie identité », comme un nom (p. ex., Jean Dupond). Il peut s’agir d’une identité créée pour la relation commerciale (p. ex., client A167).

Lorsqu’une personne se présente à l’entreprise et déclare être un client avec qui elle a un lien, l’entreprise a normalement besoin d’authentifier la déclaration. L’authentification a une importance particulière si la personne veut effectuer une transaction dans le compte d’un client, ou encore obtenir des renseignements sur le compte.

Contexte

À l’ère de l’information, les façons d’identifier et d’authentifier des personnes, ainsi que les circonstances dans lesquelles se font l’identification et l’authentification, ont radicalement changé. 

Dans un contexte social et économique des plus complexes où les échanges sociaux et économiques sont devenus impersonnels, l’identification et l’authentification des clients reposent moins sur des liens personnels et davantage sur des éléments d’information que, en théorie, seuls les clients devraient connaître (comme les mots de passe) ou posséder (par exemple, les cartes d’identité). Dans notre monde informatisé, l’authentification est essentielle à la lutte contre les nouvelles menaces contre la personne, comme le vol d’identité, la fraude financière et l’atteinte à la vie privée. 

L’élaboration de systèmes d’identification et d’authentification exige l’atteinte d’un équilibre dont la nature est quelque peu délicate. 

  • Les exigences en matière de sécurité doivent s’harmoniser avec les exigences pratiques et opérationnelles. Les organisations devant authentifier des personnes veulent pouvoir le faire rapidement et efficacement. Les processus d’identification et d’authentification doivent être suffisamment rigoureux pour empêcher les impostures sans être trop complexes ou risquer que les clients les perçoivent comme portant atteinte à leur vie privée. 
  • Les clients doivent être convaincus que les processus d’authentification sont suffisamment efficaces et rigoureux pour empêcher qu’on porte atteinte à leur droit à la vie privée ou qu’on vole leur identité ou leur argent. Par contre, un processus d’authentification qui refuserait par erreur des clients légitimes peut aussi créer des problèmes autant pour les clients que les organisations, particulièrement dans les marchés compétitifs.
  • Une organisation doit avoir suffisamment de renseignements sur ses clients pour pouvoir les identifier et authentifier leur identification, mais doit également s’assurer de ne pas recueillir, utiliser ou conserver des renseignements personnels non nécessaires afin de ne pas porter atteinte à la vie privée de ses clients. 

Une des façons d’atteindre cet équilibre est de faire intervenir le client. Comme il est mentionné ci‑dessus, les processus d’authentification doivent être établis en fonction de la sensibilité des renseignements et des risques associés à ces renseignements. Ils doivent également tenir compte du fait que les personnes n’ont pas tous les mêmes attentes ni les mêmes besoins. Les organisations ne peuvent pas utiliser la même approche pour tous les types de transactions.

Authentification à un, à deux ou à trois facteurs

Les discussions sur l’authentification portent souvent sur ces trois facteurs de base (c’est‑à‑dire sur les trois types d’éléments d’information qui peuvent servir à authentifier une personne) :

  • quelque chose que la personne connaît (par exemple, un mot de passe, un numéro d’identification personnel ou NIP, un numéro de compte, une couleur préférée, le nom du premier animal de compagnie);
  • quelque chose que la personne possède (par exemple, une carte bancaire, un jeton d’authentification, une carte d’identité, un certificat d’utilisateur numérisé);
  • quelque chose qui fait partie de la personne (par exemple, un trait biométrique comme son visage, sa rétine ou sa voix) ou que seule cette personne peut faire (comme sa signature).

Dans certains cas, un seul de ces éléments d’information suffit pour authentifier une personne. Dans d’autres cas, il faut les combiner. Exemples :

  • Accès au courrier électronique avec un mot de passe : requiert un processus d’authentification à un facteur qui a trait à quelque chose que la personne connaît.
  • Accès à un secteur restreint avec une carte d’identité à microcircuit intégré (une carte à puce) et un balayage de la main (biométrie) : requiert un processus d’authentification à deux facteurs qui repose sur quelque chose que la personne possède (la carte à puce) et sur quelque chose qui fait partie d’elle (le trait biométrique).
  • Accès à un secteur restreint avec une carte à bande magnétique valide, un NIP à quatre caractères et un balayage de la main : un processus d’authentification à trois facteurs qui repose sur quelque chose que la personne connaît (le NIP), quelque chose qu’elle possède (la carte) et quelque chose qui fait partie d’elle (le trait biométrique). La personne doit satisfaire aux trois facteurs pour obtenir l’accès au secteur.

Deux ou trois véritables facteurs d’authentification nécessitent l’utilisation des éléments de deux ou trois des catégories ci-dessus. L’authentification basée sur deux éléments de la même catégorie, par exemple un numéro de compte et un mot de passe ─ deux choses que quelqu’un connaît─  fait davantage référence à une « authentification multicouches »

Risque et menaces

L’identification et l’authentification sont des éléments fondamentaux de la gestion du risque :

  • le risque, pour une organisation qui applique une pratique d’authentification inadéquate, de refuser l’accès à un client légitime ou de donner l’accès à un imposteur;
  • le risque, pour les personnes, que leurs renseignements personnels soient perdus ou communiqués à tort, qu’on leur vole leur identité ou leur argent ou encore qu’on porte atteinte à leur vie privée.

Pour gérer efficacement le risque, il faut toujours tenir compte de ces deux aspects du risque : la possibilité que survienne un incident et la gravité des conséquences de l’incident. Une bonne gestion du risque nécessite que l’on considère ces deux aspects du risque.

À l’ère de l’information, les menaces d’infractions à la confidentialité des renseignements personnels changent constamment et de nouvelles menaces apparaissent. À mesure que ces menaces évoluent et sont davantage comprises, les organisations doivent adapter leurs politiques et leurs pratiques afin de pouvoir y faire face.

Certaines menaces résultent de stratagèmes très complexes reposant sur les technologies de l’information et des communications. Par exemple, l’augmentation de l’utilisation de l’Internet et le commerce électronique ont donné lieu à la pêche aux renseignements personnels, un procédé qui fait croire aux utilisateurs qu’un fournisseur de services, habituellement leur institution financière, leur demande de confirmer des renseignements personnels. En cliquant sur le lien fourni dans le courriel frauduleux, la victime est amenée sur un site Web qui semble authentique et familier alors qu’il ne l’est pas. Sur ce site, l’utilisateur entre des données d’authentification (par exemple, son nom d’usager et son mot de passe) qui sont acheminées du site frauduleux aux fraudeurs, sans que la victime ne se doute de quoi que ce soit. Les fraudeurs utilisent ensuite les données d’authentification à leur avantage et au détriment de l’utilisateur.

La transmission de renseignements par courrier électronique s’avère donc risquée, puisque le destinataire du courriel ne peut pas facilement authentifier l’expéditeur — l’adresse électronique étant un simple identificateur. Des renseignements supplémentaires sont nécessaires au destinataire afin que ce dernier puisse déterminer si le message et l’expéditeur sont authentiques. En outre, le destinataire n’a pas l’entière garantie que les renseignements qu’il reçoit n’ont pas été interceptés et modifiés entre-temps. 

Une des façons de réduire ce risque est de ne jamais utiliser le courrier électronique pour demander des renseignements d’authentification. Si on doit avoir recours à la transmission électronique, il faut employer des processus d’authentification à facteurs multiples, des mots de passe à utilisation unique ou des certificats partagés de clés secrètes ou de clés publiques afin de gérer cette menace et de réduire considérablement le risque à la fois pour la personne et pour l’organisation.

Néanmoins, les organisations ne devraient pas faire fi des menaces « à faible technicité ». Par exemple, un grand nombre de vols d’identité sont perpétrés par des personnes connues des victimes. Le voleur d’identité peut être un membre de la famille ou un collègue qui connaît plusieurs éléments d’identité personnels de la victime, par exemple sa date de naissance ou le nom de fille de sa mère, ou qui a accès à ses effets personnels, comme un portefeuille ou un sac à main renfermant des cartes bancaires ou une carte d’assurance sociale.

Les processus reposant sur des éléments d’identité personnels, ou d’authentification à un facteur, sont souvent plus faciles à déjouer par les proches de la victime. L’authentification à facteurs multiples et les éléments d’authentification personnels ne nécessitant pas la connaissance de faits personnels peuvent aider à réduire ce type de menace et à réduire grandement le risque pour les organisations et leurs clients.

En somme, le risque doit être évalué en fonction de la sensibilité et de la valeur du service ou des renseignements auxquels une personne accède, des menaces envers ce service ou ces renseignements – vol, communication non autorisée, etc. – et de leur vulnérabilité. L’analyse des risques liés à l’identification et à l’authentification est souvent un processus complexe et structuré qui doit refléter la culture de l’entreprise et qui doit être périodiquement réévalué.  

Lignes directrices de base en matière d’identification et d’authentification

Les lignes directrices ci‑dessous ont pour objet d’aider les organisations à développer des processus d’identification et d’authentification. Comme il est indiqué ci‑dessus, elles visent les techniques d’identification et d’authentification utilisées pour les échanges entre citoyens/consommateurs et organisations.

Authentifier seulement lorsque nécessaire

Une organisation doit authentifier l’identité d’une personne seulement lorsque c’est nécessaire en raison de la nature de la transaction, comme le prévoit le principe 4.4 de la LPRPDÉ - « L’organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées ». Le fait de demander à des personnes de s’identifier elles‑mêmes lorsque ce n’est pas nécessaire limite leur contrôle sur leurs renseignements personnels. En outre, les organisations doivent limiter l’authentification à ce qui est nécessaire.

Le niveau d’authentification doit être proportionnel au risque

La rigueur des processus d’authentification doit être proportionnelle au risque couru par les renseignements devant être protégés, le risque étant fonction de la sensibilité des renseignements ou du service en question, de leur vulnérabilité et de la menace. En général, plus le risque est élevé ou plus la nature des renseignements ou du service est délicate, plus il faut utiliser de facteurs dans l’authentification de la personne. Exemples :

  • Un processus d’authentification à un facteur peut suffire à permettre à une personne d’accéder à une boîte vocale ou de vérifier le solde du compte d’un programme de fidélisation.
  • Pour obtenir le solde du compte d’un programme de fidélisation, un client peut devoir fournir un numéro de compte ou de membre ainsi qu’un code d’accès numérique (authentification à un facteur multicouches).
  • Des services financiers qui permettent de donner des directives de paiement et de transférer des sommes importantes à des tiers peuvent exiger un processus d’authentification à deux facteurs.

En outre, le niveau et les méthodes d’authentification peuvent varier selon la nature de l’interaction avec le client. Par exemple, dans certains cas, une organisation peut demander plus de renseignements au moment de l’ouverture d’un compte qu’elle en demande pour donner l’accès aux renseignements sur un compte. Au cours des interactions subséquentes, l’organisation fait habituellement l’authentification en fonction des renseignements recueillis au moment d’établir la nature du lien avec le client, possiblement en demandant en plus un mot de passe ou un renseignement partagé (p. ex., le solde figurant sur le relevé du mois précédent).

Répondre à la variabilité des menaces

Les organisations devraient régulièrement réévaluer les risques et les menaces que présente chacun de leurs points de services et prendre les mesures d’atténuation du risque qui s’imposent, y compris le rajustement des processus d’authentification, afin de réagir à la variabilité des menaces. Les organisations pourraient ainsi demeurer au fait des changements dans les pratiques opérationnelles et les technologies qui vont soit renforcer les processus d’authentification déjà en place, soit les miner.

Les organisations doivent demeurer vigilantes face au « risque rampant » que présentent non seulement la variabilité des menaces et les changements technologiques, mais également les pratiques consistant à ajouter périodiquement de nouveaux services aux services existants. En pareils cas, les organisations doivent s’assurer que les processus d’authentification en place permettent d’atténuer les risques que peuvent entraîner les nouveaux services. Par exemple, un processus d’authentification peut convenir à la vérification du solde d’un compte, mais ne pas être suffisamment rigoureux quant à l’accès à de l’information sur l’utilisation de services ou aux transactions portées à un compte.

Contrôler régulièrement les menaces

Les organisations devraient évaluer régulièrement les tentatives d’attaques, les pannes et les pertes de données qui surviennent pendant la réalisation d’un programme structuré d’évaluation du risque et des menaces, et mesurer la sensibilisation et la confiance des clients à l’égard des processus d’authentification en place.

Former les employés

Les organisations devraient faire en sorte que tous les représentants des services à la clientèle et autres employés qui ont accès à des renseignements personnels reçoivent une formation appropriée sur l’importance de protéger les renseignements personnels des clients, y compris sur la nécessité de protéger ces données contre l’accès et la communication non autorisés. 

Dans le cadre de la formation continue donnée aux représentants des services à la clientèle, les organisations doivent fournir une formation sur les politiques et les processus d’authentification, notamment à l’aide d’exemples d’atteintes possibles à la vie privée, comme les tentatives d’extorsion de renseignements personnels. La formation doit être mise à jour en fonction des changements apportés aux politiques et aux processus, mais aussi en fonction des nouvelles menaces.

Rôle des personnes

Les personnes ont un rôle à jouer dans la protection de leurs renseignements personnels. Il leur incombe de poser des questions et d’éviter le recours à des processus d’authentification non concluants, en choisissant des éléments d’authentification plus rigoureux (comme des mots de passe et des NIP qui sont difficiles à deviner), ainsi que de toujours protéger leurs identificateurs et authentificateurs.

Modifier les données d’authentification

Les organisations doivent donner aux personnes la possibilité de modifier périodiquement leurs données d’identification ainsi que les authentificateurs que ces derniers ont eux‑mêmes choisis.

Choix personnels

Les personnes doivent pouvoir choisir leurs éléments d’identification et d’authentification aux fins de la gestion des risques liés à leur identité et à leur droit à la vie privée. Par exemple, elles devraient pouvoir choisir :

  • leur propre identificateur; ils ne devraient pas être obligés, par exemple, d’utiliser leur nom (Cependant, il peut y avoir des cas, notamment pour l’ouverture de comptes de banque, où les organisations doivent demander des renseignements spécifiques et pour lesquels il n’est pas possible d’utiliser un surnom ou un autre identificateur.);
  • leurs mots de passe personnels et leurs clés secrètes partagées, y compris les mots de passe ou les NIP qui excèdent la longueur minimale normalisée, par exemple, quatre caractères; 
  • les questions et réponses (Q et R) lorsque des préférences personnelles servent de critères d’authentification;
  • les mots de passe uniques et les clés secrètes partagées pour des services différents mais complémentaires (par exemple, un service Internet et des services téléphoniques offerts par la même entreprise);
  • quand modifier leurs identificateurs;
  • d’utiliser ou non des données d’identification personnelles à des fins d’authentification (voir ci‑dessous).

Les organisations devraient offrir aux clients qui en font la demande des processus d’authentification renforcés. Par exemple, les organisations devraient permettre aux personnes d’ajouter un mot de passe à leurs comptes afin d’empêcher les personnes non autorisées d’accéder à leurs renseignements ou à consulter leurs dossiers.

Faciles à se rappeler, difficiles à deviner

Lorsqu’un client choisit un facteur d’authentification basé sur quelque chose qu’il connaît, l’élément d’information doit être facile à retenir ou à masquer, mais difficile pour une autre personne à deviner ou à communiquer. Il faut encourager les clients à suivre cette directive; les processus d’authentification et les programmes de sensibilisation devraient promouvoir cet objectif.   

Les clients doivent protéger leurs mots de passe, leurs NIP, etc., contre la communication accidentelle ou non autorisée, ce qui veut dire qu’ils ne devraient pas tenir un registre de ces éléments d’information. Toutefois, dans les cas où des personnes peuvent avoir une douzaine ou plus de mots de passe ou de NIP à mémoriser, il arrive que, plutôt que de les écrire, elles utilisent simplement le même mot de passe, qui est peut-être facile à deviner, pour différentes applications, ce qui augmente le risque. En pareil cas, il serait donc peu réaliste de s’attendre à ce que les clients ne notent pas ces éléments d’information quelque part. Si certaines personnes estiment qu’elles doivent tenir un registre de leurs mots de passe, il faudrait les inciter à conserver ce registre dans un endroit sécuritaire, par exemple, dans un fichier informatique chiffré.

Éléments d’identification personnels

Idéalement, l’authentification ne devrait pas être basée sur les éléments suivants :

  • des éléments d’identification personnels (c’est‑à‑dire des renseignements qui ne changeront pas, comme la date de naissance, le nom de fille de la mère et le lieu de naissance);
  • d’autres renseignements et identificateurs que les clients vont acquérir pendant leur vie qui ne sont pas facilement ou souvent modifiés (par exemple, le numéro d’assurance sociale ou le numéro de permis de conduire).

Ces éléments d’identification et numéros sont probablement connus d’autres personnes; ils peuvent être relativement faciles à obtenir, mais, une fois compromis, ils sont difficiles sinon impossibles à changer. 

Jetons d’authentification

Les jetons d’authentification (cartes d’identité, permis de conduire, passeports, etc.) peuvent être utilisés avec plus de confiance lorsque leur authenticité peut être vérifiée. En général, les émetteurs de jetons sont les mieux en mesure d’évaluer le niveau de fiabilité à leur attribuer. Idéalement, ces jetons devraient être utilisés uniquement aux fins prévues initialement (par exemple, un permis de conduire ne devrait pas en principe servir de carte d’identité). Dans d’autres cas, une organisation devrait se fier à un jeton seulement si elle est convaincue de l’intégrité du processus d’attribution. Par exemple, un permis de conduire délivré à l’étranger peut présenter plus de risques qu’un permis délivré au Canada.

Intégrité des processus d’authentification

Les processus d’authentification devraient comporter des garanties qui vont protéger la confidentialité et l’intégrité des données d’authentification pendant que celles-ci sont validées, puis conservées. Il ne devrait pas être facile de dupliquer des techniques d’authentification. Le matériel d’authentification ne devrait pas pouvoir être facilement dupliqué ni copié; il devrait être aisément vérifiable. Compte tenu du fait qu’il est relativement facile de reproduire des adresses électroniques et l’identité de l’auteur d’un appel, les organisations devraient être très prudentes lorsqu’elles utilisent des courriels, des adresses électroniques et les numéros de téléphone d’où proviennent des appels pour authentifier des personnes.

Liste maîtresse

Le processus d’authentification devrait comprendre la tenue de registres fiables des transactions d’authentification, y compris la date, l’heure et le résultat obtenu. Les registres devraient également consigner et gérer les tentatives d’authentification et les échecs, et prévoir des mécanismes d’identification des modèles de comportements non autorisés et les mesures qui s’imposent. Les dossiers de vérification ne devraient pas comprendre les renseignements d’authentification comme tels. En outre, ces dossiers devraient être protégés puisqu’ils servent à créer des pistes qui peuvent révéler des renseignements sur des clients.  

La quantité d’information recueillie sur la liste maîtresse doit tenir compte des niveaux de risques associés aux renseignements ou aux services.

Impartition 

Conformément à la LPRPDÉ et à d’autres lois en matière de protection des renseignements personnels, la responsabilité des renseignements personnels incombe à l’organisation qui les a recueillis (p. ex., l’institution financière ou l’entreprise ayant fourni le service), même dans les cas où le traitement de l’information est confié à un tiers. Dans les cas où une organisation impartit le service à la clientèle à un tiers, la responsabilité principale de garantir que les processus d’identification et d’authentification sont adéquats revient quand même au fournisseur de service que le client a choisi. Même si l’authentification comme telle est effectuée par le tiers, l’organisation conserve la responsabilité de garantir que les processus d’authentification appliqués par le tiers à qui le travail a été imparti ou autrement confié satisfont à ses exigences, ainsi que d’assurer la protection des renseignements et des biens des clients.
 

Date de diffusion : 2006-10-13
Date de modification : 2006-10-13

 Top of Page Avis importants