Utiliser son « identité numérique » contre soi-même : risques d’instrumentalisation et conséquences d’une identité numérique en droit criminel et pénal
Claudiu Popa
* Un article dérivé de la thèse doctorale : Claudiu POPA, Collecte de preuve et enquête étatique à l’ère de l’écosystème "police, services de renseignement, corporations privées". À la recherche d’une protection des droits fondamentaux de la personne, thèse de doctorat, Faculté de droit de l’Université de Sherbrooke et Faculté de droit et science politique de l’Université de Bordeaux, 2024.
Source : Forum Économique Mondial
Comme « l’identification numérique est présentée au Canada comme étant une innovation qui vise à simplifier en particulier des interactions qui découlent majoritairement du spectre du droit civil et des interactions privées ou publiques, mais de nature civile ou financière, l’application de la notion d’identification numérique dans le domaine du droit criminel et pénal demeure actuellement largement négligée »[1].
Identité numérique et droit pénal
Telle que décrite actuellement par le gouvernement du Québec, les conséquences de l’« identité numérique » sont notables en droit criminel et pénal. Cette notion « impacte la nature même de ce que signifie l’action "d’enquêter" et "par qui" [l’enquête] est effectuée : traditionnellement, la notion d’identité et d’identification en droit criminel constituait un élément parmi tant d’autres dans le cadre d’une enquête étatique. Avec la nouvelle définition de l’identité numérique gouvernementale et son greffage à la nouvelle infrastructure numérique, l’identification constitue l’enquête »[2].
Une fois que les autorités chargées de l’enquête accèdent à « l’identité numérique » de la personne ciblée, « l’enquête ou une partie importante de l’enquête qui devait alors être effectuée s’y trouve déjà, clé en main : une panoplie d’éléments de preuve sont déjà contenus dans le "dossier" "d’identité" de l’individu, identité légale classique, fusionnée à une multitude d’informations à caractère personnel qu’une personne génère par ses activités analogues numérisées et/ou par ses activités numériques qui lui sont attribuées à chaque moment de sa vie quotidienne, notamment via la nouvelle infrastructure numérique, transposées sous la forme de données et métadonnées qui créent un profil numérique découlant de ses processus comportementaux, métadonnées de géolocalisation, fréquence d’emploi, dossier d’assurance, dossier de crédit, dossier de conduite, dossier médical, etc. – le tout centralisé par une même entité numérique unique, en attente de consultation, sur permission (mandat) ou non, par les autorités étatiques »[3] (police, services de renseignements, autres institutions publiques de l’État, etc.).
Unité d’enquête étatique de surveillance numérique
Le ministre québécois Éric Caire avait déjà confirmé l’objectif du Ministère de participer aux enquêtes des services de police :
[E]n créant le Centre gouvernemental de cyberdéfense[4], on a mis en place un certain nombre de services, notamment la recherche systématique d'informations sur le « dark Web ». […] Maintenant, on le fait systématiquement et on le fait 24 heures sur 24, sept jours sur sept. Donc, quand on trouve des éléments (…) des éléments qui sont de nature à être enquêtés, on va transmettre les informations à la Sûreté du Québec.
[…] (o)n offre, les services d'expertise, sont disponibles. Si la Sûreté du Québec ou tout autre corps policier en a besoin, on va leur offrir ces services d'expertise[5]. (nos soulignements)
Qui est le sujet visé par l’enquête? Le ministre québécois Éric Caire répond :
M. Alain Laforest : Est-ce que ça va jusqu'à la menace envers l'État, votre surveillance du « dark Web »?
M. Eric Caire : Bien oui, je vous dirais, prioritairement.
M. Alain Laforest : Menaces envers les élus?
M. Caire : Menaces envers toute personne, tout citoyen du Québec, menaces envers sa vie privée, menaces envers ses renseignements personnels, menaces envers les individus, physiquement, évidemment, clairement[6]. (nos soulignements)
Pour ce faire, le Secrétariat du conseil du trésor du gouvernement du Québec a déclaré que le Centre gouvernemental de cyberdéfense allait mettre en place :
« une centrale de surveillance (24 heures sur 24, 7 jours sur 7) pour colliger et analyser les événements de sécurité détectés par les organismes publics, qui touchent les actifs informationnels gouvernementaux »[7].
Autrement dit :
« la création d’une unité d’enquête étatique de surveillance algorithmique de sections non-définies d’Internet en temps réel, 24/24 »[8].
Que veut enquêter le gouvernement du Québec?
Le gouvernement québécois a répondu que ce type d’enquête constante allait viser le « dark web ». « Toutefois, ce terme n’est pas défini par le ministre et dénote une nature vague, large, non-spécifique et interprétable. En pratique [et contrairement à la connotation négative attribuée à cette expression], le « dark web » ne représente pas automatiquement un endroit empreint de criminalité. Selon la définition technologique du terme, le « dark web » inclut tout aspect du web qui n’est pas indexé par un moteur de recherche (ex : Google, Bing, Yahoo ou autre), c’est-à-dire ce à quoi un utilisateur d’un moteur de recherche n’a pas accès directement en faisant une simple recherche. Cela inclut le contenu des sites web à mot de passe comme Facebook, Instagram, les sites Internet internes (comme le site interne du Directeur des poursuites criminelles et pénales, du Ministère de la défense nationale, les pages administratives internes de paie des employés des différentes institutions gouvernementales ou des établissements d’enseignement, etc.), les applications de messagerie privée, courriels, etc. »[9].
« On peut constater que l’État se donne la latitude sémantique nécessaire pour pouvoir enquêter en temps réel les actions numériques privées de tout individu ou groupe, sans mandat (conformément au Code criminel canadien), sans surveillance judiciaire »[10].
Les banquiers, activement impliqués
Dès 2018, l’Association des banquiers canadiens faisait la promotion de l’adoption d’un tel système de contrôle, en publiant un « livre blanc » intitulé « Approche fédérée pour un système d’identités numériques au Canada » (« Embracing digital ID in Canada »)[11]. En effet, il y a « un intérêt accru de la part des entités privées canadiennes qui poussent vers une définition exhaustive de la notion d’identification numérique permettant de converger le nom, la date de naissance, l’adresse et la citoyenneté de l’individu, en plus d’autres attributs comme un nom d’utilisateur, des mots de passe, et d’autres renseignements qui peuvent être ajoutés par les entités qui auront accès à l’identité numérique de la personne visée par la création d’un »[12] :
système de gestion de l’identité numérique interconnecté, ou « fédéré », liant les gouvernements et le secteur privé, où l’identité électronique et ses différentes composantes seront conservées dans divers systèmes de gestion de l’identité, indépendantes mais interconnectés. Le recours à un système fédéré permet[tra] aux citoyens de confirmer électroniquement leur identité au moyen d’une combinaison de différentes composantes, à travers le gouvernement (permis de conduire), les coordonnées de connexion bancaires et les données biométriques, comme les empreintes digitales et la reconnaissance faciale[13].
De son côté, la Banque Royale du Canada a été la première banque canadienne à implanter un système de vérification de l’identité numérique pour l’ouverture d’un compte bancaire[14], suivie par la banque CIBC[15] et autres. Interac, qui se décrit comme étant « un important fournisseur de services d’échange de paiements et de renseignements numériques »[16], promeut l’« approche globale en vue de bâtir un écosystème d’identification numérique »[17] :
Interac a contribué au lancement du Cadre de confiance pancanadien, soit l’ensemble des règlements qui régira l’échange de renseignements entre les participants au sein de l’économie numérique. Il s’agit de la première étape cruciale de l’établissement du système d’identification numérique canadien. De plus, Interac a aidé des gouvernements à entreprendre les étapes subséquentes en travaillant sur les normes sur l’identité numérique avec le Conseil Stratégique des DPI et en soutenant le Laboratoire d’identité numérique du Canada[18].
L’implication des banques pour façonner l’infrastructure de l’identité numérique au Canada[19] a été timidement signalée par certains médias depuis 2017 :
Les grandes banques canadiennes se sont jointes à l'appel d'offres de 185 millions de dollars canadiens (150 millions de dollars) visant à créer une supergrappe d'identité numérique […] la Banque Royale du Canada (RBC), la Banque de Montréal, la Banque Scotia, la CIBC, la Banque TD et la Banque Nationale du Canada sont de la partie, ainsi que les trois plus grandes sociétés de télécommunications du pays, Bell Mobility, Rogers Communications et Telus Corp. Des institutions universitaires telles que l'Université Ryerson de Toronto et l'Université de la Colombie-Britannique, ainsi que les gouvernements provinciaux de l'Ontario, de la Colombie-Britannique, de la Saskatchewan et du Nouveau-Brunswick sont également de la partie[20].
Un casier numérique permanent
Ce que le gouvernement appelle « identité numérique » constitue, en réalité, un dossier numérique, ou registre numérique permanent, qui « est susceptible d’être utilisé dans le cadre des enquêtes policières notamment pour des fins d’identification et de suivi numérique des individus, pour établir des liens entre les activités numériques d’un individu et son identité réelle permettant ultérieurement aux agents étatiques de demander les autorisations judiciaires nécessaires pour procéder via la procédure d’enquête standard (écoute électronique, géolocalisation, etc.) »[21].
Aux yeux du gouvernement, l’expression « identité numérique » semblerait plus socialement acceptable pour le public que l’expression « registre numérique permanent » sur la personne, en autant qu’on ne mentionne pas ses applications en droit criminel par les services d’enquête de l’État.
*****
[1] Claudiu POPA, Collecte de preuve et enquête étatique à l’ère de l’écosystème "police, services de renseignement, corporations privées". À la recherche d’une protection des droits fondamentaux de la personne, thèse de doctorat, Faculté de droit de l’Université de Sherbrooke et Faculté de droit et science politique de l’Université de Bordeaux, 2024, p. 433.
[2] Id., p. 429.
[3] Id.
[4] CENTRE GOUVERNEMENTAL DE CYBERDÉFENSE, Mission, Cyber.gouv.qc.ca, 2022, en ligne : <https://www.cyber.gouv.qc.ca/presentation/mission>.
[5] ASSEMBLÉE NATIONALE DU QUÉBEC, Conférence de presse de M. Éric Caire, ministre délégué à la Transformation numérique gouvernementale, M.assnat.qc.ca, 29 octobre 2021, en ligne : <http://m.assnat.qc.ca/fr/actualites-salle-presse/conferences-points-presse/ConferencePointPresse-78123.html>.
[6] Id.
[7] SECRÉTARIAT DU CONSEIL DU TRÉSOR, « Politique gouvernementale en cybersécurité », Québec, Gouvernement du Québec, 2020 p. 7.
[8] C. POPA, préc., note 1, p. 431.
[9] Id.
[10] Id.
[11] ASSOCIATION DES BANQUIERS CANADIENS, Livre blanc : Approche fédérée pour un système d’identités numériques au Canada, Cba.ca, 30 mai 2018, en ligne : <https://cba.ca/Assets/CBA/Documents/Files/Article%20Category/PDF/paper-2018-embracing-digital-id-in-canada-fr.pdf>.
[12] C. POPA, préc., note 1, p. 432.
[13]ASSOCIATION DES BANQUIERS CANADIENS, Livre blanc : Approche fédérée pour un système d’identités numériques au Canada, préc., note 11.
[14] RBC, « RBC devient la première banque canadienne à offrir des solutions numériques de vérification de l'identité au moyen de documents délivrés par une autorité gouvernementale », Rbc.com, 12 mars 2020, en ligne : ‹https://www.rbc.com/nouvelles/news/article.html?article=124440›; JUMIO et PYMNTS, « Digital ID Tracker », p. 4, 6 et ss., en ligne : ‹https://www.pymnts.com/wp-content/uploads/2020/04/Jumio-Digital-Identity-Tracker-April-2020.pdf›.
[15] CIBC, « La vérification de l'identité numérique de la Banque CIBC rend plus rapide et facile l'ouverture de compte en ligne », Cibc.fr.mediaroom.com, 27 juillet 2021, en ligne : ‹https://cibc.fr.mediaroom.com/2021-07-27-La-verification-de-lidentite-numerique-de-la-Banque-CIBC-rend-plus-rapide-et-facile-louverture-de-compte-en-ligne›.
[16] INTERAC, « À propos d’Interac Corp », Interac.ca, 2025 en ligne : ‹https://www.interac.ca/fr/entreprise/a-propos-de-nous/presentation-de-lentreprise/›.
[17] Debie GAMBLE, « La voie à suivre en matière d’identification numérique au Canada », Interac.ca, 2025, en ligne : ‹https://www.interac.ca/fr/contenu/entreprises/la-voie-a-suivre-en-matiere-didentification-numerique-au-canada/›.
[18] Id.
[19] Robin ARNFIELD, « How banks are shaping Canada's digital ID infrastructure », Americanbanker.com, 8 juillet 2022, en ligne : ‹https://www.americanbanker.com/payments/news/how-banks-are-shaping-canadas-digital-id-infrastructure›.
[20] Antony PEYTON, « Big banks back Canada’s $150m digital ID system », Fintechfutures.com, 25 septembre 2017, en ligne : ‹https://www.fintechfutures.com/biometrics-id-verification/big-banks-back-canada-s-150m-digital-id-system›.
[21] C. POPA, préc., note 1, p. 428.