Ramener la confiance à l’ère de la transformation numérique

Les données sensibles constituent une cible de prédilection pour les cybercriminels. Accéder à vos renseignements personnels peut, entre autres, permettre le vol d’identité et l’utilisation frauduleuse de cartes de crédit. Dans ce contexte, le secteur de la santé est particulièrement visé par les cybercriminels. Les hôpitaux représentent environ le tiers des fuites de données personnelles. Ces établissements détiennent d’importantes quantités de données sensibles qui peuvent être monnayées à prix élevé.

Les données médicales sont vulnérables, et pas seulement aux cyberattaques. Au Québec, une personnalité publique a vu son dossier médical consulté plus de dix fois au cours des trois dernières années, alors qu’elle n’avait pas mis les pieds dans cet établissement médical depuis plus d’une décennie. Ce cas n’est malheureusement pas isolé. La mère d’un adolescent ayant mis fin à ses jours en novembre 2020 a été horrifiée de constater que onze individus avaient accédé au dossier médical de son fils, trois ans après les faits.

En France, 9 médecins sur 10 affirment utiliser le numérique pour échanger des informations médicales avec des patients ou des collègues. La transition vers le numérique, qui s’est accentuée avec la pandémie de covid-19, pose de nombreux défis pour la protection des données personnelles.

Les incidents mentionnés ci-dessus illustrent les enjeux majeurs liés à l’accès à vos données, à la sécurité des données personnelles et à la confiance dans l’ère numérique. Bien que leur protection soit réglementée par le RGPD en Europe ou la Loi 25 au Québec, l’architecture intrinsèque du monde numérique entraîne la perte de contrôle sur la majorité de nos données sensibles. Et qui dit perte de contrôle dit perte de confiance.

Ce déficit est en partie attribuable à l’absence d’une véritable identité numérique, comme le souligne un récent livre blanc sur l’identité numérique publié par le Laboratoire d’Identité numérique du Canada.

Le triangle de confiance

Une consultation en face à face avec votre médecin est marquée par la discrétion et la confidentialité. Il n’y a pas d’intermédiaire entre le patient et le professionnel de la santé. La confiance est instaurée grâce à l’identification du patient dès son arrivée. Ce dernier présente alors une pièce d’identité physique qui est validée à la source pour en confirmer l’authenticité et vérifier qu’elle a bien été délivrée au bon individu.

Ce « triangle de confiance » est essentiel pour garantir une interaction fiable. Prenons l’exemple de la création d’un dossier médical pour une nouvelle patiente afin d’illustrer les trois rôles essentiels qui établissent ce lien de confiance. Le triangle comprend :

1. Un émetteur d’identité crédible (comme l’Assurance maladie en France ou la Régie de l’assurance maladie du Québec) qui crée et délivre des cartes d’assurance maladie, telles que la carte Vitale.
2. Le titulaire (l’individu) qui est le détenteur de cette carte d’identité et qui la conserve dans son portefeuille numérique.
3. Un vérificateur (l’hôpital) qui demande une preuve d’identité à l’arrivée du patient pour fournir des soins de santé et qui vérifie la validité de cette preuve auprès de l’émetteur.

Après vérification réussie, le patient peut être pris en charge. Cette interaction est ensuite consignée dans son dossier numérique. À partir de ce moment, le patient perd le contrôle total de son dossier médical et de ses données sensibles. Il n’y a pas de notification si le dossier a été consulté sans autorisation ni consentement explicite du patient pour les mises à jour effectuées. De plus, les informations sont stockées sur des serveurs centralisés vulnérables aux piratages.

Regagner la souveraineté de nos données par l’identité numérique

Le principe fondamental de l’identité numérique est que l’utilisateur possède ses données sensibles (dites vérifiables) et ne les partage qu’avec des entités spécifiques en cas de nécessité. Cette transaction s’effectue via une application mobile, le « portefeuille numérique citoyen ».

Ce portefeuille, similaire à un portefeuille physique, contient des données sous forme d’attestations vérifiables (Verifiable Credentials), qui peuvent être des versions numériques de votre permis de conduire, de vos diplômes ou de votre dossier médical. L’atout de l’identité numérique réside dans son processus de vérification inaltérable lorsqu’une entité demande l’accès aux données contenues dans le portefeuille numérique.

Prenons l’exemple de la consultation d’un dossier de santé. Les technologies de l’identité numérique permettraient de demander en ligne une carte d’assurance maladie numérique auprès de l’émetteur (l’Assurance maladie par exemple). Elle serait ensuite chiffrée et stockée sur le portefeuille numérique du citoyen (titulaire).

Pour accéder à ce dossier médical, un médecin devra vérifier l’authenticité de cette identité numérique via un registre de preuves décentralisé (blockchain). Ce registre permet de s’assurer qu’une attestation (carte d’Assurance maladie) a été émise au patient par un émetteur de confiance et qu’elle n’a pas été révoquée par celui-ci. Ce n’est qu’après cette validation, et avec le consentement du patient, que le médecin pourra consulter le dossier médical. Grâce à la décentralisation, remarquez que le vérificateur n’a plus besoin d’être en contact ou « connecté » avec l’émetteur afin de valider l’authenticité de l’attestation qui lui est présentée.

Une architecture de confiance

En quoi un portefeuille numérique est-il différent des portefeuilles Google Wallet ou Apple Pay ? Ces derniers emmagasinent les données sensibles sur une infrastructure cloud qui est gérée par Google et Apple, respectivement. Ces organisations ont, en tout temps, accès aux activités de leurs utilisateurs.

Inversement, le portefeuille numérique citoyen est localisé sur son appareil mobile. Seul l’individu aura accès à l’historique de ses activités et aux données que le logiciel contient, à moins qu’il consente à ce qu’elles soient partagées. Bâtis à partir de standards et de protocoles ouverts, les portefeuilles numériques peuvent atteindre un haut niveau d’interopérabilité, permettant aux utilisateurs de gérer et de partager leur identité de manière flexible et sécurisée à travers un écosystème diversifié, indépendamment des fournisseurs technologiques utilisés.

Retour vers le futur

Ce modèle décentralisé offre aux utilisateurs la possibilité d’évoluer en toute confiance dans l’univers numérique, en leur permettant de partager leurs données personnelles de façon sélective, sécurisée et confidentielle. Bien que cette technologie soit déjà disponible, son adoption est cruciale pour révolutionner la manière dont nous gérons et partageons les informations dans le monde numérique. Elle transcende la technologie elle-même, abordant des enjeux liés au respect de la vie privée, à la sécurité, à la transparence et à l’accès à l’information.

Le Canada observe attentivement les initiatives européennes concernant les normes et les projets liés à l’identité numérique. Au niveau provincial, la Colombie-Britannique a mis en place un programme d’identité numérique pour ses résidents avec succès. D’autres provinces, telles que l’Ontario, la Nouvelle-Écosse et l’Alberta, suivent cette tendance. Le Québec a entamé sa transformation numérique, comme en témoignent les initiatives ClicSéqur et Clic Santé, visant à fournir des services publics digitaux optimisés à la population.