Directive sur la gestion de l'identité

Note aux lecteurs

La Directive sur la gestion de l'identité est entrée en vigueur le 1er juillet 2019, remplaçant la précédente Directive sur la gestion de l'identité qui était en vigueur du 1er juillet 2009 au 30 juin 2019.

1. Date d'entrée en vigueur

  • 1.1La présente Directive entre en vigueur le 1 juillet, 2019.
  • 1.2Elle remplace la Directive sur la gestion de l'identité datée du 1er juillet 2009.

2. Autorisations

  • 2.1La présente Directive est émise en vertu des mêmes autorisations figurant à la section 2 de la Politique sur la sécurité du gouvernement.

3. Objectifs et résultats escomptés

  • 3.1Les objectifs de la présente Directive sont les suivants :
    • 3.1.1Gérer l'identité de façon à atténuer les risques pour la sécurité personnelle, organisationnelle et nationale, à protéger l'intégrité des programmes et à permettre une prestation de services bien gérés et axés sur le client.
    • 3.1.2Gérer les risques en lien avec l'identité de façon uniforme et collaborative à l'échelle du gouvernement du Canada et au sein d'autres compétences et secteurs de l'industrie lorsque la validation de l'identité des employées, organisations, appareils et individus est nécessaire.
    • 3.1.3Gérer de façon efficace les justificatifs, authentifier les utilisateurs ou accepter des identités numériques dignes de confiance pour les besoins de l'administration d'un programme ou de la prestation d'un service interne ou externe.
  • 3.2Les résultats escomptés de la présente Directive sont les suivants :
    • 3.2.1Les activités de gestion de l'identité favorisent l'interopérabilité, s'il y a lieu, et facilitent la participation aux ententes pour la fédération de l'identité.
    • 3.2.2L'intégration d'un cadre normalisé de niveaux d'assurance d'identité aux programmes, activités et services, et est en accord avec la stratégie pangouvernementale.

4. Exigences

  • 4.1Les gestionnaires chargés de l'exécution des programmes et services assument les responsabilités suivantes :
    • 4.1.1Appliquer les exigences par rapport à la gestion de l'identité lorsque l'une ou les deux conditions suivantes s'appliquent :
      • 4.1.1.1une identification précise est requise pour les besoins de l'administration d'un programme ou d'un service fédéral prévu par la loi; ou
      • 4.1.1.2la divulgation de l'identité est requise pour bénéficier d'un service gouvernemental, participer à un programme du gouvernement ou devenir membre d'une organisation gouvernementale.
      • 4.1.1.3l'exactitude des renseignements sur l'identité et de leurs justificatifs et leur utilisation légitime par des individus, des organismes et des dispositifs est requise;
    • 4.1.2Confirmer la nécessité de l'identification et établir l'autorité légitime de procéder à une vérification d'identité pour les besoins d'un programme particulier ou à l'appui des activités d'exécution de la loi, de sécurité nationale ou de défense;
    • 4.1.3Exposer les risques en matière de gestion de l'identité, les répercussions sur les programmes, les niveaux d'assurance requis et les options d'atténuation des risques;
    • 4.1.4Sélectionner un ensemble pertinent de caractéristiques d'identité qui est suffisant pour établir une identité unique afin de répondre aux besoins des programmes, qui est proportionnel aux risques recensés et qui est assez souple pour permettre la mise en place d'autres méthodes d'identification au besoin.
    • 4.1.5Évaluer les risques liés à l'identité et aux justificatifs en effectuant une évaluation des préjudices ayant trait à un programme, à une activité, à un service ou à une opération.
    • 4.1.6Déterminer les niveaux d'assurance de l'identité et des justificatifs requis et sélectionner les mesures de contrôle connexes pour remplir les exigences relatives aux niveaux d'assurance en conformité avec la Norme sur l'assurance de l'identité et des justificatifs.
    • 4.1.7Accepter les identités numériques de confiance fournies par l'entremise d'un cadre de fiabilité approuvé comme alternative équivalente aux interactions en personne en évaluant les processus suivants :
      • 4.1.7.1Renseignements relatifs à l'identité et au programme ‒ Définition d'un ensemble de caractéristiques suffisant permettant de distinguer une personne unique et précise et qui est requis aux fins de l'administration d'un programme ou de la prestation d'un service.
      • 4.1.7.2Assurance de l'identité, Assurance des justificatifs tel qu'identifié dans la Norme sur l'assurance de l'identité et des justificatifs.
      • 4.1.7.3Enregistrement de l'identité : Association de l'identité et des renseignements personnels aux justificatifs confiés à une personne (l'enregistrement de l'identité peut également être désigné sous le nom de liaison ou de mappage d'identité).
      • 4.1.7.4Avis et consentement : Processus consistant à fournir un avis ou à obtenir le consentement d'une personne afin d'effectuer la collecte, l'utilisation et la divulgation légale de renseignements relatifs à l'identité et des renseignements connexes propres au programme, puisque ces renseignements sont liés à l'utilisation par la personne des justificatifs qui lui auront été confiés.
    • 4.1.8Consulter le Dirigeant principal de l'information du Gouvernement du Canada lors de l'établissement d'ententes pour la fédération de l'identité ou l'adoption de cadres de fiabilité.
    • 4.1.9Recourir aux services intégrés obligatoires en matière de gestion de l'identité, de gestion des justificatifs et d'authentification électronique.
  • 4.2Les gestionnaires des ressources humaines assument les responsabilités suivantes :
    • 4.2.1Attribuer un code d'identification de dossier personnel (CIDP) unique à chaque fonctionnaire du gouvernement fédéral aux fins de la gestion des données et des opérations concernant l'employé.
    • 4.2.2Attribuer un identificateur unique à chaque employé qui doit être identifié auprès d'un organisme à l'extérieur de la fonction publique fédérale.

5. Rôles des autres organisations gouvernementales

  • 5.1Les rôles d'autres organisations gouvernementales en lien avec la présente Directive sont décrits dans la section 5 de la Politique sur la sécurité du gouvernement.

6. Application

  • 6.1La présente Directive s'applique aux organismes visés à la section 6 de la Politique sur la sécurité du gouvernement.

7. Références

  • 7.1Les références énoncées dans les sections 7 et 8 de la Politique sur la sécurité du gouvernement s'appliquent à la présente Directive.

8. Demandes de renseignements

  • 8.1Les membres du public peuvent communiquer avec la section responsable des demandes de renseignements du Secrétariat du Conseil du Trésor du Canada pour toute question en ce qui concerne la présente Directive.
  • 8.2Les employés des ministères devraient communiquer avec leur groupe ministériel de la gestion de la sécurité pour toute question en ce qui concerne la présente Directive.
  • 8.3Les employés du groupe de la gestion de la sécurité peuvent communiquer avec la sec@tbs-sct.gc.ca pour des interprétations.

Annexe A : Norme sur l'assurance de l'identité et des justificatifs

Précise les exigences minimales d'application d'un niveau d’assurance de l’identité et des justificatifs à un programme ou un service du gouvernement du Canada. La Norme sur l’assurance de l’identité et des justificatifs se trouve à l’adresse suivante : https://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=32612

Annexe B : Définitions

Les définitions à utiliser pour l'interprétation de la présente Directive se trouvent à l'annexe B de la Politique sur la sécurité du gouvernement.

© Sa Majesté la Reine du chef du Canada, représentée par le président du Conseil du Trésor, 2017,
ISBN: 978-0-660-09647-6