«Avec l’Agence du revenu [Revenu Québec], c’est eux qui vont beaucoup mener ce projet [auprès des entreprises] et leur carnet de commandes est plein. [L’an prochain], ça reste l’objectif. Mais ce n’est pas impossible qu’on prenne un peu de retard», laisse tomber le ministre Caire, en entrevue au Soleil.

Lors de l’annonce de la création du ministère de la Cybersécurité et du Numérique du Québec, fin octobre 2021, M. Caire, qui allait en devenir ministre en titre, ciblait le mois de juin suivant, donc 2022, pour le déploiement de la première étape du Service québécois d’identité numérique. Aussi connu sous son acronyme SQIN.

Mais 13 mois plus tard, 10 mois après la mise sur pied du ministère et cinq mois après la première date butoir, pas si nombreux sont ceux qui ont vu la couleur du début du SQIN et l’utilisent. En fait, ils sont environ 30 000. Ou plutôt elles.

Le premier projet gouvernemental en ligne à passer par le Service québécois d’identité numérique sert aux éducatrices en garderie. Il s’agit pour l’instant d’une simple méthode d’authentification, avec nom d’utilisateur et mot de passe à double facteur.

«La première phase était prévue pour être prête pour juin et elle l’était!» a insisté le ministre Caire, lundi, rencontré dans ses locaux surplombant la place D’Youville, à Québec. De sa fenêtre de bureau, on voit le parlement.

Hackers payés par les développeurs?

Son cabinet a sollicité l’entrevue pour rectifier des informations publiées dans les médias récemment et qui, selon lui, sont fausses. Comme le fait que le projet soit en retard, entre autres à cause d’un blocage de la Commission d’accès à l’information (CAI).

«Non, on n’est pas en retard! On suit nos échéanciers. Actuellement, on est en déploiement avec le ministère de la Famille, comme prévu, à l’automne. Au mois de juillet, je n’avais pas de prestation électronique de service. Personne [parmi les autres ministères et sociétés d’État] n’avait levé la main pour dire : moi, je veux être le premier utilisateur de SQIN. D’une façon, ça faisait mon affaire, parce que je l’envoyais au programme de primes aux bogues. Mais en même temps, s’ils avaient été prêts, je l’aurais déployé. J’étais prêt», répète-t-il.

Pour les primes aux bogues, le gouvernement jette en pâture à des pirates informatiques gentils une copie de son programme, sur une plateforme publique spécialisée. Ces hackers honnêtes testent le produit autant que possible et détectent les failles. Pour la première phase du SQIN, le gouvernement du Québec offrait des primes de 50 $ à 7500 $. Quatre bogues ont été décelés, résultat très rassurant pour le ministre.

Puis voilà que le programme est utilisé par 30 000 éducatrices en garderie pour leurs relations numériques avec le ministère de la Famille. 

«On fait des déploiements à plus petite échelle. Mais dans les expériences vécues des problèmes passés, [les leçons apprises,] c’est justement de ne pas procéder à des déploiements massifs. Vas-y par étape, par prestation de service. Notre première prestation était avec le ministère de la Famille. C’est quand même un bassin significatif, 30 000 utilisateurs.»

Dans l’avenir, M. Caire songe même à piger les montants payés aux chasseurs de vulnérabilités informatiques de la planète dans les budgets des équipes de développeurs du ministère.

«Ce n’est pas prévu comme ça, mais ça pourrait être négocié comme ça éventuellement. Parce que je ne veux pas que les équipes soient dédouanées de faire des tests et de mettre les budgets nécessaires pour les tests parce qu’on a mis un programme de primes aux bogues. Il faut que ce soit quand les équipes disent : OK, nous, on est sûrs que notre projet est robuste et prêt à aller en production. Alors, envoyez, tirez!» explique-t-il.

Grand déploiement en janvier

Quant au supposé blocage de la CAI dû à un manque de transparence de son ministère, le ministre Caire garantit qu’il n’en est rien.

«Le torchon ne brûle pas avec la CAI. Nous leur avons déposé ce qu’il fallait en juin, mais la Commission nous a dit ne pas avoir les ressources en ce moment pour procéder à l’analyse et qu’elle s’attend à nous donner une réponse au mois de janvier. La CAI ne dit pas qu’elle est inquiète, ne dit pas qu’on manque de transparence, ne dit pas qu’on n’assure pas la protection de nos données correctement. Il est faux de dire que la Commission bloque! Nous, on veut que la CAI valide nos règles.

«En attendant, on est quand même capables d’aller de l’avant dans les phases actuelles, mais limitées. Si on veut faire un déploiement plus massif à partir de janvier, on n’a pas le choix d’avoir l’accord de la CAI. Mais je n’ai aucune raison de croire que la CAI est en train de bloquer le projet», a-t-il assuré.

Il justifie ces six mois de délai par le fait que le ministère de la Cybersécurité et du Numérique s’avère le premier désigné source officielle de données. Ce qui fera jurisprudence. «La Commission d’accès à l’information est en train de battre la trail», illustre le ministre, dans le langage évocateur qu’on lui connaît. «Et nous, on continue d’avancer. Personne en train de faire d’arythmie cardiaque.»

Pour une consultation publique

Au rayon des expressions colorées, M. Caire n’en est pas à sa première citation marquante. Outre sa promesse de déployer l’identité numérique dès juin 2022 pour ce que l’on croyait alors être tous les Québécois, le député caquiste de la région de Québec (La Peltrie) est connu pour avoir mis son siège en jeu sur le début des travaux du tunnel Québec-Lévis dans le précédent mandat.

«Je te donne un exemple plus marquant, ajoute-t-il. Moi, j’ai dit qu’à la fin de mon mandat, en 2022, on ne se servirait plus des fax dans le réseau de la santé... Veux-tu savoir où je me suis vraiment planté? Sur l’identité numérique, ça, on a livré. Mais sur les fax! Redemande-moi aujourd’hui si je peux garantir qu’en 2026 [à la fin du présent mandat], il n’y aura plus de fax dans le réseau de la santé! s’esclaffe-t-il.

«Aujourd’hui, je vois l’ampleur de ce que ça représente. Autant au plan technologique, que du changement de culture. Et le défi le plus important des deux, j’aurais tendance à dire que c’est le changement de culture. La résistance au changement, c’est très fort. Mais je ne peux pas leur en vouloir. Je regarde les fuites de données. Ils se disent : moi, mon fax est sécuritaire», lance M. Caire, sourire en coin.

Le ministre de la Cybersécurité et du Numérique s’affirme ouvert à la tenue d’une consultation publique ou d’une commission parlementaire sur des étapes subséquentes de son Service québécois d’identité numérique. Surtout sur la reconnaissance biométrique, c’est-à-dire l’authentification d’un individu par empreinte digitale, reconnaissance faciale ou imagerie de l’iris de l’œil.

Il a déjà reçu un avis de l’Observatoire international sur les impacts sociétaux de l’intelligence artificielle et du numérique (OBVIA) de l’Université Laval portant entre autres là-dessus.