Justificatifs d’identité numériques vérifiables axés sur les utilisateurs

Le 7 octobre, 2019

1. La date de fermeture de ce défi a été prolongée au 7 novembre 2019 14:00 HE.
2. La pièce jointe n° 1 a été ajoutée. Le document comprend des questions et des réponses liées au défi.
3. Les Résultats souhaités et éléments à considérer sont modifiés comme suit:

RETIREZ:

Résultats souhaités et éléments à considérer

Résultats essentiels (obligatoires)

Les solutions proposées doivent :

1. créer des justificatifs d’identité numériques vérifiables axés sur les utilisateurs capables de fonctionner sur une plateforme de vérification interopérable nationale ou mondiale;
2. protéger la vie privée et l’identité de l’utilisateur en tout temps;
3. incorporer les spécifications d’interopérabilité émergentes et/ou matures suivantes, qui ont été financées, mises à l’essai et/ou défendues par le Département de la sécurité intérieure des États-Unis d’Amérique :

• justificatifs d’identité vérifiables : le projet Blockcerts et/ou le projet Indy de Hyperledger;
• identificateurs décentralisés (organismes d’élaboration de normes : Consortium World Wide Web (W3C) ou Decentralized Identity Foundation);
• justificatifs d’identité vérifiables (organisme d’élaboration de normes - W3C);
• notation des objets du langage Java pour les données liées / JSON-LD (organisme d’élaboration de normes - W3C);

4. respecter les instruments de politique, les lignes directrices et les cadres applicables, y compris, mais sans s’y limiter, les suivants :

• les exigences précisées dans la Directive sur la gestion de l’identité du Conseil du Trésor;
• les critères de conformité précisés dans le profil du secteur public du Cadre de confiance pancanadien.

Résultats souhaités supplémentaires

Les solutions proposées devrait :

1. donner aux émetteurs et aux destinataires la propriété de leurs documents officiels qui peuvent être signés de manière cryptographique et présentés n’importe où pour vérifier la provenance et la propriété des justificatifs d’identité;
2. donner aux émetteurs et aux destinataires l’autonomie nécessaire leur permettant d’utiliser leurs documents et de vérifier leurs justificatifs d’identité numériques. Par exemple, si les émetteurs décident de changer de fournisseur par la suite, ils conservent le plein accès et l’utilisation de leurs certificats numériques;
3. donner à des tiers de confiance la possibilité de vérifier n’importe quel document gratuitement et de manière indépendante, et indépendamment de tout fournisseur de logiciel ou de toute institution émettrice. Les tiers de confiance peuvent facilement vérifier tout justificatif d’identité numérique grâce à une technologie largement disponible, comme un navigateur Web ou un téléphone mobile. La vérification repose sur des approches ouvertes et interopérables;
4. fournir une sécurité à la fine pointe en matière de justificatif d’identité numérique pour permettre une économie de confiance mondiale basée sur des signatures cryptographiques, permettant ainsi à des tiers de vérifier leur provenance et leur propriété;
5. présenter les composantes de l’identité auto souveraine:

• décentralisée et mobile;
• maitrise des caractéristiques;
• indépendance par rapport à un registre centralisé, un fournisseur d’identité ou une autorité de certification.

INSÉREZ:

Résultats souhaités et éléments à considérer

Résultats essentiels (obligatoires)

Les solutions proposées doivent :

1. créer des justificatifs d’identité numériques vérifiables axés sur les utilisateurs capables de fonctionner sur une plateforme de vérification interopérable nationale ou mondiale;
2. protéger la vie privée et l’identité de l’utilisateur en tout temps *(voir note);
3. incorporer les spécifications d’interopérabilité émergentes et/ou matures suivantes, qui ont été financées, mises à l’essai et/ou défendues par le Département de la sécurité intérieure des États-Unis d’Amérique :

• identificateurs décentralisés (organismes d’élaboration de normes : Consortium World Wide Web (W3C) ou Decentralized Identity Foundation);
• justificatifs d’identité vérifiables (organisme d’élaboration de normes - W3C); et
• notation des objets du langage Java pour les données liées / JSON-LD (organisme d’élaboration de normes - W3C);

4. Démontrer la faisabilité des spécifications décrites ci-dessus à l’appui de la création, de la transmission et du stockage de justificatifs d’identité numériques vérifiables à l’aide de mises en œuvre de référence de portefeuille ou d’agent. Ces mises en œuvre de référence peuvent comprendre, mais ne sont pas limitées à : Blockcerts, Hyperledger Indy Aries

5. respecter les instruments de politique, les lignes directrices et les cadres applicables, y compris, mais sans s’y limiter, les suivants :

• les exigences précisées dans la Directive sur la gestion de l’identité du Conseil du Trésor;
• les critères de conformité précisés dans le profil du secteur public du Cadre de confiance pancanadien.

*Note : En ce qui concerne la vie privée et l’identité de l’utilisateur, le soumissionnaire doit montrer, dans la proposition, qu’il maîtrise et applique les contrôles pertinents, conformément aux directives applicables, notamment le document ITSP.30.31 du CST, accessible à l’adresse https://www.cse-cst.gc.ca/fr/system/files/pdf_documents/itsp.30.031v3-fra_0.pdf

Le soumissionnaire doit également faire preuve, dans la proposition, d’une connaissance suffisante pour énumérer les agents de menace possibles et les approches d’atténuation connexes.

Résultats souhaités supplémentaires

Les solutions proposées devrait :

1. donner aux émetteurs et aux destinataires la propriété de leurs documents officiels qui peuvent être signés de manière cryptographique et présentés n’importe où pour vérifier la provenance et la propriété des justificatifs d’identité;
2. donner aux émetteurs et aux destinataires l’autonomie nécessaire leur permettant d’utiliser leurs documents et de vérifier leurs justificatifs d’identité numériques. Par exemple, si les émetteurs décident de changer de fournisseur par la suite, ils conservent le plein accès et l’utilisation de leurs certificats numériques;
3. donner à des tiers de confiance la possibilité de vérifier n’importe quel document gratuitement et de manière indépendante, et indépendamment de tout fournisseur de logiciel ou de toute institution émettrice. Les tiers de confiance peuvent facilement vérifier tout justificatif d’identité numérique grâce à une technologie largement disponible, comme un navigateur Web ou un téléphone mobile. La vérification repose sur des approches ouvertes et interopérables;
4. fournir une sécurité à la fine pointe en matière de justificatif d’identité numérique pour permettre une économie de confiance mondiale basée sur des signatures cryptographiques, permettant ainsi à des tiers de vérifier leur provenance et leur propriété;
5. présenter les composantes de l’identité auto souveraine:

• décentralisée et mobile;
• maitrise des caractéristiques; et
• indépendance par rapport à un registre centralisé, un fournisseur d’identité ou une autorité de certification.

6. faire la preuve de multiples partenariats et de l’interopérabilité avec d’autres entreprises au sein d’un écosystème de justificatifs d’identité vérifiables.

****************************************************

Le présent avis du défi est publié en vertu de l’appel de propositions (002) du programme Solutions innovatrices Canada (SIC) (EN578-170003/C). Pour obtenir des renseignements généraux sur le SIC, les soumissionnaires peuvent visiter le site Web du SIC à cet effet.

Veuillez consulter les documents de l’appel de propositions qui contiennent le processus de soumission d’une proposition.

Étapes à suivre :

Étape 1 : lisez ce défi

Étape 2 : lisez l’appel de propositions

Étape 3 : proposez votre solution ici

TITRE DU DÉFI : Justificatifs d’identité numériques vérifiables axés sur les utilisateurs

PROMOTEUR DU DÉFI : Services partagés Canada (SPC) et le Secrétariat du Conseil du Trésor du Canada (SCT)

Mécanisme de financement : Contrat

VALEUR MAXIMALE DU MARCHÉ

Ce défi peut entraîner la création de plusieurs contrats.

Le financement maximal pour tout contrat de la phase 1 découlant de ce défi est de 150 000 $ CA (taxes en sus), incluant les dépenses relatives à la livraison et aux déplacements ainsi que les frais de subsistance, s’il y a lieu, pour une période pouvant aller jusqu’à 6 mois.

Le financement maximal pour tout contrat de la phase 2 découlant de ce défi est de 1,000 000 $ CA (taxes en sus), incluant les dépenses relatives à la livraison et aux déplacements ainsi que les frais de subsistance, s’il y a lieu, pour une période pouvant aller jusqu’à 12 mois. Seules les entreprises admissibles qui ont effectué la phase 1 avec succès seront prises en compte dans le cadre de la phase 2.

Le fait de divulguer l’estimation du financement disponible n’engage aucunement le Canada à payer cette somme.

DÉPLACEMENTS : Aucun déplacement prévu

Réunion de lancement

Téléconférence/vidéoconférence

Réunion d'examen des progrès

Téléconférence/vidéoconférence

Réunion d’examen final

Téléconférence/vidéoconférence

Sommaire du problème

Le Secrétariat du Conseil du Trésor du Canada (SCT) et Services partagés Canada (SPC) cherchent une méthode normalisée pour émettre et vérifier rapidement des justificatifs d’identité numériques mobiles dans bon nombre de contextes différents, réduisant ainsi les erreurs de jugement humain, augmentant l’efficacité et assurant la véracité des justificatifs d’identité numériques de manière cryptographique.

Énoncé du problème

Le présent défi consiste à trouver une solution de justificatifs d’identité numériques, sécurisée et mobile (identité auto souveraine), détenue par des individus et qui peut être vérifiée rapidement, de manière cryptographique et indépendante, à l’aide de nouvelles normes de registres distribués et d’une approche qui pourrait donner lieu à une plateforme mondiale de vérification numérique. Dans de nombreux contextes, qu’il s’agisse d’une demande d’emploi ou d’un passage aux points de contrôle de la sûreté aérienne, les documents papier demeurent le principal moyen de prouver les principales caractéristiques d’une personne, comme son nom, sa date de naissance, ses qualifications universitaires ou professionnelles ou sa cote de sécurité. Bien que ces caractéristiques puissent être présentées sous forme numérique, il n’existe pas de méthodes largement adoptées ou normalisées pour émettre et vérifier rapidement des justificatifs d’identité numériques dans bon nombre de contextes différents. Il n’existe actuellement aucune capacité de vérification numérique sans dépendance à l’égard des plateformes réseau centralisées ou à faible latence (ou les deux).

Nota : La solution opérationnelle exigera que tous les renseignements personnels soient entreposés au Canada.

Résultats souhaités et éléments à considérer

Résultats essentiels (obligatoires)

Les solutions proposées doivent :

1. créer des justificatifs d’identité numériques vérifiables axés sur les utilisateurs capables de fonctionner sur une plateforme de vérification interopérable nationale ou mondiale;
2. protéger la vie privée et l’identité de l’utilisateur en tout temps *(voir note);
3. incorporer les spécifications d’interopérabilité émergentes et/ou matures suivantes, qui ont été financées, mises à l’essai et/ou défendues par le Département de la sécurité intérieure des États-Unis d’Amérique :

• identificateurs décentralisés (organismes d’élaboration de normes : Consortium World Wide Web (W3C) ou Decentralized Identity Foundation);
• justificatifs d’identité vérifiables (organisme d’élaboration de normes - W3C); et
• notation des objets du langage Java pour les données liées / JSON-LD (organisme d’élaboration de normes - W3C);

4. Démontrer la faisabilité des spécifications décrites ci-dessus à l’appui de la création, de la transmission et du stockage de justificatifs d’identité numériques vérifiables à l’aide de mises en œuvre de référence de portefeuille ou d’agent. Ces mises en œuvre de référence peuvent comprendre, mais ne sont pas limitées à : Blockcerts, Hyperledger Indy Aries

5. respecter les instruments de politique, les lignes directrices et les cadres applicables, y compris, mais sans s’y limiter, les suivants :

• les exigences précisées dans la Directive sur la gestion de l’identité du Conseil du Trésor;
• les critères de conformité précisés dans le profil du secteur public du Cadre de confiance pancanadien.

*Note : En ce qui concerne la vie privée et l’identité de l’utilisateur, le soumissionnaire doit montrer, dans la proposition, qu’il maîtrise et applique les contrôles pertinents, conformément aux directives applicables, notamment le document ITSP.30.31 du CST, accessible à l’adresse https://www.cse-cst.gc.ca/fr/system/files/pdf_documents/itsp.30.031v3-fra_0.pdf

Le soumissionnaire doit également faire preuve, dans la proposition, d’une connaissance suffisante pour énumérer les agents de menace possibles et les approches d’atténuation connexes.

Résultats souhaités supplémentaires

Les solutions proposées devrait :

1. donner aux émetteurs et aux destinataires la propriété de leurs documents officiels qui peuvent être signés de manière cryptographique et présentés n’importe où pour vérifier la provenance et la propriété des justificatifs d’identité;
2. donner aux émetteurs et aux destinataires l’autonomie nécessaire leur permettant d’utiliser leurs documents et de vérifier leurs justificatifs d’identité numériques. Par exemple, si les émetteurs décident de changer de fournisseur par la suite, ils conservent le plein accès et l’utilisation de leurs certificats numériques;
3. donner à des tiers de confiance la possibilité de vérifier n’importe quel document gratuitement et de manière indépendante, et indépendamment de tout fournisseur de logiciel ou de toute institution émettrice. Les tiers de confiance peuvent facilement vérifier tout justificatif d’identité numérique grâce à une technologie largement disponible, comme un navigateur Web ou un téléphone mobile. La vérification repose sur des approches ouvertes et interopérables;
4. fournir une sécurité à la fine pointe en matière de justificatif d’identité numérique pour permettre une économie de confiance mondiale basée sur des signatures cryptographiques, permettant ainsi à des tiers de vérifier leur provenance et leur propriété;
5. présenter les composantes de l’identité auto souveraine:

• décentralisée et mobile;
• maitrise des caractéristiques; et
• indépendance par rapport à un registre centralisé, un fournisseur d’identité ou une autorité de certification.

6. faire la preuve de multiples partenariats et de l’interopérabilité avec d’autres entreprises au sein d’un écosystème de justificatifs d’identité vérifiables.

Historique et contexte

Ce défi vise à déterminer la faisabilité et les caractéristiques de l’élaboration d’une plateforme de vérification interopérable nationale ou mondiale, laquelle peut être utilisée pour vérifier de façon indépendante les justificatifs d’identité numériques émis par un ensemble dynamique d’émetteurs de confiance et utilisés par une population large et diverse d’utilisateurs. La plateforme peut être mise à l’essai dans un contexte tel que celui de la sûreté aérienne, où bon nombre d’acteurs et d’autorités opèrent à travers de multiples frontières organisationnelles et géographiques. Sur la base de ces normes, l’objectif est de prouver qu’il est possible de construire un écosystème de vérification numérique décentralisé et interopérable pouvant être utilisé par de nombreux émetteurs, opérateurs et, surtout, utilisateurs indépendants, au moyen de bibliothèques ouvertes et de capacités basées sur des normes. Pour qu’une nouvelle technologie soit adoptée, elle doit être rendue accessible au moyen de logiciels faciles à utiliser et largement disponibles et d’une infrastructure omniprésente telle que la chaîne de blocs, la technologie de registre distribué (TRD) et l’identité auto souveraine (IAS). Un gouvernement pourrait potentiellement exploiter ceux-ci et développer une infrastructure omniprésente caractérisée par une transparence et une vérification améliorées des activités de la fonction publique, une plus grande visibilité des activités commerciales multipartites et l’automatisation des processus sur papier pour améliorer la prestation des services aux organisations et aux citoyens. Il existe un besoin commun de délivrer des droits, des attestations et des certifications à diverses fins, notamment pour les voyages, la formation, les études, l’affiliation, l’identité organisationnelle et les pouvoirs délégués, etc. Les processus d’émission actuels sont souvent sur support papier, non interopérables et les documents produits sont susceptibles d’être perdus, détruits, falsifiés et contrefaits. Bien qu’il y ait une diversité de contextes, il existe de nombreux besoins communs dans différents contextes de ministères et d’organismes où il serait possible de mettre en œuvre de manière interopérable des chaînes de blocs, des TRD et des IAS qui soutiennent également la croissance et la disponibilité d’un marché concurrentiel de mises en œuvre de diverses applications technologiques sur lesquelles le gouvernement et l’industrie peuvent compter pour trouver des solutions rentables et novatrices. Dans de nombreux contextes, qu’il s’agisse d’une demande d’emploi ou d’un passage aux points de contrôle de la sûreté aérienne, les documents papier demeurent le principal moyen de prouver les principales caractéristiques d’une personne, comme son nom, sa date de naissance, ses qualifications universitaires ou professionnelles ou sa cote de sécurité. Même si ces caractéristiques peuvent être présentées sous forme numérique, il n’existe pas de méthodes largement adoptées ou normalisées pour émettre et vérifier rapidement des justificatifs d’identité numériques dans bon nombre de contextes différents. Il n’existe actuellement aucune capacité de vérification numérique sans dépendance à l’égard des plateformes réseau centralisées ou à faible latence (ou les deux). En outre, il existe un besoin potentiel d’identité auto souveraine, c’est-à-dire le concept selon lequel les personnes et les entreprises peuvent stocker leurs propres données d’identité sur leurs propres appareils et les fournir efficacement à ceux qui ont besoin de les valider, sans avoir recours à un référentiel central de données d’identité.

DEMANDES DE RENSEIGNEMENTS

Toutes les demandes de renseignements doivent être présentées à TPSGC.SIC-ISC.PWGSC@tpsgc-pwgsc.gc.ca au moins dix jours civils avant la date de clôture. Pour ce qui est des demandes de renseignements reçues après ce délai, il est possible qu'on ne puisse pas y répondre.