📋 Sur cette page
Tu as peut-être vu passer des titres sur le « portefeuille numérique québécois » sans trop savoir ce que c'est. T'as eu raison d'hésiter à cliquer : la plupart des articles reprennent les communiqués gouvernementaux sans creuser. Ce guide fait le contraire.
On part de ce que la Loi 82 dit réellement — avec ses articles, ses lacunes et les critiques soulevées par la Commission d'accès à l'information et la Ligue des droits et libertés pendant les consultations parlementaires.
C'est quoi le SQIN et la Loi 82?
Le Service québécois d'identité numérique (SQIN) est un programme gouvernemental autorisé par décret en décembre 2021. L'objectif : permettre aux Québécois de prouver leur identité en ligne ou en personne via une application mobile, sans avoir à montrer leur permis de conduire physique ou leur carte d'assurance maladie.
La Loi 82 — officiellement la Loi concernant l'identité numérique nationale et modifiant d'autres dispositions — a été sanctionnée le 28 octobre 2025 (chapitre 26 du Recueil annuel des lois). C'est le cadre législatif qui donne une base légale à ce qui était déjà en développement depuis quatre ans.
La loi crée l'identité numérique nationale (INN) et établit un registre central tenu par le ministre responsable de la cybersécurité et du numérique. Elle définit aussi les règles pour les « attestations numériques » — des documents électroniques (carte d'identité, permis, diplôme) qu'on peut présenter depuis son téléphone.
Quelles données sont stockées où?
C'est la question que les communications gouvernementales évitent de poser directement. La réponse a deux parties.
Ce qui reste sur ton téléphone
Le portefeuille numérique est conçu selon un modèle où les attestations (identité, permis, diplômes) sont stockées localement sur ton appareil. Quand tu prouves ton identité, tu ne passes pas par un serveur central — tu montres l'attestation directement à qui la demande. C'est le principe des attestations vérifiables, aussi utilisé dans l'eIDAS européen.
En théorie, personne ne sait que tu as montré ton identité à un bar un samedi soir. Pas de journal centralisé des transactions.
Ce qui est centralisé
La Loi 82 crée un registre de l'identité numérique nationale tenu par le ministre. Ce registre contient les données d'identité qui servent à émettre tes attestations — en gros, les informations qui permettent de confirmer que tu es bien toi. Selon le mémoire présenté à la Commission des finances publiques par plusieurs groupes, ce registre pourrait éventuellement inclure des caractéristiques biométriques.
C'est là que la Commission d'accès à l'information (CAI) a tiré la sonnette d'alarme. La résolution commune des commissaires à la vie privée du Canada précise que les systèmes d'identification numérique « ne devraient pas créer de bases de données centralisées ». Le projet de loi, lui, fait exactement le contraire.
Dans le portefeuille (local)
Attestations numériques : identité avec photo, permis de conduire numérique, diplômes, autorisations. Stockées sur ton téléphone, présentées directement sans passer par un serveur.
Dans le registre (centralisé)
Données d'identité de base, potentiellement biométrie, et les métadonnées nécessaires à l'émission et à la révocation des attestations. Géré par le ministre, encadré par la Loi 82.
Chez les émetteurs d'attestations
Retraite Québec, SAAQ, établissements d'enseignement — chaque émetteur conserve ses propres données selon ses obligations légales habituelles.
Chez les vérificateurs
Les entreprises privées qui acceptent le portefeuille sont certifiées. Ce qu'elles conservent de tes données après vérification dépend de leurs propres politiques — et de la Loi 25.
L'interdiction de profilage — ses limites réelles
La Loi 82 contient une disposition souvent citée comme garantie principale : le ministre ne peut pas utiliser les données du registre national à des fins de profilage. C'est réel. Mais il faut comprendre ce que ça couvre — et ce que ça ne couvre pas.
Ce que l'interdiction couvre
L'interdiction vise spécifiquement le ministère responsable de l'identité numérique nationale. Il ne peut pas analyser tes habitudes d'utilisation du portefeuille pour établir un profil de comportement. C'est une protection concrète contre la surveillance administrative directe.
Ce que l'interdiction ne couvre pas
La Ligue des droits et libertés a pointé une faille importante lors des consultations de janvier 2025 : l'interdiction ne concerne que le ministre. Elle ne s'applique pas :
- aux entreprises privées qui vérifient ton identité via le portefeuille
- aux autres ministères ou organismes publics
- aux corps policiers ou aux agences de renseignement
- aux usages en intelligence artificielle ou en recherche
- aux entreprises qui agrègent des données de plusieurs sources
Autrement dit : si tu utilises ton portefeuille numérique pour t'identifier auprès de cinq commerces différents, et que ces commerces partagent leurs données, personne n'est empêché de construire un profil de toi — sauf le ministre lui-même, pour le registre qu'il gère directement.
Volontaire ou obligatoire : la vraie réponse
Le gouvernement le répète : le portefeuille numérique est facultatif. Le site de Québec.ca précise noir sur blanc que « l'utilisation de l'application mobile sera optionnelle » et que l'identité numérique « s'ajoute aux méthodes et outils traditionnels ».
Ça veut dire que le gouvernement québécois ne peut pas t'imposer d'utiliser le portefeuille pour accéder aux services publics. Tu peux continuer à montrer ton permis de conduire physique, ta carte d'assurance maladie, ton passeport.
Mais il y a un bémol pratique. La fracture numérique crée une pression indirecte : si la majorité des services s'optimisent pour le portefeuille numérique, si les files pour les méthodes traditionnelles s'allongent, si certains contextes (comme les bars ou les services en ligne) préfèrent fortement le numérique — le « facultatif » de la loi devient de plus en plus théorique dans les faits.
La Ligue des droits et libertés a aussi souligné que des populations en situation de fracture numérique (personnes âgées, sans téléphone intelligent, avec accès limité à internet) risquent d'être marginalisées si les services ne maintiennent pas de vraies alternatives accessibles.
Différences avec l'identité numérique fédérale
Le gouvernement fédéral canadien a ses propres initiatives en matière d'identité numérique, notamment via la Connexion Canada (anciennement CléGC) et des travaux sur le Cadre de confiance pancanadien. Les deux approches sont distinctes.
| Aspect | Québec (Loi 82 / SQIN) | Fédéral (Cadre pancanadien) |
|---|---|---|
| Base législative propre | Oui — Loi 82 adoptée | Fragmentée selon les programmes |
| Portefeuille numérique citoyen | Prévu, app mobile gouvernementale | En développement, pas déployé |
| Interdiction de profilage inscrite | Oui (limitée au ministre) | Non explicitement |
| Interopérabilité provinciale | Entente avec la C.-B. confirmée | Objectif, pas encore déployé |
| Caractère explicitement volontaire | Oui, inscrit dans la loi | Non clairement légiféré |
| Surveillance par organisme indépendant | CAI du Québec | CPVPC (fédéral) |
L'avantage québécois : la Loi 82 existe et est adoptée, avec un organisme de surveillance existant (la CAI) qui a déjà des pouvoirs d'enquête sous la Loi 25. Le cadre fédéral reste plus flou légalement.
L'inconvénient : le Québec a construit son propre silo. Interopérabilité avec l'Ontario ou d'autres provinces? Pas pour demain.
Comparaison avec l'eIDAS européen
L'eIDAS 2.0 (règlement européen sur l'identification électronique et les services de confiance, révisé en 2024) est la référence mondiale en matière d'identité numérique citoyenne. Comparer les deux aide à situer où le Québec se positionne.
| Aspect | Québec — Loi 82 / SQIN | Union européenne — eIDAS 2.0 |
|---|---|---|
| Portefeuille numérique | App mobile gouvernementale unique | Portefeuille d'identité européen (EUDI Wallet) — États membres développent le leur selon spécifications communes |
| Interopérabilité | Québec + C.-B. pour l'instant | Tous les 27 États membres obligatoirement |
| Divulgation sélective | Prévu dans l'architecture SQIN | Obligatoire — tu peux prouver que t'as 18+ ans sans divulguer ta date de naissance |
| Refus de traçabilité transactionnelle | Principe, pas de disposition légale explicite | Inscrit dans eIDAS 2.0 : les États ne peuvent pas tracer les usages du portefeuille |
| Caractère facultatif | Oui | Oui — mais les grandes plateformes doivent l'accepter |
| Certification des vérificateurs privés | Oui, requis par la loi | Oui, régulé par les États membres |
| Données biométriques | Potentiellement incluses dans le registre central | Photo dans le portefeuille, biométrie selon le niveau d'assurance choisi |
Le modèle eIDAS 2.0 est plus mature sur la protection de la vie privée — notamment la divulgation sélective (zero-knowledge proof) et l'interdiction explicite de traçabilité transactionnelle. Le SQIN s'inspire de la même architecture technique, mais la Loi 82 ne grave pas ces garanties dans le béton légal de la même façon.
Les risques que la loi ne règle pas
Quelques angles morts que la Loi 82 laisse ouverts — et que la CAI et la Ligue des droits et libertés ont relevés lors des consultations.
La base de données centralisée
Un registre national d'identité centralisé est une cible attractive pour les cyberattaques. La résolution commune des commissaires à la vie privée du Canada recommande explicitement d'éviter ce modèle. La Loi 82 l'adopte quand même — avec l'argument que les contrôles de sécurité seront robustes. Ça reste un pari.
L'absence d'interdiction pour le secteur privé
Aucune disposition n'empêche une entreprise privée d'exiger le portefeuille numérique comme condition d'accès à un service. Les protections de la Loi 25 s'appliquent aux données collectées — mais pas à l'acte d'exiger l'identité numérique lui-même.
Les pouvoirs réglementaires très larges
La loi délègue beaucoup au règlement — ce qui veut dire que les détails techniques (quelles données exactement dans le registre, quelles biométries acceptées, qui peut accéder à quoi) seront définis plus tard, par décret, avec moins de débat public. C'est le schéma classique des lois-cadre : voter large, régler les détails sensibles hors de la lumière.
Le portefeuille numérique côté vie privée
La CAI a noté dans son mémoire que la Loi 82 est « pratiquement muette » sur le portefeuille numérique. La loi définit l'INN et le registre — mais le portefeuille, qui est le point de contact réel avec les citoyens, n'est presque pas réglementé dans le texte lui-même. Ses caractéristiques techniques et ses protections seront déterminées par règlement.
Questions fréquentes
Est-ce que l'identité numérique québécoise est obligatoire?
Non. La Loi 82 et le programme SQIN indiquent explicitement que le portefeuille numérique est facultatif. Ton permis de conduire physique et ta carte d'assurance maladie restent valides. La nuance : si le secteur privé commence à préférer fortement le portefeuille, le « facultatif » légal peut devenir une pression pratique — sans que la loi actuelle l'empêche.
La Loi 82 a-t-elle vraiment été adoptée, ou c'est encore un projet?
Elle est adoptée. La Loi 82 a été sanctionnée le 28 octobre 2025 (chapitre 26, Recueil annuel des lois du Québec 2025). Certaines dispositions entrent en vigueur progressivement selon les décrets d'application — le déploiement du portefeuille numérique lui-même est encore en cours.
L'interdiction de profilage me protège-t-elle vraiment?
Partiellement. L'interdiction vise uniquement le ministre responsable de l'INN — pas les entreprises privées, pas les autres ministères, pas les corps policiers. La Ligue des droits et libertés l'a dit clairement lors des consultations : il y a bien d'autres façons d'utiliser les données sans faire de « profilage » au sens étroit où la loi l'entend.
Mes données biométriques vont être dans le registre?
C'est flou — et c'est un problème. Plusieurs mémoires déposés lors des consultations évoquaient la possibilité que le registre inclue des caractéristiques biométriques. La loi elle-même et ses règlements d'application détermineront les détails exacts. Si tu veux être informé, surveille les décrets publiés à la Gazette officielle du Québec.
Qui surveille l'application de la Loi 82?
La Commission d'accès à l'information (CAI) du Québec — le même organisme qui surveille l'application de la Loi 25. La CAI a un rôle de surveillance et peut émettre des avis, des ordonnances et mener des enquêtes. Elle a d'ailleurs déposé ses propres commentaires critiques sur le projet de loi avant son adoption.
La Colombie-Britannique et le Québec vont-ils partager mes données d'identité?
Les deux provinces ont conclu une entente d'interopérabilité pour que leurs attestations numériques soient mutuellement reconnues. Ça ne signifie pas un accès direct aux données — ça veut dire que ton attestation québécoise peut être vérifiée en C.-B. sans que tu aies besoin d'en obtenir une nouvelle. Le principe est similaire à la reconnaissance mutuelle des permis de conduire.
Aller plus loin
La Loi 82 cadre l'identité numérique nationale, mais tes droits sur tes données personnelles au quotidien, c'est la Loi 25 qui les garantit. Et si tu veux comprendre l'ensemble de ton empreinte numérique, un audit t'aidera à voir ce que les gouvernements et les entreprises savent déjà sur toi.
- Tes droits Loi 25 : comment demander l'accès ou la suppression de tes données
- Clé Québec : ce qu'elle collecte et comment sécuriser ton compte
- Ton droit à l'anonymat en ligne au Québec
- Audit de ton empreinte numérique — guide étape par étape
- Fuite de données : quoi faire si tes informations sont compromises