Aller au contenu principal

Cadre de gouvernance du réseau CANdy

Document principal

Introduction

Le présent document sur le cadre de gouvernance a été créé conformément à la spécification du métamodèle de gouvernance élaboré par la fondation Trust over IP (Trust Over IP). Ce cadre a été élaboré par des représentants des gouvernements de la Colombie-Britannique, du Québec et de l'Ontario, en collaboration avec IBM Consulting et d’autres intervenants. Il s'agit d'un exemple de cadre de gouvernance de niveau 1 pour le réseau de CANdy, également connu sous le nom de CANdy. CANdy est l'instance canadienne d'une implémentation Hyperledger Indy.

But

Le Cadre de gouvernance du réseau CANdy a pour but de mettre en place les principes, la portée, les rôles et les politiques qui permettent la gouvernance, le fonctionnement et l’exploitation d'un registre distribué commun, appelé le réseau CANdy. Le réseau CANdy soutiendra les attestations numériques qui renforcent la confiance dans les interactions numériques en ligne et dans l’économie numérique au Canada.

Objectifs

Les objectifs du Cadre de gouvernance du réseau CANdy sont les suivants :

  • Définir un modèle de gouvernance qui soutient la mise en place du réseau CANdy, l’adhésion des membres ainsi que le déploiement des nœuds CANdy.
  • Mettre en place un modèle de gouvernance du réseau CANdy qui permet à à ce dernier de fournir, en toute confiance, des informations d'identification concernant les émetteurs d'attestations canadiens et les attestations qu'ils émettent.
  • Renforcer la confiance envers le réseau CANdy en révélant publiquement qui a approuvé des transactions distinctes et ce qu'elles contenaient, sans communiquer de renseignements confidentiels.
  • Établir un modèle qui préserve la souveraineté de chaque membre, dans le cadre de ses compétences existantes, et coordonne le fonctionnement et la gouvernance partagée du réseau CANdy.
  • Définir les règles et politiques fondamentales pour le fonctionnement du réseau CANdy et de ses nœuds.
  • Identifier les types de rôles distincts qui exploitent ou utilisent le réseau CANdy et définir des politiques de gouvernance pour ces rôles, afin de garantir la confiance et la sécurité dans l’utilisation et l’exploitation du réseau.
  • Encourager la participation d'un plus grand nombre de membres et de non-membres à la gouvernance, au fonctionnement et à l’utilisation du réseau CANdy.

Principes directeurs

Les principes suivants guident l’élaboration des politiques au sein du Cadre de gouvernance du réseau CANdy :

Modèle de gouvernance partagée

Le réseau CANdy reconnaît que la gouvernance, l’exploitation et l’utilisation d’un registre distribué pour les entités gouvernementales canadiennes nécessitent un modèle de gouvernance partagée entre et parmi les membres. Les représentants des membres de l'Entente de collaboration intergouvernementale doivent agir dans l’intérêt collectif de tous les membres et autres entités et dans l’esprit du présent Cadre.

Souveraineté des membres

Le réseau CANdy est doté d’un modèle de gouvernance partagée, qui n'empiète pas sur les droits de décision souverains des membres. L’objectif de ce Cadre est de renforcer le fonctionnement et l'utilisation autonomes du réseau CANdy par ses membres.

Transparence et interopérabilité

Le réseau CANdy utilise des normes en licences libres (Open Standards) et évite les mécanismes qui empêchent les utilisateurs de réaliser l’interopérabilité ou la portabilité des données tant au sein du réseau CANdy et à travers d'autres réseaux et systèmes.

Imputabilité

Tous les rôles gouvernés par le réseau CANdy sont responsables les uns envers les autres du respect de l'objectif, des principes et des politiques du Cadre de gouvernance du réseau CANdy.Tous les rôles gouvernés doivent accepter la responsabilité de toutes les exigences supplémentaires stipulées par les lois pertinentes et s'y conformer.

Portée

Rôles

Les rôles des membres gouvernés dans l'environnement de production du réseau CANdy sont les suivants :

Les rôles des non-membres dans la communauté de confiance du réseau CANdy sont les suivants :

Autres parties prenantes

Outre les principaux participants à l'écosystème du réseau CANdy, ce dernier entretient des relations avec d'autres parties prenantes qui interagissent avec le réseau à des fins précises :

  • Les intégrateurs techniques, c'est-à-dire les fournisseurs de solutions technologiques qui s'interfacent avec le réseau CANdy pour diverses activités, telle que l’émission des attestations numériques, la requête d’informations ou la vérification.

Hors portée

Les sujets suivants ne relèvent pas de la portée du présent Cadre de gouvernance.

  • Les politiques qu'un membre définit pour la qualification et l’approbation des émetteurs ou des lecteurs de registre distribué enregistré.
  • Les politiques qu'un membre définit afin de qualifier et d’accréditer les schémas, les définitions d'attestation et les définitions de registre de révocation.
  • Les politiques qu'un membre définit pour qualifier la délégation du rôle d’administrateur de confiance, d'intendant, de surveillant de réseau à une personne.
  • Les politiques qu'une application intégrée au réseau CANdy définit dans le cadre de son autorité existante.

Politiques des membres gouvernés

Administrateur de confiance

Exigences générales

Un administrateur de confiance est à la fois une personne et un rôle Indy qui peut être attribué à un identifiant décentralisé (DID) sur le réseau CANdy. Les administrateurs de confiance agissent en tant qu'administrateurs pour le fonctionnement et l'utilisation du réseau CANdy par leur gouvernement.

Un membre DEVRAIT avoir au moins trois administrateurs de confiance. Un membre POURRA avoir un maximum de quatre administrateurs de confiance. Cela permet de s'assurer que deux administrateurs de confiance d'un membre sont disponibles en cas de besoin pour procéder à des modifications de droits.

Responsabilités

  • Autoriser et retirer l'autorisation des DID pour les rôles gouvernés au sein du Cadre de gouvernance du réseau CANdy.
  • Signer les transactions telles que définies dans les règles d'autorisation du réseau CANdy du réseau CANdy.
  • Exécuter les directives émises par le Comité directeur concernant les politiques du réseau CANdy.
  • Informer le Comité directeur de leur gouvernement respectif de l’arrivée de nouveaux délégués et du départ des intendants, des surveillants de réseau, des accréditeurs, des administrateurs de confiance, des lecteurs de registre distribué enregistré et des émetteurs.
  • Administrer l'ensemble des activités du réseau CANdy et assurer la coordination avec les intendants, les surveillants de réseau, les accréditeurs et les autres équipes de leur gouvernement.

Politiques d’accueil et d'intégration

Les conditions à remplir pour devenir administrateur de confiance du réseau CANdy sont les suivantes :

  • La personne DOIT être activement employée ou sous-traitée par son membre respectif.
  • Chaque personne agissant en tant qu'administrateur de confiance DOIT posséder un DID d'administrateur de confiance unique sur le réseau CANdy, exclusivement affecté au rôle d'administrateur de confiance. Le DID ne peut pas être attribué à une équipe.
  • Chaque membre a le droit d'établir ses propres politiques et procédures supplémentaires pour déléguer le rôle d'administrateur de confiance à une personne.

Politiques de gestion des départs

  • En cas de départ d'un administrateur de confiance, le membre responsable DOIT rétrograder le DID de cette personne afin de lui retirer ses privilèges d'administrateur de confiance.
  • Chaque membre a le droit de définir ses propres politiques et procédures supplémentaires concernant le moment et la manière dont une personne peut être retirée en tant qu'administrateur de confiance.

Intendant

Exigences générales

Un intendant est un rôle Indy attribué aux gouvernements qui exploitent des nœuds du réseau CANdy.

Si un gouvernement exploite des nœuds, ceux-ci doivent être exploités par un intendant : chaque nœud membre DOIT avoir un DID d'intendant assigné. Les intendants sont gérés par des équipes membres qui ont accès à leur DID d'intendant respectif.

Responsabilités

  • Les intendants sont responsables du fonctionnement, des performances et de la sécurité de tous les nœuds exploités par leur gouvernement.
  • Les intendants DOIVENT respecter les politiques et les exigences décrites dans les politiques techniques du réseau CANdy.
  • Exécuter les directives émises par le Comité directeur concernant les politiques du réseau CANdy.
  • Les intendants sont autorisés à créer et à écrire les types de transactions suivantes sur le réseau CANdy : o Transactions de configurations de nœuds qui affectent le nœud qu’ils possèdent/opèrent.

Politiques relatives à l’accueil et intégration :

  • Les personnes affectées au rôle d'intendant doivent avoir accès aux DID d'intendant des nœuds de leur gouvernement au sein du réseau CANdy.
  • Sauf indication contraire du Comité directeur, la responsabilité de l'accueil et de l'intégration des personnes agissant en tant qu'intendants incombe aux administrateurs de confiance des membres respectifs.

Politiques relatives à la gestion des départs :

  • Sauf indication contraire du Comité directeur, la gestion du départ des personnes du rôle d'intendant relève de la responsabilité de l'administrateur de confiance du gouvernement correspondant.

Accréditeur

Exigences générales

Un accréditeur est un rôle Indy qui DOIT être attribué à un DID accréditeur sur le réseau CANdy. Un accréditeur est une entité qui confirme la validité ou l'authenticité d'une transaction avant qu'elle ne soit inscrite dans le registre distribué.

Chaque membre DOIT avoir accès à un service accréditeur. Les membres PEUVENT avoir un ou plusieurs service(s) accréditeur(s). Chaque service accréditeur dispose d'un seul DID sur le réseau CANdy. Ce DID peut être contrôlé par une équipe ou par une seule personne selon la politique du membre. Les membres ont une souveraineté totale quant à l'utilisation de leur service d'accréditation. Les accréditeurs doivent adhérer à la gouvernance de leur gouvernement.

Responsabilités

  • Les accréditeurs sont responsables de l'approbation des transactions qu'ils ont rédigées ou qui ont été rédigées par les émetteurs.

  • Les transactions doivent être approuvées par au moins un accréditeur associé à leur gouvernement avant d'être autorisées à être inscrites sur le réseau CANdy. En cas de partage d'émetteurs entre plusieurs gouvernements, une collaboration entre les gouvernements concernés est requise afin de définir les règles relatives à l'approbation.

  • Les accréditeurs peuvent approuver les types de transactions suivantes sur le réseau CANdy :

    • L’écriture des DID pour les émetteurs non privilégiés.
    • Les schémas
    • Les définitions des attestations
    • Les définitions du registre de révocation
    • Les inscriptions au registre de révocation

  • Un accréditeur DOIT adhérer à la définition des transactions qu'il peut approuver, telle qu'elle est définie par ses administrateurs de confiance.

Politiques d’accueil et d'intégration

  • Les personnes qui agissent en tant qu’accréditeur pour un membre DOIVENT être activement employées ou sous-traitées par ce dernier.
  • Les membres DOIVENT maintenir une séparation des fonctions pour les personnes ou entités agissant en tant qu'administrateurs de confiance et accréditeurs en leur nom.
  • Les accréditeurs DOIVENT inclure l'alias du propriétaire d'un DID dans le document DID, sauf exception accordée par le Comité directeur.
  • Les accréditeurs DOIVENT approuver la conformité du document DID d'un émetteur avec la législation en vigueur dans leur gouvernement.
  • Sauf indication contraire du Comité directeur, la responsabilité de l'accueil et l’intégration des accréditeurs au sein d'un gouvernement incombent aux administrateurs de confiance du gouvernement respectif.

Politiques de gestion des départs

Sauf indication contraire du Comité directeur, la gestion des départs des accréditeurs relève de la responsabilité des administrateurs de confiance des gouvernements membres respectifs.

Surveillant de réseau

Exigences générales Le rôle de surveillant de réseau est un rôle Indy attribué aux entités qui surveillent l'ensemble du réseau CANdy. Un surveillant de réseau dispose d'un accès privilégié en lecture seule aux nœuds du réseau CANdy, lui permettant d'obtenir des informations supplémentaires sur ces nœuds, qui ne sont généralement pas accessibles au grand public. Ces informations confidentielles ne doivent être utilisées que dans le cadre de la surveillance de l'état de santé du réseau CANdy et pour aider les intendants à maintenir une disponibilité élevée.

Un surveillant de réseau DOIT disposer d'un DID.

Les membres ne sont pas obligés de faire de la surveillance de réseau pour faire partie du réseau CANdy.

Responsabilités Les surveillants de réseau DOIVENT respecter les politiques et les exigences décrites dans les politiques techniques du réseau CANdy.

Politiques d’accueil et d’intégration Sauf indication contraire du Comité directeur, la responsabilité de l'accueil et l’intégration des surveillants de réseau au sein d'un gouvernement incombent aux administrateurs de confiance du gouvernement respectif.

Politiques de gestion des départs Sauf indication contraire du Comité directeur, la gestion des départs des surveillants de réseau relève de la responsabilité des administrateurs de confiance des gouvernements membres respectifs.

Politiques des non-membres

Émetteur

Exigences générales

Un émetteur est toute entité canadienne qui s’est vu attribuer un DID public sur le réseau CANdy public et qui n'est pas autorisée à assumer un rôle de membre.

Toute transaction qu’un émetteur initie DOIT être approuvée par un accréditeur avant de pouvoir être inscrite sur le réseau CANdy. Actuellement, les émetteurs peuvent écrire des mises à jour de leur document DID sans l'approbation d'un accréditeur. Le propriétaire d’un DID peut mettre à jour des attributs et leur clé de vérification. Ils ne peuvent pas changer leur rôle.

L’émission d’attestations, qui réfèrent à une définition d’attestation associée à leur DID sur le réseau CANdy, ne nécessite pas d’approbation.

Responsabilités Les émetteurs peuvent faire les transactions suivantes sur réseau CANdy :

  • Les schémas d’attestation
  • Les définitions d’attestations
  • Les définitions du registre de révocation
  • Les inscriptions au registre de révocation

Une fois les transactions susmentionnées approuvées, les émetteurs PEUVENT les inscrire dans le réseau CANdy.

Politiques d’accueil et d'intégration :

  • Les DID des émetteurs sur le réseau CANdy ne peuvent être attribués qu’aux entités gouvernementales canadiennes, aux organes de gouvernance autochtones et à toute autre entité du secteur public au Canada.
  • Sauf indication contraire du Comité directeur, l'accueil et l’intégration des émetteurs relève de la responsabilité des gouvernements membres respectifs.

Politiques de gestion des départs

  • Une fois qu'un émetteur a été doté d'un DID public, il n'est pas pas possible de retirer ce DID du réseau CANdy. Les membres peuvent déterminer à quelles définitions d’attestation une entité peut être associée, mais une fois l’association faite, elle ne peut pas (pour le moment) être annulée.

Lecteur de registre distribué non enregistré

Exigences générales Le réseau CANdy étant accessible au public, il n'y a pas d'exigences en matière d'accueil et d'intégration, de responsabilité, ou de gestion des départs auxquelles ce type de rôle doit se conformer.

Lecteur du registre distribué enregistré

Exigences générales Un lecteur du registre distribué enregistré est une entité qu'un membre reconnaît comme étant de confiance. Ces entités servent de vérificateurs de confiance sur le réseau CANdy.

Politiques d’accueil et d’intégration Les DID des lecteurs du registre distribué enregistrés sur le réseau CANdy ne peuvent être fournis qu'à des entités gouvernementales canadiennes, à des organes de gouvernance autochtones et à toute autre entité du secteur public au Canada.

Sauf indication contraire du Comité directeur, l'accueil et l’intégration des lecteurs du registre distribué enregistrés relèvent de la responsabilité des gouvernements membres respectifs.

Politiques de gestion des départs Sauf indication contraire du Comité directeur, la gestion des départs des lecteurs du registre distribué enregistrés relève de la responsabilité des administrateurs de confiance des gouvernements membres respectifs.

Lignes directrices concernant la gestion des nœuds

Les dispositions suivantes concernant l'ajout et le retrait de nœuds du réseau CANdy minimisent les risques pour la performance, la résilience et l'intégrité des données :

Un minimum de 4 nœuds est nécessaire pour lancer le réseau CANdy de base. Les membres ne sont pas tenus de dé^ployer des nœuds CANdy pour faire partie du réseau CANdy.

Ajout des nœuds

  • Les membres DOIVENT obtenir l'approbation du Conseil de gouvernance avant de déployer un nœud sur le réseau CANdy.
  • Après approbation, le membre DOIT nommer des intendants chargés de gérer et d'exploiter leur(s) nœud(s) respectif(s).

Suppression de nœuds

  • Les membres qui ont l'intention de retirer leur(s) nœud(s) du réseau CANdy DOIVENT soumettre un préavis écrit d'au moins 90 jours au Conseil de gouvernance et au Comité directeur de la CICAN.
  • Le membre DOIT communiquer les informations pertinentes concernant le retrait du nœud avec les autres membres avant de désactiver son ou ses nœuds, y compris la confirmation que le nœud prévu pour la désactivation n’est pas le seul dépôt des fichiers Genesis du registre distribué.
  • Avant le retrait du nœud d'un membre, les autres membres du Comité directeur de la CICAN DOIVENT déterminer si des actions sont nécessaires pour maintenir la santé du réseau CANdy.
  • Une fois le nœud retiré du réseau CANdy, la juridiction membre DOIT rétrograder le DID Intendant associé au nœud.
  • Si le membre retire des nœuds spécifiques mais continue à faire partie de la CICAN, il PEUT conserver toute combinaison des rôles d'administrateur de confiance, d'accréditeur ou de surveillant du réseau, en fonction de la continuité de son implication. Cette information DOIT être communiquée au Comité directeur de la CICAN.
  • Dans le cas où une juridiction se retire complètement de la CICAN, les membres restants DOIVENT s'assurer de la rétrogradation de tous les rôles du membre sortant du réseau CANdy (administrateurs de confiance, accréditeurs, intendants et surveillants du réseau).

Gestion des risques

Chaque juridiction membre est responsable de la gestion des risques associés à ses nœuds sur le réseau CANdy. Les membres du Comité directeur de la CICAN sont chargés de coordonner les stratégies d'atténuation appropriées avec leurs équipes techniques respectives et d'informer les autres juridictions, le cas échéant.

Les membres sont également encouragés à partager les meilleures pratiques et les enseignements tirés de leurs évaluations des risques; toutefois, chaque juridiction conserve l'entière responsabilité d'assurer la conformité avec ses propres cadres juridiques et réglementaires.

Audits

Les politiques d'audit des nœuds du réseau CANdy sont définies de manière indépendante par chaque juridiction membre. Il est toutefois recommandé que les juridictions envisagent d'adopter des normes de sécurité reconnues, telles que la norme ISO/IEC 27001.

Confidentialité

L'entente de collaboration intergouvernementale stipule la confidentialité des discussions entre les membres (clause 9).

Certains rôles des membres du réseau CANdy (administrateur de confiance, intendant et surveillant de réseau) impliquent l'accès à des informations techniques privilégiées concernant les nœuds, y compris les détails, les versions et les alertes des logiciels.

Les membres DOIVENT prendre des mesures raisonnables pour préserver la confidentialité et la sécurité de ces informations techniques.

Localisation

Cette section couvre les politiques régissant les langues et les traductions du Cadre de gouvernance, désignées par la balise de langue IETF BCP 47 pour identifier les langues.

Langues officielles

Le Cadre de gouvernance a été élaboré et produit en français ainsi qu'en anglais, et les deux versions ont la même valeur juridique équivalente. Toutes les modifications apportées à ce cadre seront faites en anglais et en français.

Terminologie et notations

Le glossaire de la Collaboration intergouvernmentale en matière de confiance et d'attestations numériques est en cours d'élaboration.

De nombreux termes couramment utilisés sont définis dans la documentation de la Trust Over IP :

Glossaire – Termes généraux de Trust over IP (disponible en anglais uniquement)

Les termes importants « DOIT », « NE DOIT PAS », « REQUIS », « DEVRAIT », « NE DEVRAIT PAS », « RECOMMANDÉ », « PEUT », et « FACULTATIF » qui figurent dans ce document doivent être interprétés comme décrit dans la RFC 2119.

Annexes

Annexe A

Aperçu des rôles gouvernés du réseau CANdy

RôleMembre du réseau CANdyAttribution des identifiants décentralisés (DID)Permissions / Transactions
Administrateur de confiance✔️1 DID par administrateur de confiance (administrateurs de confiance par membre = ≥2 ≤ 4)
  • Écrit des DID sur le réseau CANdy
  • Attribuer ou révoquer des DID à des rôles.
  • Un DID d’un administrateur de confiance ne doit pas être attribué à d'autres rôles.
Intendant✔️1 DID par nœudConfigurations de nœuds relatives au(x) nœud(s) qu'ils possèdent ou exploitent.
Surveillant de réseau✔️1 DID par surveillant de réseauAccès en lecture seule
Accréditeur✔️1 DID par accréditeurAccrédite et écrit les transactions suivantes sur le réseau CANdy :
  • Écriture des DID pour les émetteurs non privilégiés
  • Schémas d’attestation
  • Définitions des attestations
  • Définitions du registre de révocation
  • Inscriptions au registre de révocation
Émetteur✖️Sous réserve des politiques du gouvernement respectif de l'émetteurAuteur des transactions suivantes :
  • Schémas d’attestation
  • Définitions des attestations
  • Définitions du registre de révocation
  • Inscriptions au registre de révocation
PEUT écrire les transactions susmentionnées sur le réseau CANdy après approbation par un accréditeur.
Lecteur du registre distribué non enregistré✖️Aucun DIDLire et interpréter les transactions enregistrées sur le registre distribué.
Lecteur du registre distribué enregistré✖️1 DID par lecteur du registre enregistréLire et interpréter les transactions enregistrées sur le registre distribué.

Annexe B

Schéma des rôles du réseau CANdy

Rôles du réseau CANdy