Antoine Guilmain Doctorant en droit à lUniversité de Montréal Assistant de recherche au...
34
Le certificat électronique . Mercredi 15 janvier 2014 à 11h30 Antoine Guilmain Doctorant en droit à l’Université de Montréal Assistant de recherche au Laboratoire de Cyberjustice Cycle de conférences « Les Mots du Droit de l’Economie Numérique » Chaire L.R. Wilson
Antoine Guilmain Doctorant en droit à lUniversité de Montréal Assistant de recherche au Laboratoire de Cyberjustice Cycle de conférences « Les Mots du
Antoine Guilmain Doctorant en droit lUniversit de Montral
Assistant de recherche au Laboratoire de Cyberjustice Cycle de
confrences Les Mots du Droit de lEconomie Numrique Chaire L.R.
Wilson
Page 2
La confiance est la sur jumelle du commerce lectronique
Page 3
1/ Comment sassurer de lidentit dun internaute ? 2/ linverse,
comment prouver ma propre identit sur Internet ? 3/ Comment
prserver lintgrit dun message dans lunivers numrique ?
Page 4
La certification Dans son assertion la plus courante, la
certification signifie simplement une assurance donne par crit ,
tandis que le verbe certifier quivaut garantir par un acte
lauthenticit de quelque chose .
Page 5
Le certificat sapparente une carte didentit numrique
Page 6
Certificat lectronique Certificat numrique Certificat didentit
numrique Certificat numrique didentit Certificat de signature
lectronique Certificat lectronique de signature
Page 7
Le potentiel que prsente le recours au certificat lectronique a
trs vite t peru, mais galement ses risques et drives. Aussi, ds le
dbut des annes 2000, plusieurs lgislateurs ont cherch encadrer
juridiquement ce mcanisme.
Page 8
Loi concernant le cadre juridique des technologies de
linformation LCCJTI : Un acronyme imprononable pour une loi
incomprhensible ?
Page 9
I. La technologie au service du droit : le potentiel technique
du certificat lectronique A. Les fondements thoriques B. Lutilit
pratique II. Le droit au service de la technologie : les limites
juridiques du certificat lectronique A. Cadre juridique : les
diffrentes notions B. Mise en uvre juridique : les obligations et
la responsabilit
Page 10
Page 11
A. 1) Certains lments de cryptographie C AB
Page 12
Le modle de confiance centralis : lInfrastructure de Gestion de
Cls (IGC) Le modle de confiance dcentralis : lexemple du Pretty
Good Privacy (PGP) A. 2) Les modles de confiance
Page 13
Le modle de confiance centralis : lInfrastructure de Gestion de
Cls (IGC) IGC - Autorit denregistrement - Autorit de certification
- Service de publication => Certificat X.509
Page 14
Le modle de confiance dcentralis : lexemple du Pretty Good
Privacy (PGP) => Certificat PGP Une personne pourra mettre ses
propres certificats, tout en signant les siens et ceux des
autres
Page 15
A. 3) Bilan laune de la LCCJTI Les modles de confiance
dcentralis et centralis, illustrs respectivement par lIGC et
lexemple du PGP, sont-ils couverts juridiquement de la mme manire ?
Le certificat lectronique doit-il ncessairement faire intervenir
une Autorit de certification dans sa conception/gestion ? Le
certificat PGP peut-il avoir la mme valeur juridique que le
certificat X.509 ?
Page 16
Les services de certification et de rpertoire peuvent tre
offerts par une personne ou par ltat. Les services de certification
comprennent la vrification de lidentit de personnes et la dlivrance
de certificats confirmant leur identit, lidentification dune
association, dune socit ou de ltat ou lexactitude de lidentifiant
dun objet. Les services de rpertoire comprennent linscription des
certificats et des identifiants dans un rpertoire accessible au
public et la confirmation de la validit des certificats rpertoris
ainsi que leur lien avec ce quils confirment. Un prestataire de
services peut offrir ces services en tout ou en partie. [nous
surlignons] Article 51 de la LCCJTI
Page 17
En rsum, retenons que la LCCJTI (section 3 du Chapitre 3) vise
les certificats lectroniques qui se fondent sur une architecture
IGC et qui, de fait, sont mis et grs par une Autorit de
certification. En revanche, larchitecture PGP ne semble pas
couverte juridiquement et un certificat qui en rsulterait ne
bnficierait vraisemblablement pas des dispositions 47 62 de la
LCCJTI.
Page 18
B. 1) Les fonctions du certificat lectronique Premirement, un
certificat peut servir confirmer lidentit dune personne, dune
socit, dune association ou de ltat. Deuximement, un certificat peut
servir confirmer lexactitude dun identifiant dun document ou dun
autre objet. Troisimement, un certificat peut servir confirmer
lexistence de certains attributs (dune personne, dun document ou
dun autre objet). Quatrimement, un certificat peut servir confirmer
le lien entre une personne, un document, un objet et un dispositif
didentification ou de localisation tangible ou logique. Article 47
de la LCCJTI : liste non limitative
Page 19
B. 2) Le cas particulier du certificat dattribut Certificat
didentit Identification Certificat dattribut Autorisation
Page 20
Le deuxime alina de larticle 47 de la LCCJTI rfre aux
diffrentes fonctions que le certificat dattribut peut remplir :
Premirement, lgard dune personne (physique ou morale), il peut
servir tablir notamment sa fonction, sa qualit, ses droits,
pouvoirs ou privilges au sein dune personne morale, dune
association, dune socit, de ltat ou dans le cadre dun emploi.
Deuximement, lgard dune association, dune socit ou dun emplacement
o ltat effectue ou reoit une communication, il peut tablir leur
localisation. Troisimement, lgard dun document ou dun autre objet,
il peut servir confirmer linformation permettant de lidentifier ou
de le localiser ou de dterminer son usage ou le droit dy avoir accs
ou tout autre droit ou privilge affrent.
Page 21
B. 3) Un exemple concret
Page 22
Page 23
A. 1) Le certificat et le rpertoire Le contenu minimum
obligatoire du certificat (article 48 LCCJTI) Le nom distinctif et
la signature numrique La rfrence lnonc de politique du prestataire
de services La version et le numro de srie du certificat La priode
de validit du certificat Le nom distinctif de son dtenteur
(personne, association, socit ou tat) ou lidentifiant de lobjet
certifi La dsignation de lattribut dont il confirme lexistence et,
au besoin, lidentit de la personne laquelle il est li
Page 24
Le dernier alina de larticle 48 de la LCCJTI dispose que : Le
nom distinctif dune personne physique peut tre un pseudonyme, mais
le certificat doit alors indiquer quil sagit dun pseudonyme. Les
services de certification sont tenus de communiquer le nom de la
personne qui correspond le pseudonyme toute personne lgalement
autorise obtenir ce renseignement. [nous surlignons]
Page 25
Publicise les certificats et les identifiants, tout en
garantissant quils sont valides et que leurs porteurs sont
identifis ; Accessible au public, soit directement ou au moyen dun
dispositif de consultation sur place ou distance ; Conforme aux
normes ou standards techniques approuvs par un organisme reconnu.
Le rpertoire (article 50 LCCJTI)
Page 26
A. 2) La politique du prestataire de services de certification
52. Lnonc de politique dun prestataire de services de certification
ou de rpertoire indique au moins : 1 ce qui peut tre inscrit dans
un certificat ou un rpertoire et, dans ce qui y est inscrit,
linformation dont lexactitude est confirme ainsi que les garanties
offertes cet gard par le prestataire ; 2 la priodicit de la rvision
de l'information ainsi que la procdure de mise jour ; 3 qui peut
obtenir la dlivrance dun certificat ou faire inscrire de
linformation au certificat ou au rpertoire ; 4 les limites
lutilisation dun certificat et dune inscription contenue au
rpertoire, dont celle relative la valeur dune transaction dans le
cadre de laquelle ils peuvent tre utiliss ; 5 linformation
permettant de dterminer, au moment dune communication, si un
certificat ou un renseignement inscrit au certificat ou au
rpertoire par un prestataire est valide, suspendu, annul ou archiv
; 6 la faon dobtenir de linformation additionnelle, lorsquelle est
disponible mais non encore inscrite au certificat ou au rpertoire,
particulirement en ce qui a trait la mise jour des limites
dutilisation dun certificat ; 7 la politique relative la
confidentialit de linformation reue ou communique par le
prestataire ; 8 le traitement des plaintes ; 9 la manire dont le
prestataire dispose des certificats en cas de cessation de ses
activits ou de faillite.
Page 27
A. 3) Le rgime daccrditation volontaire Articles 53 55 de la
LCCJTI Systme volontaire Prsomption de conformit la loi Les
procdures daccrditation (celle dadhsion classique et celle
dquivalence) Les critres de dlivrance et de renouvellement de
laccrditation
Page 28
Prestataire de services de certification et de rpertoire
Titulaire du certificat Personne agissant sur la foi dun certificat
B. 1) Les diffrents acteurs impliqus dans lusage dun
certificat
Page 29
Obligation de moyens 61. Le prestataire de services de
certification et de rpertoire, le titulaire vis par le certificat
et la personne qui agit en se fondant sur le certificat sont,
l'gard des obligations qui leur incombent en vertu de la prsente
loi, tenus une obligation de moyens. [nous surlignons] B. 2) Les
obligations
Page 30
Les obligations du prestataire de services de certification
Obligations gnrales (application de la LCCJTI) : conservation des
documents, consultation des documents, transmission des documents,
identification, etc. Obligations spcifiques (article 56 de la
LCCJTI) : prsenter des garanties dimpartialit, assurer lintgrit du
certificat durant son cycle de vie, tre en mesure de confirmer un
lien, pas de fausse reprsentation.
Page 31
Article 57 de la LCCJTI : confidentialit du dispositif Article
58 de la LCCJTI : dispositif vol ou perdu Article 59 de la LCCJTI :
mise jour des renseignements Les obligations du titulaire du
certificat
Page 32
Les obligations de la personne agissant sur la foi dun
certificat Les vrifications faire (article 60 LCCJTI) : La validit
du certificat La porte du certificat La confirmation de
linformation par le prestataire de services
Page 33
B. 3) La responsabilit Responsabilit conjointe En principe pour
leur part de faute Si personne nest en faute, responsabilit parts
gales Impossible dexclure sa responsabilit