Un certificat est un acte écrit par lequel une personne, en sa qualité d'officier public ou à titre personnel, garantit un fait dont elle a connaissance. En matière de communication en réseau, le certificat est un document électronique qui renferme les justificatifs d'identité d'une entité et qui est signé par l'organisme de certification qui a vérifié ces justifications.
La notion de certificat visée par la loi est, quant à elle, très large. C'est un document qui sert à établir et à confirmer un ou plusieurs faits. Les faits pouvant être confirmés par certificat et qui sont énumérés à l'article 47 de la loi ne sont que des exemples : l'identité d'une personne; l'identification d'une société, d'une association ou de l'État; l'exactitude d'un identifiant d'un document ou d'un autre objet; l'existence de certains attributs d'une personne, d'un document ou d'un autre objet; le lien entre eux et un dispositif d'identification ou de localisation logique ou tangible.
Un certificat peut-être vu comme une attestation électronique. C'est un document rassemblant certaines informations permettant d'identifier une personne ou une entreprise. Dans le contexte du commerce électronique, le certificat est habituellement un document dont l'objet est d'établir un lien entre une personne et une paire de clés asymétriques. Le certificat contient ainsi différentes informations relatives à l'identité d'un signataire, dont principalement la clé publique de celui-ci. Il est réalisé et signé par l'autorité de certification à l'aide de la cryptographie asymétrique et est, par le fait même, protégé contre les altérations. Il peut être émis, sur demande, à tout signataire enregistré auprès d'une autorité de certification.
On utilise un certificat lorsqu'il est nécessaire d'établir ou de confirmer un fait. Dans son sens général, certification signifie « assurance donnée par écrit »; certifier signifie « assurer qu'une chose est vraie » (Le Petit Robert). Schématiquement, un tiers digne de confiance atteste d'un fait au bénéfice de ceux qui ont besoin de disposer d'un niveau approprié de certitude quant à l'existence et la réalité de ce fait. Par exemple, dans une transaction électronique, dans laquelle les deux co-contractants ne se connaissent pas, ne se voient pas, l'un et l'autre peuvent avoir besoin qu'on lui confirme l'identité du co-contractant.
En somme, la certification est un processus destiné à réduire l'incertitude. Il vise à procurer la quantité optimale d'information à l'égard d'une personne, d'un document, d'un objet afin de pouvoir procéder à une transaction avec un niveau de risque acceptable.
Les certificats dont il est question dans la loi (articles 40 et 46) peuvent être utilisés pour identifier une personne, une association, une société ou l'État (article 40) ou un objet (article 46).
Chaque fois que l'importance de la transaction ou de la communication le commande. Ce ne sont pas toutes les situations qui s'y prêtent. Par exemple, nous n'avons pas besoin de certifier notre identité pour procéder à une commande d'un livre par téléphone. Par contre, si on achète une voiture, on nous demandera une pièce d'identité.
Lors d'une transaction qui s'effectue par voie électronique -- par exemple une offre et une acceptation de vente de maison qui se concluent sur Internet -- chaque partie veut s'assurer que la signature électronique utilisée par l'autre partie est bien la sienne. C'est pourquoi cette signature est « accompagnée » d'un certificat, lequel contient la clé publique de vérification de signature (art. 48loi). Cette clé publique permettra de confirmer que c'est bien le titulaire du certificat d'identité qui a signé électroniquement le document.
Voir l'article 48.
Lorsqu'on agit à un titre spécifique dans une transaction. Par exemple, si on transige avec un employé d'une entreprise, il pourra être nécessaire d'avoir une certitude que cet employé est bien habilité à poser les gestes requis par la transaction. Même chose si on interagit avec un professionnel de la santé, par exemple, un pharmacien.
Le PSC émet des certificats, dont ceux d'identité des personnes. Il doit, préalablement à une telle émission, vérifier l'identité de la personne concernée, en prenant toutes les précautions nécessaires pour éviter une usurpation d'identité. Il doit voir par la suite à ce que les informations qu'il a recueillies soient mises à jour régulièrement, pour être en mesure de confirmer le lien entre la signature électronique et le signataire titulaire du certificat (art. 56). Il doit également voir à la protection des données personnelles recueillies pour émettre ses certificats.
Il peut exister plusieurs niveaux de certificats émis par un PSC, établis suivant des critères plus ou moins élaborés retenus pour vérifier l'identité de la personne concernée et la périodicité de la mise à jour. Le coût du certificat variera en conséquence. Le PSC doit voir à suspendre ou révoquer un certificat devenu non conforme ou inexact; celui qui fournit les renseignements afin d'obtenir un certificat pour lui-même doit informer sans délai le PSC de toute modification à ces renseignements (art. 59).
Le PSC peut offrir aussi un service de répertoire (c'est ce qu'il fera habituellement) à partir duquel les certificats peuvent être consultés.
Voir les articles 56 et 59.
Celui qui désire se fier à un certificat doit vérifier préalablement sa validité et sa portée (art. 60).
Voir l'article 60.
L'accréditation d'un PSC n'entraîne aucune garantie en ce qui concerne la fiabilité des certificats qu'il émet. L'accréditation signifie simplement que le prestataire accrédité délivre des certificats qui sont présumés conformes aux exigences de la loi.
Voir l'article 53.
Oui, un PSC d'une autre origine territoriale que le Québec peut demander une accréditation et l'obtenir s'il rencontre les exigences requises.
Voir l'article 53.
Les certificats émis par un PSC et qui ne rencontreraient pas les mêmes normes que celles prescrites au Québec peuvent être considérés équivalents à ceux délivrés par un PSC accrédité, à la condition que cette équivalence soit constatée par la personne ou l'organisme désigné par le gouvernement.
Voir l'article 54.
L'équivalence des certificats doit être constatée par la personne ou l'organisme désigné par le gouvernement pour conclure des ententes de reconnaissance mutuelle avec l'autorité qui a établi les normes dont on cherche à reconnaître l'équivalence.
Voir l'article 54.
Il n'y a pas à proprement parler de contrôle par le gouvernement des activités des PSC. L'accréditation prévue à l'article 53 de la loi est faite sur une base volontaire. Lorsqu'un PSC décide de se faire accréditer, il doit le faire auprès d'une personne ou organisme désigné par le gouvernement, lequel détermine par règlement les modalités relatives à l'accréditation.
Voir l'article 68.
