Chapitre III
L'établissement d'un lien avec un document technologique
Section III — La certification
§1. Les certificats et les répertoires
| Article 47 | Article 48 | Article 49 | Article 50 |
Un certificat peut servir à établir un ou plusieurs faits dont la confirmation de l'identité d'une personne, de l'identification d'une société, d'une association ou de l'État, de l'exactitude d'un identifiant d'un document ou d'un autre objet, de l'existence de certains attributs d'une personne, d'un document ou d'un autre objet ou encore du lien entre eux et un dispositif d'identification ou de localisation tangible ou logique.
Un certificat d'attribut peut, à l'égard d'une personne, servir à établir notamment sa fonction, sa qualité, ses droits, pouvoirs ou privilèges au sein d'une personne morale, d'une association, d'une société, de l'État ou dans le cadre d'un emploi. Il peut, à l'égard d'une association, d'une société ou d'un emplacement où l'État effectue ou reçoit une communication, établir leur localisation. À l'égard d'un document ou d'un autre objet, il peut servir à confirmer l'information permettant de l'identifier ou de le localiser ou de déterminer son usage ou le droit d'y avoir accès ou tout autre droit ou privilège afférent.
L'accès au certificat d'attribut relatif à une personne doit être autorisé par celle-ci ou par une personne en autorité par rapport à elle.
Il y a donc deux façons de consulter un certificat : on peut en prendre connaissance directement lorsqu'il est joint à un autre document lors d'une communication, ou on peut y accéder par un répertoire accessible au public. Ainsi, lors d'une transaction avec un commerçant, le certificat d'identification de ce dernier est habituellement disponible directement sur le site où l'on procède à la transaction. Ceci suppose évidemment qu'il y a une mise à jour régulière de ce certificat effectuée par le prestataire de services de certification qui l'a émis.
Le prestataire de services est l'entité qui doit émettre et gérer de tels certificats. Il n'y en a pas de définition comme telle dans la loi. Le Code civil du Québec définit le prestataire de services à son article 2098 par référence à celui qui s'engage en vertu d'un contrat de service. L'article 51 de la loi prévoit qu'un prestataire de services peut offrir les services de certification et de répertoire en tout ou en partie, et qu'ils peuvent être offerts par une personne ou par l'État.
Le contenu d'un certificat a une importance primordiale, car le degré de fiabilité qu'on lui attribuera est tributaire de la profondeur, de la précision et de la mise à jour des informations qu'on y retrouvera. Le deuxième alinéa de l'article 48 précise le contenu minimum obligatoire d'un certificat.
Suivant le paragraphe 1º de cet alinéa, le prestataire de services doit signer le certificat qu'il délivre.
Suivant le paragraphe 2º, le certificat doit contenir une référence à l'énoncé de politique du prestataire de services : celui-ci doit être accessible, facile à consulter. Cet énoncé doit comprendre les éléments qui sont de nature à rassurer l'utilisateur, comme ses pratiques sur lesquelles il appuie ses garanties.
Le contenu minimal de l'énoncé de politique est détaillé à l' de la loi : par exemple, la valeur numérique de la clé publique émise, l'identifiant de l'algorithme, les normes et standards techniques utilisés.
La version du certificat doit être indiquée : elle donne l'indication de sa mise à jour.
La mention de la période de validité est requise par le paragraphe 4º. Cette information est très importante, et l'utilisateur d'un certificat doit y apporter une attention particulière. En effet, l'article 60 de la loi impose certaines obligations de vérification, dont celle relative à la validité du certificat, à la personne qui veut agir en se fondant sur un certificat.
Le nom distinctif d'une personne physique indiqué au certificat peut être un pseudonyme, avec l'indication que c'en est un. Cependant les services de certification doivent dévoiler le nom véritable de la personne qui utilise un tel pseudonyme à « toute personne légalement autorisée à obtenir ce renseignement ». Par exemple, les agents de la paix dans l'exercice de leurs fonctions de prévention des infractions pourraient obtenir un tel renseignement. C'est donc dire que l'emploi d'un certificat est compatible avec l'usage d'un pseudonyme pour préserver, dans le respect de la loi, l'anonymat des personnes comme c'est le cas actuellement pour les transactions effectuées dans les kiosques ou les magasins.
Voir aussi les sujets Certification et Protection de la vie privée.
Glossaire : attribut d'une personne, certificat d'attribut, certification, certificat
