Chapitre III
L'établissement d'un lien avec un document technologique
Section III — La certification
§1. Les certificats et les répertoires
| Article 47 | Article 48 | Article 49 | Article 50 |
Un certificat peut être joint directement à un autre document utilisé pour effectuer une communication ou être accessible au moyen d'un répertoire lui-même accessible au public.
Le certificat doit au moins comprendre les renseignements suivants :
Le nom distinctif d'une personne physique peut être un pseudonyme, mais le certificat doit alors indiquer qu'il s'agit d'un pseudonyme. Les services de certification sont tenus de communiquer le nom de la personne à qui correspond le pseudonyme à toute personne légalement autorisée à obtenir ce renseignement.
Il y a donc deux façons de consulter un certificat : on peut en prendre connaissance directement lorsqu'il est joint à un autre document lors d'une communication, ou on peut y accéder par un répertoire accessible au public. Ainsi, lors d'une transaction avec un commerçant, le certificat d'identification de ce dernier est habituellement disponible directement sur le site où l'on procède à la transaction. Ceci suppose évidemment qu'il y a une mise à jour régulière de ce certificat effectuée par le prestataire de services de certification qui l'a émis.
Le prestataire de services est l'entité qui doit émettre et gérer de tels certificats. Il n'y en a pas de définition comme telle dans la loi. Le Code civil du Québec définit le prestataire de services à son article 2098 
par référence à celui qui s'engage en vertu d'un contrat de service. L'article 51 de la loi prévoit qu'un prestataire de services peut offrir les services de certification et de répertoire en tout ou en partie, et qu'ils peuvent être offerts par une personne ou par l'État.
Le contenu d'un certificat a une importance primordiale, car le degré de fiabilité qu'on lui attribuera est tributaire de la profondeur, de la précision et de la mise à jour des informations qu'on y retrouvera. Le deuxième alinéa de l'article 48 précise le contenu minimum obligatoire d'un certificat.
Suivant le paragraphe 1º de cet alinéa, le prestataire de services doit signer le certificat qu'il délivre.
Suivant le paragraphe 2º, le certificat doit contenir une référence à l'énoncé de politique du prestataire de services : celui-ci doit être accessible, facile à consulter. Cet énoncé doit comprendre les éléments qui sont de nature à rassurer l'utilisateur, comme ses pratiques sur lesquelles il appuie ses garanties.
Le contenu minimal de l'énoncé de politique est détaillé à l'article 52 de la loi : par exemple, la valeur numérique de la clé publique émise, l'identifiant de l'algorithme, les normes et standards techniques utilisés.
La version du certificat doit être indiquée : elle donne l'indication de sa mise à jour.
La mention de la période de validité est requise par le paragraphe 4º. Cette information est très importante, et l'utilisateur d'un certificat doit y apporter une attention particulière. En effet, l'article 60 de la loi impose certaines obligations de vérification, dont celle relative à la validité du certificat, à la personne qui veut agir en se fondant sur un certificat.
Le nom distinctif d'une personne physique indiqué au certificat peut être un pseudonyme, avec l'indication que c'en est un. Cependant les services de certification doivent dévoiler le nom véritable de la personne qui utilise un tel pseudonyme à « toute personne légalement autorisée à obtenir ce renseignement ». Par exemple, les agents de la paix dans l'exercice de leurs fonctions de prévention des infractions pourraient obtenir un tel renseignement. C'est donc dire que l'emploi d'un certificat est compatible avec l'usage d'un pseudonyme pour préserver, dans le respect de la loi, l'anonymat des personnes comme c'est le cas actuellement pour les transactions effectuées dans les kiosques ou les magasins.
Voir aussi les sujets Certification et Protection de la vie privée.
Glossaire : attribut d'une personne, certificat d'attribut, certification, certificat
