Logo du Secrétariat du conseil du trésor.

Loi annotée par article - Article 48

Chapitre III

L'établissement d'un lien avec un document technologique

Section III — La certification

§1. Les certificats et les répertoires

Article 47 Article 48 Article 49Article 50


Article 48

Un certificat peut être joint directement à un autre document utilisé pour effectuer une communication ou être accessible au moyen d'un répertoire lui-même accessible au public.

Le certificat doit au moins comprendre les renseignements suivants :

  1. le nom distinctif du prestataire de services qui délivre le certificat ainsi que sa signature ;
  2. la référence à l'énoncé de politique du prestataire de services de certification, y compris ses pratiques, sur lequel s'appuient les garanties qu'offre le certificat qu'il délivre ;
  3. la version de certificat et le numéro de série du certificat ;
  4. le début et la fin de sa période de validité ;
  5. s'il s'agit d'un certificat confirmant l'identité d'une personne, l'identification d'une association, d'une société ou de l'État, leur nom distinctif ou, selon le cas, s'il s'agit d'un certificat confirmant l'exactitude de l'identifiant d'un objet, cet identifiant ;
  6. s'il s'agit d'un certificat d'attribut, la désignation de l'attribut dont le certificat confirme l'existence et, au besoin, l'identification de la personne, de l'association, de la société, de l'État ou de l'objet auquel il est lié.

Le nom distinctif d'une personne physique peut être un pseudonyme, mais le certificat doit alors indiquer qu'il s'agit d'un pseudonyme. Les services de certification sont tenus de communiquer le nom de la personne à qui correspond le pseudonyme à toute personne légalement autorisée à obtenir ce renseignement.

Annotations

Il y a donc deux façons de consulter un certificat : on peut en prendre connaissance directement lorsqu'il est joint à un autre document lors d'une communication, ou on peut y accéder par un répertoire accessible au public. Ainsi, lors d'une transaction avec un commerçant, le certificat d'identification de ce dernier est habituellement disponible directement sur le site où l'on procède à la transaction. Ceci suppose évidemment qu'il y a une mise à jour régulière de ce certificat effectuée par le prestataire de services de certification qui l'a émis.

Le prestataire de services est l'entité qui doit émettre et gérer de tels certificats. Il n'y en a pas de définition comme telle dans la loi. Le Code civil du Québec définit le prestataire de services à son article 2098   par référence à celui qui s'engage en vertu d'un contrat de service. L'article 51 de la loi prévoit qu'un prestataire de services peut offrir les services de certification et de répertoire en tout ou en partie, et qu'ils peuvent être offerts par une personne ou par l'État.

Le contenu du certificat

Le contenu d'un certificat a une importance primordiale, car le degré de fiabilité qu'on lui attribuera est tributaire de la profondeur, de la précision et de la mise à jour des informations qu'on y retrouvera. Le deuxième alinéa de l'article 48 précise le contenu minimum obligatoire d'un certificat.

Suivant le paragraphe 1º de cet alinéa, le prestataire de services doit signer le certificat qu'il délivre.

Suivant le paragraphe 2º, le certificat doit contenir une référence à l'énoncé de politique du prestataire de services : celui-ci doit être accessible, facile à consulter. Cet énoncé doit comprendre les éléments qui sont de nature à rassurer l'utilisateur, comme ses pratiques sur lesquelles il appuie ses garanties.

Le contenu minimal de l'énoncé de politique est détaillé à l'article 52 de la loi : par exemple, la valeur numérique de la clé publique émise, l'identifiant de l'algorithme, les normes et standards techniques utilisés.

La version du certificat doit être indiquée : elle donne l'indication de sa mise à jour.

La mention de la période de validité est requise par le paragraphe 4º. Cette information est très importante, et l'utilisateur d'un certificat doit y apporter une attention particulière. En effet, l'article 60 de la loi impose certaines obligations de vérification, dont celle relative à la validité du certificat, à la personne qui veut agir en se fondant sur un certificat.

Le nom distinctif d'une personne physique indiqué au certificat peut être un pseudonyme, avec l'indication que c'en est un. Cependant les services de certification doivent dévoiler le nom véritable de la personne qui utilise un tel pseudonyme à « toute personne légalement autorisée à obtenir ce renseignement ». Par exemple, les agents de la paix dans l'exercice de leurs fonctions de prévention des infractions pourraient obtenir un tel renseignement. C'est donc dire que l'emploi d'un certificat est compatible avec l'usage d'un pseudonyme pour préserver, dans le respect de la loi, l'anonymat des personnes comme c'est le cas actuellement pour les transactions effectuées dans les kiosques ou les magasins.

Voir aussi les sujets Certification et Protection de la vie privée.

Glossaire : attribut d'une personne, certificat d'attribut, certification, certificat

Retour en haut de la page