Logo du Secrétariat du conseil du trésor.

Loi annotée par article - Article 52

Chapitre III

L'établissement d'un lien avec un document technologique

Section III — La certification

§2. Les services de certification et de répertoire

Article 51Article 52Article 53Article 54 Article 55Article 56
Article 57Article 58Article 59Article 60 Article 61Article 62


Article 52

L'énoncé de politique d'un prestataire de services de certification ou de répertoire indique au moins :

  1. ce qui peut être inscrit dans un certificat ou un répertoire et, dans ce qui y est inscrit, l'information dont l'exactitude est confirmée ainsi que les garanties offertes à cet égard par le prestataire ;
  2. la périodicité de la révision de l'information ainsi que la procédure de mise à jour ;
  3. qui peut obtenir la délivrance d'un certificat ou faire inscrire de l'information au certificat ou au répertoire ;
  4. les limites à l'utilisation d'un certificat et d'une inscription contenue au répertoire, dont celle relative à la valeur d'une transaction dans le cadre de laquelle ils peuvent être utilisés ;
  5. l'information permettant de déterminer, au moment d'une communication, si un certificat ou un renseignement inscrit au certificat ou au répertoire par un prestataire est valide, suspendu, annulé ou archivé ;
  6. la façon d'obtenir de l'information additionnelle, lorsqu'elle est disponible mais non encore inscrite au certificat ou au répertoire, particulièrement en ce qui a trait à la mise à jour des limites d'utilisation d'un certificat ;
  7. la politique relative à la confidentialité de l'information reçue ou communiquée par le prestataire ;
  8. le traitement des plaintes ;
  9. la manière dont le prestataire dispose des certificats en cas de cessation de ses activités ou de faillite.

L'énoncé de politique du prestataire de services de certification ou de répertoire doit être accessible au public.

Annotations

Cet article indique les questions sur lesquelles les prestataires de services de certification doivent fournir de l'information aux utilisateurs.

L'énoncé de politique est un ensemble d'informations qui vise notamment à permettre à l'utilisateur d'un certificat de se faire une idée sur les niveaux de qualité et de sécurité rattachés à celui-ci, ainsi que d'indiquer les principales obligations auxquelles le prestataire de services est astreint. Ce dernier peut en effet limiter la valeur des transactions pour lesquelles le certificat peut être utilisé.

L'accessibilité par le public à l'énoncé de politique est impérative : le moyen d'y accéder fait d'ailleurs partie des mentions devant obligatoirement être incluses dans le certificat, en vertu du paragraphe 2º du deuxième alinéa de l'article 48 de la loi.

Le contenu de l'énoncé de politique

Les informations que doit contenir l'énoncé de politique suivant cet article correspondent à des exigences minimales. Le prestataire de services peut donc rajouter les lments qu'il juge pertinents ou utiles eu égard au type de certificat qu'il émet et à la clientèle visée. Ces informations minimales sont :

1º les éléments que l'on retrouvera dans le certificat ou le répertoire concerné. L'énoncé indique entre autres :

  1. quelle information est confirmée de façon exacte ; et

  2. les garanties que le prestataire offre à cet égard : ceci revêt une extrême importance. En effet, le prestataire de services doit indiquer quelles procédures, normes et standards spécifiques il utilise pour les fins de garantir l'exactitude de l'information confirme.

2º les lments permettant de savoir dans quelle mesure le certificat que l'on consulte est à jour ;

3º les critères utilisés par le prestataire de services pour déterminer qui a le droit de faire émettre un certificat et de le faire modifier : lorsqu'il s'agit d'un individu, ceci ne cause pas trop de problèmes. Par contre, s'il s'agit d'une société qui veut faire émettre un certificat pour permettre à un de ses dirigeants de signer numériquement des documents en son nom, il faut que le prestataire de services ait préalablement établi ses exigences relatives à la preuve qu'il demandera en regard de l'autorité de la personne qui fera une telle demande au nom de la société. Ceci impliquera nécessairement un autre niveau de certification, et le prestataire devra faire part de sa politique à cet égard ;

4º les restrictions quant à l'utilisation d'un certificat : ce sont des éléments que l'utilisateur devra scruter minutieusement, particulièrement eu égard aux dispositions de l'article 62 de la loi qui prévoit un régime de responsabilité particulier à l'égard des personnes impliquées, soit comme utilisateur, soit comme prestataire de services. Ce dernier pourra faire sa preuve plus facilement si ces limites sont clairement établies. La limite relative à la valeur de la transaction concernée sera vraisemblablement en corrélation avec le niveau du certificat émis, dont le prix sera aussi établi en fonction du risque encouru ;

5º la manière dont le prestataire indique, au moment de la communication concernée, le statut du certificat (valide, suspendu, annulé ou archivé) ;

6º comment l'utilisateur peut obtenir de l'information qui devrait être inscrite au certificat ou au répertoire mais qui n'y figure pas encore, particulirement en ce qui concerne la mise jour des limites d'utilisation d'un certificat ;

7º la politique du prestataire quant à la confidentialité des informations dont il dispose : il est clair que cette question est l'une de celles qui préoccupent le plus les utilisateurs actuels et futurs de ces services et que cette politique devra comprendre entre autres une référence à l'utilisation de normes et standards reconnus pour les fins de protection de la vie privée des personnes ;

8º le traitement des plaintes : il peut s'agir par exemple d'une procédure d'arbitrage ; et

9º le sort des certificats en cas de faillite ou de cessation des activités du prestataire de services : cet lment est crucial, car ces événements pourraient bien entraîner une brèche importante dans une infrastructure de certification si un élément de la pyramide devenait tout d'un coup absent ou inutilisable, causant un tort immense aux personnes ou entreprises impliquées. Il faut donc que le prestataire de services prévoie ce qu'il adviendra de l'information dont il a la garde ainsi qu'une solution qui assurera la pérennité de l'accessibilité aux certificats dont il dispose et aux services de répertoire qu'il offre, le cas échéant.

Voir aussi les sujets Certification et Protection de la vie privée.

Glossaire : certification, certificat

Retour en haut de la page