Logo du Secrétariat du conseil du trésor.

Loi annotée par article - Article 56

Chapitre III

L'établissement d'un lien avec un document technologique

Section III — La certification

§2. Les services de certification et de répertoire

Article 51Article 52Article 53Article 54 Article 55Article 56
Article 57Article 58Article 59Article 60 Article 61Article 62


Article 56

Le prestataire de services de certification doit présenter des garanties d'impartialité par rapport à la personne ou l'objet visé par la certification, même s'il n'est pas un tiers à leur égard.

Il doit assurer l'intégrité du certificat qu'il délivre au cours de tout son cycle de vie, y compris en cas de modification, de suspension, d'annulation ou d'archivage, ou en cas de mise à jour d'un renseignement qu'il contient.

En outre, il doit être en mesure de confirmer le lien entre le dispositif d'identification ou de localisation, tangible ou logique, et la personne, l'association, la société, l'État ou l'objet identifié ou localisé au moyen du dispositif.

Constitue une fausse représentation le fait de délivrer un document présenté comme étant un certificat confirmant l'identité d'une personne, l'identification d'une association, d'une société ou de l'État ou l'exactitude d'un identifiant d'un objet, alors qu'aucune vérification n'est faite par le prestataire de services ou pour lui ou que l'insuffisance de la vérification effectuée équivaut à une absence de vérification.

Annotations

Cet article prévoit certaines des obligations auxquelles sont assujettis les prestataires de services de certification. On retrouve aussi dans d'autres articles de la loi des dispositions qui énoncent des obligations qui sont aussi applicables à ces prestataires.

Il faut souligner que l'article 61 de la loi indique que le prestataire de services de certification et de répertoire est tenu à une obligation de moyens à l'égard des obligations qui lui incombent en vertu de cette loi. Il peut cependant être tenu responsable sans égard à sa faute en certaines circonstances énoncées à l'article 62 de la loi.

Les obligations de l'article 56

Cet article édicte certaines obligations particulières du prestataire de services de certification. Celui-ci doit :


  1. présenter des garanties d'impartialité : le libellé de cet article laisse entendre que ce prestataire peut être lié à la personne qu'il identifie, mais dans cette éventualité il doit offrir des garanties qui font en sorte qu'il démontre une grande objectivité dans l'application de ses critères habituels et qu'il ne peut y avoir de doute quant au sérieux de la délivrance du certificat concerné. Ce pourrait être le cas, par exemple, d'une société qui émet un certificat d'identité pour l'un de ses actionnaires ;

  2. assurer l'intégrité (voir l'article 6) du certificat délivré au cours de son cycle de vie. On mentionne ici certaines étapes du cycle de vie d'un certificat, soit : sa modification, sa suspension, son annulation, son archivage et sa mise à jour ;

  3. être en mesure de confirmer :
    • le lien entre le dispositif d'identification, tangible ou logique et la personne, l'association, la société, l'État ou l'objet identifié. Un exemple de dispositif logique serait la clé publique d'une personne dans le système de cryptographie asymétrique ; et
    • le lien entre le dispositif de localisation, tangible ou logique, et la personne, l'association, la société, l'État ou l'objet localisé. Un exemple de dispositif tangible, c'est-à-dire matériel, serait un appareil quelconque lié à une personne dans le but de savoir où elle se trouve et ce, si une loi le prévoit expressément, dans les cas prévus au deuxième alinéa de l'article 43 de la loi (pour protéger la santé des personnes ou si la sécurité publique le requiert).

Certaines obligations applicables entre autres aux prestataires de services de certification et de répertoire et prévues ailleurs dans la loi

Concernant la conservation des documents : ces obligations se retrouvent aux articles 19 à 22 de la loi. À souligner : le paragraphe 2º du premier alinéa de l'article 20 qui concerne la protection des renseignements confidentiels et personnels que comportent des documents qui peuvent être détruits.

Concernant la consultation des documents : ces obligations se retrouvent aux articles 23 à 27 de la loi. À souligner : l'article 24 qui traite de la protection des renseignements personnels contenus dans un document technologique rendu public et l'article 25 qui balise l'accès à un document technologique qui porte un renseignement confidentiel.

Concernant la transmission des documents : l'article 30 prévoit que la documentation nécessaire pour fins de preuve établissant la capacité d'un mode de transmission de préserver l'intégrité du document doit être disponible, donc conservée par le prestataire. Cet article énonce que pour que le document technologique reçu soit considéré comme ayant la même valeur que le document technologique transmis, il faut que le mode de transmission choisi permette de préserver l'intégrité des deux documents. Il faut pouvoir en faire la preuve, le cas échéant. Par ailleurs, l'article 33 énonce une présomption d'intégrité d'un document d'une entreprise au sens du Code civil ou de l'État en faveur d'un tiers qui en génère un exemplaire ou une copie à partir d'un système ou document, y compris un logiciel, mis à sa disposition par l'un d'eux.

Concernant l'identification : lorsque le prestataire de services de certification confirme l'identité des personnes, l'article 40 de la loi exige de le faire dans le respect de la loi. L'article 41 prévoit qu'un document technologique qui présente, par exemple, une caractéristique personnelle, doit être protégé contre l'interception qui rendrait possible l'usurpation d'identité, et que sa confidentialité doit être protégée. L'article 44 pose certaines exigences quant à l'utilisation de caractéristiques ou mesures biométriques.

Concernant les identifiants : l'article 46 énonce que lorsqu'un document utilisé pour effectuer une communication en réseau doit être conservé pour constituer une preuve (et c'est certainement le cas des certificats), son identifiant (le troisième alinéa de cet article précise ce qu'est un identifiant) doit être conservé avec lui pendant tout le cycle de vie du document par la personne responsable du document. L'article 46 précise que pour établir la provenance ou la destination d'un document à un moment déterminé, les certificats, entre autres objets, qui ont servi à effectuer la communication, doivent pouvoir être identifiés et localisés au moyen des identifiants qui leur sont attribués. On peut penser ici aux certificats de clés publiques qui sont joints à des documents lors d'une transaction.

La fausse représentation

L'article 56 prévoit que le fait de délivrer un document présenté comme un certificat servant à confirmer (entre autres) l'identité d'une personne :

  • alors qu'aucune vérification n'a été faite ; ou que
  • l'insuffisance de la vérification équivaut à une absence de vérification ;

constitue une fausse représentation. La fausse représentation est une représentation mensongère ou trompeuse.

Voir aussi le sujet Certification.

Glossaire : archivagecertification, certificat, clé publique, clé

Retour en haut de la page