La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Antoine Guilmain Doctorant en droit à lUniversité de Montréal Assistant de recherche au Laboratoire de Cyberjustice Cycle de conférences « Les Mots du.

Présentations similaires


Présentation au sujet: "Antoine Guilmain Doctorant en droit à lUniversité de Montréal Assistant de recherche au Laboratoire de Cyberjustice Cycle de conférences « Les Mots du."— Transcription de la présentation:

1 Antoine Guilmain Doctorant en droit à lUniversité de Montréal Assistant de recherche au Laboratoire de Cyberjustice Cycle de conférences « Les Mots du Droit de lEconomie Numérique » Chaire L.R. Wilson

2 « La confiance est la sœur jumelle du commerce électronique »

3 1/ Comment sassurer de lidentité dun internaute ? 2/ À linverse, comment prouver ma propre identité sur Internet ? 3/ Comment préserver lintégrité dun message dans lunivers numérique ?

4 La certification Dans son assertion la plus courante, la « certification » signifie simplement une « assurance donnée par écrit », tandis que le verbe « certifier » équivaut à « garantir par un acte lauthenticité de quelque chose ».

5 Le certificat sapparente à une « carte didentité numérique »

6 Certificat électronique Certificat numérique Certificat didentité numérique Certificat numérique didentité Certificat de signature électronique Certificat électronique de signature

7 Le potentiel que présente le recours au certificat électronique a très vite été perçu, mais également ses risques et dérives. Aussi, dès le début des années 2000, plusieurs législateurs ont cherché à encadrer juridiquement ce mécanisme.

8 Loi concernant le cadre juridique des technologies de linformation LCCJTI : Un acronyme imprononçable pour une loi incompréhensible ?

9 I. La technologie au service du droit : le potentiel technique du certificat électronique A. Les fondements théoriques B. Lutilité pratique II. Le droit au service de la technologie : les limites juridiques du certificat électronique A. Cadre juridique : les différentes notions B. Mise en œuvre juridique : les obligations et la responsabilité

10

11 A. 1) Certains éléments de cryptographie C AB

12 Le modèle de confiance centralisé : lInfrastructure de Gestion de Clés (IGC) Le modèle de confiance décentralisé : lexemple du Pretty Good Privacy (PGP) A. 2) Les modèles de confiance

13 Le modèle de confiance centralisé : lInfrastructure de Gestion de Clés (IGC) IGC - Autorité denregistrement - Autorité de certification - Service de publication => Certificat X.509

14 Le modèle de confiance décentralisé : lexemple du Pretty Good Privacy (PGP) => Certificat PGP Une personne pourra émettre ses propres certificats, tout en signant les siens et ceux des autres

15 A. 3) Bilan à laune de la LCCJTI Les modèles de confiance décentralisé et centralisé, illustrés respectivement par lIGC et lexemple du PGP, sont-ils couverts juridiquement de la même manière ? Le certificat électronique doit-il nécessairement faire intervenir une Autorité de certification dans sa conception/gestion ? Le certificat PGP peut-il avoir la même valeur juridique que le certificat X.509 ?

16 « Les services de certification et de répertoire peuvent être offerts par une personne ou par lÉtat. Les services de certification comprennent la vérification de lidentité de personnes et la délivrance de certificats confirmant leur identité, lidentification dune association, dune société ou de lÉtat ou lexactitude de lidentifiant dun objet. Les services de répertoire comprennent linscription des certificats et des identifiants dans un répertoire accessible au public et la confirmation de la validité des certificats répertoriés ainsi que leur lien avec ce quils confirment. Un prestataire de services peut offrir ces services en tout ou en partie. » [nous surlignons] Article 51 de la LCCJTI

17 En résumé, retenons que la LCCJTI (section 3 du Chapitre 3) vise les certificats électroniques qui se fondent sur une architecture IGC et qui, de fait, sont émis et gérés par une Autorité de certification. En revanche, larchitecture PGP ne semble pas couverte juridiquement et un certificat qui en résulterait ne bénéficierait vraisemblablement pas des dispositions 47 à 62 de la LCCJTI.

18 B. 1) Les fonctions du certificat électronique Premièrement, un certificat peut servir à confirmer lidentité dune personne, dune société, dune association ou de lÉtat. Deuxièmement, un certificat peut servir à confirmer lexactitude dun identifiant dun document ou dun autre objet. Troisièmement, un certificat peut servir à confirmer lexistence de certains attributs (dune personne, dun document ou dun autre objet). Quatrièmement, un certificat peut servir à confirmer le lien entre une personne, un document, un objet et un dispositif didentification ou de localisation tangible ou logique. Article 47 de la LCCJTI : liste non limitative

19 B. 2) Le cas particulier du certificat dattribut Certificat didentité Identification Certificat dattribut Autorisation

20 Le deuxième alinéa de larticle 47 de la LCCJTI réfère aux différentes fonctions que le certificat dattribut peut remplir : Premièrement, à légard dune personne (physique ou morale), il peut « servir à établir notamment sa fonction, sa qualité, ses droits, pouvoirs ou privilèges au sein dune personne morale, dune association, dune société, de lÉtat ou dans le cadre dun emploi. » Deuxièmement, à légard dune association, dune société ou dun emplacement où lÉtat effectue ou reçoit une communication, il peut « établir leur localisation. » Troisièmement, à légard dun document ou dun autre objet, il peut « servir à confirmer linformation permettant de lidentifier ou de le localiser ou de déterminer son usage ou le droit dy avoir accès ou tout autre droit ou privilège afférent. »

21 B. 3) Un exemple concret

22

23 A. 1) Le certificat et le répertoire Le contenu minimum obligatoire du certificat (article 48 LCCJTI) Le nom distinctif et la signature numérique La référence à lénoncé de politique du prestataire de services La version et le numéro de série du certificat La période de validité du certificat Le nom distinctif de son détenteur (personne, association, société ou État) ou lidentifiant de lobjet certifié La désignation de lattribut dont il confirme lexistence et, au besoin, lidentité de la personne à laquelle il est lié

24 Le dernier alinéa de larticle 48 de la LCCJTI dispose que : « Le nom distinctif dune personne physique peut être un pseudonyme, mais le certificat doit alors indiquer quil sagit dun pseudonyme. Les services de certification sont tenus de communiquer le nom de la personne à qui correspond le pseudonyme à toute personne légalement autorisée à obtenir ce renseignement. » [nous surlignons]

25 Publicise les certificats et les identifiants, tout en garantissant quils sont valides et que leurs porteurs sont identifiés ; Accessible au public, soit directement ou au moyen dun dispositif de consultation sur place ou à distance ; Conforme aux normes ou standards techniques approuvés par un organisme reconnu. Le répertoire (article 50 LCCJTI)

26 A. 2) La politique du prestataire de services de certification 52. Lénoncé de politique dun prestataire de services de certification ou de répertoire indique au moins : 1° ce qui peut être inscrit dans un certificat ou un répertoire et, dans ce qui y est inscrit, linformation dont lexactitude est confirmée ainsi que les garanties offertes à cet égard par le prestataire ; 2° la périodicité de la révision de l'information ainsi que la procédure de mise à jour ; 3° qui peut obtenir la délivrance dun certificat ou faire inscrire de linformation au certificat ou au répertoire ; 4° les limites à lutilisation dun certificat et dune inscription contenue au répertoire, dont celle relative à la valeur dune transaction dans le cadre de laquelle ils peuvent être utilisés ; 5° linformation permettant de déterminer, au moment dune communication, si un certificat ou un renseignement inscrit au certificat ou au répertoire par un prestataire est valide, suspendu, annulé ou archivé ; 6° la façon dobtenir de linformation additionnelle, lorsquelle est disponible mais non encore inscrite au certificat ou au répertoire, particulièrement en ce qui a trait à la mise à jour des limites dutilisation dun certificat ; 7° la politique relative à la confidentialité de linformation reçue ou communiquée par le prestataire ; 8° le traitement des plaintes ; 9° la manière dont le prestataire dispose des certificats en cas de cessation de ses activités ou de faillite.

27 A. 3) Le régime daccréditation volontaire Articles 53 à 55 de la LCCJTI Système volontaire Présomption de conformité à la loi Les procédures daccréditation (celle dadhésion classique et celle déquivalence) Les critères de délivrance et de renouvellement de laccréditation

28 Prestataire de services de certification et de répertoire Titulaire du certificat Personne agissant sur la foi dun certificat B. 1) Les différents acteurs impliqués dans lusage dun certificat

29 Obligation de moyens 61. Le prestataire de services de certification et de répertoire, le titulaire visé par le certificat et la personne qui agit en se fondant sur le certificat sont, à l'égard des obligations qui leur incombent en vertu de la présente loi, tenus à une obligation de moyens. [nous surlignons] B. 2) Les obligations

30 Les obligations du prestataire de services de certification Obligations générales (application de la LCCJTI) : conservation des documents, consultation des documents, transmission des documents, identification, etc. Obligations spécifiques (article 56 de la LCCJTI) : présenter des garanties dimpartialité, assurer lintégrité du certificat durant son cycle de vie, être en mesure de confirmer un lien, pas de fausse représentation.

31 Article 57 de la LCCJTI : confidentialité du dispositif Article 58 de la LCCJTI : dispositif volé ou perdu Article 59 de la LCCJTI : mise à jour des renseignements Les obligations du titulaire du certificat

32 Les obligations de la personne agissant sur la foi dun certificat Les vérifications à faire (article 60 LCCJTI) : La validité du certificat La portée du certificat La confirmation de linformation par le prestataire de services

33 B. 3) La responsabilité Responsabilité conjointe En principe pour leur part de faute Si personne nest en faute, responsabilité à parts égales Impossible dexclure sa responsabilité

34 Me contacter :


Télécharger ppt "Antoine Guilmain Doctorant en droit à lUniversité de Montréal Assistant de recherche au Laboratoire de Cyberjustice Cycle de conférences « Les Mots du."

Présentations similaires


Annonces Google