Le certificat électronique . Mercredi 15 janvier 2014 à 11h30

Slides:



Advertisements
Présentations similaires
LA CIRCULATION DES RENSEIGNEMENTS PERSONNELS DANS LES ENVIRONNEMENTS « WEB 2.0 » du e-gouvernement L’avènement des environnements en ligne à contenu généré.
Advertisements

Espagne : Libre volonté privilégiée sur l’encadrement a priori. Asymétrie des régimes : communauté de pleine autonomie et communauté d’autonomie progressive.
La Gestion de la Configuration
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Certification et échanges numériques : usage du certificat dans les applications de sécurité Pascal COLIN Directeur Général Matinée Standarmedia – 27.
1 Appel à commentaires Numérotation Synthèse sur les préfixes de sélection du transporteur à un chiffre « E » CCRSCE – 16 mars 2005.
CONSEIL FÉDÉRAL DE CONCILIATION ET DARBITRAGE PROCÉDURE DE NÉGOCIATION ET SIGNATURE DES CONTRATS COLLECTIFS DE TRAVAIL LIC. GARY J. PÉREZ GRIJALVA SECRÉTAIRE.
Sécurité des communications & PKI
PRESENTATION CHAMBERSIGN FRANCE Qui est ChamberSign France ? ChamberSign est une association créée en 2000 par les Chambres de Commerce et dIndustrie.
2nd thème : La notion de données à caractère personnel.
La politique de Sécurité
23/05/2006 Résultat Final Business Consulting Services Pré-étude portant sur l'implémentation et l'organisation d'un système de gestion des connaissances.
Reproduction interdite sans l'autorisation écrite de Michel Laflamme 1 Loi du Québec concernant le cadre Juridique des technologies de linformation.
La revue de projet.
Inscription et auto-accréditation des nouveaux utilisateurs
La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.
DATICE. Propriété intellectuelle et droit dauteur Respect de la vie privée (notamment droit à limage) Protection des données personnelles ne pas diffuser.
Public Key Infrastructure
SSL (Secure Sockets Layer) (couche de sockets sécurisée)
TVA INTRACOMMUNAUTAIRE
Présentation de lOIM C Lobligation de fournir réparation aux victimes de torture et autres mauvais traitements.
De nouvelles applications en matière d’administration électronique : - la transmission des actes des collectivités locales - le passeport électronique.
0 NOUVEAUTÉS LES PREMIERS SCEAUX FRANÇAIS DÉLIVRÉS PAR WEBTRUST FRANCE.
Les apports de la loi en matière de confiance numérique
L’ACQUISITION DE PRODUITS EXPLOSIFS
Section 4 : Paiement, sécurité et certifications des sites marchands
Webinar – Pôle numérique CCI Bordeaux - 28 novembre 2013
CHEQUE DOMICILE UNIVERSEL L’espace bénéficiaire
CERTIFICAT (SUPPLÉMENT) Ajout aux diapos du cours DRT-3808 (cryptographie)
Les 10 choses que vous devez savoir sur Windows Authentique Notice légale Les informations de ce document contiennent les explications de Microsoft Corporation.
29e CONFÉRENCE INTERNATIONALE DES COMMISSAIRES À LA PROTECTION DES DONNÉES ET DE LA VIE PRIVÉE 29 th INTERNATIONAL CONFERENCE OF DATA PROTECTION AND PRIVACY.
PRESENTATION CHAMBERSIGN France Assemblée générale du CCEC
C2I Métiers de la santé Domaine Juridique
de la propriété intellectuelle
LE PROGRAMME INES Identité Nationale Electronique Sécurisée.
Commerce électronique, distribution et concurrence CEJEM - Université Panthéon-Assas 10 mai 2007 Site internet, lieu de vente Thibault Verbiest, avocat.
LA CIRCULATION DES RENSEIGNEMENTS PERSONNELS DANS LES ENVIRONNEMENTS « WEB 2.0 » Pierre Trudel.
Le cycle de vie du document et les exigences pour chacune des étapes
Présentation de M e Christiane Larouche Service juridique, FMOQ 28 mai 2014.
CERTIFICAT INFORMATIQUE ET INTERNET C2i® niveau 2 Métiers du Droit
Le protocole d’authentification
IAEA Training Course on Effective and Sustainable Regulatory Control of Radiation Sources Stratégies pour un contrôle réglementaire efficace et durable.
1 Copyright WebTrust France Nouveautés Copyright WebTrust France Les premiers sceaux français délivrés par WebTrust France.
RSZ-ONSS Journée d’étude Dimona - DMFA 7/01/ L’E-government dans la sécurité sociale M. Allard, Directeur général à l’ONSS.
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels Me Isabelle Chvatal 25 septembre 2014 Réseau REPCAR.
COLLEGE LES GORGUETTES CASSIS
MODULE DE FORMATION À LA QUALITÉ
KSZ-BCSS Frank ROBBEN - Administrateur général Banque Carrefour de la sécurité sociale Généralisation de l’usage de la carte d’identité électronique au.
Principes et définitions
Hélène CHAMBEFORT Camille FAYET Service des Archives Inserm
Les données personnelles
Directives «nouvelle approche» Formation continue OLAS 2015
Gouvernance des données. Renseignement Confidentiel Renseignement Personnel Obligations Sécurité Valorisation.
Actes budgétaires Dématérialisation des documents budgétaires
IUFM D’AIX-EN-PROVENCE
1 Nouvelles obligations des courtiers et agents immobiliers en vertu de la Loi sur le recyclage des produits de la criminalité et le financement des activités.
ISO 9001:2000 Interprétation Article 7 Réalisation du produit
«Le gouvernement électronique» Andrey Charov, Directeur du Département de la réglementation d’Etat dans l’économie Ministère du dévéloppement économique.
ORDRE DES VETERINAIRES DE LIBRE PRESTATION DE SERVICES
Le droit et le Web MTEYREK Mohamad.
Cours 6: Protection de l’entreprise Administrateurs et dirigeants
2 Objectifs de la séance Décrire les effets positifs de la confidentialité des données pour une FI et le client Dressez la liste des indicateurs de performance.
Responsabilité en matière de sûreté radiologique
© 2007 Développé par Promaintech Novaxa / Usage réservé pour la SAQ Méthode d’organisation 5S Implantation 4 e S Présentée par : Promaintech Novaxa Mai.
Certification des exportations canadiennes. Politiques sur les exportations de produits de bois D-03-02, Programme canadien de certification des produits.
 Les enjeux d’une identification fiable des salariés - sécuriser les droits des salariés (assurance maladie, chômage, retraite…..) (c’est dans ce cadre.
KM CS – Avril 2004 Monographies de projets CS Guide d’utilisation.
Commerce électronique : aspects juridiques Commerce électronique : aspects juridiques Cabinet d’Avocat ERNST-METZMAIER Droit de l’Informatique et NTIC.
Les Lignes directrices d’Almaty sur les moyens de promouvoir l’application des principes de la Convention d’Aarhus dans les instances internationales.
Présentation de HelloDoc Mail
Transcription de la présentation:

Le certificat électronique . Mercredi 15 janvier 2014 à 11h30 Antoine Guilmain Doctorant en droit à l’Université de Montréal Assistant de recherche au Laboratoire de Cyberjustice Cycle de conférences « Les Mots du Droit de l’Economie Numérique » Chaire L.R. Wilson

« La confiance est la sœur jumelle du commerce électronique »

1/ Comment s’assurer de l’identité d’un internaute ? 2/ À l’inverse, comment prouver ma propre identité sur Internet ? 3/ Comment préserver l’intégrité d’un message dans l’univers numérique ?

La certification Dans son assertion la plus courante, la « certification » signifie simplement une « assurance donnée par écrit », tandis que le verbe « certifier » équivaut à « garantir par un acte l’authenticité de quelque chose ».

Le certificat s’apparente à une « carte d’identité numérique »

Certificat électronique Certificat numérique Certificat d’identité numérique Certificat numérique d’identité Certificat de signature électronique Certificat électronique de signature

Le potentiel que présente le recours au certificat électronique a très vite été perçu, mais également ses risques et dérives. Aussi, dès le début des années 2000, plusieurs législateurs ont cherché à encadrer juridiquement ce mécanisme.

Un acronyme imprononçable pour une loi incompréhensible ? Loi concernant le cadre juridique des technologies de l’information LCCJTI : Un acronyme imprononçable pour une loi incompréhensible ?

I. La technologie au service du droit : le potentiel technique du certificat électronique A. Les fondements théoriques B. L’utilité pratique   II. Le droit au service de la technologie : les limites juridiques du certificat électronique A. Cadre juridique : les différentes notions B. Mise en œuvre juridique : les obligations et la responsabilité

PARTIE 1 La technologie au service du droit : le potentiel technique du certificat électronique

A. 1) Certains éléments de cryptographie B C

A. 2) Les modèles de confiance Le modèle de confiance centralisé : l’Infrastructure de Gestion de Clés (IGC) Le modèle de confiance décentralisé : l’exemple du Pretty Good Privacy (PGP)

Le modèle de confiance centralisé : l’Infrastructure de Gestion de Clés (IGC) - Autorité d’enregistrement  - Autorité de certification  - Service de publication => Certificat X.509

=> Certificat PGP Le modèle de confiance décentralisé : l’exemple du Pretty Good Privacy (PGP) Une personne pourra émettre ses propres certificats, tout en signant les siens et ceux des autres => Certificat PGP

A. 3) Bilan à l’aune de la LCCJTI Les modèles de confiance décentralisé et centralisé, illustrés respectivement par l’IGC et l’exemple du PGP, sont-ils couverts juridiquement de la même manière ? Le certificat électronique doit-il nécessairement faire intervenir une Autorité de certification dans sa conception/gestion ? Le certificat PGP peut-il avoir la même valeur juridique que le certificat X.509 ?

Article 51 de la LCCJTI « Les services de certification et de répertoire peuvent être offerts par une personne ou par l’État. Les services de certification comprennent la vérification de l’identité de personnes et la délivrance de certificats confirmant leur identité, l’identification d’une association, d’une société ou de l’État ou l’exactitude de l’identifiant d’un objet. Les services de répertoire comprennent l’inscription des certificats et des identifiants dans un répertoire accessible au public et la confirmation de la validité des certificats répertoriés ainsi que leur lien avec ce qu’ils confirment. Un prestataire de services peut offrir ces services en tout ou en partie. » [nous surlignons]

En résumé, retenons que la LCCJTI (section 3 du Chapitre 3) vise les certificats électroniques qui se fondent sur une architecture IGC et qui, de fait, sont émis et gérés par une Autorité de certification. En revanche, l’architecture PGP ne semble pas couverte juridiquement et un certificat qui en résulterait ne bénéficierait vraisemblablement pas des dispositions 47 à 62 de la LCCJTI.

B. 1) Les fonctions du certificat électronique Article 47 de la LCCJTI : liste non limitative Premièrement, un certificat peut servir à confirmer l’identité d’une personne, d’une société, d’une association ou de l’État.   Deuxièmement, un certificat peut servir à confirmer l’exactitude d’un identifiant d’un document ou d’un autre objet. Troisièmement, un certificat peut servir à confirmer l’existence de certains attributs (d’une personne, d’un document ou d’un autre objet). Quatrièmement, un certificat peut servir à confirmer le lien entre une personne, un document, un objet et un dispositif d’identification ou de localisation tangible ou logique.

Certificat d’identité Certificat d’attribut B. 2) Le cas particulier du certificat d’attribut Certificat d’identité Identification Certificat d’attribut Autorisation

Le deuxième alinéa de l’article 47 de la LCCJTI réfère aux différentes fonctions que le certificat d’attribut peut remplir : Premièrement, à l’égard d’une personne (physique ou morale), il peut « servir à établir notamment sa fonction, sa qualité, ses droits, pouvoirs ou privilèges au sein d’une personne morale, d’une association, d’une société, de l’État ou dans le cadre d’un emploi. » Deuxièmement, à l’égard d’une association, d’une société ou d’un emplacement où l’État effectue ou reçoit une communication, il peut « établir leur localisation. » Troisièmement, à l’égard d’un document ou d’un autre objet, il peut « servir à confirmer l’information permettant de l’identifier ou de le localiser ou de déterminer son usage ou le droit d’y avoir accès ou tout autre droit ou privilège afférent. »

B. 3) Un exemple concret

PARTIE 2 Le droit au service de la technologie : les limites juridiques du certificat électronique

A. 1) Le certificat et le répertoire Le contenu minimum obligatoire du certificat (article 48 LCCJTI) Le nom distinctif et la signature numérique La référence à l’énoncé de politique du prestataire de services La version et le numéro de série du certificat La période de validité du certificat Le nom distinctif de son détenteur (personne, association, société ou État) ou l’identifiant de l’objet certifié La désignation de l’attribut dont il confirme l’existence et, au besoin, l’identité de la personne à laquelle il est lié

Le dernier alinéa de l’article 48 de la LCCJTI dispose que : « Le nom distinctif d’une personne physique peut être un pseudonyme, mais le certificat doit alors indiquer qu’il s’agit d’un pseudonyme. Les services de certification sont tenus de communiquer le nom de la personne à qui correspond le pseudonyme à toute personne légalement autorisée à obtenir ce renseignement. » [nous surlignons]

Le répertoire (article 50 LCCJTI) Publicise les certificats et les identifiants, tout en garantissant qu’ils sont valides et que leurs porteurs sont identifiés ; Accessible au public, soit directement ou au moyen d’un dispositif de consultation sur place ou à distance ; Conforme aux normes ou standards techniques approuvés par un organisme reconnu.

A. 2) La politique du prestataire de services de certification 52. L’énoncé de politique d’un prestataire de services de certification ou de répertoire indique au moins :   1° ce qui peut être inscrit dans un certificat ou un répertoire et, dans ce qui y est inscrit, l’information dont l’exactitude est confirmée ainsi que les garanties offertes à cet égard par le prestataire ;   2° la périodicité de la révision de l'information ainsi que la procédure de mise à jour ;   3° qui peut obtenir la délivrance d’un certificat ou faire inscrire de l’information au certificat ou au répertoire ;   4° les limites à l’utilisation d’un certificat et d’une inscription contenue au répertoire, dont celle relative à la valeur d’une transaction dans le cadre de laquelle ils peuvent être utilisés ;   5° l’information permettant de déterminer, au moment d’une communication, si un certificat ou un renseignement inscrit au certificat ou au répertoire par un prestataire est valide, suspendu, annulé ou archivé ;   6° la façon d’obtenir de l’information additionnelle, lorsqu’elle est disponible mais non encore inscrite au certificat ou au répertoire, particulièrement en ce qui a trait à la mise à jour des limites d’utilisation d’un certificat ;   7° la politique relative à la confidentialité de l’information reçue ou communiquée par le prestataire ;   8° le traitement des plaintes ;   9° la manière dont le prestataire dispose des certificats en cas de cessation de ses activités ou de faillite.

A. 3) Le régime d’accréditation volontaire Articles 53 à 55 de la LCCJTI Système volontaire Présomption de conformité à la loi Les procédures d’accréditation (celle d’adhésion classique et celle d’équivalence) Les critères de délivrance et de renouvellement de l’accréditation

B. 1) Les différents acteurs impliqués dans l’usage d’un certificat Prestataire de services de certification et de répertoire Titulaire du certificat Personne agissant sur la foi d’un certificat

Obligation de moyens B. 2) Les obligations 61. Le prestataire de services de certification et de répertoire, le titulaire visé par le certificat et la personne qui agit en se fondant sur le certificat sont, à l'égard des obligations qui leur incombent en vertu de la présente loi, tenus à une obligation de moyens. [nous surlignons]

Les obligations du prestataire de services de certification Obligations générales (application de la LCCJTI) : conservation des documents, consultation des documents, transmission des documents, identification, etc. Obligations spécifiques (article 56 de la LCCJTI) : présenter des garanties d’impartialité, assurer l’intégrité du certificat durant son cycle de vie, être en mesure de confirmer un lien, pas de fausse représentation.

Les obligations du titulaire du certificat Article 57 de la LCCJTI : confidentialité du dispositif Article 58 de la LCCJTI : dispositif volé ou perdu Article 59 de la LCCJTI : mise à jour des renseignements

Les obligations de la personne agissant sur la foi d’un certificat Les vérifications à faire (article 60 LCCJTI) : La validité du certificat La portée du certificat La confirmation de l’information par le prestataire de services

B. 3) La responsabilité Responsabilité conjointe En principe pour leur part de faute Si personne n’est en faute, responsabilité à parts égales Impossible d’exclure sa responsabilité

Me contacter : antoine.guilmain1@gmail.com