Le certificat électronique . Mercredi 15 janvier 2014 à 11h30 Antoine Guilmain Doctorant en droit à l’Université de Montréal Assistant de recherche au Laboratoire de Cyberjustice Cycle de conférences « Les Mots du Droit de l’Economie Numérique » Chaire L.R. Wilson

« La confiance est la sœur jumelle du commerce électronique »

1/ Comment s’assurer de l’identité d’un internaute ? 2/ À l’inverse, comment prouver ma propre identité sur Internet ? 3/ Comment préserver l’intégrité d’un message dans l’univers numérique ?

La certification Dans son assertion la plus courante, la « certification » signifie simplement une « assurance donnée par écrit », tandis que le verbe « certifier » équivaut à « garantir par un acte l’authenticité de quelque chose ».

Le certificat s’apparente à une « carte d’identité numérique »

Certificat électronique Certificat numérique Certificat d’identité numérique Certificat numérique d’identité Certificat de signature électronique Certificat électronique de signature

Le potentiel que présente le recours au certificat électronique a très vite été perçu, mais également ses risques et dérives. Aussi, dès le début des années 2000, plusieurs législateurs ont cherché à encadrer juridiquement ce mécanisme.

Un acronyme imprononçable pour une loi incompréhensible ? Loi concernant le cadre juridique des technologies de l’information LCCJTI : Un acronyme imprononçable pour une loi incompréhensible ?

I. La technologie au service du droit : le potentiel technique du certificat électronique A. Les fondements théoriques B. L’utilité pratique   II. Le droit au service de la technologie : les limites juridiques du certificat électronique A. Cadre juridique : les différentes notions B. Mise en œuvre juridique : les obligations et la responsabilité

PARTIE 1 La technologie au service du droit : le potentiel technique du certificat électronique

A. 1) Certains éléments de cryptographie B C

A. 2) Les modèles de confiance Le modèle de confiance centralisé : l’Infrastructure de Gestion de Clés (IGC) Le modèle de confiance décentralisé : l’exemple du Pretty Good Privacy (PGP)

Le modèle de confiance centralisé : l’Infrastructure de Gestion de Clés (IGC) - Autorité d’enregistrement  - Autorité de certification  - Service de publication => Certificat X.509

=> Certificat PGP Le modèle de confiance décentralisé : l’exemple du Pretty Good Privacy (PGP) Une personne pourra émettre ses propres certificats, tout en signant les siens et ceux des autres => Certificat PGP

A. 3) Bilan à l’aune de la LCCJTI Les modèles de confiance décentralisé et centralisé, illustrés respectivement par l’IGC et l’exemple du PGP, sont-ils couverts juridiquement de la même manière ? Le certificat électronique doit-il nécessairement faire intervenir une Autorité de certification dans sa conception/gestion ? Le certificat PGP peut-il avoir la même valeur juridique que le certificat X.509 ?

Article 51 de la LCCJTI « Les services de certification et de répertoire peuvent être offerts par une personne ou par l’État. Les services de certification comprennent la vérification de l’identité de personnes et la délivrance de certificats confirmant leur identité, l’identification d’une association, d’une société ou de l’État ou l’exactitude de l’identifiant d’un objet. Les services de répertoire comprennent l’inscription des certificats et des identifiants dans un répertoire accessible au public et la confirmation de la validité des certificats répertoriés ainsi que leur lien avec ce qu’ils confirment. Un prestataire de services peut offrir ces services en tout ou en partie. » [nous surlignons]

En résumé, retenons que la LCCJTI (section 3 du Chapitre 3) vise les certificats électroniques qui se fondent sur une architecture IGC et qui, de fait, sont émis et gérés par une Autorité de certification. En revanche, l’architecture PGP ne semble pas couverte juridiquement et un certificat qui en résulterait ne bénéficierait vraisemblablement pas des dispositions 47 à 62 de la LCCJTI.

B. 1) Les fonctions du certificat électronique Article 47 de la LCCJTI : liste non limitative Premièrement, un certificat peut servir à confirmer l’identité d’une personne, d’une société, d’une association ou de l’État.   Deuxièmement, un certificat peut servir à confirmer l’exactitude d’un identifiant d’un document ou d’un autre objet. Troisièmement, un certificat peut servir à confirmer l’existence de certains attributs (d’une personne, d’un document ou d’un autre objet). Quatrièmement, un certificat peut servir à confirmer le lien entre une personne, un document, un objet et un dispositif d’identification ou de localisation tangible ou logique.

Certificat d’identité Certificat d’attribut B. 2) Le cas particulier du certificat d’attribut Certificat d’identité Identification Certificat d’attribut Autorisation

Le deuxième alinéa de l’article 47 de la LCCJTI réfère aux différentes fonctions que le certificat d’attribut peut remplir : Premièrement, à l’égard d’une personne (physique ou morale), il peut « servir à établir notamment sa fonction, sa qualité, ses droits, pouvoirs ou privilèges au sein d’une personne morale, d’une association, d’une société, de l’État ou dans le cadre d’un emploi. » Deuxièmement, à l’égard d’une association, d’une société ou d’un emplacement où l’État effectue ou reçoit une communication, il peut « établir leur localisation. » Troisièmement, à l’égard d’un document ou d’un autre objet, il peut « servir à confirmer l’information permettant de l’identifier ou de le localiser ou de déterminer son usage ou le droit d’y avoir accès ou tout autre droit ou privilège afférent. »

B. 3) Un exemple concret

PARTIE 2 Le droit au service de la technologie : les limites juridiques du certificat électronique

A. 1) Le certificat et le répertoire Le contenu minimum obligatoire du certificat (article 48 LCCJTI) Le nom distinctif et la signature numérique La référence à l’énoncé de politique du prestataire de services La version et le numéro de série du certificat La période de validité du certificat Le nom distinctif de son détenteur (personne, association, société ou État) ou l’identifiant de l’objet certifié La désignation de l’attribut dont il confirme l’existence et, au besoin, l’identité de la personne à laquelle il est lié

Le dernier alinéa de l’article 48 de la LCCJTI dispose que : « Le nom distinctif d’une personne physique peut être un pseudonyme, mais le certificat doit alors indiquer qu’il s’agit d’un pseudonyme. Les services de certification sont tenus de communiquer le nom de la personne à qui correspond le pseudonyme à toute personne légalement autorisée à obtenir ce renseignement. » [nous surlignons]

Le répertoire (article 50 LCCJTI) Publicise les certificats et les identifiants, tout en garantissant qu’ils sont valides et que leurs porteurs sont identifiés ; Accessible au public, soit directement ou au moyen d’un dispositif de consultation sur place ou à distance ; Conforme aux normes ou standards techniques approuvés par un organisme reconnu.

A. 2) La politique du prestataire de services de certification 52. L’énoncé de politique d’un prestataire de services de certification ou de répertoire indique au moins :   1° ce qui peut être inscrit dans un certificat ou un répertoire et, dans ce qui y est inscrit, l’information dont l’exactitude est confirmée ainsi que les garanties offertes à cet égard par le prestataire ;   2° la périodicité de la révision de l'information ainsi que la procédure de mise à jour ;   3° qui peut obtenir la délivrance d’un certificat ou faire inscrire de l’information au certificat ou au répertoire ;   4° les limites à l’utilisation d’un certificat et d’une inscription contenue au répertoire, dont celle relative à la valeur d’une transaction dans le cadre de laquelle ils peuvent être utilisés ;   5° l’information permettant de déterminer, au moment d’une communication, si un certificat ou un renseignement inscrit au certificat ou au répertoire par un prestataire est valide, suspendu, annulé ou archivé ;   6° la façon d’obtenir de l’information additionnelle, lorsqu’elle est disponible mais non encore inscrite au certificat ou au répertoire, particulièrement en ce qui a trait à la mise à jour des limites d’utilisation d’un certificat ;   7° la politique relative à la confidentialité de l’information reçue ou communiquée par le prestataire ;   8° le traitement des plaintes ;   9° la manière dont le prestataire dispose des certificats en cas de cessation de ses activités ou de faillite.

A. 3) Le régime d’accréditation volontaire Articles 53 à 55 de la LCCJTI Système volontaire Présomption de conformité à la loi Les procédures d’accréditation (celle d’adhésion classique et celle d’équivalence) Les critères de délivrance et de renouvellement de l’accréditation

B. 1) Les différents acteurs impliqués dans l’usage d’un certificat Prestataire de services de certification et de répertoire Titulaire du certificat Personne agissant sur la foi d’un certificat

Obligation de moyens B. 2) Les obligations 61. Le prestataire de services de certification et de répertoire, le titulaire visé par le certificat et la personne qui agit en se fondant sur le certificat sont, à l'égard des obligations qui leur incombent en vertu de la présente loi, tenus à une obligation de moyens. [nous surlignons]

Les obligations du prestataire de services de certification Obligations générales (application de la LCCJTI) : conservation des documents, consultation des documents, transmission des documents, identification, etc. Obligations spécifiques (article 56 de la LCCJTI) : présenter des garanties d’impartialité, assurer l’intégrité du certificat durant son cycle de vie, être en mesure de confirmer un lien, pas de fausse représentation.

Les obligations du titulaire du certificat Article 57 de la LCCJTI : confidentialité du dispositif Article 58 de la LCCJTI : dispositif volé ou perdu Article 59 de la LCCJTI : mise à jour des renseignements

Les obligations de la personne agissant sur la foi d’un certificat Les vérifications à faire (article 60 LCCJTI) : La validité du certificat La portée du certificat La confirmation de l’information par le prestataire de services

B. 3) La responsabilité Responsabilité conjointe En principe pour leur part de faute Si personne n’est en faute, responsabilité à parts égales Impossible d’exclure sa responsabilité

Me contacter : antoine.guilmain1@gmail.com