1 / 34

Le certificat électronique . Mercredi 15 janvier 2014 à 11h30

Le certificat électronique . Mercredi 15 janvier 2014 à 11h30. Antoine Guilmain Doctorant en droit à l’Université de Montréal Assistant de recherche au Laboratoire de Cyberjustice. Cycle de c onférences « Les Mots du Droit de l’Economie Numérique » Chaire L.R. Wilson.

gerda
Download Presentation

Le certificat électronique . Mercredi 15 janvier 2014 à 11h30

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Le certificat électronique.Mercredi 15 janvier 2014 à 11h30 Antoine Guilmain Doctorant en droit à l’Université de Montréal Assistant de recherche au Laboratoire de Cyberjustice Cycle de conférences « Les Mots du Droit de l’Economie Numérique » Chaire L.R. Wilson

  2. « La confiance est la sœur jumelle du commerce électronique »

  3. 1/ Comment s’assurer de l’identité d’un internaute ? 2/ À l’inverse, comment prouver ma propre identité sur Internet ? 3/ Comment préserver l’intégrité d’un message dans l’univers numérique ?

  4. La certification Dans son assertion la plus courante, la « certification » signifie simplement une « assurance donnée par écrit », tandis que le verbe « certifier » équivaut à « garantir par un acte l’authenticité de quelque chose ».

  5. Le certificat s’apparente à une « carte d’identité numérique »

  6. Certificat électronique • Certificat numérique • Certificat d’identité numérique • Certificat numérique d’identité • Certificat de signature électronique • Certificat électronique de signature

  7. Le potentiel que présente le recours au certificat électronique a très vite été perçu, mais également ses risques et dérives. Aussi, dès le début des années 2000, plusieurs législateurs ont cherché à encadrer juridiquement ce mécanisme.

  8. Loi concernant le cadre juridique des technologies de l’information LCCJTI : Un acronyme imprononçable pour une loi incompréhensible ?

  9. I. La technologie au service du droit : le potentiel technique du certificat électronique • A. Les fondements théoriques • B. L’utilité pratique • II. Le droit au service de la technologie : les limites juridiques du certificat électronique • A. Cadre juridique : les différentes notions • B. Mise en œuvre juridique : les obligations et la responsabilité

  10. PARTIE 1La technologie au service du droit : le potentiel technique du certificat électronique

  11. A. 1) Certains éléments de cryptographie A B C

  12. A. 2) Les modèles de confiance Le modèle de confiance centralisé : l’Infrastructure de Gestion de Clés (IGC) Le modèle de confiance décentralisé : l’exemple du Pretty Good Privacy (PGP)

  13. Le modèle de confiance centralisé : l’Infrastructure de Gestion de Clés (IGC) IGC - Autorité d’enregistrement  - Autorité de certification  - Service de publication => Certificat X.509

  14. Le modèle de confiance décentralisé : l’exemple du Pretty Good Privacy (PGP) Une personne pourra émettre ses propres certificats, tout en signant les siens et ceux des autres => Certificat PGP

  15. A. 3) Bilan à l’aune de la LCCJTI Les modèles de confiance décentralisé et centralisé, illustrés respectivement par l’IGC et l’exemple du PGP, sont-ils couverts juridiquement de la même manière ? Le certificat électronique doit-il nécessairement faire intervenir une Autorité de certification dans sa conception/gestion ? Le certificat PGP peut-il avoir la même valeur juridique que le certificat X.509 ?

  16. Article 51 de la LCCJTI « Les services de certification et de répertoire peuvent être offerts par une personne ou par l’État. Les services de certification comprennent la vérification de l’identité de personnes et la délivrance de certificats confirmant leur identité, l’identification d’une association, d’une société ou de l’État ou l’exactitude de l’identifiant d’un objet. Les services de répertoire comprennent l’inscription des certificats et des identifiants dans un répertoire accessible au public et la confirmation de la validité des certificats répertoriés ainsi que leur lien avec ce qu’ils confirment. Un prestataire de services peut offrir ces services en tout ou en partie. » [nous surlignons]

  17. En résumé, retenons que la LCCJTI (section 3 du Chapitre 3) vise les certificats électroniques qui se fondent sur une architecture IGC et qui, de fait, sont émis et gérés par une Autorité de certification. En revanche, l’architecture PGP ne semble pas couverte juridiquement et un certificat qui en résulterait ne bénéficierait vraisemblablement pas des dispositions 47 à 62 de la LCCJTI.

  18. B. 1) Les fonctions du certificat électronique Article 47 de la LCCJTI : liste non limitative Premièrement, un certificat peut servir à confirmer l’identité d’une personne, d’une société, d’une association ou de l’État. Deuxièmement, un certificat peut servir à confirmer l’exactitude d’un identifiant d’un document ou d’un autre objet. Troisièmement, un certificat peut servir à confirmer l’existence de certains attributs (d’une personne, d’un document ou d’un autre objet). Quatrièmement, un certificat peut servir à confirmer le lien entre une personne, un document, un objet et un dispositif d’identification ou de localisation tangible ou logique.

  19. B. 2) Le cas particulier du certificat d’attribut Certificat d’identité Identification Certificat d’attribut Autorisation

  20. Le deuxième alinéa de l’article 47 de la LCCJTI réfère aux différentes fonctions que le certificat d’attribut peut remplir : • Premièrement, à l’égard d’une personne (physique ou morale), il peut « servir à établir notamment sa fonction, sa qualité, ses droits, pouvoirs ou privilèges au sein d’une personne morale, d’une association, d’une société, de l’État ou dans le cadre d’un emploi. » • Deuxièmement, à l’égard d’une association, d’une société ou d’un emplacement où l’État effectue ou reçoit une communication, il peut « établir leur localisation. » • Troisièmement, à l’égard d’un document ou d’un autre objet, il peut « servir à confirmer l’information permettant de l’identifier ou de le localiser ou de déterminer son usage ou le droit d’y avoir accès ou tout autre droit ou privilège afférent. »

  21. B. 3) Un exemple concret

  22. PARTIE 2Le droit au service de la technologie : les limites juridiques du certificat électronique

  23. A. 1) Le certificat et le répertoire Le contenu minimum obligatoire du certificat (article 48 LCCJTI) • Le nom distinctif et la signature numérique • La référence àl’énoncé de politique du prestataire de services • La version et le numéro de série du certificat • La période de validité du certificat • Le nom distinctif de son détenteur (personne, association, société ou État) ou l’identifiant de l’objet certifié • La désignation de l’attribut dont il confirme l’existence et, au besoin, l’identité de la personne à laquelle il est lié

  24. Le dernier alinéa de l’article 48 de la LCCJTI dispose que : • «Le nom distinctif d’une personne physique peut être un pseudonyme, mais le certificat doit alors indiquer qu’il s’agit d’un pseudonyme. Les services de certification sont tenus de communiquer le nom de la personne à qui correspond le pseudonyme à toute personne légalement autorisée à obtenir ce renseignement.» [nous surlignons]

  25. Le répertoire (article 50 LCCJTI) • Publicise les certificats et les identifiants, tout en garantissant qu’ils sont valides et que leurs porteurs sont identifiés ; • Accessible au public, soit directement ou au moyen d’un dispositif de consultation sur place ou à distance ; • Conforme aux normes ou standards techniques approuvés par un organisme reconnu.

  26. A. 2) La politique du prestataire de services de certification 52.L’énoncé de politique d’un prestataire de services de certification ou de répertoire indique au moins :1° ce qui peut être inscrit dans un certificat ou un répertoire et, dans ce qui y est inscrit, l’information dont l’exactitude est confirmée ainsi que les garanties offertes à cet égard par le prestataire ;2° la périodicité de la révision de l'information ainsi que la procédure de mise à jour ; 3° qui peut obtenir la délivrance d’un certificat ou faire inscrire de l’information au certificat ou au répertoire ;4° les limites à l’utilisation d’un certificat et d’une inscription contenue au répertoire, dont celle relative à la valeur d’une transaction dans le cadre de laquelle ils peuvent être utilisés ;5°l’information permettant de déterminer, au moment d’une communication, si un certificat ou un renseignement inscrit au certificat ou au répertoire par un prestataire est valide, suspendu, annulé ou archivé ;6° la façon d’obtenir de l’information additionnelle, lorsqu’elle est disponible mais non encore inscrite au certificat ou au répertoire, particulièrement en ce qui a trait à la mise à jour des limites d’utilisation d’un certificat ;7° la politique relative à la confidentialité de l’information reçue ou communiquée par le prestataire ;8° le traitement des plaintes ;9° la manière dont le prestataire dispose des certificats en cas de cessation de ses activités ou de faillite.

  27. A. 3) Le régime d’accréditation volontaire • Articles 53 à 55 de la LCCJTI • Système volontaire • Présomption de conformité à la loi • Les procédures d’accréditation (celle d’adhésion classique et celle d’équivalence) • Les critères de délivrance et de renouvellement de l’accréditation

  28. B. 1) Les différents acteurs impliqués dans l’usage d’un certificat

  29. B. 2) Les obligations Obligation de moyens 61.Le prestataire de services de certification et de répertoire, le titulaire visé par le certificat et la personne qui agit en se fondant sur le certificat sont, à l'égard des obligations qui leur incombent en vertu de la présente loi, tenus à une obligation de moyens. [nous surlignons]

  30. Les obligations du prestataire de services de certification • Obligations générales (application de la LCCJTI) : conservation des documents, consultation des documents, transmission des documents, identification, etc. • Obligations spécifiques (article 56 de la LCCJTI) : présenter des garanties d’impartialité, assurer l’intégrité du certificat durant son cycle de vie, être en mesure de confirmer un lien, pas de fausse représentation.

  31. Les obligations du titulaire du certificat • Article 57 de la LCCJTI : confidentialité du dispositif • Article 58 de la LCCJTI : dispositif volé ou perdu • Article 59 de la LCCJTI : mise à jour des renseignements

  32. Les obligations de la personne agissant sur la foi d’un certificat • Les vérifications à faire (article 60 LCCJTI) : • La validité du certificat • La portée du certificat • La confirmation de l’information par le prestataire de services

  33. B. 3) La responsabilité • Responsabilité conjointe • En principe pour leur part de faute • Si personne n’est en faute, responsabilité à parts égales • Impossible d’exclure sa responsabilité

  34. Me contacter : antoine.guilmain1@gmail.com

More Related