Page 1

Antoine Guilmain Doctorant en droit lUniversit de Montral Assistant de recherche au Laboratoire de Cyberjustice Cycle de confrences Les Mots du Droit de lEconomie Numrique Chaire L.R. Wilson

Page 2

La confiance est la sur jumelle du commerce lectronique

Page 3

1/ Comment sassurer de lidentit dun internaute ? 2/ linverse, comment prouver ma propre identit sur Internet ? 3/ Comment prserver lintgrit dun message dans lunivers numrique ?

Page 4

La certification Dans son assertion la plus courante, la certification signifie simplement une assurance donne par crit , tandis que le verbe certifier quivaut garantir par un acte lauthenticit de quelque chose .

Page 5

Le certificat sapparente une carte didentit numrique

Page 6

Certificat lectronique Certificat numrique Certificat didentit numrique Certificat numrique didentit Certificat de signature lectronique Certificat lectronique de signature

Page 7

Le potentiel que prsente le recours au certificat lectronique a trs vite t peru, mais galement ses risques et drives. Aussi, ds le dbut des annes 2000, plusieurs lgislateurs ont cherch encadrer juridiquement ce mcanisme.

Page 8

Loi concernant le cadre juridique des technologies de linformation LCCJTI : Un acronyme imprononable pour une loi incomprhensible ?

Page 9

I. La technologie au service du droit : le potentiel technique du certificat lectronique A. Les fondements thoriques B. Lutilit pratique II. Le droit au service de la technologie : les limites juridiques du certificat lectronique A. Cadre juridique : les diffrentes notions B. Mise en uvre juridique : les obligations et la responsabilit

Page 10

Page 11

A. 1) Certains lments de cryptographie C AB

Page 12

Le modle de confiance centralis : lInfrastructure de Gestion de Cls (IGC) Le modle de confiance dcentralis : lexemple du Pretty Good Privacy (PGP) A. 2) Les modles de confiance

Page 13

Le modle de confiance centralis : lInfrastructure de Gestion de Cls (IGC) IGC - Autorit denregistrement - Autorit de certification - Service de publication => Certificat X.509

Page 14

Le modle de confiance dcentralis : lexemple du Pretty Good Privacy (PGP) => Certificat PGP Une personne pourra mettre ses propres certificats, tout en signant les siens et ceux des autres

Page 15

A. 3) Bilan laune de la LCCJTI Les modles de confiance dcentralis et centralis, illustrs respectivement par lIGC et lexemple du PGP, sont-ils couverts juridiquement de la mme manire ? Le certificat lectronique doit-il ncessairement faire intervenir une Autorit de certification dans sa conception/gestion ? Le certificat PGP peut-il avoir la mme valeur juridique que le certificat X.509 ?

Page 16

Les services de certification et de rpertoire peuvent tre offerts par une personne ou par ltat. Les services de certification comprennent la vrification de lidentit de personnes et la dlivrance de certificats confirmant leur identit, lidentification dune association, dune socit ou de ltat ou lexactitude de lidentifiant dun objet. Les services de rpertoire comprennent linscription des certificats et des identifiants dans un rpertoire accessible au public et la confirmation de la validit des certificats rpertoris ainsi que leur lien avec ce quils confirment. Un prestataire de services peut offrir ces services en tout ou en partie. [nous surlignons] Article 51 de la LCCJTI

Page 17

En rsum, retenons que la LCCJTI (section 3 du Chapitre 3) vise les certificats lectroniques qui se fondent sur une architecture IGC et qui, de fait, sont mis et grs par une Autorit de certification. En revanche, larchitecture PGP ne semble pas couverte juridiquement et un certificat qui en rsulterait ne bnficierait vraisemblablement pas des dispositions 47 62 de la LCCJTI.

Page 18

B. 1) Les fonctions du certificat lectronique Premirement, un certificat peut servir confirmer lidentit dune personne, dune socit, dune association ou de ltat. Deuximement, un certificat peut servir confirmer lexactitude dun identifiant dun document ou dun autre objet. Troisimement, un certificat peut servir confirmer lexistence de certains attributs (dune personne, dun document ou dun autre objet). Quatrimement, un certificat peut servir confirmer le lien entre une personne, un document, un objet et un dispositif didentification ou de localisation tangible ou logique. Article 47 de la LCCJTI : liste non limitative

Page 19

B. 2) Le cas particulier du certificat dattribut Certificat didentit Identification Certificat dattribut Autorisation

Page 20

Le deuxime alina de larticle 47 de la LCCJTI rfre aux diffrentes fonctions que le certificat dattribut peut remplir : Premirement, lgard dune personne (physique ou morale), il peut servir tablir notamment sa fonction, sa qualit, ses droits, pouvoirs ou privilges au sein dune personne morale, dune association, dune socit, de ltat ou dans le cadre dun emploi. Deuximement, lgard dune association, dune socit ou dun emplacement o ltat effectue ou reoit une communication, il peut tablir leur localisation. Troisimement, lgard dun document ou dun autre objet, il peut servir confirmer linformation permettant de lidentifier ou de le localiser ou de dterminer son usage ou le droit dy avoir accs ou tout autre droit ou privilge affrent.

Page 21

B. 3) Un exemple concret

Page 22

Page 23

A. 1) Le certificat et le rpertoire Le contenu minimum obligatoire du certificat (article 48 LCCJTI) Le nom distinctif et la signature numrique La rfrence lnonc de politique du prestataire de services La version et le numro de srie du certificat La priode de validit du certificat Le nom distinctif de son dtenteur (personne, association, socit ou tat) ou lidentifiant de lobjet certifi La dsignation de lattribut dont il confirme lexistence et, au besoin, lidentit de la personne laquelle il est li

Page 24

Le dernier alina de larticle 48 de la LCCJTI dispose que : Le nom distinctif dune personne physique peut tre un pseudonyme, mais le certificat doit alors indiquer quil sagit dun pseudonyme. Les services de certification sont tenus de communiquer le nom de la personne qui correspond le pseudonyme toute personne lgalement autorise obtenir ce renseignement. [nous surlignons]

Page 25

Publicise les certificats et les identifiants, tout en garantissant quils sont valides et que leurs porteurs sont identifis ; Accessible au public, soit directement ou au moyen dun dispositif de consultation sur place ou distance ; Conforme aux normes ou standards techniques approuvs par un organisme reconnu. Le rpertoire (article 50 LCCJTI)

Page 26

A. 2) La politique du prestataire de services de certification 52. Lnonc de politique dun prestataire de services de certification ou de rpertoire indique au moins : 1 ce qui peut tre inscrit dans un certificat ou un rpertoire et, dans ce qui y est inscrit, linformation dont lexactitude est confirme ainsi que les garanties offertes cet gard par le prestataire ; 2 la priodicit de la rvision de l'information ainsi que la procdure de mise jour ; 3 qui peut obtenir la dlivrance dun certificat ou faire inscrire de linformation au certificat ou au rpertoire ; 4 les limites lutilisation dun certificat et dune inscription contenue au rpertoire, dont celle relative la valeur dune transaction dans le cadre de laquelle ils peuvent tre utiliss ; 5 linformation permettant de dterminer, au moment dune communication, si un certificat ou un renseignement inscrit au certificat ou au rpertoire par un prestataire est valide, suspendu, annul ou archiv ; 6 la faon dobtenir de linformation additionnelle, lorsquelle est disponible mais non encore inscrite au certificat ou au rpertoire, particulirement en ce qui a trait la mise jour des limites dutilisation dun certificat ; 7 la politique relative la confidentialit de linformation reue ou communique par le prestataire ; 8 le traitement des plaintes ; 9 la manire dont le prestataire dispose des certificats en cas de cessation de ses activits ou de faillite.

Page 27

A. 3) Le rgime daccrditation volontaire Articles 53 55 de la LCCJTI Systme volontaire Prsomption de conformit la loi Les procdures daccrditation (celle dadhsion classique et celle dquivalence) Les critres de dlivrance et de renouvellement de laccrditation

Page 28

Prestataire de services de certification et de rpertoire Titulaire du certificat Personne agissant sur la foi dun certificat B. 1) Les diffrents acteurs impliqus dans lusage dun certificat

Page 29

Obligation de moyens 61. Le prestataire de services de certification et de rpertoire, le titulaire vis par le certificat et la personne qui agit en se fondant sur le certificat sont, l'gard des obligations qui leur incombent en vertu de la prsente loi, tenus une obligation de moyens. [nous surlignons] B. 2) Les obligations

Page 30

Les obligations du prestataire de services de certification Obligations gnrales (application de la LCCJTI) : conservation des documents, consultation des documents, transmission des documents, identification, etc. Obligations spcifiques (article 56 de la LCCJTI) : prsenter des garanties dimpartialit, assurer lintgrit du certificat durant son cycle de vie, tre en mesure de confirmer un lien, pas de fausse reprsentation.

Page 31

Article 57 de la LCCJTI : confidentialit du dispositif Article 58 de la LCCJTI : dispositif vol ou perdu Article 59 de la LCCJTI : mise jour des renseignements Les obligations du titulaire du certificat

Page 32

Les obligations de la personne agissant sur la foi dun certificat Les vrifications faire (article 60 LCCJTI) : La validit du certificat La porte du certificat La confirmation de linformation par le prestataire de services

Page 33

B. 3) La responsabilit Responsabilit conjointe En principe pour leur part de faute Si personne nest en faute, responsabilit parts gales Impossible dexclure sa responsabilit

Page 34

Me contacter : antoine.guilmain1@gmail.com