Vol. 139, n^o 4 — Le 23 février 2005

Enregistrement
DORS/2005-30 Le 1^er février 2005

LOI SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS ET LES DOCUMENTS ÉLECTRONIQUES LOI SUR LA PREUVE AU CANADA

Règlement sur les signatures électroniques sécurisées

C.P. 2005-57 Le 1^er février 2005

Attendu que la gouverneure en conseil est convaincue qu'il peut être établi que la technologie ou le procédé prévu dans le projet de règlement intitulé Règlement sur les signatures électroniques sécurisées, ci-après, est conforme aux exigences des alinéas 48(2)a) à d) de la Loi sur la protection des renseignements personnels et les documents électroniques (voir référence a),

À ces causes, sur recommandation du Conseil du Trésor et en vertu du paragraphe 48(1) de la Loi sur la protection des renseignements personnels et les documents électroniques(voir référence b) et de l'alinéa 31.4a)(voir référence c) de la Loi sur la preuve au Canada, Son Excellence la Gouverneure générale en conseil prend le Règlement sur les signatures électroniques sécurisées, ci-après.

RÈGLEMENT SUR LES SIGNATURES ÉLECTRONIQUES SÉCURISÉES

DÉFINITIONS

1. Les définitions qui suivent s'appliquent au présent règlement.

« autorité de certification » Personne ou entité qui délivre des certificats de signature numérique et qui est inscrite en cette qualité sur le site Web du Secrétariat du Conseil du Trésor. (certification authority)

« biclé » Paire de clés détenue par ou pour une personne et comportant une clé privée et une clé publique qui sont mathématiquement liées tout en étant différentes l'une de l'autre. (key pair)

« certificat de signature numérique » À l'égard d'une personne, document électronique qui, à la fois :

a) identifie l'autorité de certification qui l'a délivré et est signé numériquement par celle-ci;

b) identifie la personne ou peut servir à l'identifier;

c) renferme la clé publique de cette personne. (digital signature certificate)

« clé privée » Suite de données qui, à la fois :

a) est utilisée dans un système de chiffrement à clé publique pour chiffrer des données contenues dans un document électronique;

b) est propre à la personne qui est identifiée dans le certificat de signature numérique ou au moyen de celui-ci, et correspond exclusivement à la clé publique d'une biclé. (private key)

« clé publique » Suite de données contenue dans un certificat de signature numérique qui, à la fois :

a) est utilisée dans un système de chiffrement à clé publique pour déchiffrer des données contenues dans un document électronique qui ont été chiffrées au moyen de la clé privée d'une biclé;

b) correspond exclusivement à cette clé privée. (public key)

« entité » Sont assimilés à une entité un ministère, une direction, un bureau, un conseil, une commission, un service, un office, une personne morale ou autre organisme dont un ministre est responsable devant le Parlement. (entity)

« fonction de hachage » Opération mathématique unidirectionnelle électronique qui convertit des données contenues dans un document électronique en un condensé propre à ces données de sorte que, advenant toute modification de celles-ci, un condensé différent en résulterait. (hash function)

« Loi » La Loi sur la protection des renseignements personnels et les documents électroniques. (Act)

« système de chiffrement à clé publique » Système de chiffrement faisant appel aux biclés. (asymmetric cryptography)

TECHNOLOGIE OU PROCÉDÉ

2. Pour l'application de la définition de « signature électronique sécurisée », au paragraphe 31(1) de la Loi, la signature électronique sécurisée à l'égard des données contenues dans un document électronique est la signature numérique qui résulte de l'exécution des opérations consécutives suivantes :

a) l'application de la fonction de hachage aux données pour générer un condensé;

b) l'application d'une clé privée au condensé pour le chiffrer;

c) l'incorporation, l'adjonction ou l'association du condensé ainsi chiffré au document électronique;

d) la transmission du document électronique et du condensé chiffré accompagnés :

e) à la réception du document électronique et du condensé chiffré et, selon le cas, du certificat de signature numérique ou du moyen permettant d'accéder à celui-ci :

3. (1) Le certificat de signature numérique est valide si, au moment où les données contenues dans un document électronique sont numériquement signées conformément à l'article 2, les conditions suivantes sont réunies :

a) le certificat est lisible ou perceptible par la personne ou l'entité autorisée à y avoir accès;

b) il n'est ni expiré ni révoqué.

(2) En plus des exigences prévues au paragraphe (1), le certificat de signature numérique qui est fondé sur d'autres certificats de signature numérique est valide si ceux-ci sont également valides aux termes de ce paragraphe.

4. (1) Avant de reconnaître à une personne ou entité la qualité d'autorité de certification, le président du Conseil du Trésor doit vérifier si elle est en mesure de délivrer les certificats de signature numérique de manière fiable et sécuritaire aux termes du présent règlement et des alinéas 48(2)a) à d) de la Loi.

(2) Toute personne ou entité dont la qualité d'autorité de certification est reconnue par le président du Conseil du Trésor est inscrite sur le site Web du Secrétariat du Conseil du Trésor.

PRÉSOMPTION

5. Si la technologie ou le procédé visé à l'article 2 est utilisé à l'égard des données contenues dans un document électronique, ces données sont présumées, en l'absence de preuve contraire, avoir été signées par la personne identifiée dans le certificat de signature numérique ou au moyen de celui-ci.

ENTRÉE EN VIGUEUR

6. Le présent règlement entre en vigueur à la date de son enregistrement.

RÉSUMÉ DE L'ÉTUDE D'IMPACT
DE LA RÉGLEMENTATION

(Ce résumé ne fait partie du règlement.)

Description

La partie 2 de la Loi sur la protection des renseignements personnels et les documents électroniques, L.C. de 2000, chapitre 5 (LPRPDE) établit un cadre permettant de modifier les lois et les règlements du gouvernement fédéral pour tenir compte des moyens de communication en ligne qui remplacent les documents sur support papier. La partie 2 de la Loi exige une signature électronique sécurisée pour certains types de documents électroniques comme les déclarations sous serment (article 44), les déclarations (article 45), les signatures devant témoin (article 46), les documents originaux (article 42) et les sceaux (article 39).

Selon le paragraphe 31(1), la signature électronique sécurisée est une signature numérique conforme à l'application de tout procédé ou technologie prévu par règlement aux termes du paragraphe 48(1) de la Loi. Le paragraphe 48(1) de la Loi précise les caractéristiques des signatures électroniques sécurisées et accorde au gouverneur en conseil, sur recommandation du Conseil du Trésor, le pouvoir de prendre des règlements définissant les technologies ou les processus à appliquer pour obtenir une signature électronique sécurisée. Des règlements sont nécessaires afin de préciser la définition d'une signature électronique sécurisée.

À l'heure actuelle, seule la technologie de signature numérique peut fournir les caractéristiques requises pour la création d'une signature électronique sécurisée. Cela dit, une telle signature n'est fiable que si son certificat de signature numérique est émis par une autorité de certification digne de confiance. Or, il n'existe actuellement aucune norme reconnue d'homologation de ces autorités de certification dignes de foi. Les règlements précisent donc que les seuls certificats de signature numérique qui seront jugés fiables seront ceux émis par des autorités de certification qui satisfont aux exigences suivantes :

L'alinéa 31.4a) de la Loi sur la preuve au Canada accorde au gouverneur en conseil l'autorisation d'édicter des règlements pour établir les éléments de preuve liant une signature électronique sécurisée à un particulier. Le règlement établit une présomption réfutable selon laquelle le document numérique provient de la personne mentionnée dans le certificat de signature numérique, ou qu'il est possible de l'identifier grâce à ce certificat, pour tout document numérique portant une signature numérique. Celle-ci doit être accompagnée d'un certificat de signature numérique émis par une autorité de certification inscrite sur la liste du site Web du Secrétariat du Conseil du Trésor. La présomption peut être réfutée en prouvant que la signature numérique n'est pas celle de la personne indiquée, ou n'a pas été inscrite sur le document numérique par cette personne.

Solutions envisagées

Le processus réglementaire constitue le seul mécanisme possible.

Avantages et coûts

Le règlement s'applique aux activités du gouvernement du Canada et ne comporte pas d'obligations ou de coût pour d'autres parties.

Consultations

Un bon nombre de spécialistes du gouvernement du Canada et de l'extérieur a eu des discussions sur les versions préliminaires du règlement.

Avant sa publication officielle dans la Gazette du Canada Partie II, le règlement a fait l'objet d'une publication préalable dans la Gazette du Canada Partie I le 8 mai 2004. Deux commentaires ont été reçus.

Postes Canada a recommandé l'ajout d'un cachet postal électronique à l'appui d'une chaîne d'éléments de preuve pour les transactions électroniques. La recommandation a été rejetée car elle dépasse le cadre du règlement. Celui-ci décrit la technologie et les procédés de création d'une signature électronique conforme aux critères établis pour la signature électronique sécurisée définie dans la Loi sur la protection des renseignements personnels et les documents électroniques.

Une entreprise du secteur privé a recommandé que soit approuvée une signature électronique sécurisée créée à l'aide d'une technologie autre que celle mentionnée dans les spécifications. Soumise des semaines après la période de consultation, la recommandation a quand même été étudiée attentivement, tout en encourageant la compagnie à faire évaluer son produit par le Centre de la sécurité des télécommunications à l'effet que ce produit rencontre les quatre particularités spécifiées par la réglementation de la « signature électronique sécurisée ».

Respect et exécution

La conformité au règlement ne pose pas de problèmes, car le recours à la partie 2 de la LPRPDE relève des autorités fédérales pertinentes. Celles-ci n'appliqueront probablement pas la partie 2 tant qu'elles ne seront pas prêtes et en mesure de le faire. Les ententes écrites conclues avec les autorités de certification approuvées incluront des dispositions pertinentes concernant l'application du règlement.

Personne-ressource

Michael de Rosenroll
Directeur général
Services stratégiques d'infrastructure
Direction générale des services d'infotechnologie
Travaux publics et Services gouvernementaux Canada
Ottawa (Ontario)
K1A 0R5
Téléphone : (819) 934-2240

Référence a

L.C. 2000, ch. 5

Référence b

L.C. 2000, ch. 5

Référence c

L.C. 2000, ch. 5, art. 56

AVIS :
Le format de la version électronique du présent numéro de la Gazette du Canada a été modifié afin d'être compatible avec le langage hypertexte (XHTML 1.0 Strict).