À qui le document?

Robert Cassius de Linval, avocat

---

L'utilisation de documents technologiques pour communiquer ou conclure des transactions soulève des interrogations bien particulières. Puisque les parties ne sont pas en présence, comment un participant à un échange peut-il s'assurer de l'identité de son interlocuteur? Puisque la signature traditionnelle à laquelle nous sommes habitués n'est pas possible en ligne, comment une personne qui transige par le biais du Web pourra-t-elle manifester son consentement? Enfin, quel traitement accorder aux nouveaux moyens d'identification fondés sur la technologie mais utilisés dans le monde physique, les systèmes basés sur les caractéristiques biométriques, par exemple?

La Loi sur le cadre juridique des technologies de l'information (L.Q. 2001, c. 32) permet désormais de répondre à ces questions. Le chapitre III de la Loi traite des moyens d'établir un lien entre une entité (personne, association, société ou État) et un document technologique; des modes d'identification et de localisation des entités à l'aide de documents technologiques ou autrement; et de la certification qui consiste en l'établissement de faits à l'aide d'un certificat, c'est-à-dire un acte par lequel un tiers assure de l'existence d'un fait dont il a connaissance. Ce faisant, le législateur met en place les fondations qui permettront de construire un véritable édifice de confiance pour les échanges à l'aide de documents technologiques.

Le lien entre une personne et un document technologique

Pour relier une personne à un document technologique, il faut essentiellement deux choses: premièrement, être en mesure d'associer le document à un marquage quelconque (signature, certificat...) et, deuxièmement, être en mesure d'associer ce marquage à une personne en particulier.

Par exemple, confronté à un courriel dans lequel des instructions lui sont données, un courtier en valeur mobilière devra s'assurer que le courriel provient bel et bien de son client. Comment ce dernier pourra-t-il « prouver » son identité à son correspondant et, ce faisant, établir le lien qui existe entre lui et les instructions qu'il transmet? Le législateur, aux articles 38 et 39 de la Loi, énonce le principe de base selon lequel le lien entre une entité et un document technologique peut se faire à l'aide de n'importe quel procédé ou ensemble de moyens. Le principe de la neutralité technologique est donc respecté. Aux termes de l'article 38, le procédé ou la combinaison de moyens utilisés doit simplement permettre de confirmer l'identité ou l'identification de l'entité et son lien avec le document en question.

Dans le monde des atomes, la signature est le moyen privilégié pour établir un lien entre une personne et un document. Dans le monde des bits, pouvons-nous aussi parler de signature, électronique celle-là? Le législateur consacre un article spécifique à la signature dans la Loi. Fidèle au principe de la neutralité technologique, il reconnaît la signature à l'aide de n'importe quel procédé, à condition qu'il permette de respecter les exigences de l'article 2827 du Code civil du Québec, c'est-à-dire constituer une marque personnelle utilisée de façon courante pour manifester le consentement. Ainsi, la signature électronique est formellement reconnue.

Aussi, notre investisseur pourra signer son message à l'aide d'une signature électronique ou bien, il pourra y attacher un certificat attestant qu'il provient bel et bien de lui. Cela suffira à établir son lien avec le document technologique. Bien entendu, dans cet exemple, l'identité de la personne associée à la signature ou au certificat aura été vérifiée au préalable et sera « garantie » d'une façon ou d'une autre. Comment? Et bien, il s'agit probablement du maillon le plus faible ­ et le plus complexe à construire ­ de la chaîne de confiance en matière d'identité dans les espaces virtuels. Dans le monde des atomes, notre passeport est délivré par l'État, tout comme notre permis de conduire ou notre acte de naissance. Dans le monde virtuel, quelle autorité joue ce rôle? Au Québec, pour l'instant, il n'existe pas de telle autorité, explique Michel Dumais, chroniqueur en technologies au journal Le Devoir. Le législateur québécois établit les balises qui permettront de mener à la reconnaissance de ces « autorités de certification » susceptibles de garantir notre identité réelle dans le monde virtuel. Mais qu'allons-nous faire en attendant? Le législateur a prévu la reconnaissance, à certaines conditions, des entités qui offrent déjà de tels services. L'entreprise américaine VeriSign est probablement en tête à ce chapitre, mais elle n'est pas seule.

Une fois ces deux pans érigés, le lien sera établi non seulement entre le document technologique et la signature ou le certificat, mais également entre la personne qui donne les instructions et la signature ou le certificat. La boucle est ainsi bouclée et le document technologique pourra donc être relié à une personne en particulier.

Pour en savoir plus à ce sujet, le lecteur est invité à consulter l'imposant travail d'analyse et de vulgarisation de la Loi mené par une équipe du Centre de recherche en droit public de la faculté de droit de l'Université de Montréal (http://www.auto
route.gouv.qc.ca/loi_en_ligne/index.html). Cette Loi annotée offre une analyse détaillée des articles de la Loi et des concepts qui y sont énoncés.

Les systèmes de biométrie, ça commence...

Outre les certificats qui attestent de l'identité d'une personne, la Loi régit aussi l'utilisation des systèmes de biométrie. Et la question est brûlante d'actualité puisque, depuis peu, le Centre d'éducation physique et sportive de l'Université de Montréal (CEPSUM) utilise un système biométrique pour contrôler l'accès à ses installations.

Il s'agit d'un système qui permet d'identifier une personne à l'aide de ses caractéristiques physiologiques. Au CEPSUM, les usagers qui s'inscrivent font enregistrer la forme de leur main dans une banque de données. Lorsqu'elles veulent accéder aux installations, elles composent un code d'usager et posent ensuite leur main sur un lecteur optique. Ce dernier examine la morphologie de leurs doigts et de la paume de leur main. Si l'examen correspond aux données enregistrées lors de l'inscription, l'usager peut entrer pour utiliser les installations.

Les entreprises pourront-elles désormais obliger les citoyens à donner l'empreinte de leur main pour leur donner accès à des installations? La réponse à cette question est non. Le législateur a tenu à bien encadrer l'utilisation de tels moyens d'identifications. Leur utilisation est interdite, sauf si le principal intéressé y consent expressément. Et, même à l'Université de Montréal, l'enthousiasme n'est pas généralisé. Par exemple, le doyen de la faculté de droit, Jacques Frémont, a fait part de ses inquiétudes au sujet de l'utilisation de tels mécanismes aux membres de l'Assemblée universitaire le 5 novembre dernier.

Quelques liens

Forum, « Montrer patte blanche pour accéder au CEPSUM... »
• http://www.iforum.umontreal.ca/Forum/423.htm
La signature électronique, Sénat de France, décembre 1999. Étude des régimes applicables à la signature électronique dans différents pays européens
• http://www.senat.fr/lc/lc67/lc67_mono.html#toc0
Loi sur le cadre juridique des technologies de l'information avec annotations préparées par l'équipe du Centre de recherche en droit public de la faculté de droit de l'Université de Montréal. Un outil essentiel pour bien comprendre ce texte législatif.
• http://www.autoroute.gouv.qc.ca/loi_en_ligne/index.html

 

Retour au haut de la page

© Barreau du Québec 1996-2012