POLITIQUE DE CERTIFICATION ICP NOTARIUS

POLITIQUE DE CERTIFICATION ICP NOTARIUS Version du document : 1.2 OID : 2.16. 124.113550 Date d entrée en vigueur : 26 mai 2015 2015 Notarius inc. page 1 sur 27

TABLE DES MATIÈRES 1. DISPOSITIONS GÉNÉRALES... 5 1.1 OBJET... 5 1.2 CHAMP D APPLICATION... 5 1.3 IDENTIFICATION (OID)... 5 1.4 INTERPRÉTATION... 5 1.5 CONFORMITÉ AU RFC 3647... 5 1.6 LES COMPOSANTES DE L ICP... 6 1.6.1 L Autorité de certification (AC)... 6 1.6.2 Le Prestataire de services de certification et de répertoire (PSC/R)... 6 1.6.3 L Autorité locale d enregistrement (ALE)... 6 1.6.4 Le détenteur... 7 1.6.5 Autres participants... 7 1.7 UTILISATION DES CLÉS ET DES CERTIFICATS... 8 1.7.1 Utilisation autorisée des clés et des certificats... 8 1.7.2 Limite d utilisation... 8 1.7.3 Détenteur autorisé... 9 1.8 GESTION DE LA PC... 9 1.8.1 Responsable de la PC... 9 1.8.2 Coordonnées du responsable... 9 1.8.3 Conformité de la DPC et de la PC... 9 1.9 DÉFINITIONS ET ACRONYMES... 9 1.9.1 Acronymes... 9 1.9.2 Définitions... 9 2. PUBLICATION ET DIFFUSION DE L INFORMATION... 9 2.1 SERVICE DE PUBLICATION... 9 2.2 INFORMATIONS PUBLIÉES... 9 2.3 DÉLAI ET FRÉQUENCE DES PUBLICATIONS... 10 2.4 CONTRÔLE D ACCÈS AUX INFORMATIONS PUBLIÉES... 10 3. IDENTIFICATION ET AUTHENTIFICATION... 10 3.1 IDENTIFICATION... 10 3.1.1 Type de nom... 10 3.1.2 Nom explicite... 10 3.1.3 Anonymat ou utilisation de pseudonyme... 10 3.1.4 Règles d interprétation des différentes formes de noms... 10 3.1.5 Unicité des noms... 10 3.2 VÉRIFICATION DE L IDENTITÉ... 10 3.2.1 La vérification initiale de l identité... 11 3.2.2 La vérification d identité lors de la remise des données d activation... 11 3.2.3 La vérification de l identité lors du renouvellement d un certificat... 11 3.2.4 La vérification de l identité lors d une réémission... 11 3.2.5 La vérification de l identité lors d une modification... 11 4. GESTION DES CLÉS ET DES CERTIFICATS... 11 4.1 DEMANDE D'ÉMISSION DE CLÉS ET DE CERTIFICATS... 11 4.1.1 Personnes autorisées... 11 4.1.2 Procédure d adhésion... 11 4.1.3 Acceptation ou refus de la demande... 12 4.1.4 Durée de la validité d une demande... 12 4.1.5 Acceptation d un certificat... 12 4.2 DEMANDE DE RENOUVELLEMENT D UN CERTIFICAT... 12 4.2.1 Personnes autorisées... 12 4.2.2 Procédure de demande de renouvellement d un certificat... 12 4.2.3 Traitement d'une demande de renouvellement d un certificat... 12 4.2.4 Avis de renouvellement... 12 4.3 RÉCUPÉRATION D UN CERTIFICAT... 12 4.3.1 Personnes autorisées... 13 4.3.2 Procédure de récupération... 13 4.3.3 Traitement d une demande de récupération... 13 Interne page 2 sur 27

4.3.4 Avis de récupération... 13 4.4 DEMANDE DE MODIFICATION D'UN CERTIFICAT... 13 4.4.1 Personnes autorisées... 13 4.4.2 Circonstances pouvant entraîner une modification... 13 4.4.3 Traitement d une demande de modification... 13 4.4.4 Avis de modification... 13 4.5 RÉVOCATION D UN CERTIFICAT... 13 4.5.1 Personnes autorisées... 14 4.5.2 Traitement d une demande de révocation... 14 4.5.3 Avis de révocation... 14 4.6 SUSPENSION D UN CERTIFICAT... 14 5. MESURES DE SÉCURITÉ PHYSIQUE ET OPÉRATIONNELLE... 14 5.1 MESURES DE SÉCURITÉ PHYSIQUE... 14 5.1.1 Situation géographique des sites... 14 5.1.2 Accès physique... 14 5.1.3 Alimentation électrique et climatisation... 14 5.1.4 Vulnérabilité aux dégâts d eau... 14 5.1.5 Prévention et protection des incendies... 15 5.1.6 Conservation et protection des supports... 15 5.1.7 Mise hors service des supports... 15 5.1.8 Prise de copie... 15 5.1.9 Relève... 15 5.2 MESURES DE SÉCURITÉ OPÉRATIONNELLE... 15 5.2.1 Rôles de confiance... 15 5.2.2 Répartitions des tâches... 15 5.2.3 Mesures de sécurité relatives au personnel... 15 5.2.4 Sanctions... 16 5.2.5 Documentation... 16 5.2.6 Personnel contractuel... 16 5.3 PROCÉDURES DE JOURNALISATION (REGISTRES DE VÉRIFICATION)... 16 5.3.1 Type d évènement enregistré... 16 5.3.2 Fréquence des vérifications des registres... 16 5.3.3 Conservation des registres de vérification... 16 5.3.4 Mesures de protection... 16 5.3.5 Évaluation des vulnérabilités... 16 5.4 CONSERVATION ET ARCHIVAGE DES DONNÉES... 17 5.4.1 Types de données à conserver et archiver... 17 5.4.2 Période de conservation des archives... 17 5.4.3 Protection des archives... 17 5.4.4 Exigences d horodatage des données... 17 5.4.5 Système de collecte des archives... 17 5.4.6 Procédure de récupération et de vérificaiton des archives... 17 5.5 COMPROMISSION ET REPRISE DES ACTIVITÉS APRÈS SINISTRE... 17 5.5.1 Procédure de reprise des activités... 17 5.5.2 Plan de continuité des affaires... 17 5.6 CESSATION DES ACTIVITÉS DE L AC... 18 6. MESURES DE SÉCURITÉ TECHNIQUES... 18 6.1 GÉNÉRATION ET LIVRAISON DES CLÉS... 18 6.1.1 Livraison des clés de signature... 18 6.1.2 Livraison des clés de chiffrement... 18 6.1.3 Livraison de la clé publique de l AC... 18 6.1.4 Taille des clés... 18 6.2 NORMES DE SÉCURITÉ RELATIVES AUX MODULES CRYPTOGRAPHIQUES ET PROTECTION DES CLÉS PRIVÉES... 18 6.2.1 Normes de sécurité relatives aux modules cryptographiques... 18 6.2.2 Protection des clés privées de l AC... 18 6.2.3 Contrôle multi-usager (m de n)... 18 6.2.4 Protection de clés privées du détenteur... 19 6.3 AUTRES ASPECTS RELATIFS À LA GESTION DES CLÉS ET DES CERTIFICATS... 19 Interne page 3 sur 27

6.3.1 Archivage des clés publiques... 19 6.3.2 Périodes d utilisation des clés publiques et privées... 19 6.4 DONNÉES D'ACTIVATION... 19 6.5 MESURES DE SÉCURITÉ INFORMATIQUES... 19 6.6 MESURES DE CONTRÔLE... 19 6.7 HORODATAGE / SYSTÈME DE DATATION... 19 7. PROFILS DES CERTIFICATS ET DES LCR... 20 7.1 FORMAT ET CONTENU DES CERTIFICATS... 20 7.1.1 Champs de base du certificat de l AC racine et des AC émettrices... 20 7.1.2 Champs de base du certificat du détenteur... 20 7.2 PROFIL DES LCR... 20 8. CONTRÔLES DE CONFORMITÉ... 21 8.1 MOTIFS ET FRÉQUENCE DES AUDITS... 21 8.2 QUALIFICATION DES AUDITEURS... 21 8.3 LES AUDITEURS EXTERNES... 21 8.4 SUJETS COUVERTS PAR LES AUDITS... 21 8.5 MESURES PRISES EN CAS DE MANQUEMENT... 21 9. DISPOSITIONS LÉGALES... 21 9.1 TARIFS... 21 9.1.1 Frais d abonnement... 21 9.1.2 Frais d accès aux LCR et à l état des certificats... 21 9.1.3 Frais pour la vérification de l identité... 21 9.1.4 Autres services... 21 9.2 CONFIDENTIALITÉ DES INFORMATIONS... 21 9.2.1 Portée... 21 9.2.2 Protection des informations confidentielles... 22 9.3 PROTECTION DES RENSEIGNEMENTS PERSONNELS... 22 9.4 PROPRIÉTÉ INTELLECTUELLE... 22 9.5 RESPONSABILITÉ FINANCIÈRE... 22 9.6 REPRÉSENTATION ET GARANTIES... 22 9.6.1 Relativement aux renseignements inscrits au certificat... 22 9.6.2 Relativement aux renseignements inscrits au répertoire... 23 9.7 DÉGAGEMENT DE RESPONSABILITÉ... 23 9.8 INDEMNITÉS... 23 9.9 COUVERTURE PAR LES ASSURANCES... 23 9.10 PROCÉDURES D APPROBATION... 23 9.10.1 Approbation de la Politique... 23 9.10.2 Approbation de la Déclaration des pratiques... 23 9.10.3 Validité... 23 9.10.4 Applicabilité en cas d invalidité... 23 9.11 TRAITEMENT DES PLAINTES ET LITIGES... 24 9.11.1 Plaintes... 24 9.11.2 Litiges... 24 9.11.3 Élection de domicile... 24 9.12 INTERPRÉTATION... 24 9.12.1 Lois et règlements applicables... 24 9.12.2 Indépendance des dispositions... 24 9.13 ENTRÉE EN VIGUEUR... 24 ANNEXE A - ACRONYMES... 25 ANNEXE B - DÉFINITIONS... 26 Interne page 4 sur 27

1. Dispositions générales Notarius s est positionné comme prestataire de service de certification depuis plusieurs années auprès des professionnels et leurs partenaires d affaires. L infrastructure à clés publiques (ICP) de Notarius (ci-après «l'icp») permet l'émission de clés et certificats permettant de signer des documents électroniques et, le cas échéant, de les chiffrer. La signature numérique permet aussi d assurer l intégrité et de lier l identité de son auteur à des documents électroniques. Le chiffrement permet, quant à lui, de préserver la confidentialité des informations. La présente Politique de certification (PC) décrit les règles générales applicables au service de certificats. La PC est étroitement liée à la Déclaration des pratiques de certification (DPC) décrit les procédures utilisées et les exigences appliquées par le Prestataire de service de certification et de répertoire (PSC/R) pour émettre et gérer les signatures numériques. 1.1 Objet La PC décrit les bases de fonctionnement et prévoit entre autres la création, la délivrance, la gestion et l utilisation de certificats, les exigences relatives à la vérification d identité des détenteurs et aux intervenants impliqués ainsi qu à la gestion du service et de l infrastructure. 1.2 Champ d application La PC s applique à toute personne ayant adhéré à un produit de l'icp ou qui agit en se fondant sur un certificat de l'icp. 1.3 Identification (OID) Les identificateurs d'objet (OID) pour l'icp Notarius est (2) pays (16) Canada (124) Notarius (113550.). Notarius organise ses arcs d'oid pour les différents certificats comme suit : Description Identificateur d'objet (OID) Certificat de l'ac racine : Notarius Root Certification Authority 2.16.124.113550.2.1 Certificat de l'ac émettrice : Notarius Certificate Authority 2.16.124.113550.2.2 Certificat détenteur - Niveau d'assurance de l'identité 2.16.124.113550.2.2.1 Certificat détenteur - Nature d'identité certifiée 2.16.124.113550.2.2.2 Certificat détenteur Support minimum permis 2.16.124.113550.2.2.3 Certificat détenteur Fonctions spécifiques 2.16.124.113550.2.2.4 Certificat de l AC émettrice : Notarius Certificate Authority 2 2.16.124.113550.2.3 Certificat détenteur - Niveau d'assurance de l'identité 2.16.124.113550.2.3.1 Certificat détenteur - Nature d'identité certifiée 2.16.124.113550.2.3.2 Certificat détenteur Support minimum permis 2.16.124.113550.2.3.3 Certificat détenteur Fonctions spécifiques 2.16.124.113550.2.3.4 Certificat de test Adobe 1.2.840.113583.1.2.2 1.4 Interprétation La PC constitue un «énoncé de politique» au sens de l article 52 de la Loi concernant le cadre juridique des technologies de l information (L.R.Q. c. C1-1). 1.5 Conformité au RFC 3647 La PC est basée sur le document RFC 3647 du «Internet Engineering Task Force (IETF) Public Key Infrastructure X.509 (IETF PKIX) Certificate Policy and Certification Practices Framework». Interne page 5 sur 27

1.6 Les composantes de l ICP 1.6.1 L Autorité de certification (AC) L Autorité de certification (AC) est Solutions Notarius inc. représentée par son Conseil d'administration. L AC peut déléguer ses fonctions à une personne qu elle désigne. L AC est responsable notamment : Des certificats émis par l'icp; De l adoption et des modifications de la PC; Du choix du PSC/R; De l approbation des ententes prises par le PSC/R concernant les services offerts; De la négociation d ententes de reconnaissance réciproque avec d autres autorités de certification ou prestataires de services de certification; De la publication de la liste des certificats révoqués (LCR) et de celles des autorités révoquées (LAR). 1.6.2 Le Prestataire de services de certification et de répertoire (PSC/R) Le PSC/R est responsable de l administration quotidienne des services de certification visant la délivrance et la gestion des certificats et agit à titre d autorité d enregistrement. Le PSC/R est Solutions Notarius inc. représenté par son Comité de direction. Le PSC/R est responsable : D élaborer une déclaration des pratiques de certification, conformément aux exigences de la PC; De l ensemble des aspects administratifs et technologiques associés à la délivrance des certificats ainsi qu aux opérations subséquentes reliées à leur cycle de vie. Il est également responsable des services de répertoire permettant de confirmer la validité d un certificat conformément aux exigences de l AC; De s assurer que les vérifications nécessaires ont été effectuées avant de confirmer les éléments d information contenus aux certificats; De déléguer certaines fonctions à une autorité locale d enregistrement (ALE) ; De recueillir et de consigner les renseignements relatifs aux détenteurs; De s assurer que l AC publie les LCR, les LAR ainsi que les certificats publics des détenteurs; De s assurer que la clé privée de l AC ne sert qu à signer les certificats des détenteurs, les LCR et les LAR; De mettre en œuvre des moyens nécessaires et conformes aux meilleures pratiques pour assurer la sécurité des services de répertoire; D assurer la conservation des listes de numéros des certificats annulés et des renseignements qui y sont associés; D assurer le support auprès des détenteurs. 1.6.3 L Autorité locale d enregistrement (ALE) L autorité locale d enregistrement (ALE) est responsable des fonctions qui lui sont déléguées par le PSC/R. L ALE peut être un Regroupement de professionnels reconnu (RPR) ou une personne morale. Les fonctions suivantes peuvent être déléguées à un employé d une ALE : La gestion et la délivrance d une partie des certificats; Interne page 6 sur 27

La confirmation que les éléments d information contenus aux certificats dont elle assure la gestion ont été vérifiés conformément à la PC; La cueillette et la consignation des renseignements relatifs aux détenteurs de certificats dont elle assure la gestion; Le support de 1 er niveau auprès des détenteurs de certificats dont elle assure la gestion. 1.6.4 Le détenteur Le détenteur utilise ses certificats pour signer, pour s authentifier et/ou pour chiffrer selon ses besoins ou les fonctionnalités disponibles. Le détenteur est responsable : De remplir les obligations relatives à son adhésion telles que requises par le PSC/R; De fournir les renseignements, pièces et documents requis par le PSC/R; De protéger la confidentialité de ses données d activation, de ses données d authentification, de sa clé privée et de son support ainsi que de son mot de passe; De s assurer qu il est le seul à utiliser ses certificats ou, lorsque ceux-ci sont affectés à un groupe, un dispositif ou une application, de s assurer qu ils ne sont utilisés que par les personnes et les systèmes autorisés; D utiliser ses certificats pour les seules fins autorisées; D utiliser son équipement informatique de façon sécuritaire, notamment en fermant sa session de signature numérique ou sa session de travail avant de quitter son poste; D aviser dans les meilleurs délais le PSC/R, s il soupçonne que la confidentialité de ses clés et certificats, ou de son mot de passe, est compromis; D informer le plus rapidement possible le PSC/R de tout changement, notamment quant à son adresse courriel ou à ses coordonnées; De ne pas utiliser ses certificats lorsqu ils sont révoqués ou expirés. 1.6.5 Autres participants Le partenaire d affaires Le partenaire d affaires est une personne morale qui désire transiger de façon électronique avec des détenteurs de certificats. Il doit être autorisé et avoir conclu une entente à cet effet avec le PSC/R. Le partenaire d affaires est responsable : D arrimer ses processus d affaires à l utilisation des clés et des certificats émanant de l ICP; De se conformer aux spécifications techniques et fonctionnelles exigées par le PSC/R; De décider qui au sein de son organisation détiendra des clés et des certificats émanant de l ICP; D effectuer la gestion des accès et des autorisations à ses applications informatiques; D effectuer les mises à jour nécessaires pour suivre l évolution de l ICP; D informer les détenteurs des utilisations autorisées dans ses applications; De s assurer que le détenteur a les moyens nécessaires pour respecter les obligations découlant de la Politique, entre autres, en ce qui touche l obligation de préserver la confidentialité de ses clés privées; D informer le PSC/R de tout événement pouvant entraîner une intervention sur les clés et les certificats, notamment leur révocation. Le PSC/R peut exiger du partenaire d affaires qu il se soumette à un audit ou qu il fournisse un rapport d audit sur des aspects qu il détermine. Le tiers utilisateur Un tiers utilisateur est une personne qui agit en se fondant sur un certificat émis par l ICP. Il peut être ou non lui-même un détenteur de clés et de certificats de l ICP. Interne page 7 sur 27

Celui qui veut agir en se fondant sur un certificat doit vérifier : Que le certificat a été délivré par l ICP; Qu il correspond au niveau de confiance requis; Que sa période de validité n est pas expirée; Qu il n est pas révoqué. 1.7 Utilisation des clés et des certificats 1.7.1 Utilisation autorisée des clés et des certificats Les certificats délivrés en vertu de la DPC peuvent être utilisés aux fins indiquées dans le certificat dans le champ key usage ou extended key usage. Selon le produit choisi, le détenteur peut utiliser ses clés et ses certificats pour l'un ou plusieurs des usages suivants : Confirmer son identité; S authentifier auprès de services ou plateformes autorisées; Signer numériquement des documents électroniques afin d en assurer l intégrité et la nonrépudiation; Chiffrer afin d assurer la confidentialité de l information. Chaque détenteur ou tiers utilisateur doit évaluer les circonstances et les risques associés avant de décider d'utiliser ou non un certificat délivré en vertu de la PC. Le tableau suivant fournit une brève description des utilisations appropriées des certificats. Les descriptions sont à titre indicatif seulement. Produit/ Type de certificat CertifiO Test CertifiO pour Individus CertifiO pour Profesionnel CertifiO pour Entreprise Utilisation appropriée Ne fournis aucune assurance concernant l'identité du détenteur. Ce certificat est généralement utilisé que pour effectuer des tests. Certificat détenteur émis à titre personnel. Seule l'identité est vérifiée, en conséquence, le niveau de fiabilité est moyen et doit être utilisé dans des environnements où les risques ne sont pas élevés. Certificat détenteur pour une personne membre en règle d'un RPR. L'identité et l'affiliation du détenteur (membre d'un RPR) doivent être confirmées. Fournit un haut degré de fiabilité et est utilisé dans des environnements où le niveau de risque est élevé et requièrent l identification et/ou la signature du détenteur. Certificat détenteur pour une personne agissant au nom d'une personne morale. L'identité et l'affiliation du détenteur (lien d'emploi) doivent être confirmées. L'existence de la personne morale doit être vérifiée. Fournit un haut degré de fiabilité et est utilisé dans des environnements où la responsabilité de la personne morale autant que celle du détenteur peut être engagée. 1.7.2 Limite d utilisation La PC n'impose aucune limite relative à la valeur d'une transaction dans le cadre de laquelle les clés et les certificats peuvent être utilisés. Toutefois, l AC et le PSC/R peuvent restreindre l utilisation des clés et des certificats dans la mesure où les détenteurs visés en sont informés de façon explicite. Le contrat d adhésion ou les spécifications d'un produit peuvent limiter les utilisations que peut faire le détenteur de ses certificats, incluant le nombre d'utilisations. Comme l'utilisation des certificats dépend du comportement du détenteur, ceux-ci ne garantissent pas la réputation du détenteur, ni qu'il est digne de confiance ou que l'utilisation du certificat sera Interne page 8 sur 27

faite en conformité avec les lois. Un certificat établit seulement qu'on peut raisonnablement se fier aux informations qu'il contient et qui ont été vérifiées. 1.7.3 Détenteur autorisé Le détenteur autorisé est : Un membre d un RPR ayant conclu une entente avec le PSC/R ; Un individu agissant pour une personne morale (employé, mandataire, etc.) qui souhaite utiliser des clés et des certificats à des fins professionnelles et au nom de cette personne morale ; Un individu agissant pour une personne morale (employé, mandataire, etc.) dont les clés et les certificats seront affectés à un groupe, un dispositif ou une application; Toute personne physique qui désire un certificat pour ses propres besoins et qui répond aux exigences du PSC/R. 1.8 Gestion de la PC 1.8.1 Responsable de la PC La PC est sous la responsabilité de Solutions Notarius inc. 1.8.2 Coordonnées du responsable Pour toutes questions concernant la PC ou les certificats émis par l AC, s'adresser à : Solutions Notarius inc. A/S Direction Services juridiques et conformité 465, McGill, bureau 300, Montréal (Québec) H2Y 2H1 Téléphone : 514 281-1577 Adresse électronique : support@notarius.com 1.8.3 Conformité de la DPC et de la PC Solutions Notarius via son Conseil d'administration approuve la PC. Solutions Notarius via son Comité de direction détermine la conformité de la DPC à la PC. 1.9 Définitions et acronymes 1.9.1 Acronymes L Annexe A contient les acronymes utilisés dans la PC. 1.9.2 Définitions L Annexe B contient la définition des termes les plus couramment utilisés dans la PC. 2. Publication et diffusion de l information 2.1 Service de publication Le PSC/R est responsable du service de publication et de diffusion des informations, en fonction des exigences de disponibilité. Le répertoire où sont publiées les LCR et l'information des certificats sont accessibles en ligne en tout temps pour les détenteurs de certificats, les tiers utilisateurs et tout autre intervenant faisant partie de l ICP, sauf lors d une maintenance ou en cas de force majeure. Le répertoire des certificats et des LCR est accessible selon le niveau de service défini par le PSC/R. L accès est sans frais lorsque réalisé par un individu qui effectue un faible nombre de requêtes quotidiennement. Dans tous les autres cas, l accès nécessite une entente avec le PSC/R. Les inscriptions apparaissant aux répertoires de l ICP sont utilisées par les détenteurs ou les tiers utilisateurs seulement pour accéder au certificat de chiffrement public d un détenteur et pour accéder aux LCR et LAR. 2.2 Informations publiées Les informations diffusées publiques par le PSC/R pour l AC sont : Interne page 9 sur 27

La PC; Le certificat de l AC racine Notarius Root Authority; Les certificats des AC émettrices sont Notarius Certificate Authority incrémenté d'un chiffre au besoin; Les LCR; Les LAR. 2.3 Délai et fréquence des publications Le certificat de l'ac racine est publié dès que possible après son émission et doit être diffusé préalablement à toute diffusion des LCR correspondantes. La LCR doit être mise à jour et diffusée au moins toutes les deux (2) heures. La durée de validité de la LCR doit être d un maximum de quarante-huit (48) heures. La PC est publiée sur le site web de Solutions Notarius inc. dans les meilleurs délais suivant son adoption. La publication du statut d un certificat par le PSC/R constitue un avis aux tiers utilisateurs. Dans cette optique, un certificat doit être considéré comme révoqué par les tiers utilisateurs dès la publication de cette information. 2.4 Contrôle d accès aux informations publiées Des mesures de sécurité doivent être en place afin de protéger et d assurer l intégrité des informations publiées, notamment : en empêchant l'accès en écriture non autorisé à ses répertoires; en signant numériquement la PC avec un certificat d une'ac émettrice pour en protéger l'intégrité et l'authenticité. 3. Identification et authentification 3.1 Identification 3.1.1 Type de nom Pour identifier un détenteur, les certificats délivrés doivent suivre des règles d'identification et de nom. À cet effet, les certificats émis par l'ac sont conformes aux spécifications de la norme X.509 version 3. 3.1.2 Nom explicite Les noms choisis pour désigner les détenteurs doivent être explicites. 3.1.3 Anonymat ou utilisation de pseudonyme Les pseudonymes ne sont pas autorisés. 3.1.4 Règles d interprétation des différentes formes de noms Les noms distinctifs (DN) contenus dans le champ «Subject DN» des certificats sont interprétés selon la norme X.501 et le RFC 3280. 3.1.5 Unicité des noms L'unicité du DN est garantie par l'utilisation d'un numéro de série unique ainsi que de la combinaison d'autres informations permettant de construire ce dernier. 3.2 Vérification de l identité L'identité d'un demandeur doit être vérifiée par un mandataire autorisé et être réalisée en face à face. Les règles et les moyens acceptés pour établir l'identification du demandeur et, le cas échéant, son Interne page 10 sur 27

affiliation à un RPR ou une personne morale, sont fixés dans la DPC. Les vérifications peuvent aussi servir à établir l identification et l existence d une personne morale, d un dispositif, d une application ou d un groupe. La vérification d'identité nécessite la présentation de pièces justificatives, tels des documents officiels émanant d'un gouvernement pouvant comporter la photo ou la signature du futur détenteur. 3.2.1 La vérification initiale de l identité L'adhésion à des clés et des certificats nécessite une vérification de l'identité du demandeur. La vérification initiale de l'identité est requise pour : établir l'identité d'une personne physique; valider l'identité d'une personne morale et son lien avec la personne physique. Une fois l'identité vérifiée, l'affiliation à un RPR peut être exigée, auquel cas, ce fait doit être confirmé par le RPR concerné. Dans le cas d'un certificat affecté à un groupe, un dispositif ou une application, le PSC/R doit s'assurer de l'affiliation avec la personne morale concernée. 3.2.2 La vérification d identité lors de la remise des données d activation Les données d'activation permettant de générer le certificat du détenteur doivent être remises par un moyen permettant de s'assurer de son identité. 3.2.3 La vérification de l identité lors du renouvellement d un certificat Le détenteur est avisé à l'avance de l'expiration éminente de ses clés et ses certificats. Il doit alors s'authentifier au moyen de ceux-ci dans une application reconnue par le PSC/R pour permettre leur renouvellement. 3.2.4 La vérification de l identité lors d une réémission Lorsqu une personne demande la réémission de ses clés et ses certificats dans un délai de douze (12) mois suivant leur révocation, leur expiration ou leur annulation, le PSC/R peut vérifier l identité du détenteur au moyen de son secret partagé. À défaut, le demandeur doit faire vérifier son identité selon la procédure prévue à la section 3.2.1. 3.2.5 La vérification de l identité lors d une modification Lors d une demande de modification visant des informations contenues aux certificats, le PSC/R doit s'assurer de l'identité du demandeur avant de procéder au changement. Cette vérification peut être faite au moyen des clés et des certificats du détenteur, de son secret partagé ou tout autre moyen jugé équivalent par le PSC/R. 4. Gestion des clés et des certificats 4.1 Demande d'émission de clés et de certificats 4.1.1 Personnes autorisées Une personne physique peut demander des clés et des certificats pour elle-même, pour un groupe d individus ou pour un dispositif, en adhérant au service de la façon prévue par le PSC/R. Une personne morale peut demander des clés et des certificats pour ses employés ou pour un de ses dispositifs ou de ses applications. Dans ce dernier cas, elle devra désigner une personne physique pour agir comme responsable. 4.1.2 Procédure d adhésion La personne autorisée par la PC qui souhaite obtenir des clés et des certificats doit: Faire une demande auprès du PSC/R et accepter les conditions d utilisation; Acquitter les frais afférents; Faire vérifier son identité selon ce qui est prévu à la section 3.2; Interne page 11 sur 27

Se conformer à toutes autres obligations expressément portées à sa connaissance par le PSC/R. 4.1.3 Acceptation ou refus de la demande À la réception d'une demande, des validations sont faites (vérification et cohérence des attestations ou documents fournis) par le PSC/R ou une ALE, qui doit l'accepter ou la refuser. Dans tous les cas, le demandeur est avisé de la décision au moyen des informations qu'il a fournies au cours du processus d'adhésion. 4.1.4 Durée de la validité d une demande Une demande demeure valide et en attente d'acceptation ou de refus jusqu'à un maximum de soixante (60) jours. 4.1.5 Acceptation d un certificat Le détenteur est notifié dès la génération de son certificat au moyen d'un dispositif. Il est alors présumé avoir accepté les clés et les certificats dès leur activation. 4.2 Demande de renouvellement d un certificat Le renouvellement consiste en l émission de nouvelles clés et de nouveaux certificats pour un même détenteur en utilisant sa clé privée existante. L'AC émettrice peut renouveler des clés et des certificats tant que : Les certificats d'origine ne sont pas révoqués; La clé privée existante est valide et fonctionnelle; Les informations contenues aux certificats demeurent les mêmes; Aucune validation ou vérification supplémentaire n'est nécessaire. 4.2.1 Personnes autorisées Le détenteur est celui qui amorce le processus de renouvellement de son certificat auprès de l'ac émettrice. 4.2.2 Procédure de demande de renouvellement d un certificat Le processus de renouvellement d'un certificat peut être initié par une application ou un dispositif, ou par le détenteur lors de l'utilisation de sa clé privée. 4.2.3 Traitement d'une demande de renouvellement d un certificat Lors du renouvellement, il est nécessaire de : Authentifier le détenteur au moyen de sa clé privée; Générer des clés et des certificats signés par l'ac et les transmettre au détenteur; Le cas échéant, publier le certificat de chiffrement dans le répertoire. 4.2.4 Avis de renouvellement Le détenteur est notifié dès la génération de son certificat par le dispositif. 4.3 Récupération d un certificat La récupération consiste en l émission de nouvelles clés et de nouveaux certificats alors que la clé privée existante est valide, mais non fonctionnelle, notamment en raison de la perte du mot de passe liée à la clé privée ou de la destruction des clés. L'AC émettrice peut récupérer des clés et des certificats tant que : La clé privée existante est valide; Le détenteur peut s'authentifier auprès du PSC/R; Les informations contenues aux certificats demeurent les mêmes. Interne page 12 sur 27

4.3.1 Personnes autorisées L'AC émettrice peut accepter une demande de récupération amorcée par le détenteur lui-même ou une personne ayant un rôle de confiance (voir section 5.2.1). 4.3.2 Procédure de récupération Le processus est initié par le détenteur lui-même, en s'authentifiant auprès d'un dispositif lui permettant d'effectuer l'opération. Autrement, le processus doit être initié par une personne ayant un rôle de confiance; le détenteur reçoit alors une notification et les instructions nécessaires pour procéder à la récupération au moyen d'un dispositif approprié. 4.3.3 Traitement d une demande de récupération Lors d une récupération, il est nécessaire : D'authentifier le détenteur; De générer des clés et des certificats signés par l'ac; De transmettre les données d'activation au détenteur; Que le détenteur procède lui-même à la récupération au moyen d'un dispositif approprié; Le cas échéant, publier le certificat de chiffrement dans le répertoire. 4.3.4 Avis de récupération Le détenteur est notifié dès la génération de ses clés et de ses certificats par le dispositif. 4.4 Demande de modification d'un certificat La modification consiste à apporter des changements dans les informations contenues aux certificats, pourvu que la clé privée existante soit valide et fonctionnelle. 4.4.1 Personnes autorisées Le processus est initié par le détenteur lui-même ou par une personne ayant un rôle de confiance (voir section 5.2.1). Le détenteur reçoit alors une notification et les instructions nécessaires pour confirmer les changements apportés. 4.4.2 Circonstances pouvant entraîner une modification Une modification peut avoir lieu pour corriger une erreur d'orthographe ou changer un renseignement non critique contenu dans le certificat. 4.4.3 Traitement d une demande de modification Le détenteur peut procéder lui-même à la modification de certains renseignements non critiques contenus dans ses certificats. Il doit alors s'authentifier auprès d'un dispositif du PSC/R et effectuer les changements. Autrement, une demande de modification écrite du détenteur doit être acheminée au PSC/R afin qu'il puisse procéder. 4.4.4 Avis de modification Le détenteur doit utiliser sa clé privée dans un dispositif pour être notifié et constater les modifications apportées. 4.5 Révocation d un certificat La révocation consiste à rendre les clés et les certificats d'un détenteur inutilisables et d'ajouter le numéro de série des certificats sur la LCR. L'inscription sur la LCR signifie au tiers que le cycle de vie des certificats a pris fin. Les certificats sont révoqués lorsque : Le détenteur met fin à son abonnement; La confidentialité de la clé privée ou du mot de passe du détenteur est compromise ou on soupçonne qu elle l est; L'affiliation du détenteur a changé ou ne peut plus être certifiée; Interne page 13 sur 27

Les frais d'abonnement ne sont plus acquittés ou l'abonnement est échu; Le détenteur ne respecte pas les conditions d utilisation. 4.5.1 Personnes autorisées Le détenteur peut procéder lui-même à la révocation de ses certificats en s'authentifiant auprès du dispositif approprié. Une personne ayant un rôle de confiance (voir section 5.2.1) ou une ALE peut procéder à la révocation des certificats sous son contrôle. 4.5.2 Traitement d une demande de révocation Une demande de révocation est faite auprès de l'ac émettrice et est signée avec le certificat ayant servi à effectuer l'opération. La cause de la révocation est indiquée et conservée par le PSC/R. 4.5.3 Avis de révocation Le détenteur reçoit un avis de révocation aussitôt l'opération effectuée. 4.6 Suspension d un certificat La suspension n est pas autorisée. 5. Mesures de sécurité physique et opérationnelle 5.1 Mesures de sécurité physique La PC indique les mesures qui doivent être mises en place par le PSC/R pour assurer la sécurité physique de l'icp. Cela couvre notamment les contrôles d'accès physique, la protection en cas de catastrophe naturelle, les pannes de services, protection contre le feu, le vol et les inondations. Les contrôles doivent être mis en œuvre pour éviter la perte, les dommages, les interruptions des activités commerciales ou la compromission des actifs informationnels, ainsi que les activités à faire pour la reprise après sinistre. 5.1.1 Situation géographique des sites Le PSC/R doit veiller à ce que les informations critiques et sensibles soient situées dans des zones sécurisées comportant des contrôles d'entrée. Elles doivent être physiquement protégées contre des accès non autorisés, les dommages et les interférences. Les protections envisagées devraient être proportionnelles aux risques identifiés dans l'analyse de risque. Les sites où sont entreposés les systèmes informatiques de l'icp doivent être dans des édifices géographiquement situés à un minimum de cinq kilomètres l un de l autre. 5.1.2 Accès physique Les installations de l ICP doivent être contrôlées et vérifiées de sorte que seules les personnes autorisées puissent avoir accès aux systèmes et aux données. Toute personne non autorisée à accéder à une zone sécurisée doit toujours être accompagnée par un employé autorisé. 5.1.3 Alimentation électrique et climatisation Les installations électriques et de climatisation doivent être suffisantes pour assurer le bon fonctionnement des opérations de l ICP. Les sites doivent être équipés d un système électrique principal et d un système de secours afin d assurer un accès continuel et ininterrompu à l électricité. De plus, les sites doivent être équipés d un système principal et secondaire de ventilation ou d air conditionné afin de contrôler la température et l humidité relative. 5.1.4 Vulnérabilité aux dégâts d eau Les sites doivent être construits ou équipés de façon à assurer la protection contre les expositions à l eau. Interne page 14 sur 27

5.1.5 Prévention et protection des incendies Les sites doivent être construits ou équipés afin d assurer la protection contre les incendies. Ces mesures doivent rencontrer les lois applicables. 5.1.6 Conservation et protection des supports Les supports contenants les données critiques ou toutes autres informations sensibles doivent être protégés contre tout dommage, détérioration, vol et accès non autorisés. Ces médias devraient être manipulés de façon sécuritaire, en fonction de l'information qu'ils renferment. 5.1.7 Mise hors service des supports Des procédures doivent être en place pour s'assurer de disposer des supports ayant servi pour le stockage d'informations soient déclassifiés ou détruits afin de prévenir l usage, l accès ou la divulgation non autorisée des informations sensibles. 5.1.8 Prise de copie Des sauvegardes suffisantes du système et des applications logicielles essentielles doivent être conservées hors sites pour permettre le rétablissement du service suite à une défaillance du système ou un sinistre. Ce site doit être encadré par des procédures et comporter des contrôles d'accès physiques équivalents à ceux de l'installation de production. Les sauvegardes doivent être testées régulièrement pour s'assurer qu'elles répondent aux exigences du plan de continuité des activités. 5.1.9 Relève Un système de relève doit garantir le maintien du service et des informations advenant une défaillance du système principal et des logiciels essentiels à la livraison des services de l ICP après un sinistre ou une défaillance du support de stockage. Les équipements de sauvegarde et les procédures de rétablissement doivent être régulièrement testés afin de s assurer de leur bon fonction. 5.2 Mesures de sécurité opérationnelle La DPC doit indiquer les mesures et les contrôles opérationnels et administratifs devant être mis en place par le PSC/R pour assurer la sécurité des opérations de l'icp 5.2.1 Rôles de confiance L'administration de l'icp doit comporter des rôles de confiance assurant une répartition des tâches de façon à ce qu'il n'y ait pas de conflit d'intérêts possible et qu'une personne ne puisse agir seule et contourner la sécurité du système de l'icp. 5.2.2 Répartitions des tâches La DPC doit indiquer le nombre de personnes ayant un rôle de confiance requise pour effectuer les tâches critiques (par exemple, la génération des clés et des certificats et leur révocation) afin de garantir qu'une personne ne puisse agir seule et contourner la sécurité du système de l'icp. 5.2.3 Mesures de sécurité relatives au personnel Avant de nommer une personne à un rôle de confiance, une vérification de ses antécédents judiciaires doit être faite. La DPC doit décrire les procédures utilisées pour identifier et authentifier les personnes nommées à un rôle de confiance. Formation Les personnes qui occupent des fonctions reliées à la prestation de services de l ICP doivent avoir reçu la formation appropriée pour accomplir leurs tâches. Leur formation doit également être mise à niveau lors de changements et de mises à jour des systèmes ou des procédures. Interne page 15 sur 27

Changement de personnel Tout changement de personnel occupant des fonctions reliées à la prestation de services de l ICP ne doit pas affecter l'efficacité opérationnelle de l'icp ou la sécurité de ses systèmes. 5.2.4 Sanctions Des procédures disciplinaires doivent être en place et appliquées lorsqu'un employé viole les dispositions de la PC, de la DPC ou les procédures opérationnelles qui en découlent. 5.2.5 Documentation La PC, la DPC, les procédures et processus qui en découlent ainsi que les autres documents (manuel d'utilisation, etc.) pertinents doivent être mis à la disposition du personnel occupant des fonctions reliées à la prestation de services de l ICP. Cette documentation doit être maintenue à jour. 5.2.6 Personnel contractuel Le personnel contractuel occupant des tâches reliées à la prestation de services de l ICP doit être soumis au même processus, procédure, formation et contrôle de sécurité que le personnel permanent. Autrement, le personnel contractuel effectuant des tâches ponctuelles doit être escorté et supervisé par un employé autorisé. 5.3 Procédures de journalisation (registres de vérification) 5.3.1 Type d évènement enregistré Les événements relatifs à la sécurité et aux services d'icp doivent être collectés. Tous les journaux d'audit de sécurité doivent être conservés et mis à disposition lors des audits de conformité. Les événements liés au cycle de vie des certificats doivent être enregistrés de manière à assurer la traçabilité des actions effectuées par une personne ayant un rôle de confiance. Les registres des événements doivent contenir au moins : Le type d'événement; La date et l'heure de l'événement; Le succès ou l'échec, le cas échéant; L'identité de la personne ou de l'entité qui a causé/effectué l'événemen. 5.3.2 Fréquence des vérifications des registres Les registres de vérifications doivent être examinés périodiquement pour détecter toute preuve d'activité malveillante et à la suite de toute opération importante. 5.3.3 Conservation des registres de vérification Les registres de vérifications doivent être conservés pendant une période de temps appropriée permettant de fournir, le cas échéant, les preuves juridiques nécessaires en fonction de la législation applicable. 5.3.4 Mesures de protection Les registres de vérification doivent être protégés en tout temps de manière à empêcher leurs altérations et afin d en assurer la confidentialité, l intégrité et la disponibilité. Ils doivent être enregistrés de manière à ce qu'ils ne soient pas supprimés ou détruits pour la période où ils sont conservés. 5.3.5 Évaluation des vulnérabilités Des mesures doivent être en place pour effectuer des évaluations des vulnérabilités afin de diminuer ou d'éliminer les menaces touchant les actifs de l'icp. Interne page 16 sur 27

5.4 Conservation et archivage des données 5.4.1 Types de données à conserver et archiver Pour permettre d'établir la validité et le bon fonctionnement de l'icp, les données suivantes doivent être sauvegardées périodiquement, conservées et archivées : La base de données de l AC contenant les certificats de l ICP et des détenteurs, leur historique, ainsi que la LCR; Les registres de vérification; Les données du répertoire; Les médias d installation des systèmes d exploitation, des applications de l ICP et du répertoire ; La base de données de l application du PSC/R servant à la gestion des données détenteurs; Pour le service d'horodatage, la synchronisation de l'horloge. 5.4.2 Période de conservation des archives La période de conservation minimale pour les données d'archives est de 10 ans. 5.4.3 Protection des archives Les archives doivent être enregistrées de manière à ce qu'elles ne puissent être supprimées ou détruites pendant leur période de conservation. Les mesures de protection des archives doivent assurer que seules les personnes autorisées puissent y avoir accès et les manipuler sans en modifier l'intégrité, la confidentialité et l'authenticité des données. Des procédures de conservation, de destruction et de transfert des données doivent être en place. 5.4.4 Exigences d horodatage des données Si un service d'horodatage est utilisé pour dater les enregistrements, il doit respecter les exigences définies dans la section 6.7. 5.4.5 Système de collecte des archives Le système de collecte des archives doit être conforme à la section 5.2. 5.4.6 Procédure de récupération et de vérificaiton des archives Les supports sur lesquels sont stockées les archives doivent faire l'objet de vérification périodique (échantillonnage) par les personnes autorisées et être testés pour vérifier la lisibilité, l intégrité et la disponibilité des données. 5.5 Compromission et reprise des activités après sinistre 5.5.1 Procédure de reprise des activités Des procédures doivent être en place pour assurer la reprise des activités de l ICP advenant la détérioration ou le bris d un ou plusieurs composants technologiques, la destruction de ressources informatiques ou des données. Une enquête doit être effectuée pour déterminer les causes de la compromission et déterminer la nature et l'ampleur des dommages. 5.5.2 Plan de continuité des affaires Un Plan de continuité des affaires (PCA) afin d assurer la continuité des activités de l ICP advenant un événement perturbateur ayant pour conséquence l interruption des opérations de l ICP. Le PCA décrit les étapes à suivre pour remettre à disposition les activités de l ICP, totalement ou en mode dégradé, ainsi que la reprise éventuelle de l exploitation normale des services après réfection ou le remplacement des ressources détruites ou endommagées. Interne page 17 sur 27

5.6 Cessation des activités de l AC En cas de cessation des activités de l'ac, le PSC/R doit aviser tous les détenteurs et les acteurs clés de l'icp avant la résiliation des certificats. Il est alors nécessaire que : Les AC émettrices arrêtent de délivrer des certificats; Les registres de vérification et autres documents critiques soient archivés; Les clés privées soient détruites après leur révocation; Les dossiers d'archives soient transférés à une entité appropriée (par exemple, une autre AC); Les partenaires d'affaires fournissant des plateformes transactionnelles ou points de service de l'icp soient avisés de supprimer les liens avec l'ac. 6. Mesures de sécurité techniques 6.1 Génération et livraison des clés L'AC émettrice doit générer les paires de clés dans un environnement sécuritaire par le biais de personnes ayant un rôle de confiance. Lorsque les paires de clés de l'ac racine sont générées, elles doivent l'être en présence d'au moins deux personnes occupant un rôle de confiance d'officier de la sécurité ou Gestionnaires des opérations. 6.1.1 Livraison des clés de signature Les clés doivent être générées par l'ac émettrice et le certificat et la clé publique de signature doivent être livrés selon un protocole d'échange sécuritaire et reconnu par l industrie. Le détenteur doit lui-même créer sa clé privée de signature. 6.1.2 Livraison des clés de chiffrement Les clés de chiffrement doivent être livrées au détenteur selon un protocole d échange sécuritaire et reconnu par l industrie. 6.1.3 Livraison de la clé publique de l AC La clé publique de signature de l AC doit être mise à disposition des détenteurs et des tiers utilisateurs. 6.1.4 Taille des clés La taille des clés de l'ac racine et des AC émettrices sont de 4096 bits. La taille des clés des détenteurs est de 2048 bits. 6.2 Normes de sécurité relatives aux modules cryptographiques et protection des clés privées 6.2.1 Normes de sécurité relatives aux modules cryptographiques Les modules servant à la génération des clés ainsi qu aux opérations cryptographiques doivent satisfaire aux standards reconnus par l industrie. 6.2.2 Protection des clés privées de l AC Les clés privées de l'ac doivent être entreposées dans un dispositif matériel certifié FIPS 140-2 niveau 3 ou plus. 6.2.3 Contrôle multi-usager (m de n 1 ) L'AC émettrice doit être configurée de manière à ce que le contrôle multi-usager soit activé et que celui-ci soit exercé par des personnes occupant un rôle de confiance. 1 M de n signifie le nombre de clés détenues par un nombre suffisant de personnes différentes requises pour effectuer des opérations en fonction du nombre total de clés partagées. Interne page 18 sur 27

6.2.4 Protection de clés privées du détenteur Le détenteur doit prendre les mesures nécessaires pour assurer la sécurité et la confidentialité de ses clés privées. Une copie de la clé privée de déchiffrement peut être conservée par l'ac émettrice en prévision d une éventuelle récupération, pourvu que des mesures de sécurité appropriées soient en place pour en préserver l'intégrité. 6.3 Autres aspects relatifs à la gestion des clés et des certificats 6.3.1 Archivage des clés publiques L'AC émettrice doit archiver les clés publiques des certificats. 6.3.2 Périodes d utilisation des clés publiques et privées Les périodes d utilisation des clés émises sont : Type Durée maximale avant l expiration d un certificat AC racine AC émettrice Clé de signature Clé de chiffrement Clé pour test 20 ans 20 ans 3 ans 3 ans 1 an Le PSC/R peut réduire la période de validité maximale de certains certificats, par exemple pour les certificats de test. 6.4 Données d'activation Les données d'activation utilisées pour l'émission de l'ac racine ou d'une AC émettrice et leur entreposage dans un module matériel doivent être faites dans le cadre d'une cérémonie des clés. La méthode de livraison des données d'activation pour tout détenteur doit faire en sorte de maintenir leur confidentialité et leur intégrité jusqu'à la génération de la clé privée. 6.5 Mesures de sécurité informatiques Des mesures de sécurité informatique, définies dans la DPC, doivent être en place pour les systèmes d'exploitation et les logiciels utilisés dans le cadre des services ICP notamment : L'identification et l'authentification des utilisateurs des postes de travail; La gestion des postes de travail; Le chiffrement de la session de communication; La protection des postes de travail et des serveurs (antivirus) 6.6 Mesures de contrôle Des mesures de contrôles, définies dans la DPC, doivent être en place pour assurer le niveau de confiance de l'icp, notamment : Documenter toute modification ou évolution de l'icp; Enregistrer les mises à niveau appliquées à l'icp; L'audit des journaux d'activités; L'audit de l'intégrité et de la disponibilité de l'icp. 6.7 Horodatage / système de datation Les serveurs de l ICP doivent régulièrement être synchronisés avec un serveur de temps, tel qu'une horloge atomique ou un serveur Network Time Protocol (NTP). Les informations fournies par ce serveur de temps doivent être utilisées pour établir l'heure: Du début de validité d'un certificat de l'ac; Interne page 19 sur 27

De la révocation d'un certificat de l'ac; De l'affichage de mises à jour de LCR. Des procédures automatiques ou manuelles peuvent être utilisées pour maintenir l'heure du système. 7. Profils des certificats et des LCR 7.1 Format et contenu des certificats L AC émet des certificats dans un format conforme aux spécifications de la norme X.509, version 3. Dans chaque certificat X509 v3, l AC et le détenteur sont identifiés par un Distinguished Name (DN) de type X.509 v3. 7.1.1 Champs de base du certificat de l AC racine et des AC émettrices Les informations principales contenues dans les certificats de l AC racine et des AC émettrices sont : Champ de base Valeur pour l'ac racine Valeur pour AC émettrice Empreinte numérique 1f 3f 14 86 b5 31 88 28 02 e8 7b 62 4d 42 02 95 a0 fc 72 1a bb 05 7f 07 4c 92 da db 5e 49 52 43 e2 59 a0 3f e1 6b d6 87 Issuer DN cn=notarius Root Certificate Authority o=notarius inc c=ca cn=notarius Root Certificate Authority o=notarius inc Subject DN cn=notarius Root Certificate Authority o=notarius inc c=ca Longueur des clés 4096 4096 Key pair algorithm RSA RSA Durée maximale avant l expiration du certificat 20 ans 20 ans 7.1.2 Champs de base du certificat du détenteur Les informations principales contenues dans le certificat du détenteur sont : c=ca cn=notarius Certificate Authority [incrémenté d un chiffre au besoin] o=notarius inc c=ca Champ de base Valeur Issuer DN cn=notarius Certificate Authority [incrémenté d un chiffre au besoin] o=notarius inc c=ca Subject DN cn=[nom du détenteur, du groupe ou du dispositif] uid=[identificateur unique] ou=[nom du RPR ou de l entreprise] o= [nom du produit] c=ca Longueur des clés du détenteur 2048 Durée maximale avant l expiration du certificat 6 mois à 3 ans, selon le produit Extension du certificat User role Certificate Policies Key usage Mail 7.2 Profil des LCR Les LCR sont conformes à la norme X.509, version 3. Interne page 20 sur 27

8. Contrôles de conformité 8.1 Motifs et fréquence des audits Le PSC/R peut être soumis à des audits externes à la demande de l AC ou de partenaires d affaires afin de valider la conformité à la Politique et à la Déclaration des pratiques, selon les ententes conclues avec le PSC/R. Des audits internes doivent être effectués sur une base annuelle. 8.2 Qualification des auditeurs Les auditeurs désignés tant à l interne qu à l externe doivent détenir les qualifications nécessaires pour effectuer les vérifications requises et s assurer du respect de la Politique et de la Déclaration des pratiques. Ils doivent relever les non-conformités et les opportunités d amélioration et en faire rapport au PSC/R. Le PSC/R doit informer l AC des non-conformités majeures. 8.3 Les auditeurs externes Les auditeurs externes sont désignés par le PSC/R ou les partenaires d affaires et doivent être indépendants de l AC et du PSC/R. 8.4 Sujets couverts par les audits Les auditeurs procèdent à des vérifications et des contrôles de conformité des services de certification offerts en se basant sur la Politique, la Déclaration des pratiques et les processus afférents. Lors d un audit externe, l ampleur des sujets ou éléments à vérifier peut être plus précise ou restreinte. L auditeur établira un programme d audit permettant de définir précisément quelle composante du service de certification est visée par l audit. 8.5 Mesures prises en cas de manquement À l issue d un audit, un rapport doit être produit par l auditeur au PSC/R faisant état notamment des non-conformités et des opportunités d amélioration. Il appartient au PSC/R de proposer un calendrier de résolution des non-conformités et des mesures à appliquer. Dans toutes autres circonstances, un manquement peut être rapporté aux gestionnaires qui prendront les actions appropriées, le cas échéant. 9. Dispositions légales 9.1 Tarifs 9.1.1 Frais d abonnement Des frais peuvent être exigés pour l abonnement à un produit de l'icp. 9.1.2 Frais d accès aux LCR et à l état des certificats Lorsque le volume de vérifications est important ou que le service de vérification nécessite un niveau de service précis, des frais peuvent être exigés pour les tiers utilisateurs ayant besoin d accéder aux LCR afin de vérifier l état de validité des certificats des détenteurs. À cet effet, une entente doit être conclut avec le PSC/R. 9.1.3 Frais pour la vérification de l identité Des frais peuvent être exigés pour le service de vérification de l identité, dans un tel cas, ceux-ci sont à la charge du demandeur. 9.1.4 Autres services Le PSC/R peut exiger des frais pour tout autre service ou produit additionnel qu'il fournit. 9.2 Confidentialité des informations 9.2.1 Portée Les renseignements qui composent les certificats et le contenu des LCR ne sont pas considérés comme confidentiels. Interne page 21 sur 27

Le PSC/R possède une politique de confidentialité, disponible sur son site web, indiquant le traitement qu'elle réserve aux renseignements qu'elle recueille, utilise, communique et conserve. Les informations détenues par le PSC/R devant être considérées confidentielles et privées sont : Les renseignements relatifs au détenteur qui n apparaissent pas dans les certificats; Les clés privées et les informations pour procéder à leur récupération; Les registres de vérifications de l ICP. 9.2.2 Protection des informations confidentielles Les informations confidentielles recueillies et conservées dans le cadre de la prestation de services de certification doivent être protégées adéquatement. Les données confidentielles ne sont utilisées et ne font l objet de communications extérieures que : Lors de l exécution des prestations de services de certification définies dans le présent document ; Pour répondre aux exigences légales ; Pour l exécution de travaux ou de prestations de services de certification confiés à un fournisseur de services autorisé. 9.3 Protection des renseignements personnels Tous les renseignements recueillis, utilisés, conservés ou communiqués dans le cadre de la prestation de services de certification sont assujettis à la Loi sur la protection des renseignements personnels dans le secteur privé (L.R.Q, c. P-39.1). Notamment, toutes les informations recueillies dans le cadre de l émission, de l'utilisation ou de la gestion des certificats ne doivent être utilisées ou communiquées que pour les fins pour lesquelles elles ont été recueillies. Le PSC/R doit implanter et maintenir une politique de confidentialité accessible à tous et conforme aux lois applicables. 9.4 Propriété intellectuelle Solutions Notarius inc. détient tous les droits de propriété intellectuelle sur la PC, la DPC, les applications et les infrastructures technologiques de l'icp. Les locaux dans lesquels sont entreposées les infrastructures technologiques situées au site de production et de relève sont loués à une entreprise spécialisée dans le domaine. Les détenteurs détiennent tous les droits de propriété intellectuelle sur les renseignements qui leur sont personnels et qui apparaissent aux certificats émis par l ICP. Toutefois, le détenteur n acquiert pas la propriété du certificat, mais seulement le droit d usage. Les applications utilisées en soutien à la prestation des services de certification ou celles utilisées par les détenteurs appartiennent à leurs fabricants respectifs. Ces derniers n en confèrent qu une licence d utilisation lorsque les frais qui y sont reliés sont assumés. La reproduction, la représentation (y compris la publication et la diffusion), intégrale ou partielle, par quelque moyen que ce soit, notamment, électronique, mécanique, optique, photocopie, enregistrement informatique, des éléments mentionnés ci-dessus est strictement interdite. 9.5 Responsabilité financière Aucune limite n est fixée dans la PC quant à la valeur d une transaction dans le cadre de laquelle les certificats peuvent être utilisés. Cependant, le contrat d adhésion peut limiter le type et la valeur des transactions pouvant être effectuées. 9.6 Représentation et garanties 9.6.1 Relativement aux renseignements inscrits au certificat Les renseignements contenus aux certificats et dont l inscription est obligatoire doivent être conformes aux données vérifiées, en fonction du type de certificat demandé. Interne page 22 sur 27

9.6.2 Relativement aux renseignements inscrits au répertoire L'exactitude des LCR inscrite au répertoire doit être assurée. 9.7 Dégagement de responsabilité Sous réserve des dispositions d ordre public applicables, l AC ne peut être tenue responsable d une utilisation non autorisée ou non conforme des certificats, des clés privées associées et des données d activation, des LCR ainsi que de tout autres équipement ou logiciel mis à la disposition des détenteurs. L AC décline sa responsabilité notamment pour tout dommage résultant : Des erreurs ou des inexactitudes entachant les renseignements contenus dans les certificats résultant des informations provenant du tiers ayant effectué les vérifications; De l utilisation des clés et des certificats pour un usage autre que ceux prévus à la PC ou expressément spécifié au contrat d adhésion; De l usage de certificats révoqués ou expirés; Des certificats portant la mention «certificat de test» ou toute autre mention de même nature indiquant qu on ne peut raisonnablement s y fier; De l absence de révocation d un certificat entraînant l utilisation du certificat par un tiers non autorisé; D un cas de force majeure. 9.8 Indemnités En cas de reconnaissance d une quelconque responsabilité de l AC ou du PSC/R vis-à-vis d un détenteur ou d un tiers utilisateur, les dommages, intérêts et indemnités à sa charge toutes causes confondues, ne sauraient en aucun cas dépasser les sommes payées pour l émission et le maintien de ces certificats par le détenteur. 9.9 Couverture par les assurances Les entités participantes à la prestation de service de certification doivent, en fonction de leur apport, détenir une assurance permettant de couvrir les risques susceptibles d engager leur responsabilité. 9.10 Procédures d approbation 9.10.1 Approbation de la Politique Lorsque la PC est modifiée, elle doit être soumise pour approbation au Conseil d administration de l AC. Une fois les modifications approuvées, elle est publiée sur le site web de l'ac dans un délai raisonnable. 9.10.2 Approbation de la Déclaration des pratiques La DPC doit respecter la PC. Lorsque des modifications sont apportées à la DPC, elles doivent être approuvées par le Comité de direction du PSC/R et l AC doit être avisée. 9.10.3 Validité La PC est valable jusqu à ce qu elle soit remplacée par une nouvelle version ou jusqu à ce que l AC cesse ses activités. 9.10.4 Applicabilité en cas d invalidité La fin de validité de la PC entraîne la cessation de toutes les obligations et responsabilités de l AC et du PSC/R, sauf en ce qui a trait aux certificats émis sous son autorité qui sont toujours en vigueur, ceux-ci demeurent liés par les clauses de la PC. La fin de validité de la DPC entraîne la cessation des activités du PSC/R, sauf en ce qui a trait aux certificats émis et qui sont toujours en vigueur. Interne page 23 sur 27

9.11 Traitement des plaintes et litiges 9.11.1 Plaintes Toutes plaintes concernant les services de l ICP peuvent être transmises au service à la clientèle de Solutions Notarius inc. Les plaintes sont prises en charge selon les politiques internes de l'organisation. 9.11.2 Litiges Tout conflit découlant des services de l ICP doit être réglé, dans la mesure du possible, par la négociation. Si cela s'avère impossible ou infructueux, un médiateur indépendant est mandaté, après acceptation par les parties. En cas d'impasse, on doit avoir recours à l'arbitrage conformément au Règlement d'arbitrage de l'association des notaires arbitres du Québec. À défaut, on doit alors recourir à l arbitrage prévu aux dispositions du Code de procédure civile du Québec. 9.11.3 Élection de domicile En cas de contestations, les personnes ayant adhéré à la PC choisissent les tribunaux de la province de Québec. 9.12 Interprétation 9.12.1 Lois et règlements applicables La présente PC est régie et interprétée en vertu des lois et règlements du Québec et du Canada applicables. 9.12.2 Indépendance des dispositions Le fait pour une ou plusieurs dispositions de la PC d'être déclarées invalides, illégales ou inapplicables ne porte pas atteinte à la validité des autres dispositions. 9.13 Entrée en vigueur La PC entre en vigueur à la date fixée par Solutions Notarius inc. Interne page 24 sur 27

ANNEXE A - ACRONYMES AC : Autorité de certification ALE : Autorité locale d enregistrement DN : Nom distinctif (Distinguished name) DPC : Déclaration des pratiques de certification OID : Numéro d identifiant d objet ICP : Infrastructure à clés publiques LCR : Liste des certificats révoqués LAR : Liste des autorités révoquées PC : Politique de certification RPR : Regroupement de professionnels reconnu PSC/R : Prestataire de services de certification et de répertoires Interne page 25 sur 27

ANNEXE B - DÉFINITIONS Activation : Opération qui consiste à inscrire des données d activation dans un dispositif pour générer l ou les certificats. Annulation : Intervention effectuée par le PSC/R consistant à retirer une demande d attribution de certificats avant son activation à la demande du détenteur ou lorsque les délais prescrits Audit : L'audit est une activité de contrôle et de conseil réalisée par un agent compétent et impartial sur le traitement des certificats durant tout son cycle de vie. L audit permet de faire le point sur le processus de gestion mise en place par le PSC/R ou ALE afin d'en dégager les points faibles et/ou les non-conformités. Cela, afin de mener par la suite les actions adéquates qui permettront de corriger les écarts et dysfonctionnements constatés. Autorité de certification (AC) : Entité responsable des certificats signés en son nom ainsi que de l ensemble de l ICP. Elle peut déléguer ses fonctions à une personne qu elle désigne. Autorité locale d enregistrement (ALE) : Regroupement de professionnels reconnus (RPR) ou une personne morale responsable des fonctions qui lui sont déléguées par le PSC/R. Une ALE doit avoir une entente écrite avec le PSC/R. Authentification : Processus permettant de vérifier l identité d un détenteur (individu, organisations) afin d'autoriser l'accès à ce détenteur à des ressources (systèmes, réseaux, applications). Application client : L application ou le logiciel utilisé par le détenteur, installé sur un poste ou accessible en ligne, qui permet d activer ou de récupérer ses certificats, de modifier son mot de passe, d effectuer certaines opérations de configuration ou de réaliser des transactions au moyen de ses certificats. Certificats : Ensemble d'informations comprenant au minimum ce qui est prévu par la Loi sur le cadre juridique des technologies de l information (2001, c.32) et signé par l AC dans le but, notamment de confirmer l identité du détenteur. Clé privée : Clé de la biclé asymétrique d un détenteur qui doit être uniquement utilisée par ce détenteur. Clé publique : Clé de la biclé asymétrique d une entité qui peut être rendue publique. Détenteur : Personne ayant adhéré au service et détenant des clés et des certificats de l'icp lui permettant de signer, s authentifier et/ou chiffrer selon ses besoins ou les fonctionnalités disponibles. Un détenteur peut être titulaire d un certificat qui sera affecté à un groupe, un dispositif ou une application. Déclaration des pratiques de certification : Document dans lequel le PSC/R indique les pratiques mises en place pour rendre les services de certification en conformité avec la PC. Dispositif : application autorisée par le PSC/R permettant d'effectuer, en tout ou en partie, la gestion des clés et les certificats d'un détenteur, notamment leur activation, leur renouvellement, leur récupération, etc. Il peut s'agir d'un logiciel, d'une plateforme transactionnelle ou d'un service Web. Données d activation : Informations nécessaires pour procéder à l activation des clés et des certificats que le détenteur doit protéger pour en assurer la confidentialité. Identifiant d objet de politique (OID) : Désignation numérique se retrouvant dans le certificat et faisant référence à la PC permettant d identifier le niveau de confiance du certificat. Infrastructure à clés publiques (ICP) : Ensemble de composants physiques, de procédures, de logiciels et de ressources humaines permettant la gestion des clés et certificats émis par l AC. Partenaire d affaires : Personne morale qui désire transiger de façon électronique avec des détenteurs de certificats. Il doit être autorisé et avoir conclu une entente à cet effet avec le PSC/R Personne morale : Inclus une corporation, une société, une association, un ministère ou un organisme public. Le terme personne morale est utilisé dans le but d alléger le texte. Prestataire de services de certificats et de répertoires (PSC/R) : Entité responsable de l administration des services de certification et de répertoire visant la délivrance et la gestion des certificats. Interne page 26 sur 27

Regroupement de professionnels reconnus (RPR) : Groupement professionnel, ayant une personnalité juridique, vouée notamment à la protection du public auquel sont affiliés les membres de la profession et bénéficiant de prérogatives étatiques telles que le pouvoir réglementaire et le pouvoir disciplinaire. Un ordre professionnel régi par le Code des professions du Québec est un RPR. Répondant : Personne autorisée par le PSC/R et l ALE à vérifier l identité d un demandeur et qui doit confirmer cette vérification à l ALE ou au PSC/R selon les procédures établies par le PSC/R. Révocation : Retrait d un certificat effectué de plein droit par le PSC/R ou à la demande d une personne autorisée. Tiers utilisateur : Personne agissant en se fiant à un certificat émis par l'icp. Il peut être ou non lui-même un détenteur de certificats de l'icp. Interne page 27 sur 27