Changes

no edit summary
Line 204: Line 204:  
Voici une courte mise en garde contre l’utilisation d’une version numérisée de votre signature manuscrite sur papier. Bien que les lecteurs et éditeurs de documents PDF permettent souvent à leur utilisateur d’insérer une copie numérisée de sa signature manuscrite sur papier, nous ne considérons pas qu’il s’agit d’une bonne pratique. Bien qu’une telle pratique puisse donner à un document électronique signé un aspect familier aux utilisateurs, nous sommes d’avis qu’il n’y a pas d’assurance ou de garantie sécuritaire réelle obtenue en insérant une telle signature numérisée au-delà de ce qui est obtenu en tapant un nom comme signature (p. ex., /s/ Michael Brownlie). De plus, la diffusion dans le cyberespace de la copie authentique d’une signature manuscrite n’échappe pas au risque qu’une personne malveillante accapare cette copie et l’utilise de concert avec une technologie, comme la photocopie couleur, pour créer d’autres copies de cette même signature sur papier (p. ex., sur des contrats officiels ou d’autres documents papier). Bref, cette méthode accorde peu de gains d’assurance, tout en posant un risque possible qu’il est possible d’éviter en matière de signatures réelles.
 
Voici une courte mise en garde contre l’utilisation d’une version numérisée de votre signature manuscrite sur papier. Bien que les lecteurs et éditeurs de documents PDF permettent souvent à leur utilisateur d’insérer une copie numérisée de sa signature manuscrite sur papier, nous ne considérons pas qu’il s’agit d’une bonne pratique. Bien qu’une telle pratique puisse donner à un document électronique signé un aspect familier aux utilisateurs, nous sommes d’avis qu’il n’y a pas d’assurance ou de garantie sécuritaire réelle obtenue en insérant une telle signature numérisée au-delà de ce qui est obtenu en tapant un nom comme signature (p. ex., /s/ Michael Brownlie). De plus, la diffusion dans le cyberespace de la copie authentique d’une signature manuscrite n’échappe pas au risque qu’une personne malveillante accapare cette copie et l’utilise de concert avec une technologie, comme la photocopie couleur, pour créer d’autres copies de cette même signature sur papier (p. ex., sur des contrats officiels ou d’autres documents papier). Bref, cette méthode accorde peu de gains d’assurance, tout en posant un risque possible qu’il est possible d’éviter en matière de signatures réelles.
   −
== Au-delà de la signature comme telle<sup><small>2</small></sup> ==
+
== Au-delà de la signature comme telle<ref><small>À titre de rappel, on doit toujours prendre la sécurité en considération, surtout lorsqu’on traite avec des parties externes au gouvernement du Canada qui n’ont peut-être pas de moyens de communication ou d’entreposage sécuritaires. Comme il est mentionné dans le document d’orientation sur la signature électronique, les signatures électroniques n’assurent pas toujours la confidentialité. S’ils communiquent par moyen non sécurisé comme le courriel, Microsoft Word ou des documents PDF avec le public, les ministères doivent tenir compte des politiques pertinentes et applicables. En particulier, l’annexe B de la Directive sur la gestion de la sécurité stipule que l’on doit avoir recours au chiffrement et à des mesures de protection des réseaux pour assurer la confidentialité des données sensibles transmises sur les réseaux publics, les réseaux sans fil ou tout autre réseau où il y a risque d’accès non autorisé aux données. (B.2.3.6.3). Bien que la Directive ne contienne aucune définition de ce qui constitue des renseignements sensibles, la Politique sur la sécurité du gouvernement définit les « renseignements sensibles » comme des « informations ou biens qui devraient raisonnablement causer un préjudice s’ils sont compromis. Cela comprend tous les renseignements qui répondent aux critères d’exemption ou d’exclusion en vertu de la Loi sur l’accès à l’information et de la Loi sur la protection des renseignements personnels. Y sont également compris les marchandises contrôlées et d’autres renseignements et biens qui font l’objet d’interdictions et de mesures réglementaires ou légales ». En tant que telle, la communication par courriel public peut ne pas être appropriée dans de nombreuses circonstances en raison des risques pour la sécurité.</small></ref> ==
 
Un autre facteur à considérer pour passer des signatures physiques aux signatures électroniques est le degré d’assurance de la signature physique qui est remplacée. En discutant avec des praticiens qui mettent en œuvre les signatures électroniques, nous entendons souvent parler de faiblesses dans le processus de signature physique actuel, alors que le remplacement proposé par une signature électronique est examiné rigoureusement pour atteindre un degré d’assurance élevé. Par exemple, de nombreux processus comportant des signatures physiques sur les formulaires ne permettent pas de vérifier cette signature par rapport à une fiche-signature préétablie (ou d’effectuer toute autre validation de la signature). À notre avis, un tel processus de signature physique offre au mieux un degré d’assurance 1. Maintenant, avec ces processus, il y a peut-être d’autres mesures compensatoires en place dont on doit tenir compte lorsqu’on passe à une signature électronique, mais la robustesse de la signature comme telle n’est probablement pas élevée. Ces contrôles supplémentaires sont importants. Par exemple, un formulaire PDF peut être envoyé à un utilisateur pour qu’il l’imprime, le signe à l’encre, le numérise et le renvoie par courriel (un processus partiellement numérique qui exige toujours une signature physique). Le fait que l’utilisateur ait pu recevoir le courriel à une adresse de courriel connue peut être considéré comme un contrôle supplémentaire du processus et pourrait être reproduit dans le processus de signature électronique de remplacement.
 
Un autre facteur à considérer pour passer des signatures physiques aux signatures électroniques est le degré d’assurance de la signature physique qui est remplacée. En discutant avec des praticiens qui mettent en œuvre les signatures électroniques, nous entendons souvent parler de faiblesses dans le processus de signature physique actuel, alors que le remplacement proposé par une signature électronique est examiné rigoureusement pour atteindre un degré d’assurance élevé. Par exemple, de nombreux processus comportant des signatures physiques sur les formulaires ne permettent pas de vérifier cette signature par rapport à une fiche-signature préétablie (ou d’effectuer toute autre validation de la signature). À notre avis, un tel processus de signature physique offre au mieux un degré d’assurance 1. Maintenant, avec ces processus, il y a peut-être d’autres mesures compensatoires en place dont on doit tenir compte lorsqu’on passe à une signature électronique, mais la robustesse de la signature comme telle n’est probablement pas élevée. Ces contrôles supplémentaires sont importants. Par exemple, un formulaire PDF peut être envoyé à un utilisateur pour qu’il l’imprime, le signe à l’encre, le numérise et le renvoie par courriel (un processus partiellement numérique qui exige toujours une signature physique). Le fait que l’utilisateur ait pu recevoir le courriel à une adresse de courriel connue peut être considéré comme un contrôle supplémentaire du processus et pourrait être reproduit dans le processus de signature électronique de remplacement.