Tiers de confianceUn tiers de confiance est une personne physique ou morale habilitée à effectuer des opérations de sécurité juridique d'authentification, de transmission et de stockage. Le terme est employé notamment, mais pas exclusivement, pour désigner les professionnels habilités à mettre en œuvre des signatures électroniques. Cette dénomination est employée dans plusieurs domaines différents, l'échange de bien, l'authentification et la transmission de documents dématérialisés, l'échange d'informations sur internet, les déclarations fiscales française :
Dans le cadre des marchés publics, c'est un organisme habilité à mettre en œuvre des fonctions de sécurité[1]. Protection des transactions de biens contre des paiementsProfession tiers de confiance fiscalLa mission du tiers de confiance consiste exclusivement, sur la base d’un contrat ou d’une lettre de mission spécifique :
Point de vue de la sécurité sur internetUn tiers de confiance est une personne physique ou morale mettant en œuvre des services de confiance. Citons par exemple les signatures électroniques reposant sur des architectures d'infrastructure à clés publiques ou PKI (Public Key Infrastructure). Il peut aussi s'agir d'un tiers auquel est confié une copie de la partie secrète d'une clé de chiffrement publique. Dans le monde de la sécurité, on considère qu'il existe trois types de tiers de confiance :
En France, l'ANSSI a un rôle de recommandation vis-à-vis des règles d'attribution des certificats. Les tiers de confiance et le droitLes juristes parlent de sociétés prestataires de services de certification, qu'ils décomposent de la façon suivante :
En FranceEn France, la loi française du , qui a transposé la directive européenne sur le commerce électronique, ne parle pas de tiers de confiance. Elle mentionne le certificat électronique, au sujet des préjudices subis par les personnes qui se sont fiées raisonnablement aux certificats présentés par les "prestataires de services de certification", dans les cas indiqués à l'article 33. Elle ne définit pas ce que sont les responsabilités des différentes catégories de prestataires de services électroniques. La notion de tiers de confiance est issue de la loi du libéralisant l'usage de la cryptologie[2]. Il s'agissait « des organismes chargés de gérer pour le compte d'autrui les conventions secrètes de moyens ou prestations de cryptologie »[3]. Ce régime se substituait à celui instauré par le décret du [4] qui considérait la cryptologie comme une arme de guerre. De ce fait son usage était interdit sauf dérogation particulière. Comme la loi de 1990 a été abrogée[5], le tiers de confiance n'a plus de définition juridique stricte. En EuropeAu sein de l'Union européenne, le concept de tiers de confiance a d'abord été saisi par la directive 1999/93/CE, elle-même abrogée par la suite par le Règlement (UE) N° 910/2014 du Parlement européen et du conseil du 23 juillet 2014, dit "eIDAS". Ce règlement européen (par nature d'application immédiate dans tous les pays de l'UE) définit les différents services de confiance reconnus en tant que tels, ainsi que le statut de "prestataire de service de confiance". Ce prestataire peut être "qualifié" ou non. La qualification est la conséquence d'une conformité auditée régulièrement et d'une validation par l'autorité nationale désignée dans chaque pays (en France, il s'agit de l'ANSSI). Le statut de prestataire de services de confiance qualifié entraine une reconnaissance juridique plus forte des services qualifiés (force probante), comme par exemple une présomption de fiabilité technique et/ou une équivalence à des usages physiques (c'est le cas de la signature électronique qualifiée, valant signature manuscrite). Un service de confiance qualifié est automatiquement reconnu en tant que tel dans tous les pays de l'UE. Les prestataires de services de confiance qualifiés sont publiés, ainsi que leurs services, dans les listes nationales de confiance et dans la Trust list[6] tenue par la Commission européenne. Une révision du Règlement eIDAS est en cours et attendue fin 2022 / début 2023, avec de nouveaux services de confiance. Une organisation de la profession en France : la FnTCLa FnTC[ex 1] (Fédération des tiers de confiance du numérique) réunit des acteurs de la confiance et de l'économie numérique en France et à l'étranger. Créée en 2001 en France par un ensemble d’acteurs institutionnels et de prestataires de service à la suite de la loi du , afin de structurer les échanges numériques naissants, elle a pour vocation désormais à étendre son action au niveau international avec l’ensemble des acteurs qui souhaitent développer la confiance dans le numérique. La FnTC a renouvelé les membres de son conseil d'administration lors de l'assemblée générale du . Celui-ci, présidé par Jean-François Bauvin, est composé de 20 membres, représentatifs des 4 collèges actifs de la FnTC :
Le président du conseil d'administration est Jean-François Bauvin, membre du collège 4 et de la Chambre nationale des Commissaires de justice. La FNTC donne[Où ?] une définition du tiers de confiance numérique :
Notes et références
Voir aussiArticles connexes
Liens externes |