Tiers de confiance

Un tiers de confiance est une personne physique ou morale habilitée à effectuer des opérations de sécurité juridique d'authentification, de transmission et de stockage.

Le terme est employé notamment, mais pas exclusivement, pour désigner les professionnels habilités à mettre en œuvre des signatures électroniques.

Cette dénomination est employée dans plusieurs domaines différents, l'échange de bien, l'authentification et la transmission de documents dématérialisés, l'échange d'informations sur internet, les déclarations fiscales française :

  1. Protection des transactions de biens contre des paiements : par exemple PayPal, Vérifdeal, Rakuten ou Amazon.
  2. Protection automatique par certificat informatique, dit aussi électronique, lors des échanges sur internet (sécurisation des pages web, des courriers, des fichiers exécutables).
  3. Délégation de déclaration fiscale et représentation auprès des services de l'état.

Dans le cadre des marchés publics, c'est un organisme habilité à mettre en œuvre des fonctions de sécurité[1].

Protection des transactions de biens contre des paiements

Profession tiers de confiance fiscal

La mission du tiers de confiance consiste exclusivement, sur la base d’un contrat ou d’une lettre de mission spécifique :

  • à réceptionner les pièces justificatives déposées et présentées par le contribuable à l’appui de chacune des déductions du revenu global, réductions ou crédits d’impôts mentionnés à l’article 95 ZN de l’annexe II au CGI[précision nécessaire] ;
  • à établir la liste de ces pièces ainsi que les montants y figurant ;
  • à attester l’exécution de ces opérations. Le tiers de confiance atteste l’existence des pièces justificatives ainsi que de la conformité et inaltérabilité des éditions, dispensant ainsi les contribuables de leur dépôt auprès de l’administration fiscale à l’appui de la personne concernée (déclaration annuelle de revenus et ses annexes).
  • à assurer la conservation de ces pièces sous format papier ou sous forme dématérialisée jusqu'à l’extinction du délai de reprise de droit commun de l’administration fiscale et à les transmettre à cette dernière sur sa demande.

Point de vue de la sécurité sur internet

Un tiers de confiance est une personne physique ou morale mettant en œuvre des services de confiance. Citons par exemple les signatures électroniques reposant sur des architectures d'infrastructure à clés publiques ou PKI (Public Key Infrastructure). Il peut aussi s'agir d'un tiers auquel est confié une copie de la partie secrète d'une clé de chiffrement publique.

Dans le monde de la sécurité, on considère qu'il existe trois types de tiers de confiance :

Elle définit une politique de certification et la fait appliquer. Elle est porteuse de la confiance des utilisateurs.
Elle vérifie que le demandeur de signature électronique est bien la personne qu'il prétend être, et ce conformément aux règles définies dans la politique de certification. Elle garantit la validité des informations contenues dans le certificat électronique. L'autorité d'enregistrement a un rôle essentiel d'identification. Il est souvent considéré que l'autorité d'enregistrement fait partie de l'autorité de certification. Dans ce cas on parle "d'agent d'enregistrement".
  • Opérateur de certification :
L'opérateur de certification (OC) assure la fourniture et la gestion des certificats électroniques. Son rôle consiste à mettre en œuvre une plate-forme technique sécurisée, et ce dans le respect des exigences énoncées dans la politique de certification. Les opérateurs de certification sont en nombre limité sur le marché. Mais il est possible d'être son propre opérateur de certification. Dans ce cas les certificats utilisés sont signés par soi-même. C'est une situation fréquente lorsqu'il s'agit d'identifier des composants de systèmes informatiques.

En France, l'ANSSI a un rôle de recommandation vis-à-vis des règles d'attribution des certificats.

Les tiers de confiance et le droit

Les juristes parlent de sociétés prestataires de services de certification, qu'ils décomposent de la façon suivante :

  • les sociétés qui délivrent des certificats de signature,
  • les sociétés qui fournissent des outils de signature,
  • les sociétés qui délivrent de l'infrastructure technique.

En France

En France, la loi française du , qui a transposé la directive européenne sur le commerce électronique, ne parle pas de tiers de confiance. Elle mentionne le certificat électronique, au sujet des préjudices subis par les personnes qui se sont fiées raisonnablement aux certificats présentés par les "prestataires de services de certification", dans les cas indiqués à l'article 33. Elle ne définit pas ce que sont les responsabilités des différentes catégories de prestataires de services électroniques.

La notion de tiers de confiance est issue de la loi du libéralisant l'usage de la cryptologie[2]. Il s'agissait « des organismes chargés de gérer pour le compte d'autrui les conventions secrètes de moyens ou prestations de cryptologie »[3]. Ce régime se substituait à celui instauré par le décret du [4] qui considérait la cryptologie comme une arme de guerre. De ce fait son usage était interdit sauf dérogation particulière.

Comme la loi de 1990 a été abrogée[5], le tiers de confiance n'a plus de définition juridique stricte.

En Europe

Au sein de l'Union européenne, le concept de tiers de confiance a d'abord été saisi par la directive 1999/93/CE, elle-même abrogée par la suite par le Règlement (UE) N° 910/2014 du Parlement européen et du conseil du 23 juillet 2014, dit "eIDAS". Ce règlement européen (par nature d'application immédiate dans tous les pays de l'UE) définit les différents services de confiance reconnus en tant que tels, ainsi que le statut de "prestataire de service de confiance". Ce prestataire peut être "qualifié" ou non. La qualification est la conséquence d'une conformité auditée régulièrement et d'une validation par l'autorité nationale désignée dans chaque pays (en France, il s'agit de l'ANSSI). Le statut de prestataire de services de confiance qualifié entraine une reconnaissance juridique plus forte des services qualifiés (force probante), comme par exemple une présomption de fiabilité technique et/ou une équivalence à des usages physiques (c'est le cas de la signature électronique qualifiée, valant signature manuscrite). Un service de confiance qualifié est automatiquement reconnu en tant que tel dans tous les pays de l'UE.

Les prestataires de services de confiance qualifiés sont publiés, ainsi que leurs services, dans les listes nationales de confiance et dans la Trust list[6] tenue par la Commission européenne.

Une révision du Règlement eIDAS est en cours et attendue fin 2022 / début 2023, avec de nouveaux services de confiance.

Une organisation de la profession en France : la FnTC

La FnTC[ex 1] (Fédération des tiers de confiance du numérique) réunit des acteurs de la confiance et de l'économie numérique en France et à l'étranger. Créée en 2001 en France par un ensemble d’acteurs institutionnels et de prestataires de service à la suite de la loi du , afin de structurer les échanges numériques naissants, elle a pour vocation désormais à étendre son action au niveau international avec l’ensemble des acteurs qui souhaitent développer la confiance dans le numérique.

La FnTC a renouvelé les membres de son conseil d'administration lors de l'assemblée générale du . Celui-ci, présidé par Jean-François Bauvin, est composé de 20 membres, représentatifs des 4 collèges actifs de la FnTC :

  1. opérateurs et prestataires de services de confiance ;
  2. éditeurs et intégrateurs de solutions de confiance ;
  3. experts et représentants des utilisateurs ;
  4. institutionnels et professions réglementées.

Le président du conseil d'administration est Jean-François Bauvin, membre du collège 4 et de la Chambre nationale des Commissaires de justice.

La FNTC donne[Où ?] une définition du tiers de confiance numérique :

  • Le tiers de confiance numérique est un acteur du développement de la confiance dans le monde numérique. Il intervient dans la protection de l’identité, des documents, des transactions et de la mémoire numérique. Il engage sa responsabilité juridique dans les opérations qu'il effectue pour le compte de son client.
  • Le tiers de confiance numérique est reconnu par ses pairs. Il est membre d’un ordre, d’une association ou d’une fédération disposant d’une charte et d’un comité d’éthique.
  • Le tiers de confiance numérique est intègre, transparent et respecte une stricte confidentialité. Il garantit son interopérabilité avec les autres tiers de confiance numérique. Il doit démontrer sa capacité de continuité de service au-delà de sa propre existence en garantissant la réversibilité de ses services.
  • Le tiers de confiance numérique s’engage à respecter la règlementation, les normes ou labels en vigueur. Il contribue en permanence aux évolutions techniques. Il se soumet à des audits externes réguliers.

Notes et références

  1. Frederic Makowski, Consultant, « Tiers de confiance et guide pratique de la dématérialisation des marchés publics », sur marche-public.fr (consulté le ).
  2. Loi n°90-1170 du 29 décembre 1990 sur la réglementation des télécommunications
  3. Paragraphe II de l'article 28
  4. Décret du 18 avril 1939 fixant le régime des matériels de guerre, armes et munitions
  5. Loi n°2004-575 du 21 juin 2004 - art. 40 (V) JORF 22 juin 2004; Loi pour la confiance dans l'économie numérique
  6. « eIDAS Dashboard », sur esignature.ec.europa.eu (consulté le )

Voir aussi

Articles connexes

Sur la sécurité des systèmes d'information
Sur l'éthique
Sur la sécurité en général et les risques liés à la communication
Sur l'interopérabilité et les normes

Liens externes