Tiers de confiance : Tout comprendre
Audrey Roy est diplômée d'un master II en droit de l'entreprise.
Un tiers de confiance est un intermédiaire indépendant qui intervient dans les échanges numériques pour garantir la sécurité, l'authenticité et la traçabilité des transactions ou des documents électroniques.
Son rôle est de créer un environnement de confiance entre des parties qui ne se connaissent pas nécessairement, en s'appuyant sur un cadre légal précis (principalement le Règlement eIDAS (UE n° 910/2014) et les textes d'application français).
Qu'est-ce qu'un tiers de confiance ?
Définition et principe de neutralité
Le principe fondamental du tiers de confiance repose sur sa neutralité : il ne doit favoriser aucune des parties impliquées dans une transaction.
Cette indépendance est essentielle pour que les opérations qu'il certifie ou sécurise aient la même valeur juridique et probatoire qu'une transaction réalisée physiquement, avec des témoins ou un officier public.
Sans cette neutralité effective, aucune des parties ne pourrait accepter qu'un arbitre partial certifie la validité d'un acte qui l'engage.
Cette neutralité est formalisée par des obligations légales, des audits indépendants et une qualification délivrée par des autorités publiques.
En France, l'ANSSI supervise ce dispositif en lien avec les listes de confiance européennes de la Commission et la liste nationale de confiance.
Les trois piliers : Identification, Intégrité et Preuve
Un tiers de confiance numérique s'appuie sur trois piliers cumulatifs :
l'identification, qui garantit que les personnes impliquées sont bien celles qu'elles prétendent être, grâce à un moyen d'identification électronique présumé fiable lorsqu'il répond aux prescriptions du cahier des charges de l'ANSSI ;
l'intégrité, qui certifie qu'un document ou une donnée n'a pas été modifié depuis sa création ou son envoi, grâce au hachage (empreinte numérique unique) et à l'horodatage qualifié ;
la preuve, qui permet de produire des éléments recevables dans une procédure judiciaire, avec un document numérique dont on peut certifier la signature, sa date et son contenu.
| Pilier | Objet | Technique utilisée |
|---|---|---|
| Identification | S'assurer que les parties sont bien celles qu'elles prétendent être | Certificat qualifié / KYC / FranceConnect |
| Intégrité | Garantir qu'un document n'a pas été modifié depuis sa création | Hachage (empreinte numérique) / horodatage qualifié |
| Preuve | Apporter une preuve opposable en justice (qui a signé, quand, quel document) | Signature qualifiée / archivage à valeur probatoire |
Pourquoi est-ce indispensable aujourd'hui ? Les cas d'usage
La signature électronique et la dématérialisation
La signature électronique est le cas d'usage le plus répandu. Le Décret n° 2017-1416 du 28 septembre 2017 relie la signature qualifiée aux exigences du Règlement eIDAS.
Une signature qualifiée repose sur trois éléments cumulatifs :
un certificat qualifié délivré par un PSCQ (prestataire de services de confiance qualifié) ;
un dispositif sécurisé de création de signature (carte à puce, token USB) ;
la vérification préalable de l'identité du signataire.
Cette architecture garantit que le signataire est bien identifié, que le document n'a pas été modifié après signature et que celle-ci ne peut être contestée sans preuve contraire.
La dématérialisation des procédures contractuelles et administratives s'appuie massivement sur ces services :
contrats de travail ;
baux commerciaux ;
actes notariés électroniques ;
demandes d'autorisation…
L'article 1369 du Code civil dispose qu’un acte authentique "peut être dressé sur support électronique s'il est établi et conservé dans des conditions fixées par décret en Conseil d'État“, c’est-à-dire au moyen d'un procédé répondant aux exigences du Règlement eIDAS.
Le paiement sécurisé et le séquestre
Le séquestre conventionnel, prévu à l'article 1956 du Code civil, est transposé dans le droit numérique pour les transactions en ligne avec :
un intermédiaire qui conserve les fonds jusqu'à ce que le bien ou le service soit livré et accepté par l'acheteur, il s’agit d’un mécanisme central dans le e-commerce et les marketplaces ;
les établissements de paiement, avec une procédure encadrée par l'article L522-6 du Code monétaire et financier, qui exige un agrément de l'ACPR pour les établissements concernés et des dispositifs assurant la sécurité des services fournis ;
l'authentification forte du client, rendue obligatoire par l'article L133-44 du Code monétaire et financier et le Règlement DSP2 et qui impose aux prestataires des moyens d'identification fiables pour les paiements en ligne.
L'article L133-19 du Code monétaire et financier encadre également la responsabilité des parties en cas d'opération non autorisée, créant ainsi un équilibre entre la sécurité juridique de l’accord et la protection du consommateur.
L'archivage numérique à valeur probatoire
L'archivage à valeur probatoire va bien au-delà de la simple sauvegarde de fichiers : il s'agit de garantir qu'un document pourra être produit en justice des années plus tard, en démontrant qu'il n'a pas été altéré depuis son dépôt.
Le livre des procédures fiscales (article A102 B-2) impose ainsi pour les factures électroniques :
la conservation dans leur format d'origine ;
un cachet électronique qualifié ;
une empreinte numérique (hash) ;
un horodatage électronique qualifié ;
la signature du responsable d'archivage.
Des obligations similaires sont prévues par le Code de procédure pénale (article A53-6) et le Code de la santé publique (article L1111-26) pour les documents judiciaires et médicaux.
Un prestataire d'archivage à valeur probatoire horodate chaque document à son entrée dans le système, calcule et conserve son empreinte cryptographique, garantit l'intégrité dans le temps et trace tous les accès et modifications.
Cette procédure est notamment indispensable pour respecter les durées légales de conservation (10 ans pour les factures, 30 ans pour certains dossiers médicaux) tout en maintenant une valeur probante élevée.
Qui peut être tiers de confiance ?
Le rôle de l'ANSSI et la certification eIDAS
L'ANSSI est chargée en vertu de l'article L102 du Code des postes et des communications électroniques :
d'établir le cahier des charges des moyens d'identification présumés fiables ;
de certifier leur conformité ;
de délivrer les qualifications attestant du niveau de garantie.
Les articles R54-3 à R54-6 détaillent la procédure avec :
la demande initiale comprenant l'évaluation de la demande sur pièces et sur site ;
la délivrance de la qualification de tiers de confiance par l’organe de contrôle désigné par l’État membre dans lequel il est établi ;
une identification sur la liste de confiance avant de pouvoir commencer à fournir des services qualifiés ;
une surveillance continue du respect des conditions pour exercer en tant que tiers de confiance, avec un audit effectué au moins tous les 24 mois, par un organisme d’évaluation de la conformité ;
le renouvellement de la qualification le cas échéant.
L'ANSSI publie la liste des PSCQ établis en France, transmise à la Commission européenne pour figurer dans la « Trusted List » européenne.
Pour être qualifié, un prestataire doit déposer un dossier de conformité, se soumettre à un audit d'un organisme agréé et accepter des contrôles périodiques, avec l’obligation de notifier tout incident majeur.
La différence entre un prestataire de service et un prestataire qualifié
Un prestataire non qualifié peut proposer des services de signature, d'horodatage ou d'archivage, mais sans aucune présomption légale de validité.
En cas de litige, la charge de la preuve repose sur celui qui produit le document. Le juge peut refuser un élément de preuve n’ayant pas été validé et conservé par un tiers de confiance.
Un document provenant d’un PSCQ, en revanche, bénéficie d'une présomption légale d’authenticité avec :
une signature qualifiée qui produit un effet juridique équivalent à la signature manuscrite (art. 25) ;
un horodatage qualifié qui bénéficie d'une présomption d'exactitude de date et d'intégrité (art. 41) ;
un cachet qualifié qui identifie de manière fiable la personne morale émettrice (art. 35).
En cas de contestation, c'est à la partie adverse de prouver la fraude ou l'altération du document produit et non à celui qui apporte ledit document de prouver sa validité.
| Critère | PSC non qualifié | PSCQ (qualifié eIDAS) |
|---|---|---|
| Présomption de validité juridique | Non — charge de la preuve sur celui qui produit le document | Oui — présomption légale (art. 25, 35, 41 eIDAS) |
| Signature électronique | Authenticité non présumée, à prouver | Équivalent signature manuscrite (art. 25 eIDAS) |
| Horodatage | Valeur probatoire peu élevée, à démontrer | Présomption d'exactitude date et intégrité (art. 41) |
| Reconnaissance UE | Limitée | Mutuelle dans toute l'Union européenne |
| Audits de sécurité | Variables | Périodiques et obligatoires (ANSSI) |
| Conformité réglementaire | À vérifier secteur par secteur | Reconnue d'office (banque, santé, justice) |
Les acteurs historiques : Notaires, Banques et Institutions
Avant la reconnaissance des tiers de confiance numériques, certains acteurs jouaient déjà ce rôle :
Les notaires qui authentifient et conservent des actes authentiques.
Les banques qui agissent comme tiers de confiance pour les paiements sécurisés, les séquestres et le KYC (Know Your Customer).
Parmi les institutions publiques : la Caisse des dépôts et consignations pour le séquestre de fonds, l'INPI pour la datation des dépôts liés à la propriété intellectuelle, et les greffes des tribunaux de commerce pour la conservation des actes et documents sociaux.
Comment bien choisir son tiers de confiance ?
Les critères de sécurité et de souveraineté des données
La qualification eIDAS est le premier critère à vérifier : le prestataire figure-t-il sur la liste officielle de l'ANSSI ou dans la Trusted List européenne ? La question de la souveraineté des données est devenue centrale : un hébergement en France ou dans l'Union européenne garantit la conformité au RGPD.
Pour les données sensibles (santé, défense, justice) une certification SecNumCloud (ANSSI) ou HDS est souvent indispensable.
Des certifications complémentaires attestent du sérieux du prestataire, telles que ISO 27001 et PCI-DSS pour les paiements.
La transparence sur les audits de sécurité et les procédures en cas d'incident est également un indicateur fiable.
| Critère | Ce qu'il faut vérifier |
|---|---|
| Qualification eIDAS | Présence sur la liste officielle ANSSI / Trusted List européenne |
| Souveraineté des données | Hébergement UE, conformité RGPD ; SecNumCloud ou HDS pour données sensibles |
| Certifications | ISO 27001 / SecNumCloud / HDS / PCI-DSS selon le secteur |
| Traçabilité / opposabilité | Horodatage archivé / piste d'audit complète (qui, quand, quel document) |
| Interopérabilité | Normes ETSI / ISO / standards ouverts / API documentées / compatibilité logiciels métiers |
| Gestion des incidents | Chiffrement / PCA / PRA |
| Modèle tarifaire | À l'acte / forfait / licence ; vigilance sur les coûts cachés (stockage, export, support) |
L'interopérabilité et la facilité d'utilisation
Un tiers de confiance doit être interopérable avec les standards internationaux (ETSI, ISO, W3C) pour garantir la lisibilité des documents dans 10, 20 ou 30 ans et sans dépendance à une technologie propriétaire.
La disponibilité d'API documentées est essentielle pour intégrer ces services dans les processus métiers existants (ERP, GED, CRM). L'ergonomie et la qualité du support client restent déterminantes dans le choix du tiers de confiance.
Coûts et modèles économiques
Les modèles de tarification peuvent varier avec :
une facturation à l'acte (quelques centimes à plusieurs euros par opération) ;
un forfait mensuel ou annuel ;
une licence illimitée ou freemium.
Attention
Les coûts cachés méritent une attention particulière avec de possibles frais d'intégration, de formation, de stockage pour l'archivage (au gigaoctet) et du coût d'export des données en cas de changement de prestataire. Des dispositifs publics (France Num, aides régionales) peuvent contribuer au financement.
FAQ
Est-ce que FranceConnect est un tiers de confiance ?
Oui et non, selon la portée du terme. FranceConnect est un service d'identification développé par l'État, encadré par le Décret n° 2021-1538 (article 2) et le Décret n° 2017-351 (article 3). Il certifie l'identité de l'utilisateur auprès des services publics en ligne en utilisant des comptes existants (impots.gouv.fr, ameli.fr).
À ce titre, FranceConnect est un tiers de confiance pour l'authentification administrative. Mais il n'affiche pas un niveau de garantie au sens eIDAS élevé, contrairement à France Connect +.
Quelle est la différence avec un tiers de présentation ?
Le tiers de présentation transmet des documents ou informations sans en garantir l'authenticité ni l'intégrité. Par exemple, il peut s’agir d’un service qui transmet des pièces d'identité à une banque sans les certifier.
La distinction fondamentale tient à la responsabilité : un tiers de confiance engage sa responsabilité sur l'authenticité, l'intégrité et la traçabilité. Il certifie, horodate et archive les documents qui lui sont transmis, sa valeur ajoutée étant la sécurité juridique avec une valeur probante élevée.
Un tiers de présentation se contente de transmettre des documents, sans garantir la véracité ni l'intégrité du contenu. En pratique, certains services cumulent les deux rôles en ajoutant des mécanismes de signature ou d'horodatage à leur fonction de transmission.
Ces autres articles pourraient aussi vous intéresser
Comment se lancer à son compte ?
Le contrat de travail : les différentes formes de contrat
La prime de précarité : Les Conditions à Remplir
Assurance Matériel Professionnel : Tous les Avantages
Liste de Métiers Freelance Sans Diplôme
Obtenir un prêt immobilier en étant indépendant : suivez le guide !
Comment devenir freelance SEO consultant ?
Comment faire son storytelling quand on est freelance ?
Tout ce qu’il Faut Mettre dans un Contrat Freelance
Ces articles pourraient aussi vous intéresser
Découvrez Jump
en 20 min
avec Léo.
Moi c'est Léo, je vous explique chaque jour le modèle Jump et ses avantages concrets en 20 minutes chrono. Entre 20 & 30 freelances posent leurs questions à chaque RDV. Rejoignez-nous pour tout comprendre !
