La recherche d'une définition du tiers de confiance

La recherche d'une définition du tiers de confiance

? Notion de tiers de confiance en droit interne. ? La notion de « tiers de confiance » se retrouve citée à de multiples reprises en droit interne :
  • en 1970, avec la loi relative à l'autorité parentale modifiée par la loi de 2002851 ;
  • en 2002, s'agissant de la protection de la personne en matière de santé852. Le tiers de confiance est alors un parent, un proche ou le médecin traitant ;
  • en 2010, en matière fiscale853. Le tiers de confiance a pour principale mission de se substituer au contribuable dans l'élaboration et l'envoi de sa déclaration d'impôt. Ainsi il réceptionne les pièces justificatives déposées et présentées par le contribuable. Il établit la liste de ces pièces, ainsi que les montants y figurant. Il atteste l'exécution de ces opérations. Il assure la conservation de ces pièces jusqu'à l'extinction du délai de reprise de l'administration. Enfin, il les transmet à l'administration sur sa demande ;
  • en 2016, avec la loi sur les droits des familles dans leurs rapports avec les services de l'aide sociale à l'enfance854 ;
  • en 2019, en matière de protection des victimes de violences avec la création de l'article 515-11 du Code civil855.
? Notion de tiers de confiance numérique. ? Il faut attendre 2004 pour que l'idée de tiers de confiance en lien avec le numérique (en matière de signatures électroniques) L. no 2004-575, 21 juin 2004, pour la confiance dans l'économie numérique (www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000801164). soit suggérée sans toutefois jamais en citer le terme. Mais, c’est en 2017, dans le domaine de la santé que pour la 1ère fois, le terme de « tiers de confiance numérique » est utilisé dans un texte. Ainsi, l’arrêté du 17 juillet 2017 relatif au référentiel déterminant les critères de confidentialité, d'expertise et d'indépendance pour les laboratoires de recherche et bureaux d'études https://www.legifrance.gouv.fr/loda/id/JORFTEXT000035268202?fonds=CODE&fonds=JORF&fonds=LEGI&init=true&isAdvancedResult=true&page=1&pageSize=10&query=%7B%28%40ALL%5Be%22tiers+de+confiance+numerique%22%5D%29%7D&tab_selection=all&typeRecherche=date , prévoit que le client puisse « définir des directives relatives au sort de ses (vos) données à caractère personnel (…) en s’ (vous) adressant directement au correspondant informatique et libertés de l'INDS pour les directives particulières ou à tout prestataire tiers de confiance numérique certifié par la CNIL et inscrit dans un registre unique dont les modalités et l'accès seront fixés par décret en Conseil d'Etat pour les directives générales ». Puis, en 2018, l’ordonnance no 2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi no 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel https://www.legifrance.gouv.fr/loda/id/JORFTEXT000037800506/ , cite la notion de tiers de confiance https://www.legifrance.gouv.fr/loda/article_lc/LEGIARTI000037813987/2019-06-01 ; art. 85. . Ainsi, les directives générales concernent l'ensemble des données à caractère personnel se rapportant à la personne concernée et peuvent être enregistrées auprès d'un tiers de confiance numérique certifié par la Commission nationale de l'informatique et des libertés V. supra, nos et s. . C’est en juillet 2020 que la CNIL publie un guide pratique et un recueil de procédures https://www.cnil.fr/fr/tiers-autorises-la-cnil-publie-un-guide-pratique-et-un-recueil-de-procedures . Notons que la Fédération des tiers de confiance du numérique (FTCN) ne donne aucune définition de la notion sur son site https://fntc-numerique.com .
  • de garantir l'identité des personnes, c'est-à-dire d'assurer un lien entre son identité numérique et son identité réelle, voire de s'assurer de son existence (art. 24, 1) ;
  • d'assurer la preuve des transactions : c'est-à-dire de pouvoir attester non seulement de l'existence d'un flux d'informations constitutif d'un accord, mais encore du contenu de celui-ci en assurant sa protection contre les modifications et en assurant la sécurité technique et la fiabilité des processus pris en charge (art. 24, 2, e)) ;
  • d'assurer la conservation de la transaction et, plus largement, des données pertinentes des personnes concernées en prenant notamment des mesures appropriées contre la falsification et le vol de ces données (art. 24, 2 de f) à j)) ;
  • de s'assurer pour les dommages causés intentionnellement ou par négligence à toute personne physique ou morale en raison d'un manquement à ses obligations en maintenant des ressources financières suffisantes ou en contractant une assurance responsabilité appropriée (art. 13 et 24, 2, c)).
Le règlement rappelle dans ses considérants que l'instauration d'un climat de confiance dans l'environnement en ligne est essentielle au développement économique et social. En effet, si les consommateurs, les entreprises et les autorités publiques n'ont pas confiance, notamment en raison d'un sentiment d'insécurité juridique, ils hésiteront à effectuer des transactions par voie électronique et à adopter de nouveaux services. Le tiers de confiance s'apparente donc au prestataire de services de confiance du règlement e-IDAS.
? Notion de « prestataire de services de confiance ». ? À aucun moment le règlement no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32014R0910&from=EN , ne cite la notion de tiers de confiance. Il cite tout au plus dans ses articles 19 et 20 les prestataires de services de confiance qualifiés ou non Art. 19. « prestataire de services de confiance », une personne physique ou morale qui fournit un ou plusieurs services de confiance, en tant que prestataire de services de confiance qualifié ou non qualifié ; Art. 20. « prestataire de services de confiance qualifié », un prestataire de services de confiance qui fournit un ou plusieurs services de confiance qualifiés et a obtenu de l'organe de contrôle le statut qualifié. . Les prestataires de services qualifiés sont astreints à des exigences particulières définies à l'article 24 et pouvant être résumées de la façon suivante. Le prestataire de services qualifié est tenu, notamment :
? La notion de tiers de confiance dans le langage usuel. ? Le tiers de confiance est généralement défini comme une personne (physique ou morale) ou une entité, neutre dans l'échange en cours, sur qui les protagonistes s'appuient pour établir entre eux la confiance nécessaire, par exemple en certifiant des données ou des transactions (plateformes de paiement, avocats, notaires, banques, juges, teneurs de registres…).
? Absence de statut du tiers de confiance. ? Faute de définition de la notion même, il n'existe pas de définition du statut de tiers de confiance à ce jour. Son élaboration s'avérera difficile, tant les missions du tiers de confiance sont multiples et complexes selon ses domaines d'intervention dans le monde numérique. Il s'agira d'exécuter une mission spécifique après avoir vérifié tantôt une identité, une capacité, un consentement… tantôt la véracité et l'intégrité d'un document… ou tout à la fois. Il est aisé d'imaginer à quel point l'absence de statut spécifique rend difficile la recherche de responsabilité en cas d'abus ou d'excès par exemple M. Mekki, Blockchain : l'exemple des smart contracts. Entre innovation et précaution : https://mustaphamekki.openum.ca/files/sites/37/2018/05/Smart-contracts-5.pdf.?M. Mekki, Les mystères de la Blockchain : D. 2 nov. 2017, no 37, p. 2165, § 29. . C'est pourquoi il est urgent que soient définis ses rôles et missions J.-M. Mis, Les technologies de rupture à l'aune du droit : Dalloz IP/IT juill.-août 2019, p. 425 et s. . Ainsi le rapport d'information de l'Assemblée nationale sur les blockchains a préconisé d'évaluer l'intérêt de consacrer dans la loi le statut de tiers de confiance numérique Rapp. AN no 1501, déc. 2018, Rapport d'information sur les blockchains ; Prop. no 5, p. 63 (www.assemblee-nationale.fr/dyn/15/rapports/micblocs/l15b1501_rapport-information.pdf). . Il serait ainsi chargé d'assurer la protection de l'identité, des documents, des transactions et de la mémoire numérique. Enfin, il devrait être en mesure d'auditer et de certifier les protocoles blockchains. À ce jour, ce travail de définition n'a toujours pas été réalisé.
? Recherche des critères requis. ? Il ressort de l'ensemble de ces précisions que les conditions de la confiance accordée aux tiers de confiance dans le domaine numérique reposent sur plusieurs catégories de critères :
  • des critères tenant à la réputation, l'image de l'intervenant auprès des institutions et du public. Cette honorabilité résulte elle-même d'un ensemble d'autres critères fondés sur les valeurs fondamentales (la bonne foi, la loyauté, la sincérité, la fidélité d'autrui…)868, les capacités, compétences et qualifications professionnelles, les garanties de sécurité offertes aux utilisateurs… du tiers de confiance. D'une façon générale, le tiers de confiance est une personne en qui le public et les institutions peuvent légitimement faire confiance ;
  • des critères tenant à la capacité de développer des prestations numériques de service de confiance (certification d'identité, de signature électronique, transferts sécurisés de documents, conservation des preuves électroniques, horodatage…). Ces outils doivent répondre à des cahiers des charges garantissant un niveau de sécurité plus ou moins élevé ;
  • des critères tenant aux garanties offertes aux utilisateurs (garantie d'accessibilité, d'assurance et de contrôle par une autorité).