Article mis en ligne le 7 juillet 2006
Souvent utilisé mais rarement défini, que recouvre exactement le concept de « Tiers de Confiance » ? Est-ce un cadre juridique spécifique, un savoir-faire technologique ou une nouvelle classification économique pour décrire des métiers émergents ? En pratique, il semble bien que cela soit un peu de tout cela et bien d’autres choses encore. Sans occulter le fait qu’il peut également s’agir d’une qualification auto attribuée, sans réel contenu. Tentative de clarification.
* * *
Quand on se lance dans l’exercice qui consiste à tenter de définir le concept de tiers de confiance, la première approche envisageable est empirique et intuitive. Dans ce cadre, le tiers de confiance semble à première vue se caractériser par deux aspects. En premier lieu, il intervient dans un domaine technologique issu de la cryptologie avec ses différentes familles regroupées autour de la signature électronique, des empreintes d’intégrité, des jetons d’horodatage. En second lieu, le concept semble impliquer une forme d’externalisation qu’il s’agisse d’un prestation réalisée à l’extérieur ou d’un dispositif technologique de type « boite noire », installé en interne, sur lequel l’utilisateur n’a pas la main.
Sur la base de ces observations, on pourrait donc déduire que le tiers de confiance est un acteur, agissant dans l’univers des nouvelles technologies, se portant garant dans une transaction ou un échange entre deux parties entre lesquelles la confiance réciproque ne va pas forcément de soi.
Une telle définition obligerait alors à prendre en considération certains acteurs parfois considérés comme des tiers de confiance mais appartenant à un domaine bien différent. Il s’agit par exemple des escrow services. Partenaires des sites de vente aux enchères sur Internet, ils mettent en oeuvre une solution de paiement sécurisée pour les transactions entre particuliers. Ces « tiers de confiance » – escrow services et non Trusted third party en anglais – vont conserver la somme versée par l’acheteur jusqu’à ce que le vendeur ait bien livré la marchandise promise. Ensuite, ils libèrent le paiement en retenant une commission.
Toujours dans le domaine du commerce électronique, les marques de confiance apposées sur les sites web (ou seals) pouraient aussi être assimilées à des tiers de confiance.
Objet juridiquement introuvable
Pour obtenir une définition plus précise, peut-on s’appuyer sur la réglementation ? Pas vraiment, car le vocable de « tiers de confiance » ne semble pas correspondre à une réalité juridique établie par les textes.
Il est certes possible de distinguer deux cas de figure qui s’apparentent à la notion de tiers de confiance sans que le terme ne soit utilisé :
- D’une part, le cas des officiers publics ministériels (huissiers de justice, notaires, etc.) ou d’autres professions réglementées comme les experts agréés près des tribunaux.Il s’agirait en quelque sorte des tiers de confiance d’avant l’invention des tiers de confiance
- D’autre part, certains acteurs du domaine de la signature électronique dont l’activité est encadrée par des textes règlementaires mais qui sont désignés sous le vocable de prestataire de service de certification et non de tiers de confiance.
Une incontestable dimension économique et marketing
Si le droit et la technologie n’apportent pas une réponse définitive, un détour par l’économie et le marketing s’avère utile. L’usage de nouvelles technologies associée à la mise en œuvre de la dématérialisation nécessite de nouvelles missions – par exemple l’archivage des documents nativement électroniques – qui sont proposées par de nouveaux acteurs ou par de nouveaux départements d’acteurs plus anciens. Ce nouveau secteur d’activité doit alors être identifié et reconnu tant par les clients potentiels que par les institutions. Dès lors, pourquoi ne pas retenir « tiers de confiance » si tous les publics concernés s’y retrouvent ?
Si le tiers de confiance ne peut se définir que par la technologie ou le droit, doit-on alors considérer que c’est avant tout une affaire de marketing ? Ce serait effectivement très génant si le vocable « marketing » devenait synonyme de « pipeau » ou de « rideau de fumée » voire de « publicité mensongère ». Si en revanche on accepte l’idée que marketing n’est pas un gros mot mais témoigne de la volonté de comprendre les besoins du marché et de concevoir les offres pour y répondre, alors le tiers de confiance fonde aussi son action sur une légitimité marketing.
Pour autant, peut-on accepter comme tiers de confiance légitime celui qui s’auto attribue la qualité de tiers de confiance ? Ce n’est pas évident et il faut alors réfléchir à la question des acteurs qui pourraient être légitimes pour le faire et devenir ainsi tiers de confiance des tiers de confiance.
Il finit par exister quand on est persuadé qu’il existe
Les interrogations sur ce qui permet de conclure que l’on est ou pas en présence d’un tiers de confiance peuvent trouver une illustration pratique grâce à une actualité récente. Le 30 mai 2006, en autorisant les expérimentations du Dossier Médical Personnel, la Cnil a officialisé le rôle de « Tiers de Confiance » dévolu à la Caisse des dépôts et consignation pour la création d’un identifiant santé (le NIS) qui sera dissocié du numéro de sécurité social. Elle n’a fait que reprendre le terme de « tiers de confiance » qui figurait en toute lettre dans l’annexe 2 de l’appel d’offre émis en juillet 2005 par le Groupement de préfiguration du Dossier Médical Personnel (GIP-DMP) pour sélectionner les hébergeurs de la phase d’expérimentation. On est ici dans un cas de figure assez simple où le tiers de confiance existe naturellement car tous les acteurs concernés sont persuadés qu’il existe. On pourra ainsi à ce stade proposer une nouvelle définition : est tiers de confiance celui qui est unanimement considéré comme tiers de confiance.
Une multiplicité de critères
Au terme de cette petite excursion, il semble possible de conclure en avançant (ou plutôt en proposant au débat) l’idée que le tiers de confiance est d’abord un dispositif pouvant associer plusieurs critères : un cadre juridique, des technologies issues de la cryptographie et de la signature électronique, un statut, une image de marque, une bonne assurance en responsabilité civile professionnelle et, enfin, une capacité à coopérer avec d’autres tiers de confiance complémentaires. Tous les critères ne sont pas obligatoires mais plus il y a de critères présents et plus on a de chances d’être en présence d’un maillon solide de la chaîne de confiance. Être tiers de confiance, c’est posséder plusieurs de ces critères sans forcément les avoir tous : la variété des adhérents de la FNTC (Fédération Nationale des Tiers de Confiance) où coexistent des professions règlementées, des autorités de certifications et d’autres entreprises innovantes en témoigne. En assumant cette diversité, le jeune secteur des tiers de confiance aura un bel avenir devant lui.
Alain Borghesi & Arnaud Belleil
A lire aussi