Sommaire
Définition et principe
Le « tiers identifié » est une personne morale ou physique tierce à une relation contractuelle principale, chargée de vérifier, attester ou gérer l’identité d’un acteur dans le cadre d’une transaction ou d’un service numérique. Il peut intervenir pour l’authentification, la certification, la conservation de preuves ou le contrôle de conformité.
Cas d’usage courants
- Authentification forte lors d’un accès ou d’une transaction en ligne.
- Vérification d’identité KYC (Know Your Customer) pour l’ouverture d’un compte.
- Autorité de certification émettant des certificats numériques.
- Tiers conservateur pour l’horodatage et la preuve d’intégrité d’un document.
Acteurs possibles
- Autorités de certification (certificats SSL/TLS, signatures électroniques).
- Prestataires d’identité (IDaaS), banques, plateformes d’identité gouvernementales.
- Services de vérification KYC et opérateurs de consentement.
- Prestataires juridiques ou archivistes pour la conservation probante.
À retenir : le tiers identifié n’est ni le donneur d’ordre ni le destinataire principal, mais il garantit la fiabilité de l’identification.
Cadre légal et obligations (points clés)
- Le traitement des données d’identification par un tiers doit respecter les principes de protection des données personnelles (licéité, minimisation, limitation de finalité, sécurité). Le RGPD s’applique lorsque les données concernent des personnes en Europe.
- Le tiers identifié peut avoir des obligations contractuelles et réglementaires spécifiques selon son secteur (services financiers, santé, archives, etc.).
- Traçabilité et conservation : quand le tiers conserve des éléments probants (preuves, journaux d’audit), il doit garantir intégrité et disponibilité selon la finalité.
Ne pas inventer de règles sectorielles précises : vérifiez les obligations applicables à votre secteur et pays.
Responsabilités et garanties attendues
- Véracité de l’identification : le tiers doit mettre en œuvre des procédures fiables (vérification documentaire, biométrie, attestations).
- Sécurité des données : chiffrement des données au repos/transit, gestion des accès, journalisation.
- Transparence : information claire des personnes concernées sur les finalités, durées de conservation et droits d’accès/suppression.
- Obligation de coopération : en cas d’incident, le tiers doit pouvoir fournir preuves d’audit et faciliter les enquêtes.
Avantages et risques
Avantages :
- Réduction des fraudes et usurpations d’identité.
- Amélioration de l’expérience utilisateur via des processus d’authentification standardisés.
- Valeur probante renforcée pour les transactions et documents signés.
Risques :
- Concentration de données sensibles chez un même prestataire (risque de compromission).
- Risques de conformité si le tiers ne respecte pas les exigences locales.
- Risques opérationnels (disponibilité, interruption de service) impactant les parties dépendantes.
Aspects techniques essentiels
- Protocoles : utilisation de protocoles standardisés (OAuth, OpenID Connect, SAML) pour déléguer l’authentification de manière sécurisée.
- Chiffrement et gestion de clés : protocoles de chiffrement robustes et stockage sécurisé des clés privées.
- Journalisation et horodatage : preuves immuables (horodatage, signatures) pour garantir l’intégrité des opérations.
Tableau synthétique : types de tiers identifié
| Type de tiers | Rôle principal | Exemples de fonctions | Risques principaux |
|---|---|---|---|
| Autorité de certification | Émettre/valider certificats | Signature électronique, TLS | Compromission de clé racine |
| Prestataire KYC / IDaaS | Vérifier identité des personnes | Vérification documentaire, biométrie | Fuite de données personnelles |
| Banque / établissement financier | Attester identité pour opérations | Authentification forte, garanties | Exigences réglementaires élevées |
| Tiers conservateur | Archivage probant | Horodatage, conservation des preuves | Perte d’intégrité ou indisponibilité |
Bonnes pratiques pour les entreprises
- Sélectionner des tiers audités et disposant de preuves de conformité (certifications, audits indépendants).
- Contractualiser clairement : SLA, responsabilité, modalités de notification des incidents, durée de conservation des données.
- Appliquer le principe de minimisation : transmettre au tiers uniquement les données strictement nécessaires.
- Mettre en place des contrôles techniques : chiffrement, gestion des accès, revue régulière des permissions.
- Prévoir des mécanismes de résilience : alternatives en cas d’indisponibilité du tiers.
Questions à se poser avant d’externaliser l’identification
- Quelles données personnelles seront traitées et pour quelle durée ?
- Le tiers dispose-t-il d’audits récents et de garanties contractuelles suffisantes ?
- Quels sont les risques si le tiers est compromis ou indisponible ?
Questions fréquentes
Quelle différence entre tiers identifié et fournisseur d'identité ?
Le fournisseur d'identité est un type de tiers identifié qui gère l'authentification des utilisateurs ; le terme tiers identifié couvre aussi d'autres rôles (conservateur, autorité de certification).
Le RGPD s'applique-t-il aux tiers identifiés ?
Oui lorsqu'ils traitent des données de personnes situées dans l'UE ; ils doivent respecter les principes du RGPD et les obligations de sécurité et d'information.
Quelles garanties demander à un tiers identifié ?
Demanderez preuves d'audits, politiques de sécurité, chiffrement des données, SLA, procédures de notification d'incident et clauses contractuelles sur la responsabilité.
Peut-on se passer d'un tiers identifié pour l'authentification ?
Techniquement oui (solutions internes), mais cela implique d'assumer toutes les obligations de sécurité, de conformité et de disponibilité en interne.
