L'autorité d'enregistrement - tiers de confiance

Comme nous l'avons vu la semaine dernière, l'une des principales missions d'une autorité de certification est de fournir à ses clients les moyens (c'est-à-dire des certificats) de prouver leur identité sur le Web. Ces certificats peuvent également être utilisés avec des signatures électroniques. Une signature électronique peut avoir la même valeur juridique qu'une signature manuscrite lorsqu'elle est associée à un certificat électronique qualifié.

Avant la délivrance d'un tel certificat, l'autorité de certification (AC) doit, dans le strict respect du règlement européen eIDAS (Services d'identification, d'authentification et de confiance électroniques), identifier clairement le futur titulaire du certificat, et vérifier et valider ses données personnelles.

La plupart du temps, l'AC délègue ce rôle de « tiers de confiance » à un réseau d'autorités d'enregistrement (AE), qui peuvent être une entreprise, une société ou un établissement de tout type. Par exemple, les AE de LuxTrust sont principalement des banques, mais pas seulement, puisque la première AE encore en activité est la Chambre de Commerce du Luxembourg.

Le processus d'identification nécessitant de nombreuses ressources (en termes d'effectifs et de temps), il est plus judicieux pour les AC d'établir des partenariats avec les AE. D'autre part, en gérant le processus d'identification par leurs propres moyens, les AE ont la possibilité d'entrer en contact avec de futurs clients potentiels et d'établir des relations avec eux.

Quelle est la mission d'une autorité d'enregistrement ?

Sous le contrôle et la supervision d'un responsable et d'un adjoint de l'AE, le personnel de l'AE, y compris les agents de l'AE et les agents d'identification (dûment formés directement par l'autorité de certification), identifient les demandeurs d'un certificat qualifié lors d'une procédure en face à face (ou équivalente selon les normes eIDAS). Cette procédure repose sur la vérification de la pièce d'identité officielle du demandeur (carte d'identité ou passeport).

Le personnel de l'AE vérifie également que les données personnelles qui apparaîtront sur le certificat numérique correspondent aux données du document d'identité. Ces vérifications garantissent la délivrance d'un certificat qui représente fidèlement l'identité numérique du titulaire.

En outre, l'AE gère le cycle de vie du certificat dans le cas où un titulaire légitime demanderait sa révocation. L'AE procède aux modifications requises du statut du certificat. L'AE conserve et archive également toute la documentation directement liée aux opérations du « tiers de confiance », de la délivrance du certificat à sa révocation. Ceci permet de tenir un journal d'audit complet de tous les documents, données et vérifications en cas de litige.

Qu'est-ce que cela implique d'être une AE ?

Les AE, tout comme les AC, font régulièrement l'objet d'un audit, ce qui garantit la conformité et la validité du processus d'identification. Dans le cas de LuxTrust, toutes les opérations des AE sont contrôlées fréquemment dans le cadre des audits internes de l'autorité de certification. En outre, elles sont auditées une fois par an par le biais de missions sur site dans le cadre des audits de certification annuels de LuxTrust.

LuxTrust est une autorité de certification depuis sa création, en 2005. Fournissant des certificats numériques fiables à plus de 700 000 utilisateurs du monde entier, la société dispose d'un vaste réseau d'AE au Luxembourg et à l'étranger. Pour en savoir plus sur la façon dont vous pouvez équiper vos employés ou clients de certificats numériques, envoyez-nous un message ici.