obOpen Banking Lab
GlossaireSTETBlogContact
Sécurité

eIDAS TSP

eIDAS Trust Service Provider

Tiers de confiance qualifié qui délivre les certificats QWAC et QSealC dont chaque TPP a besoin pour s'identifier auprès des banques européennes.

Voir aussi :TPPASPSPNCAACPR

Définition

Un eIDAS TSP (Trust Service Provider) est un tiers de confiance qualifié au sens du règlement eIDAS.

Pour la DSP2, son rôle est très concret : c'est lui qui émet les certificats QWAC et QSealC dont tout TPP (AISP, PISP, CBPII) a besoin pour s'identifier auprès des banques et signer ses requêtes.

Pourquoi un certificat eIDAS pour la DSP2

Quand un TPP appelle l'API d'une banque, l'ASPSP doit vérifier deux choses en quelques millisecondes :

  1. Qui es-tu ? Le QWAC (Qualified Website Authentication Certificate) authentifie le TPP via mTLS, au niveau du transport.
  2. Es-tu agréé pour ce rôle ? Le certificat contient le numéro d'agrément délivré par la NCA et la liste des rôles (PSP_AS, PSP_PI, PSP_AI, PSP_IC).

Pour les requêtes signées (paiements notamment), le QSealC (Qualified electronic Seal Certificate) ajoute une signature qualifiée au niveau applicatif (HTTP-signature) — le seul moyen, en cas de litige, de prouver qui a envoyé quoi.

Ce que fait un eIDAS TSP

  • Vérifie l'agrément du TPP auprès de la NCA (registre EBA, REGAFI, BaFin).
  • Émet le QWAC et le QSealC, avec les rôles PSD2 intégrés.
  • Renouvelle les certificats (validité typique de 1 à 2 ans).
  • Révoque en cas de retrait d'agrément ou de compromission.
  • Publie ses certificats dans une CRL / OCSP consultable en temps réel.

Ce qu'un eIDAS TSP ne fait pas

  • Ne délivre pas d'agrément DSP2 : c'est la NCA ; le TSP ne fait que constater l'agrément.
  • Ne valide pas un appel API : c'est l'ASPSP qui vérifie le certificat à chaque requête.
  • N'opère pas partout sans habilitation : il doit figurer sur la Trusted List de chaque État.
  • N'est pas gratuit : de quelques centaines à quelques milliers d'euros par an et par certificat.

Dans l'écosystème PSD2

Le TSP est le maillon de confiance entre la NCA (qui certifie l'identité juridique du TPP) et l'ASPSP (qui doit le reconnaître techniquement à chaque appel). Sans QWAC et QSealC valides, aucun appel vers une banque ne passe.

Exemples concrets

  • TSP qualifiés en France : Certigna (DhiMyOtis), Certinomis (Docaposte / La Poste), ChamberSign — tous sur la Trusted List française publiée par l'ANSSI.
  • TSP qualifiés en Europe : D-Trust (Bundesdruckerei, DE), Buypass (NO), InfoCert (IT), Trustpro (IE) — plus de 200 TSP qualifiés dans l'EEE.
  • Coût et délais : 2 à 4 semaines pour la première émission, quelques jours pour les renouvellements ; tarifs de 300 à 2 000 €/an par certificat.
  • Choisir son TSP : réputation auprès des banques (certaines préfèrent les TSP locaux), délais de réémission, support pour les rotations automatisées, API d'émission (utile pour scaler une plateforme multi-TPP).
  • Trusted Lists : pour vérifier qu'un TSP est qualifié, consulter l'EU LOTL (List of Trusted Lists) maintenu par la Commission — toute banque sérieuse s'en sert pour valider la chaîne de certificats.

Voir aussi : Manuel STET

Sources

Retour au glossaire