#LeBlog
Une question ?
Socle indispensable à la démocratisation et à la sécurisation des transactions électroniques au sein du marché intérieur, le règlement européen n°910/2014 dit "eIDAS" (Electronic IDentification, Authentification & trust Services) a marqué une étape fondamentale dans la création d’un cadre réglementaire nécessaire à la définition et à l’harmonisation des services numériques de confiance au sein de l’UE. Or, avec l’évolution des usages numériques, la révision du texte devenait nécessaire.
Le mardi 26 mars, le Conseil de l’Union européenne a adopté eIDAS V2, la nouvelle mouture du règlement européen eIDAS, marquant la fin d’une négociation initiée il y a près de 3 ans. Cette nouvelle version est en passe d’être promulguée dans les prochaines semaines et sera directement applicable en France et dans les États-membres de l’UE, après plusieurs années de débats et de travaux. Ce règlement eIDAS V2 est un texte très attendu, notamment par les acteurs du marché de l’identité numérique, puisqu’il pose les bases du futur portefeuille européen d'identité numérique ("EUDI Wallet"), pierre angulaire de cette évolution réglementaire.
Quelles évolutions cette nouvelle version promet-elle ? Décryptage.
Entré en vigueur en 2014, le règlement européen eIDAS a permis de définir des services de confiance précis et homogènes au sein de l’Union européenne, notamment au travers d'une qualification par l'organe de contrôle national (en l’occurrence, l’ANSSI pour la France) : la création et la délivrance de certificats de signature ou de cachet électroniques, la validation et la conservation de signatures et de cachets électroniques, l’horodatage électronique, l’envoi de recommandé électronique et l’authentification de site internet.
« Le règlement eIDAS dans sa première version avait la double vocation de créer un marché intérieur des services de confiance produisant des documents électroniques ayant la même valeur juridique que leurs équivalents manuscrits et s’assurer que les usagers (personnes et entreprises) puissent utiliser leurs systèmes nationaux d’identification électronique pour accéder aux services publics en ligne dans d’autres pays de l’UE. », précise Candice Dauge, Directrice du pôle Identité et Sécurité numériques.
En complément de ces nouveaux services de confiance, le règlement eIDAS V2 pose le principe du portefeuille européen d'identité numérique (aussi appelé "e-wallet" ou "EUDI wallet") qui devrait être opérationnel d’ici 2026.
Ainsi, chaque État-membre de l’UE devra offrir un portefeuille numérique à tous ses citoyens et résidents qui en exprimeront le souhait. Sécurisé et disponible depuis un mobile, il permettra de fournir des données d'identité (de manière similaire à la présentation d'une carte nationale d'identité ou un passeport) et de partager des "attestations électroniques d'attributs", permettant par exemple d'attester des droits octroyés par des documents administratifs tels que le permis de conduire, les documents de voyage (visas), les diplômes ou encore les documents de santé (attestations de couverture par la sécurité sociale ou la mutuelle). Il sera valable dans l’Union européenne.
« Il est important de noter que ce wallet ne remplacera pas dans un premier temps les documents physiques et qu’il devra être accessible à tous, mais ne sera pas obligatoire. Au-delà du haut niveau de sécurité qu’il garantira, il présentera l’avantage de permettre de ne partager avec des tiers que les données qui sont nécessaires à un instant T (exemple : l’âge pour l’achat de produit interdits aux mineurs), le tout sous le seul contrôle de l’utilisateur. », commente Candice Dauge.
Autre nouveauté majeure de cette nouvelle version du règlement : la liste des services de confiance est étendue à l’archivage électronique. Ainsi, la nouvelle version du règlement eIDAS encadre des services de confiance tels que l’archivage électronique et le registre électronique (terme réglementaire correspondant à la blockchain), et plusieurs modifications significatives sont apportées aux services déjà définis dans la première version du règlement.
Jusqu’à l’entrée en vigueur du règlement eIDAS v2, les normes d’archivage étaient élaborées par chaque pays au niveau national. Ainsi, en France, la norme AFNOR NF Z 42-013 ou la norme NF Z 42-026 sur la numérisation fidèle encadraient les services d’archivage numérique.
Dorénavant, la Commission européenne devra référencer les standards applicables à l'ensemble de ces services 12 mois après l’adoption du règlement, dont le respect permettra de garantir la conformité avec les exigences du règlement. La conformité aux exigences du règlement restera attestée par les organes de contrôle nationaux (l’ANSSI en France), conformément au modèle déjà établi par le 1er règlement eIDAS.
Grâce à cette réglementation commune, il sera donc possible de créer une homogénéité des définitions, des obligations et des pratiques d’archivage numérique selon les juridictions. « Avant eIDAS V2, les prestataires de service d’archivage électronique présents à l’échelle européenne devaient s’adapter aux différentes exigences imposées par les normes et/ou réglementations en vigueur dans le pays de leurs clients. De même, les entreprises présentes dans plus d’un pays, devaient adapter le système d’archivage électronique de chacun de leurs sites européens aux exigences nationales. Le nouveau service de confiance d’archivage électronique introduit par la révision du règlement eIDAS remédie à cette situation en permettant une harmonisation européenne. », ajoute Charles du Boullay, Directeur Général de la BU Archivage Numérique et Factures Électroniques de Docaposte.
Enfin, la première version du règlement eIDAS avait introduit plusieurs niveaux de signature électronique, parmi lesquels la signature simple, la signature avancée et la signature qualifiée. Dans sa nouvelle version, ce règlement prévoit de renforcer les exigences en matière de sécurisation, en donnant la possibilité à la Commission européenne de référencer des standards publiés par les organismes de normalisation européens (CEN-CENELEC, ETSI) pour la signature électronique avancée, qui à l'heure actuelle ne fait pas l'objet d'exigences précises harmonisées au niveau européen.
Par ailleurs, un nouveau service de confiance qualifié va permettre de renforcer l’harmonisation de la signature électronique à distance, en définissant les exigences relatives à la gestion des équipements techniques utilisés pour créer la signature, ce qui devrait faciliter son déploiement.
Dix ans après l’entrée en vigueur du premier règlement eIDAS, cette nouvelle version va plus loin pour répondre aux besoins d’harmonisation et de précision qui manquaient encore à certaines solutions, à l’échelle européenne. Ce faisant, il ouvre aussi la voie à de nouvelles opportunités de digitalisation des échanges et des processus tout en fixant un cadre visant à rassurer les utilisateurs (entreprises et particuliers) sur leurs usages numériques.