Qu’est-ce que l’eIDAS et quel est son impact pour mon entreprise ?

En ligne, tout développement économique et social repose sur la confiance. Le manque de confiance, dû à la perception d’un manque de sécurité juridique, refroidit les consommateurs, les entreprises et les autorités publiques qui hésitent alors à effectuer leurs transactions en ligne et à adopter de nouveaux services.

L’eIDAS – ou Règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques – a été créé dans le but d’harmoniser les réglementations européennes sur les signatures électroniques, et donc, de renforcer la confiance.

Qu’est-ce que l’eIDAS ?

L’eIDAS vise à susciter une confiance accrue dans les transactions électroniques au sein du marché intérieur en fournissant un socle commun pour des interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques et en accroissant ainsi l’efficacité des services en ligne publics et privés, ainsi que de l’activité économique et du commerce électronique dans l’Union.

Ce règlement abroge l’actuelle directive sur les signatures électroniques et les éventuelles incohérences dans l’actuelle législation européenne sur les signatures numériques. Le règlement a été adopté par le Conseil « Affaires générales » en juillet 2014, la réglementation sur les services de confiance étant entrée en vigueur le 1^er juillet 2016. L’obligation de reconnaissance mutuelle des identités électroniques (eID) s’appliquera à partir du 2^ème trimestre 2018.

L’eIDAS couvre l’authentification, les sceaux de signature, les services d’envoi en recommandé [électronique] et l’horodatage.

eIDAS : quels avantages ?

Il manque à la directive 1999/93/CE sur la signature électronique en vigueur depuis 15 ans un cadre contraignant pour superviser les fournisseurs de services au niveau national. La directive ne prend pas en compte les nouvelles technologies développées depuis qu’elle est entrée en vigueur. Le règlement eIDAS complétera le règlement sur les signatures numériques et vise à :

• sécuriser les transactions électroniques transfrontalières pour accroître leur cote de confiance ;
• contribuer à la transparence et la normalisation sur le marché ;
• offrir une garantie de traçabilité ;
• faciliter les démarches administratives des citoyens qui emménagent dans de nouveaux États membres grâce à la dématérialisation des procédures administratives ;
• réduire les démarches administratives des entreprises avec à la clé une baisse de leurs frais généraux et une augmentation de leurs bénéfices ;
• améliorer la flexibilité et la commodité des services publics.

Qui est concerné par l’eIDAS ?

Toute personne ou entreprise implantée dans l’Union européenne qui utilise des signatures électroniques pour vérifier les identités et effectuer ses transactions en ligne se doit d’être en conformité avec ces réglementations.

Types de signatures électroniques définies par l’eIDAS : signatures électroniques qualifiées et avancées, et sceaux électroniques

Le règlement eIDAS définit des signatures électroniques avancées (SEA) et des signatures électroniques qualifiées (SEQ). Ces signatures doivent permettre d’harmoniser la signature de documents dans tous les États membres de l’UE.

Les SEA et SEQ prouvent l’identité du signataire et équivalent à une signature manuscrite. La principale différence tient à leur acceptation par les autres États membres européens (à savoir les autres États que celui du fournisseur de services de confiance). Les SEA peuvent être acceptées par les autres États membres, alors que les SEQ doivent l’être.  Notons également que la valeur juridique et l’admissibilité d’une SEA au titre de preuve ne peuvent être rejetées au seul motif qu’il s’agit d’un format électronique ou que la signature électronique ne répond pas aux exigences des signatures électroniques qualifiées.

Pour terminer, l’eIDAS introduit également la reconnaissance des sceaux électroniques qui, s’ils ressemblent aux signatures, concernent uniquement les personnes morales et les sociétés. Un sceau électronique permet aux départements d’une entreprise de signer des documents sans avoir à désigner un signataire habilité.

Toutes les signatures électroniques doivent être horodatées pour pouvoir vérifier l’heure associée à la signature.

Niveau de sécurité

L’Article 8 du nouveau règlement définit trois niveaux de sécurité (« niveau de garantie ») pour les schémas d’identification – niveaux faible, substantiel et élevé qui sont directement proportionnels à leur valeur légale. Quel que soit le niveau de sécurité, les États ayant déclaré un schéma d’identité en deviennent responsables, l’enregistrement des opérateurs de données, ainsi que les fournisseurs d’identité et d’authentification étant inclus dans le schéma déclaré.

Malheureusement, le texte de l’eIDAS reste assez vague et peine à expliciter cela :

« le niveau de garantie faible renvoie à un moyen d’identification électronique dans le cadre d’un schéma d’identification électronique qui accorde un degré limité de fiabilité à l’identité revendiquée ou prétendue d’une personne, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l’objectif est de réduire le risque d’utilisation abusive ou d’altération de l’identité » (source)

On perçoit cependant comment les identifiants de signature existants peuvent s’intégrer dans cette approche multiniveaux :

1. Niveau de garantie faible : offre un niveau de confiance limité sur l’identité du signataire ; ce type d’identifiant confirme uniquement que le signataire est propriétaire de l’adresse e-mail.
2. Niveau de garantie substantiel : offre un niveau de confiance limitée sur l’identité alléguée par un signataire ; pour atteindre ce niveau de garantie, il faudra sans doute prouver à qui appartient l’adresse e-mail, et quelle est l’identité du signataire.
3. Niveau de garantie élevé : offre un niveau de confiance élevé sur l’identité alléguée par la personne. En plus de prouver l’identité de la personne, un identifiant de niveau de garantie élevé pourra aussi inclure le nom de l’organisation représentée par la personne.

Impact du règlement eIDAS pour le fournisseur de services de confiance

Pour répondre aux critères de qualification de l’eIDAS, les signatures électroniques doivent être créées à l’aide d’un certificat numérique acheté auprès d’un fournisseur de services de confiance, comme une Autorité de certification (AC). C’est au fournisseur de services de confiance de suivre les principes édictés par l’eIDAS, notamment :

1. vérifier l’identité des attributs de la personne à qui le certificat sera délivré ; en ayant la personne physiquement présente (pour le niveau de garantie faible, la présence peut être électronique) ;
2. informer un organe de supervision de toute modification du provisionnement de ses services de confiance et de toute intention de révoquer des certificats ;
3. former le personnel aux bonnes pratiques de sécurité des données ;
4. être capable de stocker des données et des certificats avec un niveau de sécurité maximum et d’appliquer les formes de confiance les plus élevées, mais aussi prendre les mesures nécessaires pour éviter la contrefaçon ou le vol ;
5. conserver les données sur les certificats, même après la révocation d’un certificat, pendant la durée adéquate. Ces informations seront à consigner, de préférence, dans une base de données de certificats capable d’enregistrer tous les changements, comme la révocation.

En bref

La formulation du règlement eIDAS reste vague, car l’UE ne peut s’engager sur un type de technologie ou processus de validation. Les définitions peuvent donc prêter à interprétation. On peut néanmoins déduire de ce règlement que, pour éviter toute falsification ou modification non autorisée, les tribunaux ou organismes publics auront besoin de voir une signature électronique horodatée et cryptographiquement signée à l’aide d’un identifiant émis par un fournisseur de services fiable.

Suivez-nous pour plus d’articles sur l’eIDAS, et notamment pour en savoir plus sur l’adéquation des solutions de signatures numériques avec le Règlement.

Visionnez notre webinaire pour en savoir plus sur les signatures numériques, leur fonctionnement, en quoi elles représentent une alternative viable aux signatures manuscrites, et sur les possibilités qui existent pour les intégrer à vos workflows existants.