Confiance numérique: que doit-on attendre du règlement eIDAS ?

Risk management et cybersécurité

Publié le

Le règlement eIDAS, qui abroge la directive 1999/93/CE sur la signature électronique, entrera en vigueur le 1er juillet 2016. Il fait suite aux insuffisances du cadre posé par ladite directive sur l’identification électronique et les services de confiance pour les transactions électroniques.

Cette réflexion avait notamment été initiée par la Commission au Parlement européen dans sa communication du 26 août 2010 (Une stratégie numérique pour l’Europe).  Bien qu’aujourd’hui le règlement reprenne la majeure partie des dispositions de cette directive auxquelles sont apportées quelques modifications, de nouvelles dispositions y sont décrites et viennent renforcer et développer l’acquis qu’elle représente.

Création d’un cadre transnational et intersectoriel

Le principal problème recensé est notamment cité au point (9) du règlement : « Dans la plupart des cas, les citoyens ne peuvent pas utiliser leur identification électronique pour s’authentifier dans un autre État membre parce que les systèmes nationaux d’identification électronique de leur pays ne sont pas reconnus dans d’autres États membres ». Cette non-reconnaissance est due à l’interprétation et à la mise en œuvre technique par chaque État membre de la directive, ce qui amène ainsi  des problèmes d’interopérabilité et des divergences  lors des contrôles effectués. Concernant les services de confiance tels que l’horodatage ou encore le cachet, les divergences pouvaient émaner de l’absence de cadre juridique clair au niveau européen.

C’est pourquoi, l’objectif du règlement eIDAS (electronic IDentification And trust Services) est d’«instaurer un climat de confiance dans l’environnement en ligne » en fournissant un cadre transnational et intersectoriel complet pour des transactions électroniques sûres, fiables et aisées entre citoyens. Ce climat de confiance couvre donc l’identification et l’authentification électroniques, mais également d’autres services de confiance tels que l’horodatage ou encore le recommandé électronique. La mise en place d’un tel cadre permettra d’effectuer des démarches administratives dans tous les pays membres de l’Union et imposera la reconnaissance mutuelle.

Cependant, il est nécessaire de souligner que le règlement reste ouvert puisqu’il laisse la liberté aux pays membres de définir d’autres types de services de confiance à des fins de reconnaissance au niveau national comme des services de confiance qualifiés.

 

Concrètement, qu’est-ce que eIDAS va changer ?

Un des premiers points notables concerne la mise en conformité en vue d’une qualification eIDAS pour les Prestataires de Services de Confiance (PSCO). Afin d’intégrer la liste des PSCO qualifiés (qui devra être publiée régulièrement) et donc reconnus par les États membres, ils devront respecter un ensemble d’exigences de sécurité (mesures techniques, organisationnelles, etc.). Pour cela, ils devront s’appuyer sur les standards décrivant les mesures à mettre en place : analyse de risques, plan de cessation d’activité, processus de délivrance en face à face, notifications en cas d’atteinte à la sécurité, contrôles, responsabilités, etc. L’interopérabilité technique des systèmes passe donc par la revue des référentiels nationaux, comme le Référentiel Général de Sécurité (RGS) ; et la coopération des pays membres.

Cependant, la qualification reste une démarche volontaire, et un label de confiance UE sera créé pour identifier les PSCO qualifiés. Pour obtenir ce label, les prestataires de services de confiance devront se soumettre à des audits qui attesteront du respect des mesures définies dans les standards adossés au règlement. Il est donc fort probable que dans les mois qui viennent, les PSCO recherchant la qualification eIDAS lancent des projets globaux de mise en conformité comprenant la mise à jour documentaire (PC, DPC, PH, DPH, CGU, etc.), la revue de leur architecture d’Infrastructures de Gestion de Clés (IGC), de leurs gabarits de certificats, etc. À noter que les prestataires qualifiés dans le cadre de la Directive restent qualifiés au sens du règlement jusqu’au renouvellement de leur qualification mais devront passer un audit avant le 1er Juillet 2017 pour renouveler leur qualification.

Parmi les autres points remarquables, nous pouvons citer l’apparition d’un nouveau principe juridique : la signature électronique de personne morale. Le cachet électronique permettra donc aux entreprises et administrations de signer électroniquement en leur nom des documents afin de certifier leur provenance. Concrètement, un juge français ne pourra pas refuser un cachet ou une signature électronique apposé par un italien avec une solution allemande.

Enfin, nous pouvons également souligner l’introduction de la notion de signature qualifiée côté serveur, ce qui permettra notamment le développement de nouvelles offres (en SaaS) ; objectif clairement recherché du règlement eIDAS.