Règlement eIDAS 2.0 : que prévoit le nouveau règlement eIDAS ?
Découvrez tout sur le règlement eIDAS 2.0 : importance, avantages, niveaux de signature, rôle de l'ANSSI et sécurité des transactions UE.
En 2014, l'Europe a adopté le Règlement eIDAS (Electronic Identification And Trust Services). Dix ans plus tard, une nouvelle version entre en vigueur, après des années de débats et de retravail. L’objectif ? Renforcer la sécurité et la résilience des systèmes d’identification numérique européens, faciliter l’utilisation de l’identité numérique dans de nouveaux domaines et améliorer la coopération entre les États membres. Découvrez les nouveautés du règlement eIDAS 2.0 et comment rester en conformité avec !
Qu'est-ce que le règlement eIDAS ?
Définition et objectifs du règlement
Le règlement eIDAS, acronyme de "Electronic Identification And Trust Services", représente le cadre juridique européen adopté en 2014, et applicable depuis le 1er juillet 2016. Son principal objectif ? Améliorer l'activité économique européenne en fournissant un environnement sécurisé et transparent pour les transactions électroniques transfrontalières entre les États membres. Et ce, en établissant un ensemble de normes communes pour l'identification électronique et les services de confiance.
La certification eIDAS permet, de son côté, d’identifier les acteurs économiques et institutions en conformité avec cette réglementation. Elle assure non seulement la confiance dans les transactions numériques, mais encourage également le commerce électronique et les services administratifs en ligne en réduisant les obstacles réglementaires et techniques.
Ce qu’il faut retenir ? Le règlement eIDAS :
définit le concept de e-signature
affirme sa recevabilité en justice à travers l’UE
traite de sa valeur juridique
Trois niveaux de signatures électroniques
Le règlement eIDAS établit trois niveaux de signatures électroniques légales. Chacun offre alors un degré différent de sécurité et de reconnaissance légale :
La signature électronique simple : Il s'agit de la forme la plus basique. Cette signature garantit l’identification du signataire de manière simple (via un code PIN ou une case à cocher). Bien qu'utile pour des transactions à faible risque, elle offre le niveau de sécurité le moins élevé.
La signature électronique avancée (AES) : Ce niveau intermédiaire assure l'identification univoque du signataire. Et ce, via un système de vérification de l’identité numérique (géolocalisation, adresse IP, date et heure de la signature, données biométriques du signataire…). Par ailleurs, cette signature est créée de façon à ce que toute modification ultérieure du document puisse être détectée.
La signature électronique qualifiée (QES) : Il s'agit du niveau le plus sécurisé. Cette signature offre ainsi la même force probante qu'une signature manuscrite dans l'UE. Pour obtenir une QES, le signataire doit passer par un dispositif de création de signature électronique qualifié. Ce dernier repose sur la délivrance d’un certificat qualifié de signature électronique délivré par un prestataire de services de confiance qualifié (PSCO qualifié). Cette signature, qui garantit l'authenticité et l'intégrité du document signé, renverse la charge de la preuve en cas de litige. Autrement dit, ce sera au signataire de prouver qu’il n’a pas signé un document plutôt qu’à l’émetteur du document.
Chacun de ces niveaux répond donc à des besoins spécifiques en termes de sécurité et d'application légale.
Quelles sont les perspectives d'avenir avec le règlement eIDAS 2.0 ?
L'adoption du règlement eIDAS 2.0 répond à des nécessités dictées par l'évolution rapide du marché des services numériques. Et ce, en particulier dans les secteurs où la sécurité est cruciale, tels que la banque et l'assurance.
Objectifs du règlement eIDAS 2.0
Les ambitions du règlement eIDAS 2.0 sont multiples et visent principalement à :
Accroître la coopération entre les services numériques publics et privés, en facilitant leur intégration et leur reconnaissance mutuelle. En effet, la mouture de 2014 ne vise expressément que les échanges entre les organismes du secteur public et les usagers. Cette nouvelle orientation pourrait aboutir à une obligation légale pour toutes les entreprises. L’objectif ? Garantir une interopérabilité accrue entre les secteurs privés et publics.
Définir et intégrer de nouveaux services de confiance qualifiés, tels que l'archivage électronique qualifié et la gestion des attestations électroniques d'attribut d'identité. Ces services de confiance devront satisfaire aux standards les plus élevés en matière de sécurité et de fiabilité.
Implémenter un service d’identification unifié et sécurisé, appelé Wallet. Ce dernier permettra aux citoyens européens de stocker des données personnelles d’identification cryptographique. Et ce, en toute sécurité.
Perspectives et impact sur la société
Le règlement eIDAS 2.0 envisage un futur où plus de 80 % de la population européenne serait équipée d'un digital wallet (portefeuille d’identité numérique). Cet outil permettrait de justifier de leur identité et de s'authentifier sur les services publics de tous les États membres de l'Union, quelle que soit leur nationalité d'origine. Une vision ambitieuse en faveur d’une inclusion numérique étendue !
En outre, eIDAS 2.0 prévoit une augmentation significative des authentifications dans tous les services publics, en élargissant notamment l'accès aux services bancaires. Cela inclut des processus de souscription simplifiés et sécurisés, favorisant l'engagement des consommateurs et la confiance dans les transactions électroniques.
Règlement eIDAS 2.0, conclusion
Les ajustements du règlement eIDAS 2.0 visent à moderniser le cadre existant concernant l'identification électronique et les services de confiance pour les transactions numériques au sein de l'Union européenne. Parmi les innovations majeures, figure l'introduction d'un portefeuille numérique européen (Wallet). Ce dispositif numérique répliquerait la fonctionnalité d'un portefeuille physique, en permettant le stockage de divers documents officiels tels que la carte d'identité, le permis de conduire, ou encore les moyens de paiement. De quoi faciliter l'authentification, l'enregistrement et la signature électronique des utilisateurs ! Le tout, en assurant la protection des informations personnelles sensibles qu'il contient. Le projet envisage également l**'intégration de services de confiance additionnels**, parmi lesquels l'archivage électronique de documents.
Docusign figure aujourd’hui sur la liste de confiance européenne (European Trust List). Et ce, en tant que prestataire de confiance qualifié pour notre signature électronique qualifiée. Cette inclusion témoigne de notre conformité aux normes strictes établies par le règlement eIDAS.