De nos jours les transactions électroniques se multiplient et la préservation de l’identité numérique est devenue cruciale pour instaurer la confiance dans les échanges en ligne. Entré en vigueur le 20 mai 2024 (Règlement UE n°2024/1183), eIDAS 2.0 est désormais une réalité juridique applicable dans tous les États membres. Succédant au règlement eIDAS 1.0, cette nouvelle version renforce les dispositifs pour l’identification électronique et la gestion des signatures numériques à travers l’Union européenne. Cet article examine en profondeur les implications du règlement eIDAS 2.0, mettant en lumière ses avantages notables ainsi que son impact futur sur le paysage numérique européen. En favorisant la confiance et la sécurité des échanges en ligne, ce règlement contribue à l’intégration économique et stimule l’innovation numérique au sein de l’UE, ouvrant ainsi la voie à un avenir numérique plus sûr, plus transparent et plus harmonisé en Europe.

Les points clés à retenir sur le règlement eIDAS 2.0

• Le règlement eIDAS 2.0 vise à harmoniser l’identité numérique et les services de confiance au sein de l’Union européenne.
• Il introduit le portefeuille d’identité numérique européen (Wallet) pour sécuriser l’identification électronique des citoyens.
• eIDAS 2.0 renforce les services de confiance existants : signature électronique, sceau électronique et horodatage.
• De nouveaux services qualifiés sont intégrés, notamment le registre électronique, l’archivage électronique, les attestations électroniques d’attributs et la gestion à distance des dispositifs de signature.
• Les services qualifiés bénéficient d’une reconnaissance et d’une interopérabilité dans l’ensemble des États membres.
• Le règlement facilite les échanges numériques transfrontaliers tout en renforçant la sécurité et la confiance des transactions électroniques.
• Entré en vigueur le 20 mai 2024, eIDAS 2.0 constitue un cadre structurant pour le développement de l’identité numérique et des services numériques européens.

 

Qu’est-ce que le règlement eIDAS 2.0 ?

Le but du règlement eIDAS (Electronic Identification, Authentification and Trust Services) vise à établir un cadre juridique commun et harmonisé pour les transactions électroniques au sein de l’UE.

Sa version 2.0 marque une avancée majeure, étendant son champ d’application et renforçant ses dispositifs de sécurité. Il intègre également des avancées liées aux services de confiance. En effet, la liste des services de confiance est réorganisée et deux nouveaux services sont introduits : l’archivage électronique et le registre électronique.

 

eiDAS 2.0, un pilier de la sécurité numérique :

eIDAS 2.0 prévoit d’abord la mise en place du portefeuille d’identité numérique, également connu sous le nom de Wallet. Les citoyens européens ont la possibilité de stocker de manière sécurisée leurs données personnelles d’identification cryptographique, peu importe le type de technologie d’authentification utilisée, tout en garantissant la confidentialité des données. Les États membres ont l’obligation de mettre ce portefeuille à disposition de leurs citoyens d’ici novembre 2026, avec une généralisation à l’ensemble des citoyens européens prévue à l’horizon 2030.

Cette mise à jour étend également la gamme de services de confiance électroniques en incluant l’archivage électronique et le registre électronique. Ceci vise à renforcer la sécurité et la confiance dans les transactions électroniques, tout en facilitant les échanges transfrontaliers au sein de l’Union européenne.

 

Que prévoyait la version antérieure (eiDAS 1.0) en termes de services de confiance ?

Le premier volet incluait : les signatures électroniques, les sceaux électroniques et les horodatages électroniques avec plusieurs degrés de signature.

La signature simple, repose sur un principe selon lequel aucune signature ne peut être refusée à l’admissibilité légale en raison de son format électronique. Le règlement établit également différents types de signatures. On peut citer comme exemple l’écriture du nom à la fin d’un courriel ou une signature scannée.

La signature électronique ou numérique avancée (AES), est, elle, liée de manière unique au signataire et permet de l’identifier, permettant de garantir l’inviolabilité du document final.

Enfin, la signature électronique ou numérique avancée qualifiée (QES), une forme plus rigoureuse d’AES, est le seul type de signature ayant la même valeur juridique que les signatures manuscrites. En effet, cette forme de signature implique que les signataires utilisent un certificat d’identité numérique délivré par un prestataire de services de confiance (PSCO) de l’UE, qualifié eIDAS, notamment pour la partie concernant la sécurité, les processus de vérification des utilisateurs et la protection de la clé du signataire. En outre, les signataires doivent avoir recours à un dispositif de création de signature qualifié (QSCD), tel qu’une carte à puce, un jeton USB ou une application mobile qui génère un code secret à usage unique.

Le sceau ou cachet électronique quant à lui, est défini comme « un ensemble de données sous forme électronique, qui sont jointes ou associées de manière logique à d’autres données électroniques afin de garantir leur origine et leur intégrité ». En réalité, cela ressemble à un tampon ou un sceau d’entreprise, autrement dit la « signature » d’une personne morale pour indiquer son accord.

L’horodatage électronique quant à lui, est défini plus largement comme « une donnée sous forme électronique qui lie d’autres données sous forme électronique à un moment particulier établissant la preuve que ces dernières données existaient à ce moment ».

Cette solution  peut-être nécessaire dans plusieurs cas. Par exemple, l’horodatage peut être requis pour vérifier la conformité des promotions appliquées par des sites de e-Commerce, la traçabilité de la supply chain, la conformité aux normes et règlementations en vigueur, ou encore  la possibilité de valider une facture électronique.

Les nouveaux services de confiance dans le volet 2.0 du règlement eIDAS

Cette version 2.0 introduit quatre nouveaux services de confiance pouvant faire l’objet d’une qualification, venant compléter ceux déjà existants dans eIDAS 1.0 : le registre électronique, l’archivage électronique, la délivrance d’attestations électroniques d’attributs et la gestion à distance des dispositifs de création de signature.

Le registre électronique

Le registre électronique qualifié doit répondre aux exigences suivantes :

• Être créé et géré par un, ou plusieurs, prestataire(s) de services de confiance qualifiés ;
• Etablir l’origine des enregistrements ;
• Assurer un ordre chronologique séquentiel unique des enregistrements ;
• Conserver les données afin que toute modification ultérieure soit immédiatement détectable, assurant ainsi leur intégrité au cours du temps.

Le service d’archivage électronique

Le service d’archivage électronique, qui n’est pas encore défini légalement en France, sera également inclus dans la version 2 du règlement.  L’eIDAS V2 définit l’archivage électronique comme un service qui garantit la réception, le stockage, la récupération et la suppression de données ou de documents électroniques garantissant ainsi leur pérennité et leur lisibilité. Il vise également à préserver leur intégrité et leur confidentialité, tout en conservant la preuve de leur origine pendant toute la durée de leur conservation.

Quand le service d’archivage électronique est qualifié, il doit satisfaire à certains critères :

• Il doit être fourni par un prestataire de service de confiance qualifié, qui utilise des méthodes et des technologies spécifiques pour garantir la pérennité, la lisibilité de la donnée tout en préservant son intégrité et son origine, de sa date de péremption jusqu’à sa période de conservation légale et ou/contractuelle.
• Le prestataire a également la charge de garantir la protection de la donnée contre toute perte ou altération, et faire en sorte que les personnes autorisées reçoivent un rapport confirmant qu’une donnée bénéficie d’une présomption d’intégrité depuis son enregistrement dans l’archive jusqu’à son retrait. Ce rapport est donc fourni de manière fiable en apposant le cachet électronique dudit prestataire qualifié.

L’archivage et le registre électronique figurent dorénavant dans la liste des services de confiance (« trust services ») définis par le règlement eIDAS, et suivent la même logique que les autres services qualifiés du règlement eIDAS. Autrement dit, un service d’archivage qualifié dans un état membre est reconnu comme tel dans tous les états membres (interopérabilité des services qualifiés) et un document électronique conservé dans un service d’archivage qualifié bénéficie d’une présomption de son intégrité et de son origine pendant toute sa durée de conservation.

Attestation électronique d’attributs

La délivrance d’attestations électroniques d’attributs est un service permettant de certifier, sous forme numérique, des données liées à l’identité d’une personne ou d’une organisation : un diplôme, une qualification professionnelle, un permis ou encore un mandat de représentation. Lorsqu’elle est qualifiée, une attestation électronique d’attributs bénéficie d’une présomption d’authenticité et d’intégrité dans l’ensemble des États membres, facilitant ainsi la mobilité et les échanges transfrontaliers.

Gestion à distance des dispositifs de création de signature

La gestion à distance des dispositifs de création de signature qualifiés (QSCD) est également introduite comme nouveau service de confiance. Elle permet à un prestataire qualifié de gérer, pour le compte du signataire, le dispositif cryptographique utilisé pour créer une signature électronique qualifiée, sans que celui-ci ait besoin de détenir physiquement une carte à puce ou un token USB. Ce service répond aux usages croissants de la signature électronique sur mobile et dans le cloud.

 

Quels sont donc les avantages du règlement eIDAS 2.0 ?

Le règlement eIDAS 2.0 offre une série d’avantages significatifs pour les citoyens, les entreprises et les gouvernements européens :

• Il facilite des échanges transfrontaliers, en harmonisant les normes d’identification et de signature électronique. eIDAS 2.0 simplifie donc les transactions entre les États membres de l’UE, stimulant ainsi le commerce numérique et favorisant l’intégration économique.

 

• Il renforce la sécurité. En promouvant l’utilisation d’identifiants et de signatures électroniques qualifiés, le règlement renforce la sécurité des transactions en ligne, protégeant ainsi les utilisateurs contre la fraude et la cybercriminalité, tout en renforçant la confiance des consommateurs dans les services numériques.

 

• Il simplifie les procédures administratives permettant l’utilisation d’identifiants électroniques pour accéder à divers services publics et privés à travers l’UE, réduisant ainsi les coûts et les délais associés aux formalités administratives.

 

• Il promeut l’innovation numérique. En établissant un cadre juridique clair et cohérent pour l’identification et l’authentification en ligne, le règlement stimule l’innovation dans le domaine des services numériques, favorisant ainsi le développement de nouveaux produits et services innovants.

 

eIDAS 2.0 : vers une identité numérique européenne de confiance

Le règlement eIDAS 2.0 représente un jalon majeur dans la construction d’une identité numérique européenne unifiée et sécurisée. En établissant des normes communes pour l’identification électronique, la signature numérique et l’horodatage qualifié, il renforce la confiance dans les transactions en ligne et facilite les échanges transfrontaliers au sein de l’UE. Avec ses nombreux avantages pour les citoyens, les entreprises et les gouvernements, le règlement eIDAS 2.0 ouvre la voie à un avenir numérique plus sûr, plus transparent et plus harmonisé sur le territoire européen.