Le règlement eIDAS


Le Règlement « eIDAS » n°910/2014 du 23 juillet 2014 a pour ambition d'accroître la confiance dans les transactions électroniques au sein du marché intérieur. Il établit un socle commun pour les interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques.
Le règlement eIDAS concerne principalement les organismes du secteur public et les prestataires de services de confiance établis sur le territoire de l’Union européenne. Il instaure un cadre européen en matière d’identification électronique et de services de confiance, afin de faciliter l’émergence du marché unique numérique. Il couvre notamment le sujet de la signature électronique, et abroge la directive 1999/93/CE. L’ANSSI est l’un des organismes nationaux chargés de la mise en œuvre de ce règlement.

Sommaire

Contexte et historique

Le Parlement européen et le Conseil de l’Union européenne ont adopté, le 23 juillet 2014, le règlement n° 910/2014/UE sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit règlement « eIDAS ».

L’adoption de ce règlement fait suite à un relatif constat d’échec de la directive 1999/93/CE sur la signature électronique. Des différences dans la transposition de cette directive ainsi que dans les choix techniques effectués par les États membres n’ont pas permis l’émergence d’un socle commun d’interopérabilité nécessaire au développement des échanges transfrontaliers. Cet état de fait avait été relevé par la Commission à deux reprises en 2010, amenant le Conseil européen à demander en 2011 la création d’un marché unique numérique à échéance de l’année 2015.

En juin 2012, la Commission a initié des travaux destinés à favoriser le commerce électronique au sein de l’Union avec pour objectif l’adoption d’un règlement qui s’appliquerait directement aux Etats membres, sans transposition dans leur droit national. Plus de deux ans de discussions ont été nécessaires pour parvenir au texte définitif du règlement eIDAS.

Le règlement eIDAS a été publié au Journal officiel de l’Union européenne (JOUE) le 28 août 2014 et est entré en vigueur le 17 septembre 2014.

La frise ci-dessous synthétise les différentes étapes ayant précédé l’adoption du règlement eIDAS :

eidas_frisechronologique

Le règlement eIDAS devient applicable, pour la majeure partie de ses dispositions, au 1er juillet 2016.

 

CHAMP D’APPLICATION ET DESTINATAIRES

Le règlement eIDAS s’applique à l’identification électronique, aux services de confiance et aux documents électroniques, élargissant ainsi le champ d’application de la directive 1999/93/CE sur la signature électronique, qu’il abroge. Il vise à établir un cadre d’interopérabilité pour les différents systèmes mis en place au sein des États membres afin de promouvoir le développement d’un marché de la confiance numérique.

Le règlement formule des exigences relatives à la reconnaissance mutuelle des moyens d’identification électronique ainsi qu’à celle des signatures électroniques, pour les échanges entre les organismes du secteur public et les usagers. Il exclut les échanges internes des administrations sans impact direct sur les tiers ainsi que les actes sous-seing privé.

 

PRINCIPALES MESURES DU REGLEMENT

Le règlement eIDAS est essentiellement consacré à l’identification électronique et aux services de confiance. Il traite également, dans une moindre mesure, des documents électroniques en leur accordant un effet juridique.

L’ANSSI intervient à double titre dans l’application du règlement : en tant que garante de la sécurité pour le volet « identification électronique » et en tant qu’organe de contrôle pour le volet « services de confiance ».

 

Identification électronique

Objectifs et principes du chapitre « identification électronique » du règlement

Le règlement eIDAS vise à instaurer un mécanisme de reconnaissance mutuelle des moyens d’identification électronique des États membres sur l’ensemble des services en ligne des autres États membres.

Afin de pouvoir bénéficier de cette reconnaissance mutuelle, un moyen d’identification électronique doit :

  1. Avoir été délivré conformément à un schéma d’identification électronique notifié par l’Etat membre concerné et figurant sur la liste publiée par la Commission.
    Selon le règlement, un schéma d’identification électronique est un système pour l’identification électronique en vertu duquel des moyens d’identification électronique peuvent être délivrés à des personnes physiques ou morales. Les États membres peuvent notifier des schémas d’identification électronique depuis le 29 septembre 2015.
  2. Avoir un niveau de garantie égal ou supérieur à celui requis par l’organisme du secteur public concerné pour accéder à ce service en ligne, à condition que ce niveau soit substantiel ou élevé.
    Cette reconnaissance mutuelle ne concerne ainsi que les organismes du secteur public qui demandent, pour accéder à l’un de leurs services en ligne, la mise en œuvre d’un moyen d’identification électronique notifié.

Les exigences applicables aux différents niveaux de garantie qui sont prévus par le règlement sont détaillées dans le règlement d’exécution n°2015/1502 du 8 septembre 2015. Ces niveaux sont accordés en fonction du respect de spécifications, normes et procédures minimales. Trois niveaux de garantie sont prévus par le règlement :

  • Faible : à ce niveau, l’objectif est simplement de réduire le risque d’utilisation abusive ou d’altération d’identité ;
  • Substantiel : à ce niveau, l’objectif est de réduire substantiellement le risque d’utilisation abusive ou d’altération d’identité ;
  • Élevé : à ce niveau, l’objectif est d’empêcher l’utilisation abusive ou l’altération de l’identité.

La reconnaissance mutuelle des moyens d’identification électronique est effective depuis le 29 septembre 2015 sur une base volontaire et deviendra obligatoire le 29 septembre 2018.

Organismes nationaux compétents

En France :

  • la Direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC) assure le rôle de point de contact unique en matière d’identification électronique ;
  • l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est responsable de l’établissement du cahier des charges pour les exigences applicables à chaque niveau ainsi que de l’évaluation de l’atteinte des niveaux de garantie par les moyens d’identification électronique.

 

Services de confiance

Objectifs et principes du chapitre « services de confiance » du règlement

Le règlement eIDAS a également pour objectif d’instaurer un cadre juridique pour l’utilisation des services de confiance. Il prévoit des exigences pour les services de confiance relatifs à la signature électronique, au cachet électronique, à l’horodatage électronique, à l’envoi recommandé électronique et à l’authentification de sites internet.

Le règlement établit une distinction entre les services de confiance qualifiés et les services de confiance non qualifiés. Les services de confiance qualifiés satisfont à des exigences particulières et peuvent bénéficier d’effets juridiques spécifiques. Les services de confiance qualifiés ne peuvent être assurés que par des prestataires de services de confiance qualifiés.

Les prestataires de services de confiance qualifiés font l’objet d’audits réguliers effectués par des organismes d’évaluation de la conformité, accrédités conformément au règlement n°765/2008 du 9 juillet 2008.

Le règlement eIDAS est applicable à compter du 1er juillet 2016 pour les services de confiance. Des mesures transitoires sont prévues pour les services de délivrance de certificats de signature électronique qualifiés au titre de la directive 1999/93/EC, qui bénéficient d’une qualification de facto jusqu’au 1er juillet 2017.

Services de confiance qualifiés prévus par le règlement

Les services de confiance qualifiés prévus par le règlement eIDAS sont les suivants :

  • Délivrance de certificats qualifiés de signature électronique, de cachet électronique et d’authentification de site internet ;
    • Les certificats qualifiés de signature électronique permettent d’attester de l’identité des personnes physiques auxquelles ils ont été délivrés, lorsque celles-ci agissent en tant que signataires.
    • Les certificats qualifiés de cachet électronique permettent d’attester de l’identité des personnes morales auxquelles ils ont été délivrés, lorsque celles-ci agissent en tant que créateurs de cachets.
    • Les certificats qualifiés d’authentification de site internet permettent d’attester de l’identité des personnes physiques ou morales auxquelles ils ont été délivrés, ainsi que du nom des sites internet correspondants.
  • Validation qualifiée des signatures électroniques qualifiées et des cachets électroniques qualifiés ;
    • Un service de validation qualifié des signatures électroniques qualifiées ou cachets électroniques qualifiés permet de garantir la sécurité juridique d’une signature ou d’un cachet qualifié en fournissant une preuve de validation par un tiers qualifié.
  • Conservation qualifiée des signatures électroniques qualifiées et des cachets électroniques qualifiés ;
    • Un service de conservation qualifié des signatures électroniques qualifiées ou cachets électroniques qualifiés permet d’étendre la fiabilité de ceux-ci au-delà de leur période de validité technologique.
  • Horodatage électronique qualifié ;
    • L’horodatage électronique qualifié permet d’attester que des données sous forme électronique existent à un instant donné. Un tel procédé peut être utilisé pour apposer une date d’expédition ou de réception d’un courrier mais aussi plus largement pour attester de l’existence d’une donnée à un instant, ou de la date d’un acte réalisé par voie électronique.
  • Envoi recommandé électronique qualifié.
    • L’envoi recommandé électronique qualifié permet de transmettre des données entre tiers par voie électronique en fournissant des preuves concernant le traitement des données transmises, y compris la preuve de leur envoi et de leur réception, et en protégeant ces données contre les risques de perte, de vol, d’altération ou de toute modification non autorisée.

La création de signature électronique qualifiée « à distance » (ou « server signing ») n’est pas un service de confiance qualifié au sens du règlement.

Produits qualifiés pour la signature électronique et le cachet électronique

Le règlement précise que les signatures électroniques qualifiées et cachets électroniques qualifiés sont réalisés respectivement au moyen de :

  • Dispositifs de création de signature électronique qualifiés ;
  • Dispositifs de création de cachet électronique qualifiés.

Au sein de chaque Etat membre, la certification de conformité de ces produits aux exigences du règlement est attestée par un organisme certificateur désigné à la Commission européenne.

Le règlement prévoit que, dans certains cas, la création de signature ou de cachet puisse être déléguée à un prestataire de services de confiance qui assure, pour le signataire ou le créateur de cachet légitime, la génération ou la gestion des données de création de signature ou de cachet. Dans ce cas, ce prestataire doit être un prestataire de services de confiance qualifié au titre de l’un des services de confiance qualifiés pré-cités.

Organisme national compétent

En France, le rôle d’organe de contrôle pour les services de confiance est assuré par l’ANSSI. A ce titre, elle :

  • définit les modalités techniques permettant le respect des exigences du règlement ;
  • assure la qualification des prestataires de confiance établis sur le territoire français.

En complément, l’ANSSI assure deux autres rôles prévus par le règlement :

  • elle élabore et maintient à jour de listes de confiance répertoriant les prestataires de service de confiance qualifiés et les services de confiance fournis par ces prestataires ;
  • elle assure la certification de conformité des dispositifs de création de signature ou de cachet électronique qualifiés.

 

DECLINAISONS TECHNIQUES DU REGLEMENT

Pour ses aspects techniques le règlement eIDAS renvoie à des actes d’exécution (listés dans la partie « Référentiel documentaire lié au règlement eIDAS »).

Dans le cadre du Mandat M/460, qui est une initiative de la Commission européenne ayant pour objectif de fournir une réponse coordonnée sur le sujet du déploiement d’un marché européen digital unique, l’ETSI (European Telecommunications Standards Institute) et le CEN (Comité Européen de Normalisation) se sont vu confier la mission d’élaborer des normes relatives aux services de confiance prévus par eIDAS.

Certaines de ces normes ont déjà été publiées, d’autres sont encore en cours d’élaboration. Le cas échéant, les actes d’exécution renvoient directement à certaines normes déjà existantes (notamment les normes ETSI en matière de profils de signature et de listes de confiance).

Par ailleurs, les organismes compétents au sein des Etats membres peuvent préciser les modalités techniques permettant d’assurer le respect des exigences du règlement, pour les moyens d’identification électronique et pour les services de confiance qualifiés.

Les documents réalisés par l’ANSSI, précisant ces modalités techniques pour les moyens d’identification électronique notifiés par la France ainsi que pour les prestataires de services de confiance qualifiés en France, sont disponibles dans la rubrique dédiée.

 

IMPACTS SUR LE REFERENTIEL GENERAL DE SECURITE

Le RGS continuera à s’appliquer pour partie suite à la parution du règlement eIDAS :

  • d’une part, le règlement eIDAS s’applique aux échanges entre l’administration et le public (citoyens, entreprises) et ne s’applique pas aux « systèmes fermés » (c’est à dire sans impact direct sur les tiers);
  • d’autre part, le périmètre fonctionnel du règlement eIDAS n’est pas identique à celui du RGS (ce dernier couvre notamment la délivrance de certificats d’authentification de personnes ou de machines, et la délivrance de certificats de confidentialité, qui sont deux services non couverts par le règlement) ;
  • enfin, le règlement n’induit pas d’obligation pour les administrations de recourir à des moyens d’identification électronique notifiés ou à des services de confiance qualifiés au titre du règlement eIDAS.