Publié le 18 Août 2022 Mis à jour le 11 Octobre 2023

Le règlement eIDAS prévoit trois niveaux de garantie des schémas d’identification électronique :

  • Faible : à ce niveau, l’objectif est simplement de réduire le risque d’utilisation abusive ou d’altération de l’identité ;

Par exemple, ce niveau d’authentification correspond à la combinaison d’un identifiant avec un mot de passe.

  • Substantiel : à ce niveau, l’objectif est de réduire substantiellement le risque d’utilisation abusive ou d’altération de l’identité ;

Pour le niveau de garantie substantiel, une authentification à deux facteurs est nécessaire et correspond par exemple à la combinaison d’une application mobile avec un code PIN.

  • Élevé : à ce niveau, l’objectif est d’empêcher l’utilisation abusive ou l’altération de l’identité.

Pour le niveau de garantie élevé, le moyen d’authentification doit résister à des attaques sophistiquées et correspond par exemple à la combinaison d’une carte à puce avec un code PIN.

Une fois notifiés à la Commission européenne, les moyens d’identification électronique bénéficient d’une obligation de reconnaissance mutuelle des autres États membres.

Afin de pouvoir bénéficier de cette reconnaissance mutuelle, un moyen d’identification électronique doit :

  1. Avoir été délivré conformément à un schéma d’identification électronique1 notifié par l’État membre concerné et figurant sur la liste publiée par la Commission.
  2. Avoir un niveau de garantie2 égal ou supérieur à celui requis par l’organisme du secteur public concerné pour accéder à ce service en ligne, à condition que ce niveau soit substantiel ou élevé.

Cette reconnaissance mutuelle ne concerne ainsi que les organismes du secteur public qui exigent, pour accéder à l’un de leurs services en ligne, une identification électronique répondant au moins aux exigences du niveau de garantie substantiel.

En 2021, la République française a notifié le schéma d’identification électronique « France Connect+ / Identité numérique de la Poste » au niveau de garantie substantiel. Des informations sur FranceConnect+ sont disponibles sur le site de FranceConnect.

1 : Un système pour l’identification électronique en vertu duquel des moyens d’identification électronique sont délivrés à des personnes physiques ou morales, ou à des personnes physiques représentant des personnes morales

2 :  Les niveaux de garantie caractérisent le niveau de fiabilité d’un moyen d’identification électronique pour établir l’identité d’une personne, garantissant ainsi que la personne revendiquant une identité particulière est bien la personne à laquelle cette identité a été attribuée.

Le règlement eIDAS n’oblige pas les États membres à mettre en œuvre un moyen d'identification électronique au niveau national ni, le cas échéant, à le notifier à la Commission européenne.

Le cas échéant, un État membre souhaitant notifier un schéma d’identification électronique doit au préalable :

  • permettre l’utilisation du moyen d’identification électronique délivré dans le cadre de ce schéma pour accéder à au moins un service en ligne fourni par un organisme du secteur public de l’État membre notifiant ;
  • fournir la description du schéma aux autres États membres six mois au moins avant la notification. L’Etat membre souhaitant notifier un schéma d’identification électronique transmet à la Commission européenne, par voie électronique, le formulaire prévu à l’annexe de la décision d’exécution 2015/1984 de la Commission.

Ce formulaire doit être rempli en langue anglaise et être signé électroniquement.

Si un État membre choisit de notifier un schéma d’identification électronique, cela génère pour lui les obligations suivantes :

  • respecter les spécifications de sécurité minimales définies dans le règlement d’exécution n°2015/1502 du 8 septembre 2015 ainsi que les spécifications d’interopérabilité définies dans l’acte d’exécution n°2015/1501 du 8 septembre 2015 ;
  • fournir une authentification en ligne afin de permettre à toute partie utilisatrice établie sur le territoire d'un autre État membre de confirmer les données d'identification personnelle reçues sous forme électronique ;
  • suspendre ou révoquer l’authentification transfrontalière en cas d’atteinte à la sécurité du schéma d’identification électronique, et notifier son retrait s’il ne peut être remédié à l’atteinte dans un délai de trois mois.

L’État membre notifiant est responsable du dommage causé intentionnellement ou par négligence à toute personne physique ou morale en raison d’un manquement à ces obligations, dans le cas d’une authentification transfrontalière.

Le règlement eIDAS n’oblige pas les organismes du secteur public des différents États membres à recourir à des moyens d'identification électronique délivrés dans le cadre de schémas d’identification électroniques notifiés.

Les organismes du secteur public peuvent toutefois, soit en vertu de pratiques administratives nationales, ou en vertu du droit national, exiger la mise en œuvre d’un moyen d’identification électronique pour l’accès à leurs téléservices.

​​​​​Plusieurs actes d’exécution relatifs à l’identification électronique ont été publiés par la Commission européenne venant préciser certaines exigences du règlement eIDAS à savoir :

  • Les modalités de coopération entre les États membres sur l’interopérabilité et la sécurité des schémas d’identification électronique par le biais d’un réseau de coopération ;
  • Les exigences techniques et opérationnelles relatives au cadre d'interopérabilité afin d'assurer l'interopérabilité des schémas d'identification électronique notifiés par les États membres à la Commission ;
  • Les spécifications de sécurité minimales pour les niveaux de garantie faible, substantiel et élevé des moyens d'identification électronique délivrés dans le cadre d'un schéma d'identification électronique notifié ;
  • Les circonstances, les formats et les procédures pour les notifications des schémas d'identification électronique à la Commission.
Sur le même sujet :