Le règlement "eIDAS" n°910/2014

Le règlement « eIDAS » n°910/2014 du 23 juillet 2014 a pour ambition d'accroître la confiance dans les transactions électroniques au sein du marché intérieur.

Publié le 09 Août 2022 Mis à jour le 13 Novembre 2023
Corps

Le règlement « eIDAS » n°910/2014 du 23 juillet 2014 a pour ambition d'accroître la confiance dans les transactions électroniques au sein du marché intérieur. Il établit un socle commun pour les interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques.

D’une part, le règlement eIDAS vise à définir des exigences de sécurité harmonisées et à instaurer un mécanisme de reconnaissance mutuelle des moyens d’identification électronique des États membres sur l’ensemble des services en ligne des autres États membres.

D’autre part, il vise à instaurer un cadre juridique pour les services de confiance, en définissant des exigences de sécurité et d'interopérabilité ainsi qu'un schéma de qualification pour certains de ces services.

Pour ses aspects techniques le règlement eIDAS renvoie à des actes d’exécution (listés dans la partie « Références réglementaires »).

Le règlement eIDAS est actuellement en cours de révision.

Le 3 juin 2021, la Commission européenne a publié une proposition de révision du règlement eIDAS. Cette proposition prévoit notamment :

  • L’obligation pour les Etats membres de mettre à disposition de leurs citoyens un portefeuille européen d’identité numérique permettant de s’authentifier en ligne et hors ligne, de partager ses attributs avec des tiers et de signer électroniquement des documents ;
  • L’ajout de quatre nouveaux services de confiance pouvant être qualifiés :
    • la délivrance d’attestations électroniques d’attributs ;
    • la gestion de dispositifs de création de signature/cachet électronique qualifiés ;
    • l’archivage électronique ; 
    • les registres électroniques.

Le texte est actuellement en cours de négociation au niveau des instances européennes.

A qui s’adresse cette réglementation ?

Le règlement concerne les citoyens, les entreprises, les organismes du secteur public et les prestataires de services de confiance établis dans l'Union européenne.

Il couvre en particulier les échanges entre usagers et organismes du secteur public. Les mécanismes de reconnaissance mutuelle des moyens d’identification électronique et des signatures électroniques, s’appliquent ainsi uniquement à ces organismes dans leurs relations avec les usagers.

Quelles sont ses principales dispositions ?

Le règlement eIDAS traite de l’identification électronique (chapitre II), des services de confiance (chapitre III) et des documents électroniques (chapitre IV).

Objectifs et principes du chapitre « identification électronique » du règlement

Le règlement eIDAS vise à instaurer un mécanisme de reconnaissance mutuelle des moyens d’identification électronique des États membres sur l’ensemble des services en ligne des autres États membres en s'appuyant sur des exigences de sécurité harmonisées.

Le règlement :

  • définit les spécifications permettant l’interopérabilité des moyens d’identification électronique ;
  • définit les niveaux de garantie, et exigences de sécurité associées, de ces moyens ;
  • précise les conditions de reconnaissance mutuelle des moyens d’identification électronique délivrés dans les États membres.

Trois niveaux de garantie des schémas d’identification électronique sont prévus par le règlement répondant à des exigences de sécurité croissantes : faible, substantiel et élevé.

Les exigences applicables aux différents niveaux de garantie qui sont prévus par le règlement sont détaillées dans le règlement d’exécution n°2015/1502 du 8 septembre 2015 qui définit pour chacun les spécifications, normes et procédures minimales devant être respectées.

Le réseau de coopération, composé de représentants des États membres, a été instauré par la décision d’exécution 2015/296 et est notamment chargé de rendre des avis sur les différents schémas d’identification électronique notifiés par les États membres. Ces avis sont publics et sont disponibles sur le site de la Commission européenne.

L'ANSSI est garante de la sécurité pour le volet identification électronique du règlement eIDAS. Dans ce cadre, elle évalue le bon respect de ces exigences par les organismes fournissant les moyens d’identification électronique.

L’ANSSI publie une liste actualisée de l’ensemble des moyens d’identification électronique qu’elle certifie.

Objectifs et principes du chapitre « services de confiance » du règlement

Le règlement eIDAS prévoit des exigences pour les services de confiance relatifs à la signature électronique, au cachet électronique, à l’horodatage électronique, à l’envoi recommandé électronique et à l’authentification de sites internet.

Le règlement établit une distinction entre les services de confiance qualifiés et les services de confiance non qualifiés. Les services de confiance qualifiés satisfont à des exigences particulières et peuvent bénéficier d’effets juridiques spécifiques. Les services de confiance qualifiés sont assurés par des prestataires de services de confiance qualifiés.

Le règlement accorde également des effets juridiques spécifiques aux signatures électroniques qualifiées et aux cachets électroniques qualifiés.

En outre, il prévoit des exigences spécifiques concernant la certification des dispositifs de création de signature ou de cachet électronique qualifiés (QSCD) permettant la mise en œuvre de signatures électroniques qualifiées.

Les prestataires de services de confiance qualifiés font l’objet d’audits réguliers effectués par des organismes d’évaluation de la conformité, accrédités conformément au règlement n°765/2008 du 9 juillet 2008.

Le règlement instaure, au niveau national, un régime de contrôle des prestataires de service de confiance, passant en particulier par la désignation d'un organe de contrôle par chaque État membre. Cet organe de contrôle est notamment chargé d’accorder ou retirer le statut qualifié aux services de confiance, sur la base des évaluations de conformité réalisées.

La « liste nationale de confiance » contient la liste des services de confiance qualifiés par l’ANSSI au titre de ce règlement.

L’ANSSI publie également une liste actualisée de l’ensemble des produits et services qu’elle qualifie.

Quel est le rôle de l’ANSSI ?

L'ANSSI intervient à double titre dans l'application du règlement eIDAS :

  • Pour le volet "identification électronique", l'ANSSI est garante de la sécurité des moyens d'identification électronique permettant de s'authentifier pour un service en ligne. A ce titre, elle établit le référentiel national précisant les exigences de sécurité applicables à chaque niveau de garantie des moyens d'identification électronique et évalue le bon respect de ces exigences par les organismes fournissant les moyens d’identification électronique.
  • Pour le volet "services de confiance", l'ANSSI est l'organe de contrôle français des services de confiance. A ce titre, l'ANSSI assure notamment les missions suivantes : le contrôle a priori et a posteriori des prestataires de services de confiance qualifiés ;  l’attribution et le retrait du statut « qualifié » aux prestataires de services de confiance qui en font la demande ; la conduite d’audits ou la requête d’évaluation de la conformité des prestataires de services de confiance qualifiés par des organismes d’évaluation ; la définition des modalités techniques de respect des exigences du règlement eIDAS ;  et l’analyse des rapports d’évaluation de la conformité.

De plus, l’ANSSI est aussi l'organisme de certification des dispositifs de création de signature ou de cachet électronique qualifiés (QSCD) et l'organisme en charge de l’établissement et de la publication de la liste nationale de confiance recensant les services de confiance qualifiés.

Points de contact

Pour toute question relative à un référentiel d’exigences publié par l’ANSSI ou aux textes réglementaires, le point de contact à privilégier est supervision-eIDAS@ssi.gouv.fr.
Les questions préliminaires à une demande de certification de conformité ou de qualification sont à adresser au bureau Politique Industrielle et Assistance de l’ANSSI (industries@ssi.gouv.fr).
Les demandes de certification de conformité ou de qualification sont à adresser au bureau Qualification et Agrément de l’ANSSI (qualification@ssi.gouv.fr).

Pour toute information complémentaire, une FAQ est disponible.

L’identification électronique

Pour aller plus loin

Les services de confiance

Pour aller plus loin

L'articulation avec le RGS

Bien que le règlement eIDAS se recoupe pour une partie de ses dispositions avec le Référentiel général de sécurité (RGS), ce dernier continue pleinement à s’appliquer aux échanges entre autorités administratives.

Obtenir un certificat de signature électronique

Référentiel documentaire lié au règlement eIDAS

Référentiels d’exigences ANSSI

Référentiels d’exigences applicables à la qualification des prestataires de services de confiance

Guide de sélection du niveau des signatures et des cachets électroniques

Les entités dématérialisant des services doivent désormais choisir le niveau de signature électronique approprié, en fonction des contraintes réglementaires applicables et des risques de litiges identifiés.

Notification d’un incident - Règlement eIDAS