Les services de confiance

Pour aller plus loin

Publié le 18 Août 2022 Mis à jour le 11 Octobre 2023
  • Délivrance de certificats qualifiés de signature électronique, de cachet électronique et d’authentification de site internet :
    • Les certificats qualifiés de signature électronique permettent d’attester de l’identité des personnes physiques auxquelles ils ont été délivrés.
    • Les certificats qualifiés de cachet électronique permettent d’attester de l’identité des personnes morales auxquelles ils ont été délivrés.
    • Les certificats qualifiés d’authentification de site internet permettent d’attester de l’identité des personnes physiques ou morales auxquelles ils ont été délivrés, ainsi que du nom des sites internet correspondants.
  • Validation qualifiée des signatures électroniques qualifiées et des cachets électroniques qualifiés :
    • Un service de validation qualifié des signatures électroniques qualifiées ou cachets électroniques qualifiés permet de garantir la sécurité juridique d’une signature ou d’un cachet qualifié en fournissant une preuve de validation par un tiers qualifié.
  • Conservation qualifiée des signatures électroniques qualifiées et des cachets électroniques qualifiés :
    • Un service de conservation qualifié des signatures électroniques qualifiées ou cachets électroniques qualifiés permet d’étendre la fiabilité de ceux-ci au-delà de leur période de validité technologique.
  • Horodatage électronique qualifié :
    • L’horodatage électronique qualifié permet d’attester que des données sous forme électronique existaient à un instant donné. Un tel procédé peut être utilisé pour apposer une date d’expédition ou de réception d’un courrier mais aussi plus largement pour attester de l’existence d’une donnée à un instant, ou de la date d’un acte réalisé par voie électronique.
  • Envoi recommandé électronique qualifié :
    • L’envoi recommandé électronique qualifié permet de transmettre des données entre tiers par voie électronique en fournissant des preuves concernant le traitement des données transmises, y compris la preuve de leur envoi et de leur réception, et en protégeant ces données contre les risques de perte, de vol, d’altération ou de toute modification non autorisée.

La création de signature électronique qualifiée « à distance » (ou « server signing »), lorsque le signataire ou le créateur du cachet conserve sa clé dans un équipement cryptographique mis en œuvre dans l’environnement d’un tiers, n’est pas un service de confiance qualifié au sens du règlement.

Le règlement précise que les signatures électroniques qualifiées et cachets électroniques qualifiés sont réalisés respectivement au moyen de :

  • Dispositifs de création de signature électronique qualifiés ;
  • Dispositifs de création de cachet électronique qualifiés.

Au sein de chaque État membre, la certification de conformité de ces produits aux exigences du règlement est attestée par un organisme certificateur désigné à la Commission européenne.

Le règlement prévoit que, dans certains cas, la création de signature ou de cachet puisse être déléguée à un prestataire de services de confiance qui assure, pour le signataire ou le créateur de cachet légitime, la génération ou la gestion des données de création de signature ou de cachet. Dans ce cas, ce prestataire doit être un prestataire de services de confiance qualifié au titre de l’un des services de confiance qualifiés précités.

Le règlement eIDAS établit que l’effet juridique et la recevabilité comme preuve en justice des signatures électroniques, des cachets électroniques, des horodatages électroniques, et des envois recommandés électroniques, ne peuvent être refusés au seul motif qu’ils se présentent sous forme électronique ou qu’ils ne soient pas qualifiés.

En complément, le règlement précise les effets juridiques suivants :

  • la signature électronique qualifiée bénéficie d'un effet juridique équivalent à celui d'une signature manuscrite ;
  • le cachet électronique qualifié bénéficie d'une présomption d'intégrité des données et d'exactitude de l'origine des données auxquelles il est lié ;
  • l'horodatage électronique qualifié bénéficie d'une présomption d'exactitude de la date et de l'heure qu'il indique et d'intégrité des données auxquelles se rapportent cette date et cette heure ;
  • l'envoi recommandé électronique qualifié bénéficie d'une présomption relative à l'intégrité des données, à l'envoi de ces données par l'expéditeur identifié, à leur réception par le destinataire identifié et à l'exactitude de la date et de l'heure de l'envoi et de la réception indiquées.

Le règlement formule des obligations à l’encontre de l’ensemble des prestataires de services de confiance, qu’ils soient qualifiés ou non.

 En particulier, ils doivent, sous peine de sanctions fixées par les États membres :

  • effectuer le traitement de données à caractère personnel conformément à la directive 95/46/CE (abrogée par le Règlement Général sur la Protection des Données n°2016/679) ;
  • rendre accessible aux personnes handicapées, dans la mesure du possible, leurs services de confiance ainsi que les produits servant à fournir ces services et destinés à un utilisateur final ;
  • prendre les mesures techniques et organisationnelles adéquates pour gérer les risques liés à la sécurité des services qu'ils fournissent ; et 
  • notifier à l'organe de contrôle (et, lorsque l'atteinte est susceptible de lui porter préjudice, la personne physique ou morale concernée) toute atteinte à la sécurité ou toute perte d'intégrité ayant une incidence importante sur le service de confiance fourni ou sur les données à caractère personnel qui y sont conservées.

Les prestataires de services de confiance sont responsables des dommages causés intentionnellement ou par négligence à toute personne physique ou morale en raison d'un manquement à leurs obligations. Il incombe à la partie invoquant ces dommages de prouver l’intention ou la négligence d’un prestataire de services de confiance non qualifié.

Un prestataire de services de confiance qualifié est un prestataire de services de confiance offrant au moins un service de confiance qualifié. Le règlement formule des exigences générales applicables à l’ensemble des prestataires de services de confiance qualifiés, ainsi que des exigences spécifiques à chaque service de confiance qualifié.

Un prestataire de services de confiance qualifié doit avoir fait l’objet d’une évaluation de la conformité aux exigences du règlement, avoir obtenu son statut qualifié de l’organe de contrôle désigné par l’État membre dans lequel il est établi, et être identifié sur la liste de confiance avant de pouvoir commencer à fournir des services qualifiés.

Les prestataires de services de confiance qualifiés sont responsables des dommages causés intentionnellement ou par négligence à toute personne physique ou morale en raison d'un manquement à leurs obligations. Il incombe aux prestataires de services de confiance qualifiés de prouver que ces dommages ont été causés sans intention ni négligence de leur part.

Le régime de contrôle prévu par le règlement repose sur des organes de contrôles désignés par chaque État membre, ayant pour missions :

  • le contrôle a priori des prestataires de service de confiance qualifiés établis sur le territoire français ; et
  • la prise des mesures, a posteriori et si nécessaire, en ce qui concerne les prestataires de service de confiance non qualifiés établis sur le territoire de cet Etat membre, lorsque l’organe de contrôle est informé que ces derniers ou les services qu'ils fournissent ne satisfont pas aux exigences du règlement.

Les prestataires de services de confiance non qualifiés ne font ainsi pas l’objet d’un contrôle a priori.

Pour délivrer les qualifications des prestataires de services de confiance, les organes de contrôle s’appuient sur les rapports établis par des organismes d’évaluation de la conformité accrédités conformément au règlement européen n° 765/2008/CE.

Les prestataires de services de confiance qualifiés doivent se soumettre à un audit effectué à leurs frais, au moins tous les vingt-quatre mois, par un organisme d’évaluation de la conformité.

Le rapport établi par l'organisme d'évaluation de la conformité, et le cas échéant des éléments complémentaires, sont transmis, dans un délai de trois jours ouvrables, à l'organe de contrôle de l’État membre dans lequel le prestataire est établi. L'organe de contrôle vérifie la conformité aux exigences du règlement du service de confiance fourni et prononce la décision de qualification.

En dehors de ces audits réguliers, l’organe de contrôle peut décider à tout moment de soumettre un prestataire de services de confiance qualifié à un audit ou peut demander à un organisme d’évaluation de la conformité de procéder à une évaluation de la conformité du prestataire, aux frais de ce dernier.

Cette évaluation de la conformité vise à confirmer le respect des exigences du règlement eIDAS. Elle n’a pas pour objectif de confirmer le respect d’une norme ou d’un standard technique.

Chaque État membre établit et maintient à jour une liste de confiance sur laquelle figurent les informations relatives aux prestataires de services de confiance qualifiés dont ils sont responsables ainsi qu’aux services de confiance qualifiés qu’ils fournissent. Des informations relatives aux prestataires et services de confiance non qualifiés peuvent également figurer sur cette liste.

La « liste nationale de confiance  » contient la liste des services de confiance qualifiés par l’ANSSI au titre de ce règlement.

L’ANSSI publie également une liste actualisée  de l’ensemble des produits et services qu’elle qualifie.

Plusieurs actes d’exécution relatifs aux services de confiance ont été publiés par la Commission européenne venant préciser certaines exigences à savoir :

Des informations complémentaires sur les services de confiance sont disponibles dans la FAQ.

Sur le même sujet :
Réglementation