motif hexagonal violet
Ressource

Qu’est-ce que le règlement eIDAS ?

Le règlement sur l’identification électronique, l’authentification et les services de confiance (eIDAS) est l’une des lois les plus importantes et les plus complètes de l’Union européenne (UE). Dans le cadre de l’eIDAS, tout citoyen de l’UE peut utiliser le système national d’identification électronique de son pays et générer des signatures électroniques dans n’importe quel pays de l’UE, sans aucune complication.

Mais qu’est-ce que l’eIDAS exactement ? Comment cela fonctionne-t-il ? Et surtout, comment votre entreprise peut gérer ce règlement ?

Lisez la suite pour découvrir les bases de l’eIDAS, ce qu’il implique et comment vous pouvez assurer votre conformité à l’avenir grâce à des solutions certifiées et sécurisées.

Qu’est-ce que l’eIDAS ?

L’eIDAS est un règlement de l’UE qui a établi un cadre juridique visant à améliorer la sécurité, la rapidité et l’efficacité des transactions électroniques, quel que soit le pays de l’UE où elles sont réalisées. L’objectif du règlement eIDAS est d’encourager la création d’un marché unique européen pour le commerce électronique sécurisé.

Pour situer le contexte, l’eIDAS n’est pas le premier règlement de l’UE sur les transactions électroniques. La directive de 1999 sur les signatures électroniques avait un objectif bien différent, à savoir déclarer formellement qu’une signature électronique était l’équivalent juridique d’une signature manuscrite dans tous les États membres.

Cependant, la directive a également donné à chaque pays de l’UE la liberté de décider de ses propres règles en matière de sécurité des transactions électroniques. Chacun d’entre eux avait ses propres exigences légales, ses propres politiques de traitement des données et sa propre infrastructure de services de confiance, mais la plupart d’entre eux ne fonctionnaient pas au-delà des frontières.

Par exemple, un document électronique signé dans un pays peut ne pas avoir le même effet juridique dans un autre. Ces problèmes ont créé un paysage désordonné dans la région et une confusion quant à la légalité et à la validité de l’identification électronique. Pire encore, elle a rendu le commerce transfrontalier extrêmement difficile.

L’UE a décidé de résoudre ce problème en 2014 en adoptant l’eIDAS. La législation est entrée pleinement en vigueur en 2016, date à laquelle tous les États membres de l’UE ont été soumis à des normes cohérentes en matière d’identité, d’authentification et de signature électroniques.

En fin de compte, le cadre de l’eIDAS :

  1. Veille à ce que les particuliers et les entreprises puissent utiliser leur propre système national d’identité électronique pour accéder aux services publics en ligne.
  2. Crée un marché unique européen pour les services de confiance en veillant à ce que tous les systèmes d’identité fonctionnent au-delà des frontières et aient le même statut juridique qu’une signature manuscrite traditionnelle.

Qui est concerné par le règlement eIDAS et quels éléments cible-t-il ?

D’une manière générale, l’eIDAS concerne :

  • les citoyens des pays de l’UE ;
  • les entreprises ayant leur siège dans l’UE ou traitant avec d’autres entreprises et/ou citoyens de l’UE ;
  • les prestataires de services de confiance de l’UE qui protègent les transactions de l’UE sur un réseau public, en particulier sur des questions commerciales ou juridiques pour lesquelles l’authentification de l’identité numérique est importante. Un prestataire de services de confiance comprend toute entité impliquée dans la création, la validation et la préservation des identités électroniques, des signatures électroniques, des sceaux électroniques ou des certificats numériques.

Voici une liste non exhaustive des transactions numériques couvertes par l’eIDAS :

  • Transactions liées aux voyages
  • Facturation électronique interentreprises
  • Services publics, tels que les bulletins de vote ou les déclarations d’impôts
  • Accords bancaires, investissements et prêts
  • Authentification de site web
  • Services de paiement à des tiers

Le règlement eIDAS exige des services gouvernementaux, commerciaux et publics qu’ils reconnaissent les formats de signature standards et les identités entre les pays européens. En d’autres termes, la carte d’identité électronique d’un citoyen doit être reconnue de la même manière dans tous les États membres de l’UE. Notamment, la charge de la mise en conformité incombe directement aux prestataires de services de confiance, et non aux consommateurs eux-mêmes.

Quels sont les avantages de l’eIDAS ?

L’introduction de l’identification électronique et des services de confiance présente de nombreux avantages. Voici les avantages énoncés par la Commission européenne :

  1. Une meilleure expérience utilisateur : les types de services d’authentification proposés par l’eIDAS garantissent aux consommateurs une livraison fluide des produits. Plus important encore, ils renforcent la confiance et la satisfaction des clients en leur offrant un niveau de garantie plus élevé au cours du processus de transaction.
  2. Sécurité renforcée : l’eIDAS permet aux individus d’accéder facilement à un large éventail de services en ligne sans compromettre leurs informations. Les entreprises sont soumises à des exigences plus strictes en matière de protection des données, afin de garantir qu’elles traitent les données personnelles des consommateurs avec le plus grand soin et dans le respect des obligations légales.
  3. Rationaliser l’efficacité des processus transfrontaliers : avec l’eIDAS, les organisations n’ont plus besoin de naviguer entre les différents systèmes complexes propres à chaque pays, et qui constituaient un frein au commerce électronique international. Désormais, les entreprises peuvent effectuer des transactions, quel que soit l’État membre dans lequel elles se trouvent.

Bien entendu, l’eIDAS a également eu un impact socio-économique positif. Le règlement favorise la croissance économique numérique en supprimant les obstacles au commerce électronique qui compliquent les services en ligne.

Qu’est-ce que l’identité électronique ?

Une identification électronique, ou « eID », est un moyen électronique de vérifier l’identité numérique d’une personne. Selon la Commission européenne, un identifiant électronique sécurisé est essentiel à la vie quotidienne dans le monde numérique.

Il peut être utilisé pour consulter sa messagerie, faire des achats en ligne, déverrouiller des appareils et bien d’autres activités courantes. L’identification électronique peut également éliminer tout doute sur l’identité d’une personne, et ainsi s’assurer que le bon service est fourni à la personne qui y a effectivement droit. Par ailleurs, les identifiants électroniques sont indispensables pour les services bancaires en ligne et d’autres transactions numériques sensibles.

Niveaux de garantie de l’eIDAS

Le « niveau de garantie » désigne le degré de certitude qu’un prestataire de services peut avoir quant à l’exactitude de l’identité déclarée par une personne. En d’autres termes, il s’agit du degré de confiance que vous avez dans l’identité d’une personne lorsqu’elle utilise un identifiant électronique pour accéder à un service en ligne.

Dans le cadre de l’eIDAS, un système d’identification électronique doit être classé selon trois niveaux de garantie :

  1. Faible : le système eID utilise une authentification simple, comme les mots de passe, avec peu de contrôles d’identité au cours de la procédure d’enregistrement.
  2. Substantiel : le système utilise l’authentification à deux facteurs avec des contrôles supplémentaires au cours de la procédure d’enregistrement.
  3. Élevé : le niveau de garantie le plus élevé utilise des mécanismes d’authentification multifactorielle sophistiqués avec des contrôles d’identité complets.

Ces trois niveaux s’appuient fortement sur l’authentification, qui est le processus de vérification essentiel d’une identification électronique. Cela implique la collecte de données d’identité pertinentes, c’est-à-dire d’informations sur une personne ou une entité que seule la personne réelle peut partager. En général, les méthodes d’authentification utilisent trois facteurs de vérification de l’identité :

  1. Authentification basée sur la connaissance : le signataire fournit quelque chose qu’il est le seul à connaître, comme un mot de passe ou un code.
  2. Authentification basée sur la possession : le signataire fournit quelque chose qu’il est le seul à posséder, comme un document d’identité ou une carte à puce.
  3. Authentification basée sur la biométrie : l’identité du signataire est vérifiée par ses caractéristiques physiques, comme les empreintes digitales ou la reconnaissance faciale.

Il s’avère que le règlement eIDAS ne précise pas quelles technologies ou méthodes d’authentification sont requises pour atteindre chaque niveau de garantie. C’est pourquoi les pays de l’UE développent leurs propres systèmes d’identification électronique. Bien que ces systèmes reposent sur les principes de l’eIDAS, chaque État est libre de concevoir le sien de manière à refléter son paysage technologique unique.

Une étude de 2022 dévoile la conception de ces systèmes dans les États membres de l’UE. Selon les résultats :

  • Les systèmes d’identification électronique de 25 pays offrent une garantie élevée.
  • 20 pays ont un système avec une garantie substantielle.
  • 12 pays offrent une garantie faible.

Comme vous pouvez le constater, la majorité des pays l’UE opte pour une garantie élevée, ce qui souligne l’importance de l’identification électronique sécurisée.

Que sont les services de confiance de l’eIDAS ?

Les services de confiance désignent un large éventail d’activités d’authentification et de signature destinées à protéger les transactions électroniques. Voici les plus courants :

  • Certificats : Pour vérifier l’identité d’une personne, une autorité tierce peut lui délivrer un certificat numérique. Pour résumé, un certificat est un fichier qui prouve l’authenticité d’un appareil, d’un serveur, d’un utilisateur ou d’une entité par le biais de la cryptographie à clé publique. Il contient une copie de la clé publique du détenteur du certificat, qui doit être comparée à la clé privée correspondante pour en vérifier l’authenticité.
  • Horodatage électronique : L’horodatage est un processus par lequel une date et une heure sont liées électroniquement et cryptographiquement à un document, à sa signature et à d’autres informations, certifiant ainsi son existence à un moment donné. L’exactitude de la date et de l’heure est garantie par le prestataire de services de confiance et ne peut être compromise par des tiers. Cela peut être important d’un point de vue juridique pour de nombreuses raisons, mais c’est particulièrement utile lorsque des accords contractuels sont contestés.
  • Signature et sceau électroniques : La signature électronique, comme son équivalent manuscrit, est un moyen de certifier l’authenticité d’un document juridique et d’établir l’intention d’être lié par les termes de ce document. Un sceau électronique, en revanche, représente une organisation entière plutôt qu’une seule personne.
  • Signature numérique : Une signature numérique est un type de signature électronique créée à l’aide d’un certificat numérique et d’une clé de signature privée. Les signatures numériques étant infalsifiables, elles garantissent qu’un document n’a pas été modifié après avoir été signé.

Toute organisation qui facilite l’un des éléments ci-dessus est considérée comme un prestataire de services de confiance et est donc soumise à la conformité eIDAS.

Types de signatures électroniques régies par l’eIDAS

L’eIDAS définit trois types de signatures électroniques qu’un fournisseur de services peut offrir :

1. Signature électronique simple

La Commission européenne considère la signature électronique simple comme la plus élémentaire des trois. Les signatures électroniques sont définies comme des « données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer ». Un geste aussi simple que de griffonner son nom sur un document électronique peut en réalité constituer une signature électronique simple.

2. Signature électronique avancée

Une signature électronique avancée a des exigences plus précises. Par exemple, elle doit être :

 

  • liée au signataire de manière singulière et permettre de l’identifier ;
  • créée selon une méthode qui attribue un contrôle total au signataire ;
  • liée au document afin que toute modification ultérieure soit détectée.

Normalement, une signature électronique avancée est créée à l’aide de certificats numériques et de clés cryptographiques, ce qui signifie qu’elle peut également être considérée comme une signature numérique. Toutefois, elles peuvent également utiliser des données biométriques, des codes d’accès et d’autres moyens électroniques.

 

3. Signature électronique qualifiée

La signature électronique qualifiée, qui est la plus sophistiquée des trois, offre le niveau de garantie le plus élevé. Cependant, il y a deux exigences supplémentaires à prendre en compte :

  1. Une signature électronique qualifiée ne peut être créée qu’à l’aide d’un Qualified Signature Creation Device (QSCD). Un QSCD est un type de matériel cryptographique, tel qu’un module matériel de sécurité (HSM), qui a fait l’objet d’une procédure de certification conforme à l’eIDAS.
  2. Une signature qualifiée doit également être basée sur un certificat qualifié. Dans le cadre de l’eIDAS, un certificat qualifié répond à des exigences plus strictes qu’un certificat numérique classique. En outre, il ne peut être délivré que par un prestataire de services de confiance qualifié (QSTP), tel qu’Entrust. Les QSTP sont des organisations qui ont fait l’objet d’un audit et se sont vu accorder un statut qualifié par une autorité nationale compétente, comme indiqué dans la liste de confiance de l’UE.

Renforcer votre conformité à l’eIDAS avec les solutions Entrust

Chez Entrust, nous savons qu’il n’est pas facile de se conformer à la réglementation, et le règlement eIDAS ne fait pas exception. Que vous soyez une organisation européenne ou un prestataire de services de confiance, vous souhaitez offrir aux consommateurs une expérience de transaction sûre et transparente, à tout moment et en tout lieu.

Organisations de l’UE : générer des signatures et des sceaux avancés et qualifiés avec Entrust

Entrust est un membre fondateur du Cloud Signature Consortium, une autorité de certification de confiance, un membre de l’Adobe Approved Trust List et un prestataire de services de confiance qualifié eIDAS de l’UE. Nous pouvons vous aider à mettre en place des services de signature électronique à partir de nos signatures avancées et qualifiées eIDAS.

Consultez notre portail de signature et essayez-le gratuitement à l’adresse suivante : signhost.com.

Prestataires de services de confiance : Créer un service de confiance eIDAS

L’exécution de vos services de confiance nécessitera une racine de confiance solide. Entrust peut vous aider à déployer un dispositif de création de signature qualifié et certifié eIDAS avec les HSM nShield combinés au Module d’activation de signature Entrust.

Équipés de nos HSM, les prestataires de services de confiance garantissent la fiabilité des transactions transfrontalières juridiquement contraignantes, tout en renforçant la sécurité. Les fournisseurs de services se servent des HSM Entrust nShield pour émettre des certificats numériques, des horodatages ou des signatures numériques dans le cadre de solutions conformes à l’eIDAS.

Entrust fournit aussi des moteurs de signature numérique pour la génération de signatures numériques qui respectent les directives de l’eIDAS. En les combinant aux solutions PKI Entrust et de Gestion des identités et des accès, vous aurez tous les éléments nécessaires pour mettre en place votre propre service de signature.

Vous voulez en savoir plus sur la conformité à l’eIDAS ? Téléchargez dès aujourd’hui notre livre électronique.

Télécharger