motif hexagonal violet
Apprentissage

Qu’est-ce que le règlement eIDAS ?

Le règlement sur l’identification électronique, l’authentification et les services de confiance (eIDAS) est l’une des lois les plus importantes et les plus complètes de l’Union européenne (UE). Dans le cadre de l’eIDAS, tout citoyen de l’UE peut utiliser le système national d’identification électronique de son pays et générer des signatures électroniques dans n’importe quel pays de l’UE, sans aucune complication.

Mais qu’est-ce que l’eIDAS exactement ? Comment cela fonctionne-t-il ? Et surtout, comment votre entreprise peut gérer ce règlement ?

Lisez la suite pour découvrir les bases de l’eIDAS, ce qu’il implique et comment vous pouvez assurer votre conformité à l’avenir grâce à des solutions certifiées et sécurisées.

Qu’est-ce que l’eIDAS ?

L’eIDAS est un règlement de l’UE qui a établi un cadre juridique visant à améliorer la sécurité, la rapidité et l’efficacité des transactions électroniques, quel que soit le pays de l’UE où elles sont réalisées. L’objectif du règlement eIDAS est d’encourager la création d’un marché unique européen pour le commerce électronique sécurisé.

Pour situer le contexte, l’eIDAS n’est pas le premier règlement de l’UE sur les transactions électroniques. La directive de 1999 sur les signatures électroniques avait un objectif bien différent, à savoir déclarer formellement qu’une signature électronique était l’équivalent juridique d’une signature manuscrite dans tous les États membres.

Cependant, la directive a également donné à chaque pays de l’UE la liberté de décider de ses propres règles en matière de sécurité des transactions électroniques. Chacun d’entre eux avait ses propres exigences légales, ses propres politiques de traitement des données et sa propre infrastructure de services de confiance, mais la plupart d’entre eux ne fonctionnaient pas au-delà des frontières.

Par exemple, un document électronique signé dans un pays peut ne pas avoir le même effet juridique dans un autre. Ces problèmes ont créé un paysage désordonné dans la région et une confusion quant à la légalité et à la validité de l’identification électronique. Pire encore, elle a rendu le commerce transfrontalier extrêmement difficile.

L’UE a décidé de résoudre ce problème en 2014 en adoptant l’eIDAS. La législation est entrée pleinement en vigueur en 2016, date à laquelle tous les États membres de l’UE ont été soumis à des normes cohérentes en matière d’identité, d’authentification et de signature électroniques.

En fin de compte, le cadre de l’eIDAS :

  1. Veille à ce que les particuliers et les entreprises puissent utiliser leur propre système national d’identité électronique pour accéder aux services publics en ligne.
  2. Crée un marché unique européen pour les services de confiance en veillant à ce que tous les systèmes d’identité fonctionnent au-delà des frontières et aient le même statut juridique qu’une signature manuscrite traditionnelle.

Who and what are affected by the eIDAS Regulation?

D’une manière générale, l’eIDAS concerne :

  • les citoyens des pays de l’UE ;
  • les entreprises ayant leur siège dans l’UE ou traitant avec d’autres entreprises et/ou citoyens de l’UE ;
  • les prestataires de services de confiance de l’UE qui protègent les transactions de l’UE sur un réseau public, en particulier sur des questions commerciales ou juridiques pour lesquelles l’authentification de l’identité numérique est importante. Un prestataire de services de confiance comprend toute entité impliquée dans la création, la validation et la préservation des identités électroniques, des signatures électroniques, des sceaux électroniques ou des certificats numériques.

Voici une liste non exhaustive des transactions numériques couvertes par l’eIDAS :

  • Transactions liées aux voyages
  • Facturation électronique interentreprises
  • Services publics, tels que les bulletins de vote ou les déclarations d’impôts
  • Accords bancaires, investissements et prêts
  • Authentification de site web
  • Services de paiement à des tiers

Le règlement eIDAS exige des services gouvernementaux, commerciaux et publics qu’ils reconnaissent les formats de signature standards et les identités entre les pays européens. En d’autres termes, la carte d’identité électronique d’un citoyen doit être reconnue de la même manière dans tous les États membres de l’UE. Notamment, la charge de la mise en conformité incombe directement aux prestataires de services de confiance, et non aux consommateurs eux-mêmes.

Quels sont les avantages de l’eIDAS ?

L’introduction de l’identification électronique et des services de confiance présente de nombreux avantages. Voici les avantages énoncés par la Commission européenne :

  1. Une meilleure expérience utilisateur : les types de services d’authentification proposés par l’eIDAS garantissent aux consommateurs une livraison fluide des produits. Plus important encore, ils renforcent la confiance et la satisfaction des clients en leur offrant un niveau de garantie plus élevé au cours du processus de transaction.
  2. Sécurité renforcée : l’eIDAS permet aux individus d’accéder facilement à un large éventail de services en ligne sans compromettre leurs informations. Les entreprises sont soumises à des exigences plus strictes en matière de protection des données, afin de garantir qu’elles traitent les données personnelles des consommateurs avec le plus grand soin et dans le respect des obligations légales.
  3. Rationaliser l’efficacité des processus transfrontaliers : avec l’eIDAS, les organisations n’ont plus besoin de naviguer entre les différents systèmes complexes propres à chaque pays, et qui constituaient un frein au commerce électronique international. Désormais, les entreprises peuvent effectuer des transactions, quel que soit l’État membre dans lequel elles se trouvent.

Bien entendu, l’eIDAS a également eu un impact socio-économique positif. Le règlement favorise la croissance économique numérique en supprimant les obstacles au commerce électronique qui compliquent les services en ligne.

In April 2024, the European Commission updated the eIDAS Regulation. This update, commonly referred to as eIDAS 2 or eIDAS 2.0, introduces some new trust services and provides a strong framework for the deployment of EU Digital Identity Wallets. Learn more about eIDAS 2 here.

Vous voulez en savoir plus sur la conformité à l’eIDAS ? Téléchargez dès aujourd’hui notre livre électronique.

Télécharger

Qu’est-ce que l’identité électronique ?

Une identification électronique, ou « eID », est un moyen électronique de vérifier l’identité numérique d’une personne. Selon la Commission européenne, un identifiant électronique sécurisé est essentiel à la vie quotidienne dans le monde numérique.

Il peut être utilisé pour consulter sa messagerie, faire des achats en ligne, déverrouiller des appareils et bien d’autres activités courantes. L’identification électronique peut également éliminer tout doute sur l’identité d’une personne, et ainsi s’assurer que le bon service est fourni à la personne qui y a effectivement droit. Par ailleurs, les identifiants électroniques sont indispensables pour les services bancaires en ligne et d’autres transactions numériques sensibles.

Niveaux de garantie de l’eIDAS

Le « niveau de garantie » désigne le degré de certitude qu’un prestataire de services peut avoir quant à l’exactitude de l’identité déclarée par une personne. En d’autres termes, il s’agit du degré de confiance que vous avez dans l’identité d’une personne lorsqu’elle utilise un identifiant électronique pour accéder à un service en ligne.

Dans le cadre de l’eIDAS, un système d’identification électronique doit être classé selon trois niveaux de garantie :

  1. Faible : This level of identification gives only a small amount of confidence that a person is who they say they are. This level does however require some rules and controls to help reduce the risk of someone misusing or changing the identity information.
  2. Substantiel : This level gives a good amount of confidence that a person is who they say they are. This level also requires specific technical rules and controls that greatly reduce the risk of someone misusing or changing the identity information.
  3. Élevé : This level gives a very high level of confidence that a person is who they say they are. It uses strict technical rules and controls to prevent anyone from misusing or changing the identity information.

Ces trois niveaux s’appuient fortement sur l’authentification, qui est le processus de vérification essentiel d’une identification électronique. Cela implique la collecte de données d’identité pertinentes, c’est-à-dire d’informations sur une personne ou une entité que seule la personne réelle peut partager. En général, les méthodes d’authentification utilisent trois facteurs de vérification de l’identité :

  1. Authentification basée sur la connaissance : le signataire fournit quelque chose qu’il est le seul à connaître, comme un mot de passe ou un code.
  2. Authentification basée sur la possession : le signataire fournit quelque chose qu’il est le seul à posséder, comme un document d’identité ou une carte à puce.
  3. Authentification basée sur la biométrie : l’identité du signataire est vérifiée par ses caractéristiques physiques, comme les empreintes digitales ou la reconnaissance faciale.

Il s’avère que le règlement eIDAS ne précise pas quelles technologies ou méthodes d’authentification sont requises pour atteindre chaque niveau de garantie. C’est pourquoi les pays de l’UE développent leurs propres systèmes d’identification électronique. Bien que ces systèmes reposent sur les principes de l’eIDAS, chaque État est libre de concevoir le sien de manière à refléter son paysage technologique unique.

Une étude de 2022 dévoile la conception de ces systèmes dans les États membres de l’UE. Selon les résultats :

  • Les systèmes d’identification électronique de 25 pays offrent une garantie élevée.
  • 20 pays ont un système avec une garantie substantielle.
  • 12 pays offrent une garantie faible.

Comme vous pouvez le constater, la majorité des pays l’UE opte pour une garantie élevée, ce qui souligne l’importance de l’identification électronique sécurisée.

Que sont les services de confiance de l’eIDAS ?

Les services de confiance désignent un large éventail d’activités d’authentification et de signature destinées à protéger les transactions électroniques. Voici les plus courants :

  • Certificats : Pour vérifier l’identité d’une personne, une autorité tierce peut lui délivrer un certificat numérique. Pour résumé, un certificat est un fichier qui prouve l’authenticité d’un appareil, d’un serveur, d’un utilisateur ou d’une entité par le biais de la cryptographie à clé publique. Il contient une copie de la clé publique du détenteur du certificat, qui doit être comparée à la clé privée correspondante pour en vérifier l’authenticité.
  • Electronic timestamp: Timestamping is a process whereby a date and time are electronically and cryptographically bound to a document, its signature, and other information, therefore certifying its existence at a given time. L’exactitude de la date et de l’heure est garantie par le prestataire de services de confiance et ne peut être compromise par des tiers. Cela peut être important d’un point de vue juridique pour de nombreuses raisons, mais c’est particulièrement utile lorsque des accords contractuels sont contestés.
  • Signature et sceau électroniques : La signature électronique, comme son équivalent manuscrit, est un moyen de certifier l’authenticité d’un document juridique et d’établir l’intention d’être lié par les termes de ce document. Un sceau électronique, en revanche, représente une organisation entière plutôt qu’une seule personne.
  • Signature numérique : Une signature numérique est un type de signature électronique créée à l’aide d’un certificat numérique et d’une clé de signature privée. Les signatures numériques étant infalsifiables, elles garantissent qu’un document n’a pas été modifié après avoir été signé.
  • Registered e-delivery: This trust service provides the digital equivalent of sending a registered letter with tracking and acknowledgement of receipt.
  • Electronic archiving: This trust service provides a digital archiving vault to keep records in a way that won’t damage them over time and that will retain their legal value.
  • Electronic ledgers: This trust service provides an official (legally recognized) and secure way to record information (typically digital transactions and agreements), just like a notary would.
  • Management of remote electronic signature- and seal-creation devices: This may be the least obvious trust service, because it’s designed for TSPs and not for citizens and businesses. This trust service enables e-signature vendors to manage digital signing and sealing processes remotely, in a way that is secure and that ensures the signatories retain full control of the signing process even if they aren’t physically performing the signature.
  • Issuance of electronic attestation of attributes (EAAs): This trust service enables the issuance of EAAs, which are then stored in a digital identity wallet. An EAA is like a digital stamp of approval that confirms that a piece of information is true.

Toute organisation qui facilite l’un des éléments ci-dessus est considérée comme un prestataire de services de confiance et est donc soumise à la conformité eIDAS.

Types de signatures électroniques régies par l’eIDAS

L’eIDAS définit trois types de signatures électroniques qu’un fournisseur de services peut offrir :

1. Signature électronique simple

La Commission européenne considère la signature électronique simple comme la plus élémentaire des trois. Les signatures électroniques sont définies comme des « données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer ». Un geste aussi simple que de griffonner son nom sur un document électronique peut en réalité constituer une signature électronique simple.

2. Signature électronique avancée

Une signature électronique avancée a des exigences plus précises. Par exemple, elle doit être :

 

  • liée au signataire de manière singulière et permettre de l’identifier ;
  • créée selon une méthode qui attribue un contrôle total au signataire ;
  • Linked to the document so that any subsequent change is detected

Normalement, une signature électronique avancée est créée à l’aide de certificats numériques et de clés cryptographiques, ce qui signifie qu’elle peut également être considérée comme une signature numérique. Toutefois, elles peuvent également utiliser des données biométriques, des codes d’accès et d’autres moyens électroniques.

 

3. Signature électronique qualifiée

La signature électronique qualifiée, qui est la plus sophistiquée des trois, offre le niveau de garantie le plus élevé. Cependant, il y a deux exigences supplémentaires à prendre en compte :

  1. Une signature électronique qualifiée ne peut être créée qu’à l’aide d’un Qualified Signature Creation Device (QSCD). Un QSCD est un type de matériel cryptographique, tel qu’un module matériel de sécurité (HSM), qui a fait l’objet d’une procédure de certification conforme à l’eIDAS.
  2. Une signature qualifiée doit également être basée sur un certificat qualifié. Dans le cadre de l’eIDAS, un certificat qualifié répond à des exigences plus strictes qu’un certificat numérique classique. En outre, il ne peut être délivré que par un prestataire de services de confiance qualifié (QSTP), tel qu’Entrust. Les QSTP sont des organisations qui ont fait l’objet d’un audit et se sont vu accorder un statut qualifié par une autorité nationale compétente, comme indiqué dans la liste de confiance de l’UE.

Renforcer votre conformité à l’eIDAS avec les solutions Entrust

Chez Entrust, nous savons qu’il n’est pas facile de se conformer à la réglementation, et le règlement eIDAS ne fait pas exception. Que vous soyez une organisation européenne ou un prestataire de services de confiance, vous souhaitez offrir aux consommateurs une expérience de transaction sûre et transparente, à tout moment et en tout lieu.

QSCD POUR LA SIGNATURE À DISTANCE

Obtenez un Qualified Signature Creation Device conforme à l’eIDAS avec un HSM nShield et le module d’activation de signature Entrust (Signature Activation Module, SAM).

En savoir plus

Moteurs de signature numérique

Solutions de signature numérique pour les gouvernements et les fournisseurs de services de confiance.

En savoir plus

Certificats eIDAS QWAC

Les Qualified Website Authentication Certificates (QWAC) conformes à l’eIDAS d’Entrust favorisent votre conformité aux directives eIDAS.

En savoir plus

Compliance Suite d’Onfido

Répondez aux besoins complexes des réglementations locales et accueillez vos clients à distance grâce à une solution d’intégration simple, transparente et conforme à l’eIDAS.

En savoir plus

Organisations de l’UE : générer des signatures et des sceaux avancés et qualifiés avec Entrust

Entrust offers an e-signature service, available via a web portal or a REST API. We can help you to create eIDAS advanced or qualified signatures and seals.

Consultez notre portail de signature et essayez-le gratuitement à l’adresse suivante : signhost.com.

Prestataires de services de confiance : Créer un service de confiance eIDAS

L’exécution de vos services de confiance nécessitera une racine de confiance solide. Entrust peut vous aider à déployer un dispositif de création de signature qualifié et certifié eIDAS avec les HSM nShield combinés au Module d’activation de signature Entrust.

Équipés de nos HSM, les prestataires de services de confiance garantissent la fiabilité des transactions transfrontalières juridiquement contraignantes, tout en renforçant la sécurité. Les fournisseurs de services se servent des HSM Entrust nShield pour émettre des certificats numériques, des horodatages ou des signatures numériques dans le cadre de solutions conformes à l’eIDAS.

Entrust fournit aussi des moteurs de signature numérique pour la génération de signatures numériques qui respectent les directives de l’eIDAS. En les combinant aux solutions PKI Entrust et de Gestion des identités et des accès, vous aurez tous les éléments nécessaires pour mettre en place votre propre service de signature.

This content does not constitute legal advice. Although definitions provided are based on the Official Journal of the European Union definitions and requirements for electronic and digital signatures are typically more elaborate than how they are described in this content and there may be variations to take into consideration. The suitability, enforceability, or admissibility of electronic documents will likely depend on many factors such as the country or state where you operate, the country or state where the electronic document will be distributed, as well as the type of electronic document involved. Appropriate legal counsel should be consulted to analyze any potential legal implications and questions related to the use of electronic documents and the use of suitable and/or required solutions to generate and/or authenticate an electronic signature for each use case.