Qu’est-ce que l’eIDAS 2 ? Tout ce qu’il faut savoir

L’Union européenne (UE) est l'un des environnements réglementaires les plus complexes et ambitieux. Avec l'entrée en vigueur de la deuxième version du règlement sur l'identification électronique, l'authentification et les services de confiance (eIDAS), les entreprises de l'UE doivent faire face aux changements et s'adapter à l'un des changements les plus importants de la région en matière d'identité numérique, d'authentification et d'infrastructure de confiance depuis 2016.

Avec la norme technique correspondante, l'eIDAS 2 établit une base juridique et technique unifiée pour l'authentification des personnes, le partage des données d'identité et le fonctionnement transfrontalier des services de confiance. Il remodèle l'écosystème européen de l'identité numérique pour le rendre plus interopérable, plus respectueux de la vie privée et plus résistant aux nouvelles menaces en matière de fraude et de sécurité.

Dans le même temps, ces changements s'inscrivent dans le contexte d'une convergence mondiale en matière de preuve d'identité, alors que les régulateurs du monde entier renforcent les attentes en matière de sécurité, donnent la priorité à la prévention de la fraude et font de plus en plus converger les exigences en matière de preuve d'identité à distance et d'accès aux services financiers. L'eIDAS 2 s'inscrit désormais dans le cadre d'une évolution internationale plus large en matière d'identité numérique à haute assurance.

Ci-dessous, nous décomposons l'eIDAS 2 et vous présentons tout ce que vous devez savoir pour vous conformer aux exigences du règlement. Nous aborderons les sujets suivants :

• Qu’est-ce que l’eIDAS ?
• Qu’est-ce que l’eIDAS 2 ? 
• Vérification de l'identité selon l'eIDAS 2 et l'ETSI v2
• Qui est un fournisseur de service de confiance ?
• Comment se conformer à l’eIDAS 2
• La conformité en toute simplicité grâce à Entrust

L'eIDAS– qui signifie identification électronique, authentification et services de confiance – est le règlement global de l'UE qui a introduit le premier cadre juridique harmonisé pour l'identification électronique et les services de confiance dans tous les États membres de l'UE.

Avant son adoption, l'UE s'appuyait sur une mosaïque de législations nationales – la Signaturgesetz allemande, la loi française sur les signatures électroniques, le Codice dell'Amministrazione Digitale italien, la loi espagnole 59/2003 et d'autres encore – qui comportaient chacune des règles, des exigences de sécurité et des formats différents. En conséquence, l'approche de l'identification électronique et de la vérification à distance de l'identité varie considérablement d'un État membre à l'autre.

Cette fragmentation a rendu les interactions numériques transfrontalières difficiles. Une signature électronique ou un document d'identité valable dans un État membre peut ne pas être reconnu dans un autre, ce qui oblige les organisations à maintenir des processus parallèles et sape la confiance dans les transactions électroniques. L'absence de cadre commun a également limité l'expansion des services en ligne sécurisés et entravé le développement du commerce électronique transfrontalier.

Le premier règlement eIDAS (UE n° 910/2014) a tenté de répondre à ces questions en établissant un cadre harmonisé à l'échelle de l'UE. Adopté en 2014 et pleinement mis en œuvre à partir de 2016, il s'articule autour de trois principes clés :

• Reconnaissance mutuelle : Tous les États membres étaient légalement tenus de reconnaître les systèmes nationaux d'identification électronique notifiés par les autres États membres.
• Interopérabilité : Le règlement garantit la compatibilité entre les différentes solutions d'identification électronique et les services de confiance dans l'ensemble de l'UE.
• Sécurité : L'eIDAS a introduit des exigences de sécurité rigoureuses pour les signatures électroniques, les sceaux, les horodatages et les certificats.

Il a également formalisé le rôle des fournisseurs de services de confiance (TSP), qui doivent être accrédités et supervisés avant d'offrir des services qualifiés.

Il est important de noter que l'eIDAS s'applique non seulement aux organismes du secteur public, mais aussi aux organisations du secteur privé qui s'appuient sur l'identification électronique ou les services de confiance, notamment les services financiers, les assurances, les soins de santé et le e-commerce. Il fonctionne donc comme une infrastructure de confiance numérique unifiée pour toutes les interactions électroniques transfrontalières au sein de l'UE.

Bien que le règlement ait considérablement amélioré le paysage de la confiance numérique en Europe, plusieurs limites persistent. En 2021, l'utilisation transfrontalière des identifiants électroniques nationaux restait limitée, l'adoption par le secteur privé était inégale et le champ d'application du cadre ne reflétait plus la manière dont les services d'identité numérique et de confiance étaient utilisés. Ces lacunes ont finalement conduit à l'élaboration d'un amendement au règlement : l'eIDAS 2. 

L'eIDAS 2 – officiellement le règlement européen sur l'identité numérique (règlement (UE) 2024/1183) – est la version mise à jour et élargie du cadre de l'eIDAS original.Il a été publié au Journal officiel de l’Union européenne en avril 2024 et est progressivement entré en vigueur le 20 mais 2024.

La révision a été motivée par les limites persistantes du premier règlement. En 2021, l'utilisation transfrontalière des systèmes nationaux d'identification électronique restait faible, l'adoption par les parties utilisatrices du secteur privé n'était pas uniforme et des divergences importantes existaient entre les États membres en ce qui concerne la mise en œuvre des services de confiance et d'assurance de l'identité à distance. Ces incohérences ont créé des frictions pour les entreprises opérant dans plusieurs juridictions, seuls 59 % des résidents de l'UE étant en mesure d'utiliser une carte d'identité électronique fiable en dehors de leur pays d'origine.

L'eIDAS 2 représente une évolution structurelle du cadre européen des services d'identité numérique et de confiance. Il remédie aux limites du cadre initial, élargit la liste des services de confiance réglementés, renforce les exigences en matière de sécurité et de gouvernance et, surtout, introduit le portefeuille européen d'identité numérique (EUDI) en tant que composante obligatoire des écosystèmes nationaux d'identité numérique.

Alors que le règlement initial jetait les bases de la confiance transfrontalière, l'eIDAS 2 fournit le plan d'un modèle d'identité numérique plus avancé, interopérable, à haut niveau d'assurance et contrôlé par l'utilisateur dans l'ensemble de l'Union européenne.

Un champ d’application réglementaire élargi

Le règlement eIDAS initial (2016) a jeté les bases de l'identification électronique et des services de confiance dans l'UE, mais son champ d'application est resté relativement limité ; il n'a pas anticipé l'ampleur des interactions numériques qui reposent désormais sur des mécanismes d'identité et de confiance à haut niveau d'assurance. Si ce cadre a apporté une sécurité juridique pour les signatures électroniques, les sceaux, les horodatages et les certificats qualifiés, il n'englobait pas plusieurs capacités de services de confiance qui sont devenues depuis lors essentielles pour les modèles commerciaux numériques et l'interopérabilité transfrontalière.

L'eIDAS 2 élargit considérablement ces possibilités. Le règlement actualisé renforce le rôle des prestataires de services de confiance qualifiés (QTSP) – entités certifiées pour offrir des services de confiance sécurisés et fiables – qui doivent désormais se conformer à des attentes harmonisées en matière de surveillance, alignées sur la législation de l'UE en matière de cybersécurité. Cela inclut des bases de sécurité obligatoires, des audits réguliers, des rapports d'incidents formalisés et des exigences cohérentes en matière de gestion des clés et de résilience opérationnelle dans l'ensemble de l'Union.

De plus, l’eIDAS 2 a élargi le champ d’application de la règle pour qu’elle comprenne quatre nouveaux services de confiance qualifiés :

1. Services d’archivage électronique : Ces services permettent de stocker en toute sécurité des documents et des données électroniques à long terme. Ces services garantissent que les données et les documents archivés restent authentiques et inaltérés tout au long de leur période de conservation, préservant ainsi leur intégrité et leur valeur juridique. Cette capacité est essentielle pour des secteurs tels que la santé, la finance et le secteur public, où la conformité exige une conservation fiable des données et des documents sensibles avec une garantie de l'intégrité dans le temps.
2. Grands livres électroniques : Ce service permet un enregistrement sécurisé et immuable des transactions et des données. Les données électroniques peuvent ainsi être suivies et vérifiées de manière fiable, ce qui permet de prendre en charge diverses applications et cas d’utilisation tels que les transactions financières, la gestion de la chaîne d’approvisionnement, entre autres.
3. Gestion des dispositifs de création de signatures et de sceaux électroniques à distance (QSCD) : Ce service de confiance permet aux fournisseurs de signatures électroniques de gérer les processus de signature et d'apposition de sceaux à distance, tout en préservant les exigences de sécurité rigoureuses associées aux QSCD. Il permet une signature et une apposition de sceau sécurisés basés sur le cloud, prend en charge le travail à distance et les transactions transfrontalières, et élargit les possibilités d'utilisation des signatures qualifiées sans compromettre le contrôle exclusif du signataire sur ses clés de signature.
4. Délivrance d'attestations électroniques qualifiées d'attributs : L'eIDAS 2 introduit les attestations électroniques qualifiées d'attributs (QEAA), qui permettent aux autorités de confiance de certifier l'exactitude d'attributs spécifiques relatifs à une personne, une organisation ou un dispositif.Il peut s'agir de l'âge, de licences professionnelles, de diplômes ou d'identifiants de compte. Un QEAA prend la forme d'une attestation signée numériquement qui peut être stockée et utilisée dans un portefeuille d'identité numérique de l'UE, facilitant le partage d'attributs préservant la vie privée et permettant l'échange d'attributs d'identité avec un niveau d'assurance élevé dans l'ensemble de l'UE.

En élargissant le catalogue des services de confiance, le règlement renforce l'intégrité, la sécurité et l'interopérabilité de l'écosystème de l'identité numérique et de la confiance dans l'UE.

L'eIDAS 2 introduit également de nouvelles obligations pour certaines parties utilisatrices du secteur privé. À partir de 2027, les banques, les opérateurs de télécommunications et d'autres prestataires de services à forte valeur ajoutée devront accepter le portefeuille d'identité numérique de l'UE pour des cas d'utilisation définis. Le règlement intègre les principes du contrôle exclusif par l'utilisateur et de la protection de la vie privée dès la conception, permettant aux individus de ne divulguer que l'ensemble minimal d'attributs nécessaires à une transaction donnée.

Enfin, cette extension résout les incohérences observées depuis longtemps dans le cadre de l'eIDAS 1.0, où les autorités de contrôle nationales interprétaient différemment les exigences en matière de vérification d'identité à distance. Certains États membres ont exigé un onboarding basé sur le QES (par exemple la France), d'autres se sont appuyés sur des appels vidéo en direct (par exemple l'Allemagne), tandis que d'autres ont accepté des IDV à distance conformes à l'ETSI (par exemple l'Italie et la Roumanie). L'eIDAS 2 harmonise ces interprétations et fournit un cadre transfrontalier cohérent pour la vérification de l'identité à haut niveau d'assurance et l'utilisation de services de confiance dans l'ensemble de l'UE.

Le portefeuille européen d’identité numérique (EUDI Wallet)

En vertu du règlement de l'eIDAS initial (2016), les États membres pouvaient notifier volontairement leurs schémas nationaux d'identification électronique, rendant ces schémas légalement reconnaissables dans l'ensemble de l'UE. Ce modèle volontaire présentait une limite critique : Les pays ne disposant pas d'un système d'identification électronique n'étaient pas tenus d'en créer un. En conséquence, les taux d'adoption varient considérablement d'un État à l'autre et l'interopérabilité transfrontalière reste inégale.

L'eIDAS 2 remplace cette approche par un cadre obligatoire et harmonisé. D'ici à la fin de 2026, chaque État membre devra émettre au moins un portefeuille d'identité numérique de l'UE (EUDI Wallet). Ce portefeuille permettra aux particuliers et aux entreprises de stocker et de gérer leurs identifiants électroniques nationaux en même temps que des attributs et des références vérifiés – comme les permis de conduire, les diplômes, les qualifications professionnelles ou les informations sur les comptes bancaires – et de les partager de manière sécurisée et sélective. Cela permet de créer une identité numérique universelle et portable dans toute l'Europe.

L'objectif est de donner aux Européens le contrôle total de leur identité numérique lorsqu'ils interagissent en ligne, en leur permettant de ne divulguer que ce qui est strictement nécessaire et en réduisant la dépendance à l'égard de systèmes de connexion fragmentés ou de contrôles d'identité répétés. Pour les cas d'utilisation définis dans les secteurs public et privé, les parties utilisatrices seront tenues d'accepter le portefeuille pour l'authentification, ce qui garantira une expérience cohérente et fiable dans l'ensemble de l'UE.

Le portefeuille EUDI se fonde sur trois piliers essentiels :

1. Sécurité : Le portefeuille s'aligne sur la législation européenne existante en matière de protection des données et de cybersécurité, notamment le règlement général sur la protection des données (RGPD) et la directive NIS2, en intégrant des principes de protection de la vie privée dès la conception et des garanties techniques solides.
2. Commodité : Le portefeuille permet aux citoyens et aux résidents d'accéder plus facilement aux services publics, de postuler à un emploi, d'ouvrir un compte bancaire ou d'effectuer d'autres activités transfrontalières. Ils peuvent utiliser cet outil pour partager des données d’identité avec des organisations à des fins d’authentification. Il regroupe les informations relatives à l'identité au sein d'un outil unique et réutilisable, supprimant ainsi la nécessité d'ouvrir plusieurs sessions ou de procéder à des vérifications répétées.
3. Interopérabilité : Le règlement établit un cadre technique commun et des normes harmonisées pour garantir que les données d'identité numérique stockées dans le portefeuille sont acceptées dans toute l'UE. En définissant des spécifications communes pour les portefeuilles, les prestataires de services et les autorités publiques, il garantit l'interopérabilité entre les systèmes nationaux. Cette harmonisation favorise une approche unifiée et transfrontalière de l'identité numérique, encourageant la confiance et la reconnaissance des références pour les citoyens et les entreprises.

Dans le cadre de l'eIDAS 2, chaque État membre doit mettre au moins un portefeuille EUDI à la disposition des citoyens et des résidents d'ici décembre 2026, marquant ainsi une étape importante vers un paysage de l'identité numérique entièrement interopérable en Europe.

Dans l'ensemble, ces changements font passer l'eIDAS d'un cadre d'identité numérique fragmenté à une approche paneuropéenne harmonisée, centrée sur l'utilisateur et obligatoire, avec des règles communes sur la façon dont les identités numériques et les services de confiance sont délivrés, vérifiés et acceptés dans l'ensemble de l'UE.

Lien entre l'eIDAS 2 et l'ETSI

L'Institut européen des normes de télécommunications (ETSI) est un organisme de normalisation indépendant et sans but lucratif chargé d'élaborer des spécifications mondialement reconnues pour les technologies de l'information et de la communication. Dans le cadre de l'eIDAS, l'ETSI joue un rôle essentiel : Il traduit les obligations juridiques de haut niveau de la réglementation en exigences techniques précises et vérifiables. Ce travail se reflète dans des normes telles que ETSI TS 119 461 et la série plus large ETSI EN 319, qui définissent comment les services de confiance et la vérification de l'identité doivent fonctionner dans la pratique.

Avec l'eIDAS 2, qui introduit le portefeuille d'identité numérique de l'UE et de nouveaux services de confiance qualifiés tels que les QEAA, l'ETSI a mis à jour et étendu ses normes pour définir la sécurité, l'interopérabilité et les contrôles techniques nécessaires à la conformité. Ces normes constituent l'ossature technique permettant aux États membres et aux prestataires de services de confiance de mettre en œuvre l'eIDAS 2 de manière uniforme et sûre.

La vérification d'identité à distance est un élément central de l'écosystème eIDAS 2. Pour favoriser l'uniformité dans l'ensemble de l'UE, le règlement est associé à une norme opérationnelle spécifique, ETSI TS 119 461 v2.1.1.

La relation entre les deux instruments est fondamentale :

• L'eIDAS 2 établit les exigences légales en matière de vérification de l'identité.
• L'ETSI v2 définit la manière dont ces exigences doivent être satisfaites dans la pratique, au moyen de contrôles techniques spécifiques et vérifiables.

Le rôle de l'ETSI 119 461 v2 : L'ossature technique

L'ETSI v2 définit les exigences détaillées pour la vérification d'identité à distance et automatisée, notamment :

• Comment les documents d'identité doivent-ils être validés et recoupés, y compris la cohérence entre la zone MRZ et la zone visible et la vérification des éléments de sécurité ?
• Comment les données biométriques doivent être capturées, analysées et protégées contre les attaques de type spoofing, deepfakes et présentation ?
• Comment les attributs de l'identité et les éléments de preuve doivent-ils correspondre d'une source à l'autre ?
• Quelles preuves doivent être conservées pour étayer les audits réglementaires et la surveillance prudentielle ?
• Comment l'onboarding avec un niveau d'assurance plus élevé doit être effectué dans le cadre du niveau étendu de la vérification de l'identité (LoIP) ?

Il garantit que la vérification de l'identité dans l'ensemble de l'UE est non seulement uniforme, mais aussi techniquement rigoureuse et résistante aux schémas de fraude modernes. Le règlement eIDAS est déjà cité dans les lignes directrices de l'Autorité bancaire européenne (EBA) relatives à l'intégration à distance, dans les directives sur le blanchiment d'argent et dans le futur règlement sur le blanchiment d'argent. Elle fait également partie des attentes et des exigences en matière de surveillance dans le cadre de la PSD2 (Directive européenne sur les services de paiement) et des cadres de lutte contre la criminalité financière connexes.

Cet alignement réglementaire a des conséquences importantes. La norme ETSI v2 est devenue la référence opérationnelle pour la vérification d'identité à distance en Europe, en particulier pour les services financiers. Un processus de vérification de l'identité conçu conformément à la norme ETSI v2 permettra, en principe, de satisfaire simultanément à l'eIDAS 2, aux obligations en matière de KYC/AML et aux attentes des autorités de surveillance. Pour les institutions financières, cette convergence réduit la fragmentation et fournit un cadre clair et harmonisé pour l'onboarding transfrontalier.

Impact sur les services financiers

L'UE s'oriente vers une convergence réglementaire entre l'eIDAS 2 et les cadres de lutte contre le blanchiment d'argent (AML), créant ainsi une approche unifiée de la vérification d'identité à distance (IDV). Cet alignement fait de l'onboarding certifié par l'ETSI la norme de référence, garantissant la sécurité juridique et l'interopérabilité dans tous les États membres de l'UE.

Pour les institutions financières, comme les banques, les prestataires de services de paiement et les institutions financières réglementées, l'introduction de l'eIDAS 2 signifie donc un cadre harmonisé pour l'accueil des clients au-delà des frontières. La convergence est au rendez-vous :

• Moindres coûts de mise en conformité : Un processus IDV unique certifié par l'ETSI permet aux prestataires de services financiers de satisfaire aux obligations découlant de plusieurs cadres réglementaires (eIDAS, AMLD6, PSD2), ce qui réduit les doublons et simplifie la préparation des audits.
• Interopérabilité transfrontalière : Les processus d'intégration conformes à l'ETSI sont reconnus dans tous les États membres de l'UE, ce qui permet une intégration uniforme et une expansion rationalisée sur de nouveaux marchés.
• Meilleure prévention de la fraude et de la sécurité : La version 2 de l'ETSI introduit des contrôles rigoureux en matière d'intégrité biométrique et de lutte contre les usurpations d'identité, afin de limiter les risques associés aux deepfakes et aux attaques de présentation sophistiquées – aujourd'hui essentielles dans les environnements transactionnels à haut risque.

Dans ce contexte, les institutions financières doivent se préparer à une mise en conformité progressive :

Un prestataire de services de confiance (TSP) est une personne morale ou physique qui fournit un ou plusieurs services de confiance dans le cadre de l'eIDAS et qui est supervisée par une autorité nationale. Son rôle est de veiller à ce que les interactions numériques – de la signature et l'apposition du sceau aux documents à l'horodatage de données ou à la transmission d'informations sensibles – soient sûres, authentiques et juridiquement fiables. Les TSP maintiennent également la confidentialité et la non-répudiation des informations et permettent d'authentifier les sites web ou les signataires.

Leurs services fournissent les mécanismes permettant de vérifier l’authenticité et l’intégrité de documents, d’identités ou de communications électroniques. Ils constituent un élément central du cadre de l'eIDAS 2, garantissant que les interactions en ligne et numériques atteignent les mêmes niveaux d'assurance et d'effet juridique que les processus traditionnels sur papier. Lorsqu'un prestataire satisfait aux exigences les plus strictes et qu'il est officiellement accrédité, il devient un prestataire de services de confiance qualifié (QTSP) et peut fournir des services de confiance qualifiés qui ont une valeur juridique spécifique dans toute l'UE.

Dans le cadre de l'eIDAS 2, les services de confiance comprennent à la fois ceux établis en vertu du règlement eIDAS original et une série de nouveaux services conçus pour répondre à l'évolution des besoins en matière d'identité numérique. Voici quelques exemples :

1. Signatures électroniques pour les particuliers

   Une signature électronique permet aux particuliers de signer numériquement des documents avec des garanties d'intégrité et d'authenticité, c'est-à-dire qu'elle fournit un moyen sûr et vérifiable de s’assurer que le signataire est bien celui qu’il prétend être et que le document n’a pas été modifié depuis l’apposition de la signature. Le règlement classe ces signatures en trois niveaux : Signature électrique simple : Fournit une sécurité de base adaptée aux cas d'utilisation à faible risque. Signature électronique avancée : Offre un niveau de sécurité plus élevé en liant la signature de manière unique au signataire et en permettant la détection de toute modification apportée aux données signées. Signature électronique qualifiée (QES) : Assure le plus haut niveau de sécurité et possède la même valeur juridique qu'une signature manuscrite. Elle doit être créée à l'aide d'un dispositif de création de signature qualifié (Qualified Signature Creation Device, QSCD) et soutenue par un certificat qualifié délivré par un fournisseur de services de confiance qualifié (QTSP).Les QSCD dépendent généralement d'un type de matériel cryptographique, tel qu’un module matériel de sécurité (HSM), qui a fait l’objet d’une procédure de certification conforme à l’eIDAS.

    

2. Sceaux électroniques (eSeals)

   Les sceaux électroniques fonctionnent de manière similaire aux signatures électroniques, mais ils sont utilisés par des personnes morales (par exemple, des entreprises) plutôt que par des particuliers. Ils sont largement utilisés pour les factures, les communications officielles et les documents de conformité. Dans le cadre de l'eIDAS 2, les sceaux confirment l’origine et l’intégrité d’un document, en vérifiant qu’il a été émis par une entité spécifique et qu’il n’a pas été modifié. Comme les signatures électroniques, elles peuvent être simples, avancées ou qualifiées.

    

3. Horodatage électronique

   Un horodatage prouve qu’un document électronique ou un élément de données spécifique existait à un moment donné et n'a pas été altéré depuis. Il s'agit d'un moyen sûr d'établir l'origine de la création, de la soumission ou de la réception d'un document, ce qui ajoute une couche supplémentaire d'intégrité et de confiance. L'eIDAS 2 renforce les exigences en matière d'horodatage afin de fournir une preuve durable et vérifiable de l'existence des données à un moment précis, ce qui permet de préserver leur intégrité. Il est principalement utilisé dans des secteurs tels que la finance, les soins de santé et les services juridiques. Les horodatages électroniques peuvent soit être qualifiés soit non qualifiés.

    

4. Certificats qualifiés pour l’authentification des sites web (QWAC)

   Pour résumé, un QWAC est un fichier qui prouve l’authenticité d’un appareil, d’un serveur, d’un utilisateur ou d’une entité par le biais de la cryptographie à clé publique. Il contient une copie de la clé publique du détenteur du certificat, qui doit être comparée à la clé privée correspondante pour en vérifier la provenance. C'est l'équivalent européen d'un certificat TLS/SSL public. Dans le cadre de l'eIDAS 2, les QWAC restent essentiels pour instaurer la confiance entre les utilisateurs et les services en ligne, en particulier les institutions financières et les portails gouvernementaux.

    

5. Service d'envoi électronique de courrier recommandé qualifié (ERDS)

   Un ERDS assure une transmission électronique sécurisée des données avec preuve d'envoi et de réception, offrant une sécurité juridique similaire à celle d'un courrier postal recommandé. Il est essentiel pour les communications sensibles comme les contrats, les dépôts réglementaires et les avis officiels. L'eIDAS 2 améliore l'interopérabilité de l'ERDS grâce aux normes ETSI, en harmonisant les approches réglementaires pour la messagerie sécurisée transfrontalière.

    

6. Attestation électronique qualifiée des attributs (QEAA)

   Une QEAA permet une vérification fiable des attributs personnels ou organisationnels, tels que le nom, l'âge, les qualifications professionnelles ou les licences. Ce service aide la vérification de l'identité et les processus KYC sans exposer de données personnelles inutiles, grâce à la divulgation sélective. Il certifie les attributs d'identité pour les interactions basées sur le portefeuille et, en tant que tel, il est la pierre angulaire de l'identité numérique préservant la vie privée dans l'écosystème du portefeuille EUDI.

    

7. Archivage électronique de documents numériques

   Ce service assure la conservation à long terme des documents électroniques avec des garanties d'intégrité et d'authenticité. Il répond au besoin croissant de stockage numérique sécurisé dans des secteurs où la conformité est importante, comme la santé, la finance et l'administration. L'archivage dans le cadre de l'eIDAS 2 nécessite de s'appuyer sur des méthodes cryptographiques pour maintenir la confiance dans le temps.

    

8. Services de grand livre électronique

   Les grands livres électroniques fournissent des enregistrements immuables en utilisant la blockchain ou des technologies similaires. Ils permettent des pistes d'audit transparentes et infalsifiables pour les transactions financières, la gestion de la chaîne d'approvisionnement et les rapports réglementaires. En introduisant ce service, l'eIDAS 2 soutient les modèles de confiance décentralisés et les cadres de conformité à l'épreuve du temps.

    

9. Gestion à distance des QSCD

   La gestion à distance des QSCD permet un contrôle à distance sécurisé des dispositifs de création de signature, ce qui permet d'obtenir des signatures électroniques qualifiées (QES) et des sceaux sans présence physique. Cette innovation prend en charge le travail à distance et la transformation numérique tout en maintenant les normes de sécurité les plus élevées. Elle est particulièrement pertinente pour les opérations commerciales transfrontalières et les solutions de signature basées sur l'informatique dématérialisée.

L'introduction de l'eIDAS 2 marque un changement important dans la manière dont les services d'identité numérique et de confiance fonctionnent au sein de l'UE. D'ici à 2026, tous les États membres devront soutenir l'EUDI Wallet, et les organisations des secteurs réglementés – notamment les services financiers, les télécommunications et les soins de santé – devront se conformer à de nouvelles exigences en matière de vérification d'identité et de services de confiance.

Les voies de conformité varient en fonction du rôle de l'organisation dans l'écosystème de l'identité numérique. Les exigences diffèrent entre les parties utilisatrices – les entreprises de l'UE qui utilisent des services de vérification d'identité et de confiance – et les prestataires de services de confiance (TSP), qui fournissent ces services sous contrôle réglementaire.

Entreprises européennes

Pour les entreprises de l'UE qui utilisent le site de vérification d'identité dans le cadre de leurs flux d'accueil ou de transactions, la conformité exigera de plus en plus de s'aligner sur la norme ETSI TS 119 461 v2 et sur le modèle d'authentification basé sur le portefeuille introduit par l'eIDAS 2. En pratique, cela implique :

• la mise en œuvre de processus robustes de vérification de l'identité à distance avec intégrité biométrique, résistance au spoofing et vérification de l'authenticité des documents
• l'ntégration de signatures électroniques qualifiées ou de certificats lorsque la loi l'exige.
• la préparation des systèmes pour accepter l'authentification basée sur le portefeuille EUDI et les attestations électroniques qualifiées d'attributs (QEAA)

Ces changements garantissent que les parties utilisatrices soutiennent un modèle de vérification uniforme et fiable dans l'ensemble de l'UE.

Fournisseurs de services de confiance

Pour les prestataires de services de confiance, la conformité exige d'exploiter les QSCD, les infrastructures PKI et les plateformes de services de confiance conformément aux exigences techniques et de surveillance définies dans le cadre de l'eIDAS et des normes ETSI correspondantes.

Elles contribuent notamment à :

• la génération et au stockage sécurisés des clés de signature au sein des QSCD
• un contrôle ferme de l'accès aux fonctionnalités de signature et d'apposition de sceaux
• l'enregistrement, la conservation et l'archivage fiables des preuves
• un cadre organisationnel et de sécurité capable de passer les audits de surveillance et de satisfaire aux obligations de déclaration des incidents.

Les TSP doivent utiliser des QSCD certifiés pour créer des signatures électroniques qualifiées. Ces dispositifs garantissent que les données de création de signature (comme les clés privées) sont générées, gérées et stockées dans un environnement sécurisé, empêchant tout accès non autorisé.

Les fournisseurs de services doivent également mettre en place une Public Key Infrastructure (PKI) robuste pour gérer les certificats numériques et les clés de chiffrement. La PKI renforce l’émission, la distribution et la vérification sécurisées de certificats numériques, permettant d'avoir confiance en la fiabilité des signatures électroniques et en d’autres services.Les TSP doivent donc maintenir des pratiques de gestion des clés conformes, des contrôles sécurisés du cycle de vie et s'aligner sur toutes les exigences de l'eIDAS applicables.

Les systèmes de gestion des identités et des accès (GIA) efficaces sont également essentiels pour que les TSP puissent gérer les identités des utilisateurs et contrôler l’accès à leurs services. Ces systèmes doivent intégrer des méthodes d’authentification forte, telles que l’authentification multifactorielle, pour vérifier l’identité des utilisateurs. Les solutions de gestion des identités et des accès (GIA) peuvent également garantir que seules les personnes autorisées et le personnel peuvent effectuer des opérations sensibles, telles que l’émission de certificats ou la création de signatures électroniques.

Dans les deux cas, le changement introduit par l'eIDAS 2 concerne non seulement les outils utilisés par les organisations, mais aussi la manière dont ces outils sont régis, testés et démontrés aux régulateurs. L'alignement sur la norme ETSI TS 119 461 v2 et les normes ETSI plus larges constitue la voie la plus claire et la plus vérifiable pour démontrer que les opérations de vérification d'identité et de services de confiance répondent au nouveau niveau d'assurance harmonisé attendu dans l'ensemble de l'UE.

En tant que membre fondateur du Cloud Signature Consortium et leader de longue date en matière de PKI, d'infrastructure de confiance et de cybersécurité, Entrust aide les organisations à répondre aux exigences en constante évolution de l'eIDAS 2.

Nos solutions s'intègrent parfaitement aux flux de travail de KYC et AML, et soutiennent les pratiques de vérification d'identité robustes et centrées sur la vie privée attendues par l'eIDAS 2 et les réglementations du secteur financier.

Entrust propose une solution de vérification d'identité conforme à l'ETSI qui combine la vérification des documents, les contrôles biométriques et l'intelligence des appareils dans le cadre d'un flux de travail efficace et automatisé. Ces capacités aident à permettre un onboarding à distance sécurisé et fiable sans appels vidéo ni traitement manuel, tout en maintenant l'alignement avec les exigences du RGPD et de l'ETSI. Elles favorisent également l'interopérabilité transfrontalière, ce qui permet aux organisations de fonctionner de manière uniforme dans les États membres de l'UE.

En outre, le leadership d'Entrust en matière de PKI et d'infrastructure de confiance aide les clients à créer et à exploiter des services de confiance numérique conformes sur une base sûre et évolutive. Notre technologie soutient les organisations qui cherchent à mettre en œuvre des flux de travail de signature numérique ou d'autres architectures de services de confiance de manière à s'aligner sur les attentes techniques reflétées dans l'eIDAS 2. Avec Entrust, les organisations peuvent entrer en toute confiance dans l'ère de l'eIDAS 2, en s'appuyant sur des capacités de vérification d'identité et d'infrastructure de confiance fiables, interopérables et prêtes pour l'avenir.