eIDAS 2 : tout ce qu’il faut savoir

L’identification électronique (eID) est une méthode numérique permettant de prouver l’identité d’une personne. Elle permet aux personnes d’accéder à des services en ligne, d’effectuer des transactions électroniques et d’interagir avec des plateformes gouvernementales en toute sécurité. Un système eID garantit que la personne qui utilise les services est bien celle qu’elle prétend être, ce qui réduit le risque d’usurpation d’identité et de fraude.

En tant que forme de vérification d’identité numérique, les systèmes eID ont largement recours à divers authentificateurs. Pour faire court, l’authentification est le processus qui permet de s’assurer que l’identité déclarée d’un utilisateur ou d’un appareil est valide.

Généralement, la vérification d’identité numérique utilise une combinaison de trois facteurs d’authentification :

1. Authentification basée sur la connaissance : l’utilisateur fournit quelque chose qu’il est le seul à connaître, comme un mot de passe ou un code.
2. Authentification basée sur la possession : l’utilisateur fournit quelque chose qu’il est le seul à posséder, comme un document électronique, un passeport ou une carte à puce.
3. Authentification biométrique : les caractéristiques physiques de l’utilisateur sont vérifiées à l’aide des empreintes digitales ou de la reconnaissance faciale.

Une fois son identité vérifiée, la personne se voit accorder l’accès aux services en ligne souhaités et son identité numérique peut être utilisée pour des vérifications ultérieures.

Cette méthode est nettement plus efficace que les processus traditionnels sur papier. Au lieu d’effectuer des contrôles manuels ou en personne, les organisations peuvent rationaliser le flux de travail et éliminer les erreurs humaines. Cela permet non seulement d’offrir une meilleure expérience aux utilisateurs, mais aussi d’assurer la gestion des risques et la protection des données à grande échelle.

Cas d’utilisation de l’identification électronique

D’innombrables secteurs tirent parti de l’identification numérique pour authentifier rapidement et en toute transparence clients, citoyens et employés.

• Services bancaires en ligne : les systèmes eID permettent aux institutions financières de s’assurer que seules les personnes autorisées peuvent accéder aux comptes, ce qui les protège contre les fraudes potentielles.
• Secteur public : les services d’identité numérique permettent aux citoyens d’accéder en ligne à des services gouvernementaux essentiels, tels que la déclaration d’impôts, la demande de prestations sociales et l’accès aux dossiers personnels. Il n’est donc plus nécessaire de se rendre physiquement dans les bureaux de l’administration, ce qui réduit les charges administratives et améliore la prestation de services dans son ensemble.
• Services professionnels : les avocats, comptables et autres professionnels peuvent utiliser l’eID pour vérifier l’identité de leurs clients à distance, garantissant ainsi le respect des exigences légales et réglementaires. Ce processus de vérification sécurisé rationalise l’intégration de clients, la signature de documents et la fourniture de services sensibles, ce qui favorise l’établissement de relations professionnelles en toute confiance.
• Vente au détail en ligne : en vérifiant l’identité des clients lors des transactions numériques, l’eID garantit que les achats sont autorisés. Il simplifie également les processus de paiement, permettant aux clients d’effectuer des transactions rapidement et en toute sécurité sans avoir à saisir plusieurs fois leurs informations personnelles. Cette amélioration de l’expérience de l’utilisateur peut donner lieu à une plus grande satisfaction des clients et renforcer leur fidélité.

eIDAS signifie « electronic Identification, Authentication, and Trust Services » (identification, authentification et services électroniques de confiance). En tant que règlement européen complet, il unifie tous les services européens d’identification électronique et de confiance dans un cadre juridique commun.

Avant l’eIDAS, il n’existait pas d’approche cohérente de la vérification des identités électroniques. Chaque État membre de l’UE avait ses propres exigences juridiques et son infrastructure de services de confiance, mais elles ne fonctionnaient pas dans d’autres juridictions. Ce paysage fragmenté a rendu difficile la sécurisation des transactions transfrontalières, entravant l’efficacité des services en ligne et des plateformes de commerce électronique.

La Commission européenne a adopté le règlement eIDAS en 2014, établissant trois principes d’unification :

1. Reconnaissance mutuelle : dans le cadre de l’eIDAS, tous les pays de l’UE sont légalement tenus de reconnaître les systèmes d’identification électronique des autres pays. Cela signifie qu’une carte d’identité électronique nationale ou un service de confiance délivré dans un État membre de l’UE doit être accepté dans tous les autres.
2. Interopérabilité : l’eIDAS assure également la compatibilité entre les différentes solutions d’identification électronique. Les personnes et les organisations peuvent utiliser la même identité numérique sur différentes plateformes et services sans aucune difficulté.
3. Sécurité : Le règlement garantit également que les identités numériques et les transactions électroniques sont protégées contre la fraude et les cybermenaces, offrant ainsi un environnement sûr et fiable dans l’ensemble de l’UE.

Ce règlement de l’UE s’applique aux 27 États membres. La conformité est également obligatoire pour les organisations de l’UE dont les offres numériques nécessitent une identification sécurisée, telles que les services bancaires ou le commerce électronique. De même, elle s’applique à tout fournisseur de service de confiance (Trust service provider, TSP) opérant dans l’Union européenne, qui doit obtenir une certification auprès d’un organisme de contrôle désigné, confirmant que les services de l’organisation sont conformes aux normes de l’eIDAS.

Qu’est-ce qu’un fournisseur de service de confiance ?

Un fournisseur de service de confiance est une personne morale ou physique qui crée, vérifie et conserve des signatures, des sceaux et des certificats électroniques. Les TSP assurent également la confidentialité et la non-répudiation des informations et authentifient les sites Web ou les signataires.

Leurs services fournissent les mécanismes nécessaires pour vérifier l’authenticité et l’intégrité d’un document, d’une identité ou d’une communication électronique. Il s’agit d’un élément essentiel du règlement eIDAS, qui garantit que les interactions en ligne sont aussi sûres et fiables que leurs équivalents sur papier.

En conséquence, les services de confiance de l’eIDAS peuvent comprendre les éléments suivants :

1. Signatures électroniques
   Une signature électronique fonctionne de la même manière qu’une signature manuscrite. Elle permet de signer numériquement des documents, ce qui constitue un moyen sûr et vérifiable de s’assurer que le signataire est bien celui qu’il prétend être et que le document n’a pas été modifié depuis l’apposition de la signature. L’eIDAS classe ces signatures selon trois niveaux :

   • Signature électrique simple : fournit une sécurité de base adaptée aux applications à faible risque.
   • Signature électronique avancée : offre un niveau de sécurité plus élevé en liant la signature de manière unique au signataire et en permettant la détection de toute modification apportée aux données signées.
   • Signature électronique qualifiée : assure le plus haut niveau de sécurité et équivaut juridiquement à une signature manuscrite. Elle doit être créée à l’aide d’un Qualified Signature Creation Device et s’appuie sur un certificat numérique qualifié.

   Un QSCD est un type de matériel cryptographique, tel qu’un module matériel de sécurité (HSM), qui a fait l’objet d’une procédure de certification conforme à l’eIDAS.
    

2. Sceaux électroniques
   Un sceau électronique est similaire à une signature électronique, mais il est utilisé par des personnes morales (par exemple, des entreprises) plutôt que par des particuliers. Il garantit l’origine et l’intégrité d’un document, en vérifiant qu’il a été émis par une entité spécifique et qu’il n’a pas été modifié.
3. Horodatage
   Un horodatage prouve qu’un document électronique ou un élément de données spécifique a existé à un moment donné. Il s’agit d’un moyen sûr d’établir l’origine de la création, de la soumission ou de la réception d’un document, ce qui ajoute une couche supplémentaire d’intégrité et de fiabilité.
4. Certificats numériques
   En résumé, un certificat numérique est un fichier qui prouve l’authenticité d’un appareil, d’un serveur, d’un utilisateur ou d’une entité par le biais de la cryptographie à clé publique. Il contient une copie de la clé publique du détenteur du certificat, qui doit être comparée à la clé privée correspondante pour en vérifier la provenance.

Le règlement européen sur l’identité numérique, également connu sous le nom d’eIDAS 2, est une version actualisée de la législation eIDAS initiale. Il a été publié au Journal officiel de l’Union européenne en avril 2024 et est entré en vigueur un mois plus tard.

Bien que la première version ait été couronnée de succès à bien des égards, beaucoup de progrès restaient encore à faire. Notamment, le cadre original de l’identité numérique a connu des niveaux d’adoption variables dans chaque État membre de l’UE, ce qui a entraîné des incohérences et des difficultés dans l’utilisation de l’identité électronique et des services de confiance. En 2021, seuls 59 % des résidents de l’UE pouvaient utiliser une identité électronique fiable à travers les frontières.

L’eIDAS 2 remédie à ces lacunes en introduisant une série de changements importants.

Le portefeuille européen d’identité numérique (EUDI Wallet)

Auparavant, les pays de l’UE pouvaient notifier volontairement leurs systèmes nationaux d’identification électronique, que les autres pays étaient tenus de reconnaître. Toutefois, cela n’obligeait aucun pays à créer un système d’identification électronique s’il n’en possédait pas, d’où les différences de taux d’adoption.

Désormais, tous les États membres doivent proposer aux entreprises et aux citoyens un portefeuille numérique sécurisé qui permette de relier leur carte d’identité électronique nationale à la preuve d’autres données personnelles, telles que les permis de conduire, les diplômes et les comptes bancaires. Cela permet la création d’un portefeuille européen d’identité numérique universel, permettant aux personnes de stocker, de gérer et de partager de manière sélective des données personnelles, des informations d’identification et des attributs.

L’objectif est de permettre aux Européens de contrôler pleinement leurs données lorsqu’ils utilisent des services en ligne, en réduisant le partage inutile de données. Les fournisseurs de services qui vérifient l’identité des clients doivent accepter ces portefeuilles pour l’authentification.

Le portefeuille d’identité numérique européen présente trois caractéristiques essentielles :

1. Sécurité : la mise à jour s’aligne sur les lois existantes en matière de cybersécurité, telles que le Règlement général sur la protection des données (RGPD), qui exige le respect de ces normes. Il permet également aux organismes publics de délivrer des certifications électroniques, aidant ainsi les organisations à reconnaître les informations d’identification dans toute l’Europe tout en privilégiant la confidentialité des données.
2. Commodité : le portefeuille EUDI permet aux citoyens d’accéder plus facilement aux services publics, de postuler à un emploi ou de voyager à travers l’Europe. Ils peuvent utiliser cet outil pour partager des données d’identité avec des organisations à des fins d’authentification, ce qui simplifie l’accès aux activités transfrontalières essentielles.
3. Interopérabilité : le règlement favorise également une approche unifiée, facilitant l’acceptation des identités numériques dans l’ensemble de l’UE. Il fournit une structure technique et des normes communes aux citoyens et aux fournisseurs de services en ligne. Cette harmonisation garantit que les solutions d’identité numérique sont reconnues et dignes de confiance dans l’ensemble de l’UE.

Les États membres doivent mettre à la disposition des citoyens un portefeuille d’identité numérique national d’ici à 2026.

Un champ d’application élargi

Le règlement européen sur l’identité numérique améliore considérablement le cadre des fournisseurs de services de confiance qualifiés (qualified trust service providers, QTSP), c’est-à-dire des entités certifiées offrant des services de confiance sécurisés et fiables. Les QTSP doivent respecter des normes réglementaires strictes, qui prévoient notamment la mise en œuvre de protocoles de sécurité, des audits réguliers et l’obtention d’une certification de la part d’un organisme de surveillance désigné.

En outre, l’eIDAS 2 a élargi le champ d’application de la règle pour qu’elle inclue trois nouveaux services de confiance qualifiés :

1. Services d’archivage électronique : l’archivage permet de stocker en toute sécurité des documents et des données électroniques. Ces services garantissent que les données archivées restent authentiques et inchangées au fil du temps. Les services d’archivage électronique qualifiés, introduits par l’eIDAS 2, doivent respecter des normes strictes afin de préserver l’intégrité et la valeur juridique des documents électroniques tout au long de leur période de conservation.
2. Grands livres électroniques : ce service s’appuie sur la technologie de chaîne de blocs pour fournir un enregistrement sécurisé et immuable des transactions et des données. Les données électroniques peuvent ainsi être suivies et vérifiées de manière fiable, ce qui permet de prendre en charge diverses applications et cas d’utilisation tels que les transactions financières, la gestion de la chaîne d’approvisionnement, entre autres.
3. Gestion des dispositifs de création de signatures et de sceaux électroniques à distance : ce service de confiance permet aux fournisseurs de signatures électroniques de gérer les processus de signature et de sceau à distance de manière sécurisée, et garantit que les signataires conservent le contrôle total du processus de signature, même s’ils n’effectuent pas physiquement la signature.

La conformité à l’eIDAS fonctionnera différemment selon que vous êtes une organisation européenne ou un fournisseur de services de confiance. Voici les outils essentiels que les deux parties peuvent utiliser pour simplifier les exigences réglementaires :

Entreprises européennes

Les organisations proposant des services nécessitant une vérification d’identité doivent mettre en place un système d’authentification solide. Pour les entreprises européennes en particulier, qu’elles visent une solution locale particulière, une stratégie régionale ou une approche globale, le paysage réglementaire de l’UE évolue rapidement, l’harmonisation étant l’objectif ultime. Cela implique d’utiliser des certificats eIDAS et des signatures électroniques qualifiées, qui sont des attestations qui confirment l’identité et vérifient l’authenticité. Les processus de vérification numérique doivent être intégrés dans les opérations de l’entreprise afin de rationaliser l’intégration et l’authentification des transactions, en veillant à ce que seules les personnes autorisées puissent accéder aux services et aux données sensibles.

Fournisseurs de services de confiance

Les TSP doivent utiliser des QSCD pour créer des signatures électroniques qualifiées. Ces dispositifs garantissent que les données de création de signature (telles que les clés privées) sont générées, gérées et stockées dans un environnement sécurisé, empêchant tout accès non autorisé.

Les fournisseurs de services doivent également mettre en place une Public Key Infrastructure (PKI) robuste pour gérer les certificats numériques et les clés de chiffrement. La PKI permet l’émission, la distribution et la vérification sécurisées de certificats numériques, garantissant la fiabilité des signatures électroniques et d’autres services. Les TSP doivent s’assurer que leurs opérations PKI sont conformes aux exigences de l’eIDAS, y compris le maintien de pratiques sécurisées de gestion des clés.

Les systèmes de gestion des identités et des accès (GIA) sont également essentiels pour que les TSP puissent gérer les identités des utilisateurs et contrôler l’accès à leurs services. Ces systèmes doivent intégrer des méthodes d’authentification forte, telles que l’authentification multifactorielle, pour vérifier l’identité des utilisateurs. Les solutions GIA peuvent également garantir que seules les personnes autorisées peuvent effectuer des opérations sensibles, telles que l’émission de certificats ou la création de signatures électroniques.

En tant que membre fondateur du Cloud Signature Consortium, et fournisseur de solutions d’infrastructure pour le déploiement de services de confiance, Entrust est là pour vous aider à vous conformer à l’eIDAS. Nos solutions vous permettent de générer des Qualified Signatures et de mettre en place des services de confiance conformes sur une base solide et sécurisée.