eIDAS : Règlement de l’Union européenne de signature électronique

Le Règlement de l’Union européenne n°910/2014, dit eIDAS, établit un cadre juridique commun pour les signatures électroniques dans l’Union européenne. Dans cet article, nous passons en revue les bases de ce Règlement, ainsi que les nouveautés introduites en matière de définition et de classification de la signature électronique.

En outre, nous reviendrons sur les aspects les plus importants réglementés par l’eIDAS. Parmi eux, les effets juridiques des signatures électroniques, les services d’envoi recommandé électronique et les labels de confiance.

Cet article se trouve également dans notre guide de signature électronique. Entrez et découvrez toutes nos ressources !

Avant le Règlement de l’Union européenne eIDAS – La Directive 1999/93/CE

La Directive 1999/93/CE a été le premier texte à réglementer les signatures électroniques et à reconnaître leurs effets juridiques dans l’Union européenne. 

Cependant le problème fondamental de ce dernier était que chaque État membre de l’Union européenne l’interprétait à sa manière. Cela compliquait la reconnaissance et la validité des signatures électroniques entre les pays de l’UE et dans leurs juridictions respectives.

Ce problème allait à l’encontre de l’intention même cette initiative, qui visait à simplifier et accélérer son adoption et non à la bloquer. Par exemple, il y avait un vide dans le domaine de l’identification des utilisateurs dans les services électroniques, car chaque pays avait sa propre façon de les identifier. Et chacune de ces formes de reconnaissance d’identité ne coïncidait pas toujours avec les formes ou mécanismes mis en place dans d’autres pays de l’Union.

En conséquence, comme cela s’est produit avec d’autres réglementations régissant certains aspects du monde numérique, comme par exemple la Directive sur la vie privée ou la Directive sur le commerce électronique, la Directive 1999/93/CE est devenue obsolète. 

C’est pour cela que le nouveau Règlement (UE) n°910/2014, connu sous le nom d’eIDAS, a été créé et est entré en vigueur le 1er juillet 2016 dans toute l’Union européenne. Le Règlement eIDAS réglemente l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.

Quelles sont les bases du Règlement n°910/2014 ou Règlement eIDAS ?

Comme nous l’avons indiqué, le nouveau Règlement européen sur l’identification électronique et les services de confiance, connu sous le nom d’eIDAS, définit un nouveau cadre juridique pour les signatures électroniques dans l’Union européenne.

Outre la signature électronique, le Règlement établit également un cadre juridique pour les autres services de confiance, à savoir : cachets électroniques, horodatage électronique, services d’envoi recommandé électronique (ou lettre recommandée électronique) et authentification de site Internet.

Il convient de noter que ce nouveau texte est un Règlement et non une Directive, ce qui signifie qu’il n’a pas besoin d’être préalablement transposé dans l’ordre juridique national de chaque État membre pour être appliqué, il est directement applicable à tous les États de l’UE. 

Ce dernier a pour objectif « de susciter une confiance accrue dans les transactions électroniques au sein du marché intérieur en fournissant un socle commun pour des interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques et en accroissant ainsi l’efficacité des services en ligne publics et privés, ainsi que de l’activité économique et du commerce électronique dans l’Union. »

En bref, il s’agit d’éliminer les barrières entre les États membres !

Quelles nouveautés le Règlement eIDAS introduit-il en matière de signatures électroniques ?

Trois types de signature électronique avaient été définis dans la précédente Directive 1999/93/CE :

1. La signature électronique comme « une donnée sous forme électronique, qui est jointe ou liée logiquement à d’autres données électroniques et qui sert de méthode d’authentification ». (Ce type de signature électronique plus basique est connu sous le nom de signature électronique simple.)
2. La signature électronique avancée comme « une signature électronique qui satisfait aux exigences suivantes :

• être liée uniquement au signataire ;
• permettre d’identifier le signataire ;
• être créée par des moyens que le signataire puisse garder sous son contrôle exclusif.
• être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable. »

3. La signature électronique avancée basée sur un certificat qualifié. Ce dernier type de signature était déjà inscrit dans la directive 1999/93/CE, bien qu’il n’ait pas été directement défini. (Voir les définitions du certificat et du certificat qualifié dans l’article 2, ainsi que les annexes I et II pour plus d’informations).

Cette classification a été maintenue dans le nouveau Règlement eIDAS, cependant ce qui a changé, c’est la dénomination de la « signature électronique avancée basée sur un certificat qualifié ». Dans le Règlement eIDAS, elle est désormais appelée « signature électronique qualifiée », et se définit comme : « une signature électronique avancée qui est créée à l’aide d’un dispositif de création de signature électronique qualifié, et qui repose sur un certificat qualifié de signature électronique ».

En outre il est établi que la signature électronique qualifiée a la même valeur légale que la signature manuscrite et qu’elle sera reconnue dans tous les États membres, quel que soit l’État dans lequel elle a été créée.

eIDAS – Effets juridiques des signatures électroniques (Article 25)

• « L’effet juridique et la recevabilité d’une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée.
• L’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite.
• Une signature électronique qualifiée qui repose sur un certificat qualifié délivré dans un État membre est reconnue en tant que signature électronique qualifiée dans tous les autres États membres. »

Les avantages de la signature électronique avancée

Parmi les trois types de signature électronique définis dans eIDAS, la signature électronique avancée est la plus adaptée pour la plupart des cas d’usage au sein d’une entreprise.

Les principaux avantages de la signature électronique avancée sont :

• Par rapport à la signature simple : Le principal avantage de la signature électronique avancée est la sécurité qu’elle apporte, car la signature simple ne permet pas d’identifier le signataire de manière univoque.
• Par rapport à la signature qualifiée : D’une part, le niveau de sécurité qu’elle offre est pratiquement identique à celui de la signature qualifiée, comme elle permet également d’identifier le signataire de manière univoque et garantit l’intégrité de l’acte. Et d’autre part, elle est plus facile à utiliser, car il ne nécessite pas en amont de procédure de vérification d’identité en face à face du signataire pour obtenir le certificat qualifié.

 >> Pour aller plus loin : La différence entre signature électronique simple, avancée et qualifiée

6 aspects importants du Règlement eIDAS

1. Reconnaissance mutuelle (article 6)

Cet article établit que : « lorsqu’une identification électronique à l’aide d’un moyen d’identification électronique et d’une authentification est exigée en vertu du droit national ou de pratiques administratives nationales pour accéder à un service en ligne fourni par un organisme du secteur public dans un État membre, le moyen d’identification électronique délivré dans un autre État membre est reconnu dans le premier État membre aux fins de l’authentification transfrontalière pour ce service en ligne, à condition que les conditions suivantes soient remplies :

• la délivrance de ce moyen d’identification électronique relève d’un schéma d’identification électronique qui figure sur la liste publiée par la Commission en vertu de l’article 9 ;
• le niveau de garantie de ce moyen d’identification électronique correspond à un niveau de garantie égal ou supérieur à celui requis par l’organisme du secteur public concerné pour accéder à ce service en ligne dans le premier État membre, à condition que le niveau de garantie de ce moyen d’identification électronique corresponde au niveau de garantie substantiel ou élevé ;
• l’organisme du secteur public concerné utilise le niveau de garantie substantiel ou élevé pour ce qui concerne l’accès à ce service en ligne. »

2. Coopération et interopérabilité (article 12)

Dans cet article, il est inscrit que les schémas nationaux d’identification électronique notifiés en vertu de l’article 9, sont interopérables. Pour cela un cadre d’interopérabilité satisfaisant les critères suivants est établi :

• « il vise à être neutre du point de vue technologique et n’opère pas de discrimination entre l’une ou l’autre des solutions techniques nationales particulières destinées à l’identification électronique au sein d’un État membre ;
• il suit les normes européennes et internationales, dans la mesure du possible;

• il facilite la mise en œuvre du principe du respect de la vie privée dès la conception ; et 
• il garantit que les données à caractère personnel sont traitées conformément à la directive 95/46/CE. »

De plus, ce cadre d’interopérabilité établit entre autres les exigences techniques minimales liées aux niveaux de garantie, une table de correspondance entre les niveaux de garantie nationaux, un ensemble minimal de données d’identification personnelle représentant de manière univoque une personne physique ou morale.

3. Changement de dénomination des prestataires et exigences à respecter

Les prestataires de services de certification sont désormais dénommés « prestataires de services de confiance ».

De cette manière, la terminologie est élargie, car au-delà des services de certification, il existe d’autres types de services de confiance tels que la signature électronique, l’horodatage électronique ou encore l’envoi recommandé électronique.

Dans l’article 19, il est précisé que les prestataires de services de confiance, qu’ils soient qualifiés ou non, sont tenus de se conformer à une série d’exigences :

• « Les prestataires de services de confiance qualifiés et non qualifiés prennent les mesures techniques et organisationnelles adéquates pour gérer les risques liés à la sécurité des services de confiance qu’ils fournissent. Compte tenu des évolutions technologiques les plus récentes, ces mesures garantissent que le niveau de sécurité est proportionné au degré de risque. Des mesures sont notamment prises en vue de prévenir et de limiter les conséquences d’incidents liés à la sécurité et d’informer les parties concernées des effets préjudiciables de tels incidents. »
• « Les prestataires de services de confiance qualifiés et non qualifiés notifient, dans les meilleurs délais et en tout état de cause dans un délai de vingt-quatre heures après en avoir eu connaissance, à l’organe de contrôle et, le cas échéant, à d’autres organismes concernés, tels que l’organisme national compétent en matière de sécurité de l’information ou l’autorité chargée de la protection des données, toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence importante sur le service de confiance fourni ou sur les données à caractère personnel qui y sont conservées. »

Et en particulier, concernant les prestataires de services de confiance qualifiés, il est établi qu’ils feront l’objet, au moins tous les vingt-quatre mois, d’un audit effectué à leurs frais par un organisme d’évaluation de la conformité.

4. Signature électronique, effets juridiques et exigences

Il est établi à l’article 25 que « l’effet juridique et la recevabilité d’une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée. »

En outre :

• « L’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite. »
• « Une signature électronique qualifiée qui repose sur un certificat qualifié délivré dans un État membre est reconnue en tant que signature électronique qualifiée dans tous les autres États membres. »

Les articles suivants du Règlement eIDAS détaillent plus spécifiquement les exigences à prendre en compte pour les signatures électroniques avancées, les caractéristiques des signatures électroniques pour les services publics et les certificats de signature électronique qualifiés, ainsi que les exigences des dispositifs de création de signature électronique qualifiés ou de validation des signatures électroniques qualifiées.

Les exigences relatives à une signature électronique avancée (article 26) :

• « Être liée au signataire de manière univoque ;
• Permettre d’identifier le signataire ;
• Avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ; et
• Être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.

5. Services d’envoi recommandé électronique (article 43 et suivants)

De la même manière que pour les signatures électroniques, il est établi que : « l’effet juridique et la recevabilité des données envoyées et reçues à l’aide d’un service d’envoi recommandé électronique comme preuves en justice ne peuvent être refusés au seul motif que ce service se présente sous une forme électronique ou qu’il ne satisfait pas aux exigences du service d’envoi recommandé électronique qualifié. »

En outre, « les données envoyées et reçues au moyen d’un service d’envoi recommandé électronique qualifié bénéficient d’une présomption quant à l’intégrité des données, à l’envoi de ces données par l’expéditeur identifié et à leur réception par le destinataire identifié, et à l’exactitude de la date et de l’heure de l’envoi et de la réception indiquées par le service d’envoi recommandé électronique qualifié. »

6. Label de confiance de l’Union pour les services de confiance qualifiés (article 23)

La volonté du législateur d’autoriser ce type de services de confiance et de transactions entre membres de l’Union européenne est telle qu’il est question d’un label de confiance de l’Union dans l’article 23 pour les services de confiance qualifiés.

Ce label de confiance de l’UE est accessible aux prestataires qualifiés inclus dans la liste de l’article 22 (Listes de confiance) et qui a été publiée conformément aux dispositions de l’article 23.1, à compter du 1er juillet 2016.

Signaturit figure sur la liste de confiance espagnole (TSL) et est reconnu comme Prestataire de services de confiance qualifiés pour les services suivants :

• Émission de certificat qualifié de signature électronique
• Horodatage qualifié
• Service d’envoi recommandé électronique qualifié

Cet article se trouve également dans notre guide de signature électronique. Entrez et découvrez toutes nos ressources !

TÉLÉCHARGEZ NOTRE LIVRE BLANC : La légalité de la signature électronique