- SOMMAIRE
eIDAS : comment le règlement européen impacte-t-il votre entreprise ?
La confiance numérique a pour objectif de garantir la confiance mutuelle entre des parties qui réalisent une transaction électronique, telle qu’un acte commercial, une procédure administrative ou un échange d’informations. Cette confiance n’est possible que s’il existe, à la base, l’assurance que ces parties disposent d’une identité qu’elles reconnaissent mutuellement. Il en va ainsi de la signature électronique, dont le succès repose sur la confiance numérique. Depuis 2014, celle-ci est encadrée par le règlement eIDAS, première étape d’un vaste plan d’harmonisation des transactions numériques visant à favoriser l’interopérabilité entre les États membres de l’Union européenne. Qu’est-ce que eIDAS, exactement ? Et dans quelle mesure ce règlement impacte-t-il votre entreprise ?
eIDAS ou l’indispensable socle de confiance pour la signature électronique
eIDAS ou l’indispensable socle de confiance pour la signature électronique
Le règlement eIDAS (electronic Identification, Authentification and trust Services), c’est le Règlement européen portant sur l’identification numérique et les services de confiance dans le cadre des transactions électroniques. Ce texte instaure un cadre réglementaire permettant d’accroître la confiance dans les transactions dématérialisées au sein du marché européen, et s’applique pareillement à tous les pays de l’UE, sans transposition dans le droit national. Son objectif : favoriser les échanges électroniques entre les pays européens, notamment en encadrant l’utilisation de la signature électronique et en proposant un socle sécuritaire commun pour les transmissions de données entre citoyens, entreprises et autorités.
Entré en vigueur en septembre 2014, appliqué à partir du 1er juillet 2016, le règlement eIDAS s’est substitué à une précédente directive européenne relative à la signature électronique (1999/93/CE), devenue caduque.
En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) est l’organisme national chargé de la mise en œuvre du règlement eIDAS. L’Agence joue le double rôle d’organe de contrôle (pour les services de confiance) et de garant de la sécurité (pour l’identification électronique). Depuis le 1er juillet 2017, date d’expiration du délai de transition, les prestataires de services de confiance sont dans l’obligation de transmettre à cet organisme un rapport attestant de leur mise en conformité avec les exigences du règlement eIDAS.
Qu’apporte l’eIDAS par rapport à la précédente directive ?
Qu’apporte l’eIDAS par rapport à la précédente directive ?
Le règlement eIDAS représente, pour la signature électronique, un cadre exigeant qui permet de contrôler les fournisseurs de services de confiance et de garantir la sécurité des transactions entre usagers, prestataires et autorités administratives. Et surtout, un cadre commun à tous les pays membres, favorisant l’interopérabilité entre les nations de l’UE pour tout ce qui a trait aux problématiques de signature électronique, d’authentification, d’horodatage, de préservation des documents et d’envoi de courriers recommandés dématérialisés.
À ce titre, eIDAS est venu compléter la directive de 1999 sur plusieurs points. Le règlement :
- Normalise le marché électronique dans l’Union ;
- Contribue à rendre ce marché plus transparent, donc digne de confiance ;
- Sécurise les transactions électroniques entre États membres ;
- Permet la traçabilité des échanges ;
- Ambitionne de simplifier les démarches administratives en incitant les pays membres à dématérialiser leurs processus, facilitant ainsi l’installation des citoyens dans l’une ou l’autre des nations européennes ;
- Vise à réduire les formalités administratives auxquelles les entreprises doivent se plier, ce qui leur permet de gagner du temps et de réduire leurs dépenses de fonctionnement.
Attention, toutefois : eIDAS n’est qu’un socle. Sur celui-ci viennent s’élever des normes et des spécifications. En l’occurrence, c’est l’ETSI (European Telecommunications Standards Institute), basé à Sophia Antipolis en France, qui est chargé de produire des normes applicables à l’ensemble des pays de l’Union. Un unique organisme de normalisation permet ainsi de simplifier la tâche de mise en conformité des entreprises et des autorités.
En quoi eIDAS impacte-t-il votre entreprise ?
En quoi eIDAS impacte-t-il votre entreprise ?
Si votre entreprise utilise la signature électronique, alors le règlement eIDAS vous impacte directement. Pour assurer la valeur légale des documents que vous signez ou faites signer électroniquement, vous devez vous assurer que la signature électronique utilisée est conforme à la réglementation eIDAS. Sinon, la valeur légale de vos processus de signature n’est pas garantie.
Le type de signature électronique
Le type de signature électronique
Le règlement eIDAS uniformise les transactions électroniques au sein des États membres en proposant trois niveaux de fiabilité et de garantie pour la signature électronique :
- La signature électronique simple: elle permet d’authentifier des documents qui présentent un risque évalué comme faible ou moyen (contrat d’assurance, note de frais, souscription à un service…).
- La signature électronique avancée: elle offre le même niveau de fiabilité et de garantie que la signature simple.
- La signature électronique qualifiée: elle permet d’authentifier des documents qui présentent un risque élevé (factures, réponses aux appels de marchés publics, validations d’opérations bancaires B2B…).
Le règlement eIDAS a également introduit un quatrième type de signature : un « sceau numérique ». Réservé aux personnes morales, il garantit l’origine et l’intégrité des données associées, mais sans prouver le consentement du signataire. (Source : Dalloz)
Le niveau de sécurité
Le niveau de sécurité
Le règlement eIDAS définit également trois niveaux de sécurité pour les schémas d’authentification :
- Le niveau « faible » réduit le risque d’usurpation, mais n’offre qu’un niveau de confiance limité : le signataire doit seulement être propriétaire de son adresse mail.
- Le niveau « substantiel » réduit substantiellement ce risque : le signataire doit démontrer que l’adresse mail lui appartient et prouver son identité.
- Le niveau « élevé » gomme tout à fait le risque et offre un niveau de confiance élevé : l’identité du signataire est prouvée, ainsi que l’organisation qu’il représente.
Le processus de création de la signature électronique
Le processus de création de la signature électronique
Enfin, pour garantir la conformité de la signature électronique avec les exigences du règlement eIDAS, celle-ci doit être créée sur la base d’un certificat numérique généré par un Tiers de Confiance : une Autorité de Certification comme CertEurope – An InfoCert Company.
En tant qu’Autorité de Certification, CertEurope – An InfoCert Company vous assure que les certificats utilisés pour créer une signature électronique sont conformes au règlement eIDAS. Choisir un Tiers de Confiance vous donne donc l’assurance que les documents signés électroniquement disposent d’une valeur légale reconnue.
Certificat RGS**/eIDAS
Un certificat multi-usage :
- Conforme RGS (Référentiel Général
de Sécurité) - Conforme eIDAS (règlement européen)
Cas d’usages :
- Authentification aux plateformes publiques et aux applications en ligne
- Signature électronique
- Chiffrement pour garantir un haut niveau de sécurité
Certificat RGS**/eIDAS
Un certificat multi-usage :
- Conforme RGS (Référentiel Général
de Sécurité) - Conforme eIDAS (règlement européen)
Cas d’usages :
- Authentification aux plateformes publiques et aux applications en ligne
- Signature électronique
- Chiffrement pour garantir un haut niveau de sécurité