Les deux dernières décennies ont vu naitre et grandir le marché de la signature électronique via une multitude d’acteurs locaux, internationaux, spécialistes ou généralistes. Pourtant des différences importantes concernant l’application de la législation des services de confiance, notamment en matière d’identification à distance, existent au sein des pays européens. Cette situation nuit fortement à la concurrence. Après avoir laissé faire le marché, la Commission Européenne a décidé de légiférer d’ici 12 à 18 mois pour aligner les moyens d’identification à distance des citoyens européens.
Ces évolutions portent sur la vérification des identités à distance et sur l’activation des mécanismes de la signature. La suppression de cette hétérogénéité règlementaire aura pour conséquence directe de favoriser le déploiement international des acteurs.
Le règlement eIDAS, socle légal des services de confiance à l’échelle européenne
La directive européenne 1999/93/CE a été le premier dispositif européen à tenter d’imposer une réglementation à l’échelle de l’Europe. Force est de constater que celle-ci a été un échec car elle fixait des objectifs à atteindre aux pays membres, charge à eux de les transposer ensuite dans la loi locale. Chacun ayant eu une interprétation singulière dans sa transposition, l’objectif initial d’uniformisation réglementaire a échoué. La Commission européenne a donc décidé de créer le règlement eIDAS du 23 juillet 2014 dont l’ambition était d'accroître la confiance dans les transactions électroniques au sein du marché intérieur, pour faciliter l’émergence d’un marché unique numérique. Ce dernier abroge donc la directive 1999/93/CE.
Une application de la législation à géométrie variable au sein de l’Europe
Si les signatures électroniques simples et avancées répondent à 80% des besoins dans des conditions réglementaires homogènes, il existe en revanche des écarts flagrants de pratiques d’un pays à l’autre pour les signatures qualifiées. Ainsi, le règlement veut que lorsqu’un Prestataire de Services de Confiance (PSCo) émet un certificat qualifié à un citoyen, celui-ci est reconnu dans toute l’Europe avec une même valeur légale. Toutefois les méthodes d’identification à distance ne sont pas les mêmes partout, les certificats n’apportent donc pas tous les mêmes garanties juridiques aux entreprises et aux citoyens. Il devient urgent d’apporter la confiance numérique par l’harmonisation ! Le risque est en effet important que la valeur globale du certificat qualifié, indispensable à la réalisation d’une signature qualifiée, baisse dans toute l’Europe à cause de méthodes moins sécurisées. Plus nous défendrons une valeur élevée de la signature qualifiée partagée par tous les PSCo européens, plus nous contribuerons à la confiance globale des entreprises et des citoyens.
L’uniformisation des règles, un gage de sécurité pour les citoyens
Si les pays européens désirent élever la sécurité en priorité, ils doivent alors aligner leur application de la réglementation eIDAS. La sécurité numérique des citoyens ne doit pas être un argument de concurrence, mais bien la base de toutes offres des Prestataires de Services de Confiance européens. Il ne peut en effet y avoir de compromis sur la sécurité du citoyen ou sur leur équité de traitement par les acteurs de la confiance numérique. Cette uniformisation de la sécurité par le haut représente une formidable opportunité pour les citoyens européens et pour la concurrence. Si un tel niveau d’uniformisation du marché peut rendre la concurrence encore plus ardue, les acteurs du marché sauront alors apporter des solutions encore plus novatrices pour se différencier.
Le développement du business à l’international en ligne de mire
Les spécificités locales en matière d’identification nuisent au développement des acteurs à l’international. Il s’agit par exemple de l’Italie qui autorise l’identification vidéo à distance d’une personne physique pour créer son certificat qualifié, l’identification étant réalisée par un robot et non par un humain, ce qui est interdit en France. Ces singularités en termes de législation amènent la plupart des entreprises à se tourner plus naturellement vers des acteurs locaux de la signature électronique, pensant ainsi s’affranchir des désagréments liés à la mise en conformité et aux différences réglementaires entre les pays. Certaines entreprises choisissent des prestataires locaux projet par projet, filiale par filiale. D’autres encore préfèrent opter pour des PSCo pays par pays en espérant avoir davantage de garanties et que la réglementation du pays sera respectée.
Malgré ce contexte, on constate toutefois que les barrières à l’uniformisation du marché tombent les unes après les autres. L’Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) et les pays européens s’attaquent ainsi aux derniers freins en matière d’identification à distance pour généraliser la signature qualifiée dans toute l’Europe.
En France, l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) œuvre avec d’autres pays européens à la mise en place de nouvelles règles pour l’identification vidéo à distance afin de permettre la création de certificats qualifiés avec un face-à-face vidéo à distance. L’ANSSI vient d’ailleurs de publier un référentiel au 1er mars qui pourra servir d’exemple aux autres autorités nationales de contrôle. Cet usage est voué à se démocratiser et ira de pair avec de fortes exigences de qualité pour éviter les fraudes et usurpations d’identité. Nous avons besoin de règles solides et uniformes pour qu’une identification à distance soit synonyme de sécurité pour les citoyens. Par ailleurs, ce socle de confiance numérique ne doit pas occulter l’ergonomie de la solution de signature et sa rapidité, deux aspects fondamentaux pour les entreprises.
L’uniformisation des règles sera extrêmement bénéfique pour le marché au sens large et surtout pour les citoyens Européens. N’oublions pas que celui qui profite des avantages de la signature électronique au final, c’est le signataire, et cette personne, en tant que citoyen, a des droits.
Au regard du règlement eIDAS, il incombe aux Etats de fournir des outils qui permettent à leurs citoyens de démontrer leur identité à distance avec plusieurs niveaux de sécurité. Une fois cette barrière tombée, les acteurs du marché pourront alors se déployer à l’international tout en garantissant un niveau de conformité et de sécurité homogène.