En 2014, l’Europe a adopté le Règlement eIDAS (Electronic Identification And Trust Services) qui établit un ensemble de normes dédiées à l’identification électronique et aux services de confiance pour les transactions électroniques au sein de l’Union européenne.
Identité numérique : Plus de sécurité avec le règlement eIDAS 2024 ?
By
Published on 18 février 2024 8h00
Le règlement eIDAS, dans sa version 2014, définissait des services de confiance bien précis, qu’ils soient qualifiés ou non par le superviseur national (l’ANSSI pour la France). Ceux-ci incluaient la création et délivrance de certificats qualifiés de signatures ou de cachets électroniques, la validation et préservation de signatures et cachets, l’horodatage, l’envoi de recommandé électronique, l’authentification qualifiée de site internet. Cependant, depuis dix ans, les pratiques et besoins ne cessent d’évoluer. Si les transactions en ligne maintiennent leur progression, la pandémie de 2020 a, de son côté, généralisé l’adoption du numérique en entreprise, et le risque cyber, comme les fraudes ou l’usurpation d’identité, ont gagné du terrain grâce à une sophistication accrue. C’est pourquoi une révision du texte est aujourd’hui nécessaire. Cette nouvelle version du règlement eIDAS, appelée eIDAS V2, vient ainsi compléter le texte d’origine, mais surtout détermine les nouveaux services de confiance, et régir le Wallet européen, dont le lancement est prévu dès 2025. Un décryptage de cette évolution et de ce qu’elle implique pour les entreprises s’impose.
Encadrement de la signature avancée, de la signature et du cachet qualifié à distance
Le Règlement eIDAS, dans sa version d’origine, déterminait trois niveaux de signature : simple, avancée et qualifiée. Dans sa nouvelle version, le texte prévoit également d’indiquer les exigences de sécurité et les normes applicables que devront respecter les signatures avancées pour prétendre à un tel niveau de sécurité au sein de l’UE.
Elles devront établir un lien univoque avec le signataire et permettre de l’identifier. Les moyens qui permettront de les créer seront sous le contrôle exclusif du signataire (téléphone, PC, …). Enfin, elles garantiront qu’aucune modification de l’acte signé ne pourra être effectuée.
De même, des normes applicables seront ajoutées pour la signature et le cachet qualifié à distance et devront être respectés par tous les fournisseurs de service de confiance européens. Cette signature qualifiée à distance devra ainsi être identique à la signature avancée, mais avec en plus le fait de devoir reposer elle-même sur un certificat qualifié et être créée à l’aide d’un dispositif de création de signature électronique qualifiée géré par un prestataire de service de confiance qualifié.
Une nouvelle génération de services de confiance
Depuis 2014, les besoins des utilisateurs ont changé, et avec eux, les usages ont évolué, et les menaces se sont multipliées. La nouvelle version du Règlement eIDAS étend sa liste de services de confiance, avec notamment l’archivage, l’émission d’attestations d’attributs ou encore le registre distribué.
L’archivage électronique pourra désormais s’étendre à tous types de documents, même ceux n’ayant pas été signés électroniquement, à la différence du service de confiance de préservation de signatures et de cachets électroniques. Les normes d’archivage sont actuellement élaborées au niveau des législations nationales. Cette hétérogénéité impose ainsi aux PSCo de localiser par Etats membres leurs solutions pour répondre aux législations locales. Le nouveau service de confiance d’archivage électronique va remédier à cette situation en permettant une harmonisation européenne.
Par ailleurs, le Règlement eIDAS 2024 définit l’émission d’attestation d’attributs tels que diplômes, permis de conduire, e-passeport, ou encore données de santé certifiées. Ceux-ci permettront à son détenteur de justifier de caractéristiques personnelles pour sécuriser tout acte en ligne au sein de l’Union Européenne.
Seront également reconnus en tant que services de confiance les signatures et cachets qualifiés à distance. En effet, bien qu’encadrés par la version d’origine du texte, ils n’étaient pas encore considérés comme tels jusqu’ici.
L’EUID Wallet
Enfin, l’encadrement du e-wallet sera déployé en Europe dès 2025. Concrètement, il s’agit d’un portefeuille numérique protégeant l’identité numérique des citoyens européens. Cette identité numérique européenne doit être disponible et utilisable gratuitement par tous les citoyens, résidents et entreprises de l’UE notamment pour accéder à des services publics et privés en ligne nécessitant une authentification renforcée dans toute l’Europe. Elle est également requise pour permettre aux citoyens européens de prouver leur majorité, d’ouvrir un compte bancaire, de remplir une déclaration fiscale, ou encore de s’inscrire dans une université dans son pays d’origine ou un autre État membre.
Avec un objectif ambitieux d’une adoption par 80% de la population européenne d’ici 2030, cette identification numérique sera fournie gratuitement par le pays d’origine, avec la garantie d’une remise personnelle à chaque citoyen qui en fera la demande s’il le souhaite. Elle se présentera sous forme d’un portefeuille (ou e-wallet) hébergé par exemple dans un smartphone. Dans ce coffre-fort électronique, le citoyen pourra télécharger, stocker et utiliser ses données personnelles telles que permis de conduire, diplôme, carte bancaire, prescription médicale...
Ce portefeuille offrira ainsi de multiples possibilités d’utilisation et devra permettre aux utilisateurs de choisir les aspects de leur identité, les données et les certificats qu'ils partagent avec des tiers et de conserver l’historique de ces interactions. L’e-wallet intègre donc une multiplicité de supports et de sources privées ou publiques. Le e-wallet sera doté d’un niveau d’identification élevé permettant de réaliser des signatures qualifiées. Dans tous les cas, l’utilisateur aura le choix d’utiliser son portefeuille d'identité numérique mais ne pourra y être contraint.
Le portefeuille pourra enfin prouver l’attribut personnel spécifique d’un individu, attestant ainsi d'un rôle ou d'une qualité propre d’une personne : aptitude à exercer une profession ou délégation de pouvoir au sein d'une organisation. Ces attributs pourront être intégrés dans des certificats qualifiés et seront inclus dans une signature numérique et protégés par cette dernière.
La nouvelle version du Règlement eIDAS devrait entrer en vigueur début 2024, après de nombreuses années de débats et retravail. Si l’archivage devient un service de confiance à part entière, ou que les signatures avancées et signatures qualifiées se voient enfin dotées d’un niveau de sécurité homogène au sein de tous les Etats Membres de l’Union Européenne, le Wallet, lui, est au cœur de toutes les discussions. Il devient en effet le cœur d’eIDAS 2024 et s’il est adopté massivement, il marquera un tournant dans le développement des transactions sécurisées au sein de l’Union Européenne et pour le marché des prestataires de services de confiance.