Alors que la nouvelle version du règlement eIDAS est attendue dans les semaines à venir, la FNTC s'inquiète de cette nouvelle mouture. En cause : une définition trop vague de l’archivage qui est décrit comme un simple hébergement de données. "L’archivage d’un document doit évidemment garantir son intégrité… Mais pas seulement" estime la FNTC ; "une archive, et c’est même sa vocation, doit être pérenne. Cela relève également de l’obligation juridique : la préservation d’un document doit garantir sa valeur devant un tribunal".
Or, le projet de texte actuel "résume l’archivage à un copier-coller de ce qui est attendu pour la conservation des signatures électroniques qualifiées. Pour être préservé, le document pourrait ainsi être signé électroniquement, puis hébergé dans le cloud. Avec l’augmentation permanente de la puissance de calcul des ordinateurs, les collisions de hachage cryptographique sont cependant envisageables à long terme : concrètement, deux documents pourraient avoir la même empreinte, et donc se confondre… La solution serait alors de signer à intervalles réguliers le document numérique, ce qui rendrait dépendant le propriétaire des archives d’un opérateur de signature, et compliquerait toute la procédure d’archivage."
Souveraineté numérique européenne
La Fédération des tiers de confiance du numérique pointe une autre insuffisance : "un document signé et stocké dans un serveur accessible sur Internet n’est pas forcément chiffré, ce qui pose un problème de confidentialité. Par rapport au risque de piratage bien sûr, mais pas seulement. La grande majorité des acteurs du cloud opèrent aux Etats-Unis, et le Cloud Act permet à l’Etat américain de consulter toutes les données hébergées par les entreprises américaines… Pour la souveraineté numérique européenne, c’est un euphémisme de dire que cette solution n’est pas idéale."
Pour la FNTC, l'évolution du règlement eIDAS "ne concerne pas que les éditeurs de solutions d’archivage, mais aussi, et surtout, des millions d’utilisateurs."
Adopté par le Parlement européen et le Conseil de l’Union européenne le 23 juillet 2014, le Règlement eIDAS a pour ambition d'accroître la confiance dans les transactions électroniques au sein du marché intérieur. Il instaure un cadre européen en matière d’identification électronique et de services de confiance, afin de faciliter l’émergence du marché unique numérique. Il couvre notamment le sujet de la signature électronique.
