Article réservé aux abonnés Archimag.com

Règlement eIDAS : une révision opportune

Le

  • reglement-eidas-explication-juridique.jpg

    reglement-eidas-explication-juridique-dematerialisation
    La Commission européenne travaille avec les États membres et le secteur privé sur les aspects techniques de l’identité numérique européenne. (Rawpixel.com/Freepik)
    • Depuis 2014, le règlement eIDAS établit le cadre juridique de l’identification numérique et des services de confiance pour sécuriser les transactions électroniques au sein de l’Union européenne. Pourquoi la Commission européenne a-t-elle souhaité sa révision en 2021 et quelles sont ses propositions pour une nouvelle version d’eIDAS, attendue dans les mois qui viennent ? Éclairage.

    mail Découvrez Le Brief de la Démat, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des data, de la dématérialisation et de la transformation numérique !

    Face à une dématérialisation croissante des contrats, des démarches administratives, des procédures judiciaires ou encore des opérations bancaires, la question de l’identité électronique est devenue primordiale. L’identification électronique est un processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale.

    L’ambition du règlement eIDAS

    Le règlement eIDAS (Electronic IDentification And Trust Services) du 23 juillet 2014, applicable depuis le 1er juillet 2016, avait pour ambition de permettre à tous les citoyens européens d’accéder aux services publics dans toute l’Union européenne (UE) en utilisant un schéma d’identification électronique (eID) unique émis dans leur pays d’origine.

    Lire aussi : Archivage électronique : la FNTC s'inquiète de la nouvelle version du règlement eIDAS

    Il souhaitait aussi renforcer la confiance dans les transactions électroniques au sein du marché intérieur en instaurant un cadre juridique et des exigences pour les services de confiance (service électronique consistant par exemple en la création, vérification et validation de signatures électroniques ou encore en l’archivage électronique de documents électroniques).

    En effet, les institutions européennes constataient que, du fait d’un manque perçu de sécurité juridique dans l’environnement numérique, les entreprises et les pouvoirs publics étaient réticents à effectuer des transactions par voie électronique. Également, dans la plupart des cas, les citoyens ne pouvaient utiliser leur identification électronique pour s’authentifier dans d’autres États membres, car les schémas nationaux d’identification électronique de leur pays n’y étaient pas reconnus.

    Nécessaire évolution du texte

    Si l’apport de ce règlement pour le développement d’un marché unique numérique est indiscutable (création du réseau eIDAS, mise en place d’un cadre cohérent des exigences de sécurité et de confidentialité pour les services de confiance), un rapport de la Commission européenne publié en 2021 souligne la nécessaire révision de ce dernier.

    D’abord, la Commission reconnaît que le règlement eIDAS, dans sa version actuelle, n’a pas permis d’atteindre les objectifs développés ci-dessus. En effet, la Commission relève que seuls 14 États membres ont notifié au moins un schéma d’identification électronique et seuls 59 % des résidents de l’UE ont accès à des schémas d’identification électronique fiables et sécurisés par-delà les frontières.

    En ce qui concerne la fourniture de services de confiance, la Commission souligne que le cadre mis en place par le règlement a été plutôt une réussite. Cependant, l’objectif de neutralité technologique souhaité par le règlement a donné lieu à des interprétations diverses des exigences de ce dernier de la part des États membres. La révision du règlement doit ainsi renforcer l’harmonisation et l’acceptation des services de confiance.

    Puis, la Commission souligne que le texte doit prendre en compte les évolutions sociétales et technologiques intervenues depuis 2014. La pandémie de Covid-19 a accéléré la numérisation des services tant publics que privés.

    Lire aussi : 4 questions autour de la vérification d’identité à distance

    Il en découle une multiplication des services électroniques en ligne (notamment l’archivage de données) et une évolution des besoins des citoyens européens qui souhaitent davantage bénéficier d’un mécanisme de fourniture d’attestations électroniques d’attributs (permis de conduire, carte d’identité par exemple) plutôt que de recourir aux seules solutions d’identité numérique.

    Proposition de révision

    Pour surmonter ces obstacles, la Commission a publié une proposition de révision du règlement le 3 juin 2021.

    Intégration du secteur privé

    D’abord, pour faire face aux évolutions sociales et technologiques, la Commission souhaite étendre le champ d’application du règlement eIDAS en y intégrant le secteur privé. En effet, la Commission a constaté que la grande majorité des besoins en matière d’identité électronique et d’authentification à distance s’observe désormais dans le secteur privé et notamment chez les acteurs de la banque et des télécommunications.

    Nous pouvons relever d’ailleurs que, si dans le préambule de la première version du règlement, il était indiqué que les objectifs du règlement devaient être atteints « au moins pour les services publics », la Commission évoque dans sa deuxième version, pour ces mêmes objectifs « les services publics et privés ».

    Cet élargissement du champ d’application du règlement résulte du constat qu’étant exclus de la première version du règlement, de nombreux fournisseurs de services privés (services de communication électronique ou institutions financières) ont développé de leur côté des solutions d’identité électronique. Ces mécanismes posent plusieurs problèmes de sécurité et de confidentialité des données.

    En incluant désormais le secteur privé dans le règlement, la Commission renforce l’harmonisation des mécanismes d’identification numérique et ainsi les exigences en matière de sécurité et de confidentialité des données.

    Trois nouveaux services

    Toujours dans l’optique d’adapter le règlement eIDAS aux évolutions sociales et technologiques, la Commission ajoute trois nouveaux services à la liste actuelle des services de confiance : la fourniture de services d’archivage électronique, les registres électroniques, ainsi que la gestion des dispositifs de création de signatures et de cachets électroniques à distance.

    En intégrant ces nouveaux services de confiance dans l’eIDAS, la Commission vient harmoniser les exigences nationales de sécurité juridique de ces derniers.
    Ces nouveaux services de confiance pourront ainsi être reconnus dans toute l’Europe. Comme cela était le cas pour les services déjà encadrés par le règlement, il y aura présomption de fiabilité quand ils auront la qualité de « service qualifié ».

    Portefeuille européen d’identité numérique

    Afin de généraliser l’utilisation de l’identité numérique et permettre à toutes les personnes physiques et morales un accès simplifié aux services publics et privés transfrontaliers, la Commission propose la création d’un portefeuille européen d’identité numérique que chaque État membre devra délivrer.

    Lire aussi : Le ministère de l’Intérieur lance une nouvelle application d’identification numérique

    Ce portefeuille européen permettra à l’utilisateur de stocker et de partager en toute sécurité les données légales nécessaires à l’authentification en ligne en vue d’utiliser des services publics et privés.

    La création de cet outil vise à répondre au besoin des citoyens de pouvoir facilement stocker et partager au sein de l’Union européenne des documents électroniques délivrés par leur pays d’origine et rattachés à leur identité (permis de conduire, diplôme universitaire, carte bancaire notamment).

    Cette solution technique permettra aux citoyens européens d’éviter d’utiliser des méthodes d’identification privées ou de partager inutilement des données personnelles. Ce mécanisme renforce ainsi le contrôle des citoyens sur les données qu’ils partagent.

    Accès aux services publics essentiels

    Les très grandes plateformes seront tenues d’accepter l’utilisation du portefeuille européen d’identité numérique sur demande de l’utilisateur. En revanche, le choix d’utiliser le portefeuille d’identité numérique européenne sera toujours laissé à l’appréciation de l’utilisateur ; il ne pourra s’y voir contraint.

    D’un point de vue technique, la Commission définit des conditions harmonisées pour l’établissement d’un cadre régissant les portefeuilles européens d’identité numérique et les exigences de sécurité et de fiabilité de ces derniers. Notamment, chaque portefeuille devra être certifié par un organisme accrédité désigné par les États membres.

    La mise en place de ce portefeuille européen vise à atteindre l’objectif fixé par la commission qui est de permettre à au moins 80 % des citoyens d’utiliser une solution d’identification numérique pour accéder à des services publics essentiels d’ici 2030.

    Les prochaines échéances de cette proposition de révision ne sont pas encore fixées. Mais la Commission travaille actuellement avec les États membres et le secteur privé sur les aspects techniques de l’identité numérique européenne.

    Eric Barbry
    [Avocat associé Racine Avocat, équipe IP IT & data]

    Robin Genest
    [Juriste]

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !
    teletravail-cloud-ou-sommes-
    Contraint durant la crise sanitaire, le travail à distance s’est pérennisé, voire accéléré : 60 % des organisations ont adopté un mode de travail hybride en 2022. Mais si le cloud a fait changer de dimension le télétravail, offrant une flexibilité inédite aux utilisateurs, les enjeux sont nombreux...
    Acheter ce numéro  ou  Abonnez-vous
    0 Commentaire
    EIDAS
    Dématérialisation
    identité numérique
    commission européenne
    archivage électronique
    À lire sur Archimag
    Les podcasts d'Archimag
    Pour cet épisode spécial Documation, nous nous sommes penchés sur une autre grande tendance de l'année 2024 : la cybersécurité, et plus particulièrement la sécurité dans le domaine de la gestion des données. La protection des données contre les menaces internes et externes est non seulement cruciale pour garantir la confidentialité, l'intégrité et la disponibilité des données, mais aussi pour maintenir la confiance des clients. Julien Baudry, directeur du développement chez Doxallia, Christophe Bastard, directeur marketing chez Efalia, et Olivier Rajzman, directeur commercial de DocuWare France, nous apportent leurs éclairages sur le sujet.
    Lire la suite...

    supplement-confiance-numerique-270500.png