Le Règlement « eIDAS » n°910/2014 du 23 juillet 2014 a pour ambition d’accroître la confiance dans les transactions électroniques au sein du marché intérieur. Il établit un socle commun pour les interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques.
nnnnLe règlement eIDAS concerne principalement les organismes du secteur public et les prestataires de services de confiance établis sur le territoire de l’Union européenne. Il instaure un cadre européen en matière d’identification électronique et de services de confiance, afin de faciliter l’émergence du marché unique numérique. Il couvre notamment le sujet de la signature électronique, et abroge la directive 1999/93/CE. L’ANSSI est l’un des organismes nationaux chargés de la mise en œuvre de ce règlement.
nnnnCONTEXTE ET HISTORIQUE
nnnnLe Parlement européen et le Conseil de l’Union européenne ont adopté, le 23 juillet 2014, le règlement n° 910/2014/UE sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit règlement « eIDAS ».
nnnnL’adoption de ce règlement fait suite à un relatif constat d’échec de la directive 1999/93/CE sur la signature électronique. Des différences dans la transposition de cette directive ainsi que dans les choix techniques effectués par les États membres n’ont pas permis l’émergence d’un socle commun d’interopérabilité nécessaire au développement des échanges transfrontaliers. Cet état de fait avait été relevé par la Commission à deux reprises en 2010, amenant le Conseil européen à demander en 2011 la création d’un marché unique numérique à échéance de l’année 2015.
nnnnEn juin 2012, la Commission a initié des travaux destinés à favoriser le commerce électronique au sein de l’Union avec pour objectif l’adoption d’un règlement qui s’appliquerait directement aux Etats membres, sans transposition dans leur droit national. Plus de deux ans de discussions ont été nécessaires pour parvenir au texte définitif du règlement eIDAS.
nnnnLe règlement eIDAS a été publié au Journal officiel de l’Union européenne (JOUE) le 28 août 2014 et est entré en vigueur le 17 septembre 2014.
nnnnLe règlement eIDAS est applicable depuis le 1er juillet 2016 pour la majeure partie de ses dispositions. La reconnaissance mutuelle des moyens d’identification électronique est obligatoire depuis le 29 septembre 2018.
nnnnCHAMP D’APPLICATION ET DESTINATAIRES
nnnnLe règlement eIDAS s’applique à l’identification électronique, aux services de confiance et aux documents électroniques. Il vise à établir un cadre d’interopérabilité pour les différents systèmes mis en place au sein des États membres afin de promouvoir le développement d’un marché de la confiance numérique.
nnnnLe règlement formule des exigences relatives à la reconnaissance mutuelle des moyens d’identification électronique ainsi qu’à celle des signatures électroniques, pour les échanges entre les organismes du secteur public et les usagers. Il exclut les échanges internes des administrations sans impact direct sur les tiers ainsi que les actes sous-seing privé.
nnnnPRINCIPALES MESURES DU REGLEMENT
nnnnLe règlement eIDAS est essentiellement consacré à l’identification électronique et aux services de confiance. Il traite également, dans une moindre mesure, des documents électroniques en leur accordant un effet juridique.
nnnnL’ANSSI intervient à double titre dans l’application du règlement : en tant que garante de la sécurité pour le volet « identification électronique » et en tant qu’organe de contrôle pour le volet « services de confiance ».
nnnnIdentification électronique
nnnnObjectifs et principes du chapitre « identification électronique » du règlement
nnnnLe règlement eIDAS vise à instaurer un mécanisme de reconnaissance mutuelle des moyens d’identification électronique des États membres sur l’ensemble des services en ligne des autres États membres.
nnnnAfin de pouvoir bénéficier de cette reconnaissance mutuelle, un moyen d’identification électronique doit :
nnnn- Avoir été délivré conformément à un schéma d’identification électronique notifié par l’Etat membre concerné et figurant sur la liste publiée par la Commission.
Selon le règlement, un schéma d’identification électronique est un système pour l’identification électronique en vertu duquel des moyens d’identification électronique peuvent être délivrés à des personnes physiques ou morales. Les États membres peuvent notifier des schémas d’identification électronique depuis le 29 septembre 2015. - Avoir un niveau de garantie égal ou supérieur à celui requis par l’organisme du secteur public concerné pour accéder à ce service en ligne, à condition que ce niveau soit substantiel ou élevé.
Cette reconnaissance mutuelle ne concerne ainsi que les organismes du secteur public qui exigent, pour accéder à l’un de leurs services en ligne, une identification électronique répondant au moins aux exigences du niveau substantiel.
Les exigences applicables aux différents niveaux de garantie qui sont prévus par le règlement sont détaillées dans le règlement d’exécution n°2015/1502 du 8 septembre 2015. Ces niveaux sont accordés en fonction du respect de spécifications, normes et procédures minimales. Trois niveaux de garantie sont prévus par le règlement :
nnnn- Faible : à ce niveau, l’objectif est simplement de réduire le risque d’utilisation abusive ou d’altération de l’identité ;
- Substantiel : à ce niveau, l’objectif est de réduire substantiellement le risque d’utilisation abusive ou d’altération de l’identité ;
- Élevé : à ce niveau, l’objectif est d’empêcher l’utilisation abusive ou l’altération de l’identité.
La reconnaissance mutuelle des moyens d’identification électronique est devenue obligatoire le 29 septembre 2018.
nnnnnnnnOrganismes nationaux compétents
nnnnEn France :
nnnn- la Direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC) assure le rôle de point de contact unique en matière d’identification électronique ;
- l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est responsable de l’établissement du référentiel des exigences applicables à chaque niveau ainsi que de l’évaluation du niveau de garantie des moyens d’identification électronique.
De plus, un réseau de coopération eIDAS a été instauré par la décision d’exécution 2015/296 et rend des avis sur les différents schémas d’identification électronique notifiés par les Etats membres. Ces avis sont publics et sont disponibles via ce lien https://ec.europa.eu/cefdigital/wiki/display/EIDCOMMUNITY/Opinions+of+the+Cooperation+Network
nnnnServices de confiance
nnnnObjectifs et principes du chapitre « services de confiance » du règlement
nnnnLe règlement eIDAS a également pour objectif d’instaurer un cadre juridique pour l’utilisation des services de confiance. Il prévoit des exigences pour les services de confiance relatifs à la signature électronique, au cachet électronique, à l’horodatage électronique, à l’envoi recommandé électronique et à l’authentification de sites internet.
nnnnLe règlement établit une distinction entre les services de confiance qualifiés et les services de confiance non qualifiés. Les services de confiance qualifiés satisfont à des exigences particulières et peuvent bénéficier d’effets juridiques spécifiques. Les services de confiance qualifiés sont assurés par des prestataires de services de confiance qualifiés.
nnnnLes prestataires de services de confiance qualifiés font l’objet d’audits réguliers effectués par des organismes d’évaluation de la conformité, accrédités conformément au règlement n°765/2008 du 9 juillet 2008. Le règlement eIDAS est applicable depuis le 1er juillet 2016 pour les services de confiance.
nnnnLa liste des produits et services qualifiés par l’ANSSI est accessible dans l’onglet « Liste nationale de confiance ».
nnnnServices de confiance qualifiés prévus par le règlement
nnnnLes services de confiance qualifiés prévus par le règlement eIDAS sont les suivants :
nnnn- Délivrance de certificats qualifiés de signature électronique, de cachet électronique et d’authentification de site internet ;
- Les certificats qualifiés de signature électronique permettent d’attester de l’identité des personnes physiques auxquelles ils ont été délivrés. L’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite.
- Les certificats qualifiés de cachet électronique permettent d’attester de l’identité des personnes morales auxquelles ils ont été délivrés. Un cachet électronique qualifié bénéficie d’une présomption d’intégrité des données et d’exactitude de l’origine des données auxquelles il est lié.
- Les certificats qualifiés d’authentification de site internet permettent d’attester de l’identité des personnes physiques ou morales auxquelles ils ont été délivrés, ainsi que du nom des sites internet correspondants.
- Validation qualifiée des signatures électroniques qualifiées et des cachets électroniques qualifiés ;
- Un service de validation qualifié des signatures électroniques qualifiées ou cachets électroniques qualifiés permet de garantir la sécurité juridique d’une signature ou d’un cachet qualifié en fournissant une preuve de validation par un tiers qualifié.
- Conservation qualifiée des signatures électroniques qualifiées et des cachets électroniques qualifiés ;
- Un service de conservation qualifié des signatures électroniques qualifiées ou cachets électroniques qualifiés permet d’étendre la fiabilité de ceux-ci au-delà de leur période de validité technologique.
- Horodatage électronique qualifié ;
- L’horodatage électronique qualifié permet d’attester que des données sous forme électronique existaient à un instant donné. Un tel procédé peut être utilisé pour apposer une date d’expédition ou de réception d’un courrier mais aussi plus largement pour attester de l’existence d’une donnée à un instant, ou de la date d’un acte réalisé par voie électronique.
- Envoi recommandé électronique qualifié.
- L’envoi recommandé électronique qualifié permet de transmettre des données entre tiers par voie électronique en fournissant des preuves concernant le traitement des données transmises, y compris la preuve de leur envoi et de leur réception, et en protégeant ces données contre les risques de perte, de vol, d’altération ou de toute modification non autorisée.
La création de signature électronique qualifiée « à distance » (ou « server signing »), lorsque le signataire ou le créateur du cachet conserve sa clé dans un équipement cryptographique mis en œuvre dans l’environnement d’un tiers, n’est pas un service de confiance qualifié au sens du règlement.
nnnnProduits qualifiés pour la signature électronique et le cachet électronique
nnnnLe règlement précise que les signatures électroniques qualifiées et cachets électroniques qualifiés sont réalisés respectivement au moyen de :
nnnn- Dispositifs de création de signature électronique qualifiés ;
- Dispositifs de création de cachet électronique qualifiés.
Au sein de chaque Etat membre, la certification de conformité de ces produits aux exigences du règlement est attestée par un organisme certificateur désigné à la Commission européenne.
nnnnLe règlement prévoit que, dans certains cas, la création de signature ou de cachet puisse être déléguée à un prestataire de services de confiance qui assure, pour le signataire ou le créateur de cachet légitime, la génération ou la gestion des données de création de signature ou de cachet. Dans ce cas, ce prestataire doit être un prestataire de services de confiance qualifié au titre de l’un des services de confiance qualifiés précités.
nnnnOrganisme national compétent
nnnnEn France, le rôle d’organe de contrôle pour les services de confiance est assuré par l’ANSSI. A ce titre, elle prend notamment en charge :
nnnn- la définition des modalités techniques permettant le respect des exigences du règlement ;
- la qualification des prestataires de confiance établis sur le territoire français.
En complément, l’ANSSI assure deux autres rôles prévus par le règlement :
nnnn- elle élabore et maintient à jour de listes de confiance répertoriant les prestataires de service de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent;
- elle assure la certification de conformité des dispositifs de création de signature ou de cachet électronique qualifiés.
DECLINAISONS TECHNIQUES DU REGLEMENT
nnnnPour ses aspects techniques le règlement eIDAS renvoie à des actes d’exécution (listés dans la partie « Référentiel documentaire lié au règlement eIDAS »).
nnnnDans le cadre du Mandat M/460, qui est une initiative de la Commission européenne ayant pour objectif de fournir une réponse coordonnée sur le sujet du déploiement d’un marché européen digital unique, l’ETSI (European Telecommunications Standards Institute) et le CEN (Comité Européen de Normalisation) se sont vu confier la mission d’élaborer des normes relatives aux services de confiance prévus par eIDAS.
nnnnCertaines de ces normes ont déjà été publiées, d’autres sont encore en cours d’élaboration. Le cas échéant, les actes d’exécution renvoient directement à certaines normes déjà existantes.
nnnnPar ailleurs, les organismes compétents au sein des Etats membres peuvent préciser les modalités techniques permettant d’assurer le respect des exigences du règlement, pour les moyens d’identification électronique et pour les services de confiance qualifiés.
nnnnLes documents réalisés par l’ANSSI, précisant ces modalités techniques pour les moyens d’identification électronique notifiés par la France ainsi que pour les prestataires de services de confiance qualifiés en France, sont disponibles dans la rubrique dédiée.
nnnnIMPACTS SUR LE REFERENTIEL GENERAL DE SECURITE
nnnnLe RGS continue à s’appliquer pleinement aux échanges entre autorités administratives.
nnnnLe RGS s’applique également aux échanges entre autorités administratives et usagers, avec une exception relative à l’obligation de reconnaissance mutuelle des moyens d’identification électronique et des signatures et cachets électroniques prévue par le règlement eIDAS.
nnnnDes informations complémentaires relatives à l’articulation du RGS avec le règlement eIDAS sont disponibles dans la FAQ.
CONTACT
nnnnPour toute question relative à un référentiel d’exigences publié par l’ANSSI, le point de contact à privilégier est celui indiqué dans le document concerné.
nnnnLes questions préliminaires à une demande de certification de conformité ou de qualification sont à adresser au bureau Politique Industrielle et Assistance de l’ANSSI.
nnnnLes demandes de certification de conformité ou de qualification sont à adresser au bureau Qualification et Agrément de l’ANSSI.
nnnnLes adresses courriel de ces points de contact sont disponibles dans la FAQ.
nnnnSource : //www.ssi.gouv.fr/entreprise/reglementation
n