Entrée en vigueur en 2016, le règlement eIDAS a été mis en place afin de définir le cadre juridique et unifier l’identité numérique au niveau européen. Ce règlement européen donne un espace numérique commun sur lequel les services publics comme privés peuvent s’appuyer afin d’assurer leurs transactions électroniques en toute confiance. Fils mais ? Améliorer les activités et le commerce dans l’Union.
Dans sa première version, eIDAS proposait 3 grandes directions : celle de définir le concept de signature électronique, d’affirmer sa recevabilité devant la justice partout en Europe, mais également de traiter de son effet juridique.
Aujourd’hui, une nouvelle mouture d’eIDAS devrait être mise en vigueur d’ici la fin 2022. Quels sont les principaux changements de cette nouvelle version d’eIDAS ? Comment cela va-t-il se traduire pour les entreprises françaises ?
Une manière de mieux répondre aux demandes du marché actuel
Aujourd’hui, l’état du marché incite la loi à évaluer vers de nouvelles directions. Bien que la première version d’eiDAS ait posé les fondements fondamentaux en définissant notamment les différents niveaux de signatures électroniques, l’évolution des différents services oblige la justice européenne à caractéristiques de nouveaux éléments, et donc à aller vers une version améliorée d’eIDAS .
Les solutions technologiques, la croissance des offres de services qui sont proposées (par exemple : services bancaires ou commerciaux en lignes), ainsi que les attentes en termes d’authentification et d’identification ne sont plus les mêmes qu’auparavant. Ces avancées avancées vers un niveau d’assurance encore plus élevé.
Délimiter un cadre pour les services de signatures, de cachets, de recommandations et d’horodatage électroniques ou pour la production de certificats d’authentification n’est plus suffisant face à l’état actuel du marché.
En effet, la nouvelle mouture d’eIDAS prend désormais en compte de nouveaux usages comme l’archivage électronique qualifié, le registre électronique européen qualifié ou la gestion des QSCD1 à distance, qui nécessitaient d’être régulés.
Des processus facilités pour les entreprises françaises et européennes
L’objectif de cette révision est de faciliter l’acceptabilité, la reconnaissance et l’interopérabilité des solutions qui seront présentées pour les services publics comme privés. Ainsi, ces services bénéficieront de la même expérience en termes d’identification électronique, notamment grâce à la notion de « Portefeuille d’Identité Numérique Européenne ».
Ce portefeuille permettra aux différents services de sécuriser une identité unifiée afin d’offrir de nouveaux moyens d’authentification valables dans la totalité de l’Union européenne. Par exemple, avec l’introduction de ce service, la création d’une signature électronique qualifiée se verra facilitée car tous les éléments nécessaires à celle-ci seront sauvegardés au même endroit. De plus, les opérations permettant notamment de lancer les processus de souscriptions, d’ouvrir les comptes se verront également simplifier avec la version 2.0 d’eIDAS.
eIDAS 2.0 va également permettre de simplifier les processus internes grâce aux « attributs » qui attestent du statut d’une personne au sein d’une organisation de manière électronique. Ainsi, il sera par exemple possible de tracer numériquement une personne ayant délégué la signature d’un document de manière sécurisée et protégée.
Toutes ses solutions bénéficieraient de leurs propres schémas de certification, de leurs propres activités de contrôle. Les entreprises et organisations publiques pourraient diversifier leurs offres mais aussi offrir un délai moins important sur la certification complète de l’offre de services finale qui sera rendue aux citoyens.
Avec eIDAS 2.0, l’objectif est que 80 % des citoyens soient couverts par un portefeuille électronique d’ici 2030 et que le support de cette authentification dans les services publics et les offres des principaux offresurs de services, notamment bancaires, incluent leurs processus de souscription.
En attendant son entrée en vigueur, les entreprises et organismes publics peuvent s’appuyer sur le référentiel d’exigence PVID publié par l’ANSSI qui permet de garantir de manière substantielle ou élevée l’identification d’un utilisateur, l’authenticité des titres qu’il présente, et le fait qu’il en soit le détenteur légitime.
