eIDAS 2.0 : que sait-on de la nouvelle réglementation sur l'identification électronique ?
Avec la pandémie et les confinements à répétition, de nombreuses entreprises ont dû trouver des solutions afin d'assurer la continuité de leurs opérations commerciales. Pour un grand nombre d'entre elles, eIDAS (« electronic IDentification, Authentication and trust Services ») a fourni les outils et le cadre juridique pour garantir que ces entreprises puissent continuer leurs activités en permettant la signature de contrats commerciaux ou de travail, de prêts, sans aucun doute sur les complications juridiques en cas de litige.
Entrée en vigueur été 2016, le règlement eIDAS a été mis en place afin de définir le cadre juridique et unifier l'identité numérique au niveau européen. Ce règlement européen donne un espace numérique commun sur lequel les services publics comme privés peuvent s'appuyer afin d'assurer leurs transactions électroniques en toute confiance. Son but ? Améliorer les activités et le commerce dans l'Union.
Dans sa version première, eIDAS proposait 3 grandes directions : celle de définir le concept de signature électronique, d'affirmer sa recevabilité devant la justice partout en Europe, mais également de traiter de son effet juridique.
Lire aussi : { Tribune Expert } - Règlement sur l'Intelligence artificielle : vision holistique et éthique de l'innovation
Aujourd'hui, une nouvelle mouture d'eIDAS devrait être mise en vigueur d'ici la fin 2022. Quels sont les principaux changements de cette nouvelle version d'eIDAS ? Comment cela va-t'il se traduire pour les entreprises françaises ?
Une manière de mieux répondre aux demandes du marché actuel
Aujourd'hui, l'état du marché incite la loi à évoluer vers de nouvelles directions. Bien que la première version d'eiDAS ait posé les fondements fondamentaux en définissant notamment les différents niveaux de signatures électroniques, l'évolution des différents services oblige la justice européenne à spécifier de nouveaux éléments, et donc à aller vers une version améliorée d'eIDAS.
Les solutions technologiques, la croissance des offres de services qui sont proposées (par exemple : services bancaires ou commerciaux en lignes), ainsi que les attentes en termes d'authentification et d'identification ne sont plus les mêmes qu'auparavant. Ces avancées requièrent un niveau d'assurance encore plus élevé.
Délimiter un cadre pour les services de signatures, de cachets, de recommandés et d'horodatage électroniques ou pour la production de certificats d'authentification n'est plus suffisant face à l'état actuel du marché.
Lire aussi : { Tribune Expert } - L'IA : notre plus grande alliée ou notre pire ennemie dans la lutte contre les cybermenaces ?
En effet, la nouvelle mouture d'eIDAS prend désormais en compte de nouveaux usages comme l'archivage électronique qualifiée, le registre électronique européen qualifié ou la gestion des QSCD1 à distance, qui nécessitaient d'être régulés.
Des processus facilités pour les entreprises françaises et européennes
L'objectif de cette révision est de faciliter l'acceptabilité, la reconnaissance, et l'interopérabilité des solutions qui seront présentées pour les services publics comme privés. Ainsi, ces services pourront bénéficier de la même expérience en termes d'identification électronique, notamment grâce à la notion de « European Digital Identity Wallet » (Portefeuille d'Identité Numérique Européenne).
Ce portefeuille permettra aux différents services de sécuriser une identité unifiée afin d'offrir de nouveaux moyens d'authentification valables dans la totalité de l'Union européenne. Par exemple, avec l'introduction de ce service, la création d'une signature électronique qualifiée se verra facilitée car tous les éléments nécessaires à celle-ci seront numériquement sauvegardés au même endroit. De plus, les opérations permettant notamment de lancer les processus de souscriptions, d'ouvrir des comptes se verront également simplifier avec la version 2.0 d'eIDAS.
eIDAS 2.0 va également permettre de simplifier les processus internes grâce aux « attributs » qui attesteront du statut d'une personne au sein d'une organisation de manière électronique. Ainsi, il sera par exemple possible de tracer numériquement une personne ayant délégué la signature d'un document de manière sécurisée et protégée.
Toutes ses solutions pourront bénéficier de leurs propres schémas de certification, de leurs propres activités de contrôle. Les entreprises et organisations publiques pourront diversifier leurs offres mais aussi offrir un délai moins important sur la certification complète de l'offre de services finale qui sera rendue aux citoyens.
Avec eIDAS 2.0, l'objectif est que 80 % des citoyens soient couverts par un portefeuille électronique d'ici 2030 et que le support de cette authentification dans les services publics et les offres des principaux offreurs de services, notamment bancaires, inclut leurs processus de souscription.
En attendant son entrée en vigueur, les entreprises et organismes publics peuvent s'appuyer sur le référentiel d'exigence PVID publié par l'ANSSI qui permet de garantir de manière substantielle ou élevée l'identification d'un utilisateur, l'authenticité des titres qu'il présente, et le fait qu'il en soit le légitime détenteur.
Thibault De Valroger, - DocuSign.
Sur le même thème
Voir tous les articles Cybersécurité