Quelles sont les limites du règlement eIDAS 1.0 ? 

En 2014, le règlement eIDAS (parfois appelé eIDAS 1.0 ou eiDAS 2014)  a marqué une étape importante dans la mise en place d’un cadre juridique pour les transactions électroniques en Europe. 

Mais au fil des ans, les évolutions technologiques et les changements d’usages ont révélé les limites du règlement, aboutissant à sa révision en Juin 2021 par la Commission Européenne. 

Quelles sont donc les limites d’eIDAS 1.0 qui ont conduit à la conception de sa version 2.0 ? 

Un champ d’application limité 

La première version d’eIDAS avait un champ d’application relativement restreint, accès uniquement sur l’identification électronique et les services de confiance liés à la signature électronique, au cachet électronique, à l’horodatage électronique, à l’envoi recommandé électronique et à l’authentification de sites internet. 

Avec l’évolution des technologies, de nouveaux types de transactions électroniques sont apparus, soulevant ainsi des questions techniques et des incertitudes juridiques. 

Il est alors devenu nécessaire d’élargir le champ d’application du règlement eIDAS pour couvrir un plus large éventail de services et d’activités numériques.  

eIDAS 1.0 ne répond plus aux attentes des utilisateurs et du marché 

En 10 ans, les usages des services de confiance numérique ont énormément évolué. 

Aujourd’hui, la plupart des utilisateurs demandent une expérience fluide, 100% dématérialisée et intégrée, et accessible depuis leur mobile. 

Dans les faits, les solutions d’identifications les plus fiables préconisées par le règlement eIDAS se révèlent complexes et peu compatibles avec une expérience utilisateur optimale. 

De plus, chaque plateforme ou dispositif d’identification électronique propose des expériences à géométrie variable, éloignant un peu plus la promesse d’une identification numérique simple et accessible par tous les utilisateurs. 

Manque d’harmonisation et d’interopérabilité entre pays de l’UE 

Malgré son ambition de simplifier les échanges transfrontaliers et d’harmoniser les pratiques dans l’Union Européenne, eIDAS 1.0 a proposé un cadre trop général, laissant une grande place à l’interprétation technique. 

Par exemple, le règlement prévoit que chaque pays puisse adopter une réglementation nationale. Ces variations créent de la confusion et complexifient les services des entreprises opérant dans plusieurs pays de l’UE. 

Le règlement eIDAS 1.0 n’impose pas non plus de normes techniques pour définir les exigences de sécurité des moyens d’identification électronique, ni de normes pour garantir l’interopérabilité des services de confiance entre différents fournisseurs Européens. 

La définition des normes, la certification et le contrôle des fournisseurs de services de confiance sont ainsi laissés à la charge de chaque pays et de son organe national de contrôle (l’ANSSI en France), et contribue à créer des disparités au sein de l’UE. 

Un espace digital de confiance et sécurisé à créer 

Bien que le règlement eIDAS 1.0 ait contribué à faciliter les démarches de confiance en ligne, il n’a pas réussi à faire émerger un espace numérique pleinement connecté et sécurisé. 

Il n’existe pas à ce jour un environnement uniformisé, sécurisé et reconnu à l’échelle européenne dans lequel les utilisateurs pourraient facilement s’authentifier en ligne pour effectuer leurs démarches, tout en préservant la confidentialité et l’utilisation de leurs données personnelles. 

Par ailleurs, le RGPD est entré en vigueur en 2018, nécessitant d’aligner les dispositions relatives à la protection des données et à la vie privée du règlement eIDAS. 

Même si eIDAS 1.0 a facilité et accéléré la transition vers le numérique, il est aujourd’hui inadapté aux usages et tend presque à ralentir la digitalisation des processus de confiance. C’est pour venir corriger toutes ces limitations que le règlement eIDAS 2.0 est donc en cours de finalisation.