Décryptage du règlement européen eIDAS sur la signature électronique

Le 23 juillet 2014, le Conseil de l’Union Européenne annonçait l’adoption définitive du nouveau règlement eIDAS (Electronic Identification And trust Services), sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.

Le règlement eIDAS définit et encadre l’utilisation de différents types de services de confiance :

• Émission de certificat d’authentification de site web,
• Horodatage,
• Signature électronique,
• Cachet électronique,
• Services d’envois recommandés électroniques.

Publié le 28 août 2014 au journal officiel de l’Union Européenne sous la référence (UE) n ° 910/2014, ce texte transforme profondément le cadre juridique européen. Il doit ainsi permettre aux utilisateurs de bénéficier pleinement d’un espace unique et sécurisé pour la plupart des transactions électroniques en Europe.

Le règlement européen eIDAS, véritable marché paneuropéen de la confiance numérique

Le règlement eIDAS n’est pas une simple actualisation de la directive de 1999 : il abroge la directive 1999/93/CE qui ne s’intéressait qu’à la signature électronique. Le règlement eIDAS instaure ainsi un cadre juridique beaucoup plus général pour différents types de transactions électroniques au sein du marché intérieur.

Le règlement eIDAS s’applique totalement et directement en Europe et ne donne pas de possibilité de transpositions législatives nationales par les États. Il a remplacé les lois nationales, ce qui a engendré des modifications profondes dans la législation de certains pays en matière de signature et d’identification électronique. De même, les référentiels nationaux, comme le RGS, ont dû s’aligner avec ce règlement.

Avec le règlement eIDAS, un document électronique est une preuve

Le chapitre IV du règlement eIDAS dispose en effet qu’un document électronique ne peut pas être refusé au titre de preuve en justice au seul motif qu’il se présente sous forme électronique. En 2016, dans un contexte où certains aspects du monde numérique pouvaient générer des réticences, cela avait le mérite d’être écrit dans un règlement ! 

Des services de confiance encadrés dans toute l’Europe :
Pour chaque type de service (signature, horodatage, etc.), le règlement eIDAS définit la notion de service de confiance qualifié et de Prestataire de Service de Confiance (PSCo) qualifié. Ces opérateurs ont un certain nombre d’exigences de sécurité à suivre et doivent respecter un processus de qualification attestant qu’ils sont conformes au règlement.

En contrepartie, les utilisateurs ont l’assurance que s’ils utilisent des services qualifiés ou qu’ils font appel à un PSCo qualifié, celui-ci respecte les exigences du règlement européen eIDAS.

Imposées depuis désormais plusieurs années par la Commission Européenne aux États membres, les listes de Prestataire de Services de Confiance, sont une véritables références jugées fiables par les différents États de l’Union. En France, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est l’organisme national chargé de la mise en oeuvre de ce règlement.

Une reconnaissance mutuelle des identifications électroniques en Europe

Le règlement eIDAS accorde une place très importante aux moyens d’identification électronique qui sont d’ailleurs traités de manière indépendante des autres services de confiance. Il définit trois niveaux de garantie qui diffèrent en fonction de leur degré de fiabilité : niveau de garantie faible, substantiel et élevé.

Le règlement eIDAS encourage également l’implémentation des niveaux substantiel et élevé afin d’aboutir à une interopérabilité des moyens d’identification électronique en Europe. En résumé, tous les services publics européens doivent pouvoir accepter les moyens d’identifications substantiel et élevé, quels que soient les États qui les ont mis en service.

L’horodatage introduit au niveau Européen par le règlement eIDAS

Alors que l’horodatage électronique bénéficiait d’un cadre juridique clair et mature en France grâce notamment au RGS, il n’avait pas été introduit en droit européen. Le règlement eIDAS a remédié à cette situation en définissant à la fois l’horodatage et l’horodatage qualifié.

Rappelons qu’un horodatage garantit l’existence d’un fichier à une date donnée et que celui-ci n’a pas été modifié depuis cette date (principe d’intégrité). Dès lors, un document scellé avec un horodatage qualifié au sens européen bénéficie d’une présomption d’exactitude quant à sa datation, son heure et son intégrité devant toutes les juridictions européennes.

Le règlement eIDAS définit différents types de signatures électroniques

Tous les textes juridiques publiés avant le règlement européen eIDAS accordaient une large place à la génération des certificats et à la création des signatures électroniques. En revanche, ils abordaient assez peu la manière dont une signature devait être vérifiée et validée.

Le règlement eIDAS a rectifié cela en consacrant deux articles à la validation des signatures qualifiées. Il est également à l’origine de trois niveaux de signature : simple, avancée et qualifiée. Cependant la pratique commerciale à vue naître un quatrième niveau, avancée avec certificat qualifié.

Universign Prestataire de Service de Confiance qualifié selon le règlement eIDAS

En tant que PSCo, qualifié selon le règlement européen eIDAS, les services de confiance d’Universign garantissent l’identification du signataire et l’intégrité du document.

Le rôle d’Universign en tant que Prestataire de Services de Confiance est de porter cette responsabilité juridique et sécuritaire afin d’offrir des services de signatures électroniques conférant une valeur probante aux documents signés, conformément règlement européen eIDAS.

Universign est contrôlé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui lui délivre ses qualifications et fait partie des premiers lauréats des Visas de sécurité délivrés par l’autorité et destinés à identifier facilement les solutions informatiques les plus fiables.

Universign est par ailleurs régulièrement audité par LSTI. Cet organisme indépendant d’évaluation de la conformité est le seul habilité par l’ANSSI à qualifier des PSCo.