Dans un contexte de digitalisation accrue des échanges, qu’il s’agisse d’actes d’achat, d’opérations bancaires ou financières ou de démarches auprès d’administrations, de B to B ou de B to C, il apparaît primordial de disposer d’un cadre fiable, sécurisé et commun à toute l’Union européenne pour l’identification électronique et la sécurisation des transactions. C’était l’objectif assigné au règlement eIDAS, dont la révision a été récemment engagée.
Rappel : qu’est-ce que le règlement eIDAS ?
Le règlement 910/2014 du 23 juillet 2014[1] dit « eIDAS » (Electronic IDentification And Trust Services) avait pour objectif de faciliter la mise en place de systèmes d’identification interopérables au sein de l’Union européenne.
Des exigences relatives à la reconnaissance mutuelle des moyens d’identification électronique et des signatures électroniques, pour les échanges entre les organismes du secteur public et les usagers avaient ainsi été définies. Les actes sous seing privé étaient quant à eux exclus du champ d’application du règlement.
Entré en vigueur pour l’essentiel le 1er juillet 2016, le règlement eIDAS impose la reconnaissance mutuelle des moyens d’identification électronique depuis le 29 septembre 2018.
Pourquoi une révision ?
Le fonctionnement du règlement eIDAS a été évalué, dans le cadre du processus de réexamen prévu par son article 49.
Le bilan qui en est tiré révèle que le règlement eIDAS n’a pas pleinement atteint ses objectifs. Seul un nombre limité de schémas d’identification électronique a été notifié. En conséquence, plus de 40 % de la population européenne n’en bénéficie pas à ce jour. Ainsi, l’interopérabilité européenne reste insuffisante. En outre, les schémas d’identification électronique sont peu connus et mal acceptés, aussi bien au niveau des États membres que des prestataires de services.
Par ailleurs, la priorité mise sur l’accès aux services publics en ligne apparaît inadéquate et insuffisante pour relever les défis qui s’annoncent. En effet, la majorité des besoins en matière d’identité électronique et d’authentification à distance s’observe dans le secteur privé, en particulier chez les acteurs de la banque et de la vente à distance, qui sont tenus par la loi de vérifier l’identité de leurs clients.
Les lacunes du cadre actuel, les changements contextuels en ce qui concerne les marchés ainsi que les évolutions sociétales et technologiques justifiaient donc une révision du règlement eIDAS[2].
Par ailleurs, la Commission européenne a rendu public son plan « Boussole numérique »[3]. Celui-ci contient des objectifs ambitieux en matière d’identité numérique des personnes physiques, et vise notamment, à ce que 80 % des citoyens européens soient en mesure d’utiliser une solution d’identification électronique à l’horizon 2030. Or le règlement eIDAS actuel semble inadapté pour atteindre de tels objectifs.
Une réforme de ce texte a donc été préparée puis actée le 3 juin 2021 par la Commission européenne.
Que faut-il attendre du nouveau texte ?
- Une généralisation de l’identité numérique
Le volet « identité numérique des citoyens » est beaucoup plus développé qu’antérieurement. L’option technique retenue est celle de la création d’un portefeuille européen d’identité numérique, qui permettrait aux citoyens de prouver leur identité et de partager des documents électroniques, via leur smartphone. Chaque personne disposera d’une identification numérique nationale, qui sera reconnue dans toute l’Europe. Les prestataires de services d’identité numérique seront agréés et contrôlés, comme les prestataires de services de confiance le sont déjà.
Les données stockées pourront être utilisées pour des services très variés, comme l’enregistrement à l’aéroport ou la location d’un appartement, ou encore l’ouverture d’un compte bancaire dans un autre Etat membre.
Les très grandes plateformes seront tenues d'accepter l'utilisation du portefeuille européen d'identité numérique sur demande de l'utilisateur, par exemple pour lui permettre de prouver son âge. Le choix d’utiliser le portefeuille d'identité numérique européenne sera toujours laissé à l'appréciation de l'utilisateur, il ne pourra s’y voir contraint.
Afin que ce dispositif puisse être mis en place, soit par une entité publique nationale, soit par une entité privée, la proposition de règlement, qui va amender et moderniser le règlement eIDAS, définit un cadre de déploiement de cet outil. Par ailleurs, une recommandation[4] publiée par la Commission européenne encadre le lancement de la réflexion sur les modalités de déploiement et de mise à disposition de cet outil.
Ce dispositif devrait permettre aux petites et moyennes entreprises de sécuriser les échanges avec leurs prestataires et clients. Les plus grandes entreprises ou entités du secteur public, quant à elles, pourraient continuer à privilégier le développement de plateformes spécifiques.
- Un élargissement du champ d’application du règlement eIDAS, qui impliquera à l’avenir de très nombreuses entreprises
La demande est forte, actuellement, notamment de la part des entreprises privées, de pouvoir identifier et authentifier leurs utilisateurs avec un haut niveau de fiabilité.
Face aux insuffisances techniques du règlement eIDAS, trop complexe, de nombreuses solutions d’identité ont été développées en marque propre par des fournisseurs de services de communications électroniques, ou encore par des institutions financières (voir notamment les règles d’authentification forte prévues par la directive sur les services de paiement – DSP II). Les réseaux sociaux, quant à eux, proposent de s’identifier sur des sites tiers avec les identifiants utilisés sur leur plateforme.
Mais le manque de cadre commun aboutit à de grandes inégalités entre ces systèmes, qui peuvent présenter des problèmes de sécurité, de confidentialité et de protection des données. Par ailleurs, ils n’ont aucune portée transfrontière. C’est pourquoi une harmonisation des règles et la création d’interconnexions efficaces apparaissent indispensables. A défaut, les prestataires de services de confiance pourraient être tentés de s’installer dans l’Etat membre où les règles nationales sont les plus clémentes, au détriment de la fiabilité globale du système.
Le règlement eIDAS II prévoit donc de renforcer la fiabilité des certificats d’authentification de sites internet. Il devrait permettre aux citoyens de pouvoir s’y fier et de bénéficier d’informations fiables sur l’identité de l’éditeur du site, réduisant ainsi la fraude. Le cadre français relatif à l’obligation de faire figurer certaines mentions légales d’un site internet pourrait ainsi être réformé à terme, ou tout du moins être mis en cohérence avec ce nouveau cadre.
Enfin, la liste actuelle des services de confiance eIDAS sera complétée par trois nouveaux services de confiance qualifiés : la fourniture de services d'archivage électronique, la mise en place de registres électroniques et la gestion de la création de signatures et de sceaux électroniques à distance.
Les prestataires délivrant des services de signature ou d’identification électronique bénéficieront d’une période d’adaptation de leurs outils s’ils n’étaient pas compatibles avec les nouvelles règles techniques. La réforme devrait induire des frais, les concernant, ce que relève l’étude d’impact de la proposition de règlement.
Les entreprises, quant à elles, bénéficieront de la dématérialisation sécurisée de certaines tâches, et donc d’économies d’échelle et de personnels. Ces derniers pourront être repositionnés sur d’autres missions. En échange, les entreprises devront accepter l’identification numérique des citoyens, et devront donc adapter leur infrastructure informatique.
Quand les nouvelles dispositions seront-elles effectives ?
Les travaux concernant la mise en place par les Etats membres d’une boîte à outils commune permettant de développer des outils d’interconnexion ont d’ores et déjà été engagés. Des résultats tangibles devraient être présentés et être utilisables courant octobre 2022.
La proposition de règlement devrait quant à elle être examinée dans le courant de 2022 et publiée début 2023. Elle a récemment fait l’objet d’une nouvelle phase de recueil de commentaires, qui s’est terminée le 2 septembre 2021.
Points clés :
- Le règlement eIDAS, complexe et inadapté aux nouveaux défis de la digitalisation des échanges, va être prochainement révisé.
- La proposition de règlement modificatif prévoit la création d’un système européen d’identité numérique pour tous les citoyens, et de nouveaux services de confiance : archivage, registres électroniques, signatures et sceaux dématérialisés.
- Les entités du secteur public, mais surtout du secteur privé, pourront (et devront pour certaines) recourir aux dispositifs prévus par le règlement eIDAS II.
Article paru dans Option Finance le 13/12/2021
Technologie, Media et Communication dans notre cabinet d’avocats :
Si les avancées technologiques constituent de formidables opportunités, elles sont également un vecteur de risques pour les entreprises. Dans cet environnement évolutif, notre cabinet d’avocats met à votre disposition sa fine compréhension des nouvelles technologies, son expertise reconnue en matière de propriété intellectuelle ainsi que sa parfaite maîtrise du droit des contrats.
_840x420.jpg?v=3)
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.