Grâce à la révision du règlement européen eIDAS, une véritable identité numérique va être mise en place au niveau européen, avec notamment la création d’un wallet numérique permettant de prouver son identité, de stocker des documents officiels et l’introduction de nouveaux services de confiance.
La dématérialisation croissante des échanges, qui permet à chacun d’accéder à un large éventail de biens et services, doit s’accompagner d’une protection des utilisateurs, citoyens et entreprises, contre les risques liés à la cybersécurité. Ce n’est qu’en se dotant d’un cadre fiable, sécurisé et harmonisé pour l’identification électronique et la sécurisation des transactions que l’Union européenne pourra relever les défis de la « Décennie numérique ». Avec la révision du règlement eIDAS, l’Europe se donne les moyens de ses ambitions.
Pourquoi une révision du règlement eIDAS ?
Le règlement 910/2014 du 23 juillet 2014 (1), entré en vigueur pour l’essentiel le 1er juillet 2016, établit un cadre commun pour la reconnaissance mutuelle des moyens d’identification électronique et des systèmes de signature électronique, afin de sécuriser les transactions électroniques dans l’Union.
Après quelques années d’application de ce texte, le bilan n’est pas à la hauteur : un nombre très faible de notifications de schémas d’identification électronique, une interopérabilité européenne insuffisante et une mauvaise connaissance des processus en place de la part des entreprises comme des particuliers.
Par ailleurs, alors que les besoins du secteur privé s’intensifient, le règlement eIDAS priorise encore les besoins du service public et ne couvre pas les usages émergents dans les domaines bancaires, financiers, de l’éducation, de la santé, du commerce électronique, etc.
Le plan « Boussole numérique » de la Commission européenne propose une nouvelle trajectoire plus globale.
eIDAS 2 : une réglementation adaptée à de nombreux cas d’usage
Le règlement eIDAS 2 devrait permettre le développement de nouveaux cas d’usage relevant de la vie courante qu’il s’agisse de mobilité (ex : vérification du titre de transport, permis de conduire mobile), d’embauche (ex : certification de diplôme), de santé (ex : prescription électronique), de paiements en ligne (ex : authentification forte).
En adéquation avec les usages réels des particuliers et des entreprises, la proposition de règlement propose une approche basée sur des expérimentations à grande échelle et des retours d’expérience, pour améliorer la réglementation et l’intégrer au mieux au sein de chaque Etat membre. Le projet test, lancé en avril 2023, devrait se poursuivre jusqu’en 2025 avec une phase d’évaluation des résultats du projet et des recommandations pour la mise en œuvre du règlement.
Quels sont les principaux apports de eIDAS 2 ?
De l’identité numérique au portefeuille d’identité numérique européen
Si eIDAS 1 a permis le développement des dispositifs d’identité numérique avec notamment la définition de plusieurs niveaux de certifications (faible, substantiel, élevé), elDAS 2 ira beaucoup plus loin avec la mise en place à l’échelle européenne d’un cadre pour une identité numérique régalienne sécurisée.
Le portefeuille européen d’identité numérique (PEIN) permettra aux personnes physiques et morales de :
- prouver leur identité, sans recourir aux seules solutions nationales d'identité ;
- stocker leurs données : le wallet peut notamment contenir une signature électronique émise par un prestataire qualifié ;
- gérer l’ensemble de leurs documents officiels au format électronique (exemple : permis de conduire, prescriptions médicales, diplômes universitaires, titres de séjour).
Les données stockées dans le PEIN pourront être utilisées pour de nombreux services tels que la location de voiture, l’enregistrement à l’aéroport, l’inscription à l’université, la location d’un appartement, l’ouverture d’un compte en banque.
Ce portefeuille d’identité numérique sera utilisable dans l’ensemble de l’Union européenne quel que soit le pays d’émission. Par ailleurs, les grandes plateformes devront accepter son utilisation notamment pour permettre aux internautes de prouver leur âge.
Les prestataires de services d’identité numérique seront agréés et contrôlés, et le PEIN sera supervisé par une autorité de confiance nationale, en France l’ANSSI.
· Un wallet numérique créateur de valeur pour les entreprises de l’Union
Ce cadre harmonisé au niveau européen doit permettre de « créer de la valeur économique en facilitant l'accès aux biens et aux services », et « en réduisant sensiblement les coûts opérationnels des procédures d'identification électroniques » (2). En effet, le dispositif devrait faciliter l’enrôlement de nouveaux clients tout en réduisant les risques de cybercriminalité (usurpation d'identité, paiement frauduleux, vol de données). eIDAS 2 accompagnera ainsi la transformation numérique des petites et moyennes entreprises européennes en toute sécurité. Par ailleurs, le principe de la transmission unique d'informations réduira la charge administrative des autorités publiques et permettra de soutenir la mobilité transfrontière des citoyens et des entreprises européennes.
· Les risques liés au développement de l’identité numérique identifiés par la CNIL
Si le portefeuille d’identité numérique comporte un certain nombre de caractéristiques bienvenues, comme une délivrance facultative et gratuite, une gestion laissée au porteur, une utilisation minimale de données fournies et un accès facilité des citoyens à leur identité numérique, la CNIL a mis en garde contre les risques posés par la proposition de création d’un « identifiant unique et permanent » introduite par la Commission européenne.
En effet, si ce type d’identifiant facilite l’interopérabilité des systèmes nationaux, il engendre de nombreux risques de profilage, de suivi des citoyens et d’interconnexion des fichiers. La version finale du règlement eIDAS 2 (3) est silencieuse sur ce point alors que de nombreuses questions demeurent.
Quelles nouveautés pour les services de confiance ?
· Une plus grande fiabilité des certificats d’authentification des sites internet
La révision de eIDAS permettra la délivrance de certificats d’authentification fiables des sites internet renforçant ainsi la confiance des utilisateurs quant à l’identité de l’éditeur du site. Les internautes pourront se fier plus facilement aux sites authentifiés, et les risques de fraude seront réduits. Le cadre de confiance établi par la version révisée du texte comprend un certain nombre d’obligations minimales de sécurité à respecter et des règles d’affichage des données certifiées et autres attributs attestés. L’obligation prévue par le droit français de faire figurer certaines mentions légales d’un site internet devra probablement être mise en cohérence avec ces nouvelles obligations de disponibilité des certificats qualifiés d'authentification.
· Des nouveaux services de confiance qualifiés
La liste actuelle des services de confiance est complétée par deux nouveaux services de confiance qualifiés :
- la fourniture de services d'archivage électronique définis comme « un service assurant la réception, le stockage, la récupération et la suppression de données électroniques et de documents électroniques afin d'en garantir la durabilité et la lisibilité, ainsi que d'en préserver l'intégrité, la confidentialité et la preuve de l'origine pendant toute la période de préservation » ;
- la mise en place de registres électroniques, définis comme « une séquence d'enregistrements de données électroniques qui devrait garantir l'intégrité de ces données et l'exactitude de leur classement chronologique ».
· Renforcement des exigences pour la signature électronique avancée
Le texte révisé renforce les exigences et les normes de sécurité que devront respecter les signatures avancées. Ces signatures devront ainsi créer un lien univoque avec le signataire, permettre de l’identifier, garantir la non-compromission des données signées et les moyens permettant de créer ces signatures seront sous le seul contrôle des utilisateurs signataires (ex : smartphone).
Quant à la signature qualifiée à distance, elle devra respecter les mêmes exigences que celles applicables à la signature avancée mais en reposant en sus sur un certificat délivré par un prestataire de services de confiance qualifié.
Si le règlement eIDAS 2 renforce clairement les services de confiance, il ne faut pas oublier que ceux-ci peuvent se révéler coûteux, compliqués et qu’ils nécessitent l’intervention d’un tiers de confiance qualifié. Il est possible d’avancer que si le portefeuille d’identité numérique européen se révèle efficace, l’identification des signataires pourrait à l’avenir se faire par ce seul biais dans le cadre de transactions courantes. La prochaine entrée en vigueur du règlement révisé et ses premières applications aux nombreux cas d’usage de la vie courante pourraient conduire à une fusion des notions d’identité numérique et d’authentification numérique. A suivre…
Points clés :
- La nouvelle version du règlement eIDAS, qui s’appliquera aux entités publiques et privées, va prochainement être publiée au JOUE.
- Le règlement modifié introduit le portefeuille d’identité numérique européen qui permettra à ses utilisateurs de prouver leur identité, stocker des données et gérer l’ensemble de leurs documents officiels.
- En matière de services de confiance, des certificats d’authentification des sites internet seront délivrés, de nouveaux services de confiance seront introduits et les exigences de sécurité relatives à la signature électronique avancée seront renforcées.
Article paru dans Option Finance le 08/04/2024
(1) Règlement sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur ou Electronic IDentification And Trust Services regulation, (eIDAS)
(2) Extrait de la proposition de règlement du Parlement européen arrêtée en première lecture le 29 février 2024.
(3) L’idée de créer un identifiant unique figurait dans la proposition du Parlement européen en date du 3 juin 2021, mais elle n’apparaît plus expressément dans la version votée définitivement le 29 février 2024. Pour autant, son usage n’est pas exclu.
En savoir plus sur notre cabinet d'avocats
CMS Francis Lefebvre est le premier cabinet d’avocats d’affaires français pluridisciplinaire et international.
Véritable institution du monde du droit et des affaires, nous disposons d’une force de frappe internationale de premier plan avec en France 450 avocats dont 110 associés, et dans le monde plus de 5 000 avocats répartis dans plus de 45 pays et de 75 villes.
Partenaire de confiance de nos clients, nous les aidons à relever leurs défis en intervenant à leur côté en conseil, en transactionnel et en contentieux.
Ainsi, nous accompagnons leurs projets, sécurisons leurs transactions et assurons leur défense.
|
|
|
