Listes de Confiance et Signature Électronique eIDAS

Interopérabilité européenne du règlement

Au niveau européen, on ne peut pas imposer à un Etat l’utilisation d’un moyen d’identification électronique notifié pour accéder à un service donné. Il n’y a pas non plus de logique d'harmonisation. Les Etats restent souverains. En France, la plateforme FranceConnect est mise en place afin de permettre à la fois à un tiers français d’accéder aux services publics en ligne européen et aussi à un tiers européen d’accéder aux services publics français en ligne. Des écarts au niveau des pratiques sont déjà constatés entre les Etats et pourraient retarder l’émergence du marché numérique commun à l’union européenne. Une harmonisation des niveaux de garantie requis devra être faite tôt ou tard en fonction des services proposés. Il appartient aux Etats de s’accorder entre eux afin de faire vraiment de l’Europe un espace d’échange unique. Cependant, la Commission européenne peut adopter des actes d’exécution venant préciser certains articles du règlement, publier des bonnes pratiques ou intervenir en dernier ressort en cas de litige.

Le règlement eIDAS rend-il le Référentiel Général de la Sécurité (RGS) obsolète ?

Le RGS comporte 2 volets : sécurité des autorités administratives et un volet technique.

Le RGS reste valable sur la sécurisation des autorités administratives. D’autres différences existent le règlement eIDAS :

  • ne traite que d'un certain nombre de service de confiance et ne traite pas certains services couverts par le RGS (certificat de chiffrement, signature de code, signature d'applet java. )
  • introduit un effet juridique applicable au sein de l'UE pour certains services de confiance qualifiés eIDAS (la signature électronique qualifiée au sens eIDAS équivalente à une signature manuscrite)
  • ne prévoit qu'un statut "qualifié" et un statut "non qualifié" tandis que le RGS a, pour certains services comme la délivrance de certificats électroniques, 4 niveaux de qualification. Cela permet d'éviter de passer de "rien" à "tout".

eIDAS - La nouvelle réglementation européenne sur l'identité numérique

La confiance dans les outils numériques est indispensable pour favoriser leur adoption. Les outils électroniques, comme le cachet, l’horodatage, la signature, le recommandé, pourront bientôt être utilisés comme outils légaux dans l’Union Européenne. Le règlement eIDAS entend asseoir la confiance dans les travaux électroniques, pour une collaboration à l’échelle européenne.

Cet article fait suite à des échanges entre Laurent VOILLOT (Architecte et RSSI de la Direction Interministérielle du Numérique et du Système d'Information et de Communication de l'État (Direction Interministérielle de l'Etat - DINSIC), Romain SANTINI (Chef de projet eIDAS à l’Agence Nationale de la Sécurité des Systèmes d’Information - ANSSI) et le cabinet Sia Partners.

Le règlement eIDAS

Le Parlement européen et le Conseil de l’Union européenne ont adopté le 23 juillet 2014 le règlement N°910/2014 – connu sous le nom eIDAS - sur l’identification électronique et les services de confiance pour les transactions électroniques au sein de l’Union Européenne.

Ce règlement comporte 2 volets : l’identification électronique et les services de confiance.

eIDAS est applicable depuis le 1er juillet 2016 pour la majorité de ses dispositions, incluant celles relatives aux « service de confiance ».

La reconnaissance mutuelle des moyens d’identification électronique sera quant à elle obligatoire à partir de septembre 2018.

Le règlement prévoit que les organismes du secteur public des Etats membres décident, pour chaque service en ligne, s’ils exigent un moyen d’identification électronique notifié pour y accéder.

L’enjeu du règlement eIDAS est donc de créer un cadre européen de reconnaissance mutuelle et d’interopérabilité pour l’identification électronique et les services de confiance.

Le règlement eIDAS est complètement agnostique de la technologie et s’adapte à la maturité technologique des pays concernés. Cette approche porte deux intérêts. D’une part, permettre aux Etats de conserver leur souveraineté nationale sur certains domaines de la sécurité SI comme la cryptographie. D’autre part, favoriser l’innovation technologique au travers des solutions nationales pour répondre aux exigences du règlement.

Identification Electronique

La DINSIC est l'autorité française en charge du volet identification électronique. Elle opère FranceConnect, la plateforme fédérant les identités en ligne reconnue par certains services publics. Cette plateforme permet aux usagers d’être en relation avec des services publics en ligne français et européens. Pour ce faire, le tiers doit disposer d’une identité électronique reconnue en France et à l’étranger et se connecter avec un niveau de garantie supérieur ou égal à celui requis pour accéder au service. Ce niveau est transfrontalier.

Signature électronique certifiée eIDAS - Garantie de Sécurité et de Conformité
La Signature Électronique Reconnue par eIDAS - Tout Ce Que Vous Devez Savoir
La Signature Électronique conforme eIDAS - Tout ce que vous devez savoir
Tout sur la Signature Électronique eIDAS Gratuite

signature electronique eidas