eIDAS : pour tout savoir à propos du nouveau règlement de l’Union Européenne sur les signatures électroniques

Résumé

Le règle­ment (UE) n° 910/2014 sur l’identification élec­tron­ique et les ser­vices de con­fi­ance pour les trans­ac­tions élec­tron­iques au sein du marché intérieur (eIDAS) a été adop­té par le Con­seil de l’Union européenne le 23 juil­let 2014. Il établit un nou­veau cadre juridique autour de l’identification, des sig­na­tures, des sceaux et des doc­u­ments élec­tron­iques au sein de l’Union européenne.

Le règle­ment eIDAS entr­era en vigueur le 1er juil­let 2016 et rem­plac­era alors la direc­tive européenne actuelle sur les sig­na­tures élec­tron­iques. Autre point tout aus­si impor­tant, les lois des États mem­bres non con­formes au règle­ment eIDAS seront automa­tique­ment annulées, rem­placées ou mod­i­fiées. Pour la pre­mière fois, l’Union européenne dis­posera donc d’un cadre juridique homogène et d’un marché unique pour la recon­nais­sance des sig­na­tures élec­tron­iques et des iden­tités sur tout le ter­ri­toire. Cet envi­ron­nement régle­men­taire prévis­i­ble per­me­t­tra aux entre­pris­es du secteur privé de dévelop­per et d’intensifier l’utilisation des trans­ac­tions et sig­na­tures élec­tron­iques au sein de l’Union européenne.

Rap­pel

En 1999, la Com­mis­sion Européenne pub­li­ait sa pre­mière direc­tive sur les sig­na­tures élec­tron­iques (Direc­tive 1999/93/CE). Les États mem­bres étaient libres de l’interpréter et d’imposer leurs pro­pres restric­tions, lim­i­ta­tions et excep­tions. L’Europe s’est donc retrou­vée avec tout un patch­work de lois en la matière. Si l’Australie et la Suède ont adop­té des ver­sions très strictes, le Roy­aume-Uni, par exem­ple, a établi des lois beau­coup plus sou­ples que celles des États-Unis. Pire : aucun des États mem­bres n’a adop­té les mêmes stan­dards tech­niques pour leur implé­men­ta­tion, ce qui a inter­dit la créa­tion d’une réelle interopéra­bil­ité. Cette frag­men­ta­tion a nui aux objec­tifs d’évolution vers un marché unique de l’Union européenne.

En 2011, la révi­sion de la direc­tive est dev­enue l’une des grandes pri­or­ités de la Com­mis­sion Européenne. Pour remédi­er à ces faib­less­es et dévelop­per un marché numérique unique, la révi­sion engagée a abouti trois ans plus tard à l’adoption d’un nou­veau règle­ment. Le prin­ci­pal objec­tif de ce règle­ment était de garan­tir la con­fi­ance à l’égard des sig­na­tures élec­tron­iques et de créer les con­di­tions pour leur recon­nais­sance mutuelle par les États membres.

Le nou­veau règle­ment

Il est impor­tant de not­er que le règle­ment (UE) n° 910/2014 est plus con­traig­nant qu’une direc­tive. Comme indiqué plus haut, les direc­tives énon­cent des principes juridiques, mais lais­sent les États mem­bres libres de l’interprétation et de la mise en œuvre. Les règle­ments, en revanche, sont des lois Européennes directe­ment applic­a­bles aux États mem­bres. Ain­si, l’un des aspects les plus impor­tants de la nou­velle loi est son appli­ca­tion uni­forme sur tout le territoire.

Con­crète­ment, le règle­ment eIDAS com­prend deux volets. Le pre­mier porte sur les sys­tèmes d’identification élec­tron­iques recon­nus par les admin­is­tra­tions et établit un cadre juridique autorisant la recon­nais­sance mutuelle des moyens d’identification util­isés par les dif­férents États mem­bres. Ce volet con­cerne le secteur pub­lic et exige d’un État mem­bre qu’il autorise les admin­istrés des autres pays de l’Union Européenne à utilis­er leurs pro­pres iden­ti­fi­ants élec­tron­iques pour accéder à ses ser­vices en ligne. Bien que les ser­vices dévelop­pés pour le secteur pub­lic soient sus­cep­ti­bles de s’appliquer aux entre­pris­es du secteur privé, ces dernières ne sont pas directe­ment con­cernées par cette par­tie du règle­ment eIDAS.

Le sec­ond volet porte sur les sig­na­tures élec­tron­iques. Il clar­i­fie les règles exis­tantes et intro­duit un nou­veau cadre juridique pour les sceaux et sig­na­tures élec­tron­iques. Il ne con­traint toute­fois pas les prestataires de ser­vices à revoir fon­da­men­tale­ment leurs méth­odes de tra­vail. Le règle­ment eIDAS prévoit, par exem­ple, d’accorder une meilleure garantie juridique à ceux qui suiv­ent les règles élaborées dans le but d’améliorer la fia­bil­ité de leurs services.

Impact du nou­veau règle­ment sur les sig­na­tures élec­tron­iques

Comme indiqué précédem­ment, à compter du 1er juil­let 2016, le règle­ment eIDAS abrogera la direc­tive actuelle sur les sig­na­tures élec­tron­ique et rem­plac­era automa­tique­ment les lois nationales non con­formes en Europe. Exam­inons quelques-uns des prin­ci­paux change­ments apportés au statut des sig­na­tures élec­tron­iques.

L’article 25 du règle­ment con­serve la dis­po­si­tion fon­da­men­tale selon laque­lle les sig­na­tures élec­tron­iques et les ser­vices de véri­fi­ca­tion sont recev­ables comme élément de preuve dans le cadre d’une action en jus­tice. Cela con­cerne notam­ment les sig­na­tures élec­tron­iques, les sceaux, les horo­datages, les ser­vices de livrai­son référencés et les cer­ti­fi­cats d’authentification web.

Le règle­ment eIDAS définit les entre­pris­es délivrant ces sig­na­tures élec­tron­iques, ces sceaux et ces horo­datages comme des ser­vices de con­fi­ance. Il va même plus loin en étab­lis­sant une dis­tinc­tion entre les ser­vices de con­fi­ance qual­i­fiés et non qual­i­fiés. Si ces con­cepts étaient déjà inclus dans la direc­tive de 1999, ils se lim­i­taient aux ser­vices de cer­ti­fi­ca­tion. Ils sont désor­mais beau­coup plus détail­lés. Le règle­ment eIDAS four­nit une déf­i­ni­tion plus claire des ser­vices de con­fi­ance, dont les opéra­tions n’ont jamais été autant régle­men­tées et sur­veil­lées. L’objectif de ce con­trôle est de ren­forcer la con­fi­ance dans les trans­ac­tions numériques et d’encourager les indi­vidus à les utilis­er en leur démon­trant leur fia­bil­ité, leur sécu­rité et leurs avan­tages par rap­port aux sig­na­tures manuscrites.

Sig­na­tures élec­tron­iques

Dans le règle­ment eIDAS, la déf­i­ni­tion de la sig­na­ture élec­tron­ique demeure inchangée. Le principe fon­da­men­tal selon lequel la valeur juridique d’une sig­na­ture élec­tron­ique, de même que son admis­si­bil­ité comme élément de preuve, ne peu­vent être con­testées au seul motif de son for­mat, con­tin­ue à s’appliquer.

Sig­na­tures élec­tron­iques avancées

Le prin­ci­pal change­ment du règle­ment con­cerne la redéf­i­ni­tion des sig­na­tures élec­tron­iques avancées. Ce type de sig­na­ture – con­traire­ment à ce qui est défi­ni dans la direc­tive actuelle – autorise une iden­ti­fi­ca­tion et une authen­tifi­ca­tion uniques du sig­nataire d’un doc­u­ment et per­met de véri­fi­er l’intégrité du con­trat signé. Cette authen­tifi­ca­tion est générale­ment assurée via la délivrance d’un cer­ti­fi­cat numérique par une autorité de cer­ti­fi­ca­tion. Tout d’abord, le sig­nataire reçoit un cer­ti­fi­cat. Durant le proces­sus de sig­na­ture, ce cer­ti­fi­cat est lié au doc­u­ment au moyen de la clé privée dont le sig­nataire est le seul déten­teur. Un sceau infal­si­fi­able est égale­ment ajouté pour pro­téger l’intégrité du doc­u­ment. Lors du proces­sus de val­i­da­tion, la clé publique cor­re­spon­dante est extraite de la sig­na­ture et per­met à la fois d’authentifier l’identité du sig­nataire via l’autorité de cer­ti­fi­ca­tion accréditée et de con­firmer qu’aucune mod­i­fi­ca­tion n’a été apportée au doc­u­ment depuis sa sig­na­ture. Si ces cer­ti­fi­cats exis­tent depuis longtemps, le règle­ment eIDAS autorise le sig­nataire à utilis­er les toutes dernières tech­nolo­gies, notam­ment les ter­minaux mobiles, pour effectuer ses démarch­es.

Sig­na­tures élec­tron­iques qual­i­fiées

Le dernier type de sig­na­ture défi­ni dans le règle­ment eIDAS con­cerne les sig­na­tures élec­tron­iques qual­i­fiées. Si les sig­na­tures avancées et qual­i­fiées sont exclu­sive­ment liées au sig­nataire, les sec­on­des sont basées sur des cer­ti­fi­cats qual­i­fiés. Ces cer­ti­fi­cats ne peu­vent être délivrés que par une autorité de cer­ti­fi­ca­tion accréditée et super­visée par des instances désignées par les États mem­bres, et sont con­formes aux dis­po­si­tions du règle­ment eIDAS. Les cer­ti­fi­cats qual­i­fiés doivent être stock­és sur un dis­posi­tif sécurisé de créa­tion de sig­na­ture, tel qu’une carte à puce, un jeton USB ou un ser­vice de con­fi­ance basé sur le cloud.

Les sig­na­tures élec­tron­iques qual­i­fiées sont dou­ble­ment impor­tantes, car il s’agit du seul type de sig­na­ture à avoir la même valeur juridique qu’une sig­na­ture man­u­scrite et à pou­voir garan­tir la recon­nais­sance mutuelle de sa valid­ité par l’ensemble des États mem­bres. Cette recon­nais­sance mutuelle est essen­tielle pour créer un marché unique Européen.

Sceaux élec­tron­iques

Enfin, le règle­ment eIDAS prévoit la recon­nais­sance des sceaux élec­tron­iques. Ces derniers s’apparentent à des sig­na­tures élec­tron­iques mais sont réservés aux per­son­nes morales. Leur util­i­sa­tion devrait per­me­t­tre de min­imiser le rôle du « sig­nataire autorisé ». Ain­si, chaque entité dis­posera d’un sceau unique dont chaque util­i­sa­tion sera sup­posée engager ladite entité, surtout dans le cas de sceaux élec­tron­iques qual­i­fiés.

Con­clu­sion

Même si la Com­mis­sion Européenne con­tin­ue de pub­li­er des actes de mise en œuvre et que le cadre de nor­mal­i­sa­tion asso­cié n’est pas encore final­isé (il devra l’être avant le 1er juil­let 2016), les clients util­isant des sig­na­tures élec­tron­iques doivent pren­dre con­nais­sance du nou­veau règle­ment, notam­ment des dis­po­si­tions uniques d’identification élec­tron­ique et des mesures de sur­veil­lance plus strictes qui s’appliqueront aux prestataires de ser­vices de con­fi­ance. L’importance des sig­na­tures élec­tron­iques qual­i­fiées doit être claire­ment soulignée dans les plans opéra­tionnels de l’Union Européenne.

Dan Puterbaugh

Dan1

Dan Put­er­baugh est directeur et Asso­ciate Gen­er­al Coun­sel chez Adobe. Put­er­baugh et son équipe sou­ti­en­nent Adobe Doc­u­ment Cloud. Doc­u­ment Cloud inclut Adobe Acro­bat DC et Read­er DC, ain­si qu’une suite de ser­vices de doc­u­ments basée sur le cloud, dont Adobe eSign. Il s’occupe égale­ment du développe­ment com­mer­cial d’Adobe ain­si que des accords stratégiques. Il a rejoint Adobe Sys­tems en 2008 en tant que chef du départe­ment juridique pour la solu­tion de doc­u­ment d’entreprise d’Adobe, Live­Cy­cle. Avant de rejoin­dre Adobe, Put­er­baugh a passé sept ans comme assis­tant du con­seiller général chez Intu­it Inc., un four­nisseur de solu­tions de man­age­ment busi­ness et finan­cières pour les con­som­ma­teurs, petites et moyennes entre­pris­es et compt­a­bles pro­fes­sion­nels. Pen­dant ce temps, il était avo­cat prin­ci­pal sur tout le développe­ment de pro­duits à l’échelle de l’entreprise, dont l’établissement et le sou­tien quo­ti­di­en aux opéra­tions de développe­ment de l’entreprise à Ban­ga­lore. Put­er­baugh est mem­bre de l’Ordre du Bar­reau de Cal­i­fornie. Il a reçu son doc­tor­at de juriste de l’Université San­ta Clara. Il réside actuelle­ment dans Los Gatos, CA.