Tout savoir sur l’eIDAS 2.0

L’eIDAS 2.0 est la nouvelle mouture attendue du Règlement n°910/2014 du 23 juillet 2014  adopté par le Parlement européen et le Conseil de l’Union européenne sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur. Ce dernier est communément appelé eIDAS, Electronic Identification And trust Services.

Le futur règlement eIDAS 2.0 a pour objectif de renforcer encore plus la confiance des utilisateurs dans les interactions digitales au sein de l’UE.

Malgré son importance stratégique, peu de personnes connaissent eIDAS 2.0.

Cette méconnaissance massive s'explique par :

• La complexité technique du sujet
• Le manque de communication grand public
• Un règlement qui reste confiné aux cercles d'experts juridiques et techniques

Contrairement au RGPD qui a bénéficié d'une importante couverture médiatique lors de son entrée en vigueur, eIDAS 2.0 souffre d'un déficit de visibilité.

Pourtant, cette réglementation va redéfinir les standards de confiance numérique dans les prochaines années en introduisant notamment le portefeuille d'identité numérique européen et en harmonisant les exigences de sécurité à l'échelle de l'UE.

Le règlement eIDAS 2.0 a été adopté et est progressivement mis en application.

Chronologie :

• Juin 2021 : La Commission européenne propose un nouveau cadre législatif incluant le portefeuille européen d'identité numérique
• Fin 2022 : Le Conseil adopte sa position commune
• 2023-2024 : Négociations trilogues entre le Parlement européen, le Conseil et la Commission
• 2024 : Adoption définitive du règlement
• 2025-2027 : Phase de déploiement progressif

Les États membres travaillent actuellement à la mise en œuvre concrète du portefeuille d'identité numérique européen, avec des premiers pilotes déjà lancés dans plusieurs pays.

L’eIDAS a fait ses preuves et a permis de belles avancées en matière de transaction électronique. Mais le texte a quelques années derrière lui, et le besoin se fait ressentir de le faire évoluer.

Le règlement eIDAS du 23 juillet 2014, entré en vigueur le 17 septembre 2014 et

applicable depuis le 1er juillet 2016, a permis d’avancer sur de nombreux sujets liés aux interactions électroniques au sein de l’UE.

Par exemple : 

• La reconnaissance d’une pleine valeur juridique à la signature électronique, équivalente à celle d’une signature manuscrite
• L’établissement de 3 niveaux de signatures électroniques : 
  - La signature simple. 
  - La signature avancée.
  - La signature qualifiée.  
• Des critères pour établir la validité présumée d’une signature électronique.
• La création d’un cadre juridique pour d’autres interactions électroniques (services de confiance reconnus par eIDAS)
• L’encadrement du fonctionnement des Prestataires de Services de Confiance et l’établissement, la tenue à jour et la publication d’une liste de confiance. En France, ces tâches sont confiées à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
• La création de schémas d’authentification.

L'Institut européen des normes de télécommunication (ETSI), le Comité européen de normalisation (CEN) et le Comité européen de normalisation électrotechnique (CENELEC) ont la mission d’élaborer des normes relatives aux services de confiance prévus par eIDAS.

Le règlement eIDAS s'applique à l'ensemble des États membres de l'Union européenne. Pour comprendre comment la réglementation continue de s'appliquer au Royaume-Uni après sa sortie de l'UE, découvrez notre article sur le Brexit et la signature électronique.

Le règlement eIDAS manque de souplesse.

Il n’est pas adapté aux évolutions technologiques et ne répond pas aux nouvelles demandes du marché. Par exemple, il présente trop peu de solutions d’identification électronique notifiées dans tous les États membres. De nouvelles techniques d’identification se développent en parallèle du règlement et suscite l’inquiétude des utilisateurs quant au respect de la vie privée et à la protection de données personnelles.

Il ne touche pas un assez large public. La mouture de 2014 ne visant expressément que les échanges entre les organismes du secteur public et les usagers. S’il préconise au secteur privé d’utiliser les moyens d’identification électronique relevant d’un schéma notifié, ça n’est aujourd’hui plus suffisant.

Toutes ces limites militent en faveur d’un nouveau cadre juridique. L’eIDAS 2.0 intervient dans ce contexte.

L’eIDAS 2.0 modifie le règlement de 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (l’eIDAS).

Pour se mettre à jour de la digitalisation accrue de tous les process de notre société, le futur règlement : 

• Créé un portefeuille d’identité numérique, appelé Wallet. Il permet aux citoyens européens de : 
  - Stocker des données personnelles d’identification cryptographique. Quelle que soit la technologie d’authentification utilisée. Tout en garantissant la confidentialité des données.
  - Signer des documents électroniques avec une signature électronique qualifiée.
• Signer des documents électroniques avec une signature électronique qualifiée.
• Facilite l’émergence de nouveaux services de confiance qualifiés (Qualified Trust Service Providers - QTSPs -). Par exemple, l’archivage électronique, l’enregistrement des données électroniques dans les registres électroniques, la délivrance d’attestations électroniques d’attributs et la gestion de dispositifs de création de signature et de cachet électronique à distance. Ces services de confiance devront satisfaire aux standards les plus élevés en matière de sécurité et de fiabilité.

Les États membres de l’UE devront proposer des schémas de niveau de garantie élevé pour garantir l’identité numérique de l’utilisateur (aussi appelés schémas de certification). Leur utilisation sera rendue obligatoire.

Renforcement de la souveraineté numérique européenne

L'Union européenne structure progressivement un cadre réglementaire contraignant pour imposer ses standards de confiance numérique à l'échelle du continent. eIDAS 2.0 s'inscrit dans cette dynamique de souveraineté numérique européenne, aux côtés d'autres réglementations comme le RGPD ou le Digital Markets Act.

Obligations pour les grandes plateformes

Le règlement impose également aux grandes plateformes en ligne (réseaux sociaux, marketplaces...) d'accepter le portefeuille d'identité numérique européen comme moyen d'authentification, garantissant ainsi son adoption massive.

Le règlement eIDAS 2.0 est désormais adopté et en cours de déploiement dans l'ensemble de l'Union européenne.

Les points clés :

• Le portefeuille numérique européen (Wallet) : version digitale de votre portefeuille physique pour stocker carte d'identité, permis de conduire, diplômes, cartes de paiement…
• De nouveaux services de confiance qualifiés : archivage électronique, attestations électroniques d'attributs…
• Une adoption obligatoire pour les services publics et les grandes plateformes
• Un enjeu de souveraineté numérique européenne face aux géants américains et chinois
• Un défi de sensibilisation : malgré son importance, eIDAS 2.0 reste largement méconnu du grand public et même des décideurs. Les entreprises doivent se préparer dès maintenant à cette transformation digitale.

Chez Yousign (bientôt Youtrust), nous suivons de près ces évolutions pour garantir que nos solutions restent pleinement conformes et anticipent les besoins de demain en matière d'identification et de signature électronique.