eIDAS v2 : Quatre nouveaux services fiduciaires

En novembre 2023, le Conseil de l'Union européenne et le Parlement européen ont formalisé un accord provisoire sur la manière de mettre à jour et de modifier le règlement relatif à l'identification électronique, à l'authentification et aux services de confiance (eIDAS). Connu familièrement sous le nom d'eIDAS 2.0, le nouvel accord ouvre la voie à un cadre global pour l'identité numérique européenne (eID).

Une fois approuvés et entrés en vigueur, ces changements affecteront largement tous les citoyens, résidents et entreprises de l'UE. Poursuivez votre lecture pour en savoir plus et découvrir comment eIDAS 2.0 affectera les particuliers et les entreprises.

Contexte : Qu'est-ce qu'eIDAS ?

La législation proposée modifie le règlement eIDAS sur le marché intérieur de l'UE, qui a été approuvé en 2014 et mis en place progressivement entre 2016 et 2018. Ce règlement complet vise à garantir la sécurité de l'accès aux services publics et de la réalisation de transactions en ligne à travers les frontières de l'UE.

Jusqu'à présent, eIDAS a supervisé efficacement non seulement les archives électroniques et les chambres fortes numériques, mais aussi la manière dont les prestataires de services de confiance fournissent l'identification électronique, les signatures électroniques, les sceaux électroniques, les horodatages électroniques, les services d'envoi recommandé électronique (ERDS), les documents électroniques et les certificats d'authentification de sites web. Ces instruments fondamentaux sont essentiels pour assurer le bon déroulement des transactions électroniques sécurisées.

Cependant, en juin 2021, la Commission européenne a décidé de relever de nouveaux défis technologiques en matière de sécurité en ligne, et le Conseil a entamé des discussions sérieuses sur la manière de relever ces défis afin de moderniser les réglementations existantes de l'UE, améliorant ainsi la confiance, la sécurité et la commodité des transactions en ligne pour tous les citoyens de l'UE. 

Changements

Bien que le règlement eIDAS initial s'applique aux signatures électroniques, aux sceaux électroniques et aux horodatages électroniques, ainsi qu'aux chambres fortes numériques et aux archives électroniques, le règlement eIDAS 2.0 mis à jour inclura les services de livraison enregistrés en ligne, les certificats électroniques d'authentification et les sceaux électroniques pour les documents électroniques. En substance, il supervisera les services numériques transfrontaliers tels que l'authentification et l'identification des personnes et des sites web. 

En outre, elle renforcera la sécurité et la confidentialité des identités électroniques et des services de confiance en établissant un cadre qui facilitera la création d'identités numériques au moyen de portefeuilles d'identité numérique européens. Ces portefeuilles d'identité permettront aux particuliers et aux entreprises de créer et d'utiliser des identités numériques sans avoir besoin d'une vérification gouvernementale obligatoire.

De plus, les identités numériques et les services de confiance seront améliorés grâce à la rationalisation de la structure d'interopérabilité des systèmes nationaux des États membres.

Des services fiduciaires actuels et actualisés dont les entreprises ont besoin

Certaines des propositions de 2021 ont été retenues, tandis que d'autres n'ont pas survécu à un examen approfondi. Celles qui affectent le plus profondément les individus et les organisations de l'UE sont les suivantes.

Le portefeuille européen d'identité numérique

L'accord de proposition approuvé exige que les États membres émettent un portefeuille européen d'identité numérique (eID), qui couvrira techniquement ce que le règlement appelle, un peu maladroitement, les "attestations électroniques d'attributs". En termes simples, l'eID stockera des documents d'identité numériques et biométriques tels que des permis de conduire mobiles, des diplômes, des certifications professionnelles et des documents de voyage, de soins de santé et bancaires. 

Services d'archivage électronique

Les coffres-forts numériques et l'archivage électronique des documents électroniques seront modernisés par l'introduction du concept de "services d'archivage électronique qualifiés", qui vise à garantir que toutes les données et tous les documents électroniques sont créés ou conservés par un prestataire de services de confiance qualifié.

En outre, l'intégrité et l'exactitude de leur origine et de leurs caractéristiques juridiques seront préservées tout au long de la période de conservation. Enfin, la nouvelle proposition prévoit l'enregistrement précis de la date et de l'heure du processus d'archivage. 

Pour garantir que la sécurité et l'authenticité de l'archivage électronique restent en phase avec l'évolution du paysage numérique, la proposition encourage l'utilisation du portefeuille d'identité numérique pour établir des identités numériques de confiance, qui seront basées sur des normes techniques communes adoptées dans l'ensemble de l'Union européenne. 

Signatures et sceaux électroniques

Afin de garantir des pratiques de certification cohérentes dans l'ensemble de l'UE, la proposition recommande des lignes directrices supplémentaires de la Commission sur la certification et la recertification des dispositifs de création qualifiés pour les signatures et les sceaux. En outre, la proposition appelle à la reconnaissance transfrontalière des dispositifs de création qualifiés pour les signatures et les sceaux. signatures et sceaux électroniques qualifiés.

Actuellement, trois types de signatures électroniques sont inclus dans eIDAS (simple, avancée et qualifiée). Les signatures électroniques qualifiées ont la même valeur juridique que les signatures manuscrites sur papier et doivent être certifiées par un organisme de certification. Prestataire de services fiduciaires qualifié (QSTP). Les QSTP sont soumis aux exigences les plus rigoureuses de l'UE et doivent faire l'objet d'audits réguliers qui garantissent leur respect des normes réglementaires. 

Enfin, eIDAS introduit des dispositions relatives à l'utilisation de sceaux électroniques, qui authentifient les documents électroniques avec la même autorité que les sceaux traditionnels qui authentifient l'origine et l'intégrité des documents officiels.

Horodateurs électroniques

Lier des données électroniques à d'autres données électroniques permet de prouver le moment où les données ont existé. Comme pour les signatures et les sceaux électroniques, eIDAS 2.0 prévoit la reconnaissance transfrontalière des horodatages émis par chaque État membre.

Services d'envoi recommandé électronique

Ce service de confiance fournit la preuve que des données électroniques ont été envoyées et reçues, offrant ainsi une assurance similaire à celle du courrier recommandé dans un système postal traditionnel. eIDAS 2.0 garantit l'interopérabilité transfrontalière entre les services d'envoi recommandé électronique qualifiés.

Services d'authentification de sites web

Relevant de la rubrique "service fiduciaire qualifié"L'authentification d'un site web relie un site web à la personne physique ou morale qui détient le certificat, garantissant ainsi que les utilisateurs peuvent faire confiance à l'identité du site web avec lequel ils interagissent. Actuellement, les sites web sont authentifiés par des certificats racine contrôlés par des autorités de certification. 

L'article 45 de la nouvelle proposition eIDAS 2.0 permettra aux États membres d'insérer de nouveaux certificats racine à leur discrétion. Toutefois, cette disposition a été fortement critiquée par les experts en cybersécurité et il reste à voir si ces changements seront finalement promulgués dans la loi.

Comprendre le rôle des grands livres électroniques dans le règlement eIDAS

L'utilisation de la technologie blockchain devient une partie intégrante des cadres réglementaires. L'inclusion récente de mécanismes de registres électroniques dans le règlement eIDAS (identification électronique, authentification et services de confiance) révisé marque une étape importante vers des transactions numériques plus robustes, plus sûres et plus efficaces dans toute l'Europe.

Il est primordial pour les responsables de la conformité de se tenir au courant de ces changements technologiques et réglementaires. Voyons comment ils peuvent améliorer les services de confiance au sein du marché unique numérique.

Technologie du grand livre distribué

La technologie du grand livre distribué (DLT) est un système numérique d'enregistrement des transactions d'actifs où les transactions et leurs détails sont enregistrés à plusieurs endroits simultanément. Contrairement aux bases de données traditionnelles, la DLT n'a pas de magasin de données central ni de fonction d'administration. Voici pourquoi elle est révolutionnaire dans le contexte de la conformité et de la réglementation :

Transparence et efficacité : Chaque participant au réseau DLT a accès à toutes les transactions, ce qui garantit une transparence inégalée. Cette visibilité ouverte favorise la confiance entre les utilisateurs et peut réduire considérablement le temps nécessaire pour retracer et vérifier l'historique des transactions, ce qui se traduit par des gains d'efficacité.

Réduire la duplication : Avec la DLT, la duplication des efforts couramment observée dans les réseaux commerciaux traditionnels est annulée. Chaque transaction est enregistrée une seule fois dans un grand livre partagé, accessible à tous les participants, ce qui réduit les risques de divergences et d'erreurs.

Enregistrements immuables

L'une des principales caractéristiques de la blockchain, une mise en œuvre de la DLT, est l'immuabilité des enregistrements. Une fois qu'une entrée a été faite dans le grand livre, elle ne peut être ni modifiée ni supprimée par une seule partie :

Confiance et intégrité : Les responsables de la conformité peuvent apprécier que cette caractéristique garantisse l'intégrité des enregistrements électroniques, ce qui est essentiel pour respecter des normes réglementaires strictes.

Gestion des erreurs : Dans le cas rare d'une erreur, l'entrée incorrecte ne peut pas être effacée. Au lieu de cela, une nouvelle transaction doit être enregistrée pour contrecarrer l'erreur, et les deux transactions sont visibles de manière transparente pour toutes les parties. Cette piste de preuve maintient l'intégrité du grand livre et garantit la conformité avec les pistes d'audit.

Contrats intelligents

Les contrats intelligents sont des contrats auto-exécutoires dans lesquels les termes de l'accord entre l'acheteur et le vendeur sont directement écrits dans des lignes de code. Ces contrats sont stockés et répliqués sur la blockchain, et l'exécution des termes du contrat est supervisée automatiquement.

Automatisation et conformité : Avec les contrats intelligents, les responsables de la conformité peuvent tirer parti de la technologie pour automatiser et faire respecter les obligations légales et réglementaires sans intermédiaire, ce qui permet de réduire les coûts et de rationaliser les opérations.

Polyvalence de l'application : Qu'il s'agisse du transfert d'obligations de sociétés ou de la définition des conditions d'indemnisation d'une assurance, des contrats intelligents peuvent simplifier les transactions complexes et les exigences de conformité qui y sont associées.

Implications pour eIDAS

Avec l'intégration des principes du grand livre électronique dans l'eIDAS et les autres réglementations relatives aux services de confiance et au portefeuille d'identité numérique, les responsables de la conformité sont désormais en première ligne pour superviser les données sensibles telles que les informations sur les clients et les contrats dans le cadre des services de confiance numériques.

Cela permet de renforcer les normes d'intégrité des transactions, d'améliorer les mécanismes de conformité et le potentiel d'automatisation, autant d'éléments qui favorisent un marché numérique résilient et innovant.