eIDAS v2 : Quatre nouveaux services fiduciaires
En novembre 2023, le Conseil de l'Union européenne et le Parlement européen ont formalisé un accord provisoire sur la manière de mettre à jour et de modifier le règlement relatif à l'identification électronique, à l'authentification et aux services de confiance (eIDAS). Connu familièrement sous le nom d'eIDAS 2.0, le nouvel accord ouvre la voie à un cadre global pour l'identité numérique européenne (eID). Une fois approuvés et promulgués, ces changements affecteront largement tous les citoyens, résidents et entreprises de l'UE. Poursuivez votre lecture pour en savoir plus et découvrir comment eIDAS 2.0 affectera les particuliers et les entreprises. Contexte : Qu'est-ce qu'eIDAS ? La législation proposée modifie le règlement eIDAS sur le marché intérieur de l'UE, qui a été approuvé en 2014 et mis en place progressivement entre 2016 et 2018. Ce règlement complet vise à garantir la sécurité de l'accès aux services publics et de la réalisation de transactions en ligne à travers les frontières de l'UE. Jusqu'à présent, eIDAS a supervisé efficacement non seulement les archives électroniques et les chambres fortes numériques, mais aussi la manière dont les prestataires de services de confiance fournissent l'identification électronique, les signatures électroniques, les sceaux électroniques, les horodatages électroniques, les services d'envoi recommandé électronique (ERDS), les documents électroniques et les certificats d'authentification de sites web. Ces instruments fondamentaux sont essentiels pour mener à bien des transactions électroniques sécurisées. Cependant, en juin 2021, la Commission européenne a décidé de relever de nouveaux défis technologiques en matière de sécurité en ligne, et le Conseil a entamé des discussions sérieuses sur la manière de relever ces défis afin de moderniser les réglementations existantes de l'UE, améliorant ainsi la confiance, la sécurité et la commodité des transactions en ligne pour tous les citoyens de l'UE. Changements Bien que le règlement eIDAS initial s'applique aux signatures électroniques, aux sceaux électroniques et aux horodatages électroniques, ainsi qu'aux chambres fortes numériques et aux archives électroniques, le règlement eIDAS 2.0 mis à jour inclura les services de livraison enregistrés en ligne, les certificats électroniques d'authentification et les sceaux électroniques pour les documents électroniques. En substance, il supervisera les services numériques transfrontaliers tels que l'authentification et l'identification des personnes et des sites web. En outre, elle renforcera la sécurité et la confidentialité des identités électroniques et des services de confiance en établissant un cadre qui facilitera la création d'identités numériques au moyen de portefeuilles d'identité numérique européens. Ces portefeuilles d'identité permettront aux particuliers et aux entreprises de créer et d'utiliser des identités numériques sans avoir besoin d'une vérification gouvernementale obligatoire. De plus, les identités numériques et les services de confiance seront améliorés grâce à la rationalisation de la structure d'interopérabilité des systèmes nationaux des États membres. Services de confiance actuels et actualisés dont les entreprises ont besoin Certaines des propositions de 2021 ont été retenues, tandis que d'autres n'ont pas survécu à l'examen minutieux. Celles qui affectent le plus profondément les individus et les organisations de l'UE sont les suivantes. Le portefeuille européen d'identité numérique L'accord de proposition approuvé exige des États membres qu'ils émettent un portefeuille européen d'identité numérique (eID), qui couvrira techniquement ce que le règlement appelle, un peu maladroitement, les "attestations électroniques d'attributs". En d'autres termes, l'eID stockera des documents d'identité et biométriques numériques tels que des permis de conduire mobiles, des diplômes, des certifications professionnelles et des documents de voyage, de soins de santé et bancaires. Services d'archivage électronique Les chambres fortes numériques et l'archivage électronique des documents électroniques seront modernisés par l'introduction du concept de "services d'archivage électronique qualifiés", qui vise à garantir que toutes les données et tous les documents électroniques sont créés ou conservés par un prestataire de services de confiance qualifié. En outre, l'intégrité et l'exactitude de leur origine et de leurs caractéristiques juridiques seront préservées tout au long de la période de conservation. Enfin, la nouvelle proposition impose un enregistrement précis de la date et de l'heure du processus d'archivage. Pour garantir que la sécurité et l'authenticité de l'archivage électronique restent en phase avec l'évolution du paysage numérique, la proposition encourage l'utilisation du portefeuille d'identité numérique pour établir des identités numériques de confiance, qui seront basées sur des normes techniques communes adoptées dans l'ensemble de l'Union européenne. Signatures et sceaux électroniques Afin de garantir des pratiques de certification cohérentes dans l'ensemble de l'UE, la proposition recommande des lignes directrices supplémentaires de la Commission sur la certification et la recertification des dispositifs de création qualifiés pour les signatures et les sceaux. En outre, la proposition appelle à la reconnaissance transfrontalière des signatures et sceaux électroniques qualifiés. Actuellement, trois types de signatures électroniques sont inclus dans eIDAS (simple, avancée et qualifiée). Les signatures électroniques qualifiées ont la même valeur juridique que les signatures manuscrites sur papier et doivent être certifiées par un fournisseur de services de confiance qualifié (QSTP). Les QSTP sont soumis aux exigences les plus rigoureuses de l'UE et doivent faire l'objet d'audits réguliers qui garantissent leur respect des normes réglementaires. Enfin, eIDAS introduit des dispositions relatives à l'utilisation de sceaux électroniques, qui authentifient les documents électroniques avec la même autorité que les sceaux traditionnels qui authentifient l'origine et l'intégrité des documents officiels. Horodatage électronique Lier des données électroniques à d'autres données électroniques permet de prouver le moment où les données ont existé. Comme pour les signatures et les sceaux électroniques, eIDAS 2.0 prévoit la reconnaissance transfrontalière des horodateurs émis par chaque État membre. Services d'envoi recommandé électronique Ce service de confiance fournit la preuve que des données électroniques ont été envoyées et reçues, offrant ainsi une assurance similaire au courrier recommandé dans un système postal traditionnel. eIDAS 2.0 garantit l'interopérabilité transfrontalière entre les services d'envoi recommandé électronique qualifiés. Services d'authentification de sites web Relevant de la catégorie des "services de confiance qualifiés", l'authentification de sites web établit un lien entre un site web et la personne physique ou morale qui détient le certificat, garantissant ainsi que les utilisateurs peuvent se fier à l'identité du site web avec lequel ils interagissent. Actuellement, les sites web sont authentifiés par des certificats racine contrôlés par des autorités de certification. L'article 45 de la nouvelle proposition eIDAS 2.0 permettra aux États membres d'insérer de nouveaux certificats racine à leur discrétion. Toutefois, cette mesure a été fortement critiquée par les experts en cybersécurité et il reste à voir si ces changements seront finalement promulgués dans la loi. Comprendre le rôle des grands livres électroniques dans la réglementation eIDAS L'utilisation de la technologie blockchain devient une partie intégrante des cadres réglementaires. L'inclusion récente de mécanismes de registres électroniques dans le règlement eIDAS (Electronic Identification, Authentication and Trust Services) révisé marque une étape importante vers des transactions numériques plus robustes, plus sûres et plus efficaces dans toute l'Europe. Il est primordial pour les responsables de la conformité de se tenir au courant de ces changements technologiques et réglementaires. Voyons comment ils peuvent améliorer les services de confiance au sein du marché unique numérique. La technologie du grand livre distribué La technologie du grand livre distribué (DLT) est un système numérique qui permet d'enregistrer les transactions d'une personne ou d'une entreprise.