Services de confiance
En vertu du règlement européen sur l’identité numérique, la définition des services de confiance est plus large que dans le règlement eIDAS initial. Les services de confiance suivants sont couverts:
Certificats pour signatures électroniques, certificats pour cachets électroniques, certificats pour l’authentification de sites web ou certificats pour la fourniture d’autres services de confiance
Le règlement européen sur l’identité numérique maintient le cadre juridique des certificats, en particulier divers certificats adaptés à des fins spécifiques. Il s'agit notamment de certificats pour les signatures électroniques, pour les cachets électroniques, pour l'authentification de sites Web et pour la fourniture d'autres services de confiance. Un certificat est défini comme une attestation électronique de l'identité de la personne à qui il est délivré et sert de preuve pour faciliter certaines actions. La distinction entre les certificats qualifiés et non qualifiés est maintenue, ce qui dépend du statut du prestataire de services de confiance et du niveau de fiabilité des informations attestées. Enfin, le seul ajout en ce qui concerne les certificats est la possibilité de demander et de stocker ces certificats dans leportefeuille européen d’identité numérique,quel que soit le type de certificat.
Signatures électroniques
Le règlement européen sur l’identité numérique maintient le cadre juridique applicable aux signatures électroniques qui doivent être émises et utilisées par des personnes physiques pour signer un document ou des données. La distinction entre les signatures électroniques, les signatures électroniques avancées et les signatures électroniques qualifiées est maintenue, ces dernières ayant le même effet juridique que les signatures manuscrites dans toute l’Union. Le nouveau règlement européen sur l’identité numérique rendra l’utilisation de signatures électroniques qualifiées gratuite pour toutes les personnes physiques à des fins non professionnelles lorsqu’elles seront créées au moyen du portefeuille européen d’identité numérique.
Joints électroniques
Le règlement européen sur l’identité numérique ne modifie ni la définition des cachets électroniques ni leur création, leur validation ou leur conservation. Des cachets électroniques doivent être délivrés créés et utilisés par les personnes morales afin de garantir l’origine et l’intégrité des données/documents. Le règlement maintient également la distinction entre les cachets électroniques, les cachets électroniques avancés et les cachets électroniques qualifiés.
Attestations électroniques d'attributs
Le règlement européen sur l’identité numérique a introduit la délivrance d’attestations électroniques d’attributs (EAA) en tant que nouveau service de confiance. Les EAAS sont définis comme une attestation sous forme électronique qui permet d'authentifier des attributs. Conformément à l’article 45 ter, paragraphe 1, ces attestations ne peuvent être privées d’effet juridique ou de recevabilité en tant que preuves dans le cadre d’une procédure judiciaire au seul motif qu’elles sont sous forme électronique. Bien que ces services de confiance puissent être qualifiés ou non qualifiés, en fonction du statut du prestataire de services de confiance, les CEA non qualifiés doivent toujours être admis et reconnus dans le cadre de procédures judiciaires, bien que la reconnaissance transfrontière ne soit pas obligatoire pour eux. Les CEA peuvent également être délivrés par un organisme du secteur public responsable d'une source authentique ou par une organisation agissant en son nom. Les utilisateurs pourront utiliser leurs portefeuilles européens d’identité numérique pour recevoir, valider et partager leurs CEA.
Horodatage électronique
Le règlement européen sur l’identité numérique ne modifie pas les dispositions relatives aux horodatages électroniques. Leur délivrance vise à garantir l’exactitude de l’heure liée aux données/documents. Le règlement européen sur l’identité numérique ne modifie pas les dispositions régissant les services de confiance qui garantissent leur création (y compris au niveau qualifié) et leur validation.
Authentification du site web
L’authentification du site web était déjà prévue par le règlement eIDAS 910/2014. Conformément au règlement révisé, un certificat d’authentification de site web qualifié (QWAC) est délivré à une personne physique ou morale et permet d’authentifier un site web et de lier le site web à l’identité de la personne à laquelle le certificat est délivré. Le règlement impose aux navigateurs web de reconnaître un QWAC et d’afficher les données d’identité du propriétaire du site web d’une manière conviviale. Les certificats peuvent être qualifiés ou non qualifiés et leur utilisation par les sites web devrait être volontaire.
Archivage électronique
Le règlement européen sur l’identité numérique a introduit l’archivage électronique des données électroniques et des documents électroniques en tant que service de confiance qui vise à garantir la réception, le stockage, l’extraction et la suppression des données électroniques et des documents électroniques. Ils peuvent être qualifiés ou non qualifiés, lorsqu'ils sont fournis par un prestataire de services de confiance qualifié ou non qualifié, respectivement.
Dispositifs de création de signature/scellement
Le règlement européen sur l’identité numérique a introduit un service de confiance qualifié pour la gestion des dispositifs de création de signatures/scellements électroniques qualifiés à distance pour le compte des utilisateurs. Dans le règlement (UE) no 910/2014, la gestion de ces dispositifs qualifiés à distance n’était pas considérée comme un service de confiance distinct.
Grands livres électroniques
Le règlement européen sur l’identité numérique introduit l’enregistrement de données électroniques dans des registres électroniques en tant que service de confiance. Les registres électroniques sont définis comme des services qui offrent un ordre chronologique séquentiel des enregistrements de données, garantissant l'intégrité et l'exactitude des enregistrements eux-mêmes et de leur ordre chronologique. Deux typologies de grands livres électroniques peuvent être distinguées: centralisée et distribuée. Le règlement adopte une position neutre en ce qui concerne cette typologie ou même la technologie utilisée. En outre, les registres électroniques peuvent être qualifiés ou non qualifiés. Dans l'ensemble, l'objectif est que les registres électroniques, en conjonction avec d'autres technologies, contribuent à des solutions pour des services publics plus efficaces et transformateurs.
Service d'envoi recommandé électronique
Le règlement européen sur l’identité numérique maintient les services d’envoi recommandé électronique en tant que services de confiance. Ces services fournissent un canal sécurisé pour la transmission de documents, y compris la preuve de l'envoi et de la réception des données. Ils garantissent une certitude totale dans l'identification du destinataire et maintiennent un niveau élevé de confiance dans l'identification de l'expéditeur. Ils peuvent être qualifiés ou non qualifiés, tandis que seuls les services d’envoi recommandé électronique qualifiés bénéficient d’une reconnaissance à l’échelle de l’UE.
D'un point de vue juridique, les services de confiance qualifiés et non qualifiés bénéficient d'une clause de non-discrimination en tant que preuve devant les tribunaux. En d’autres termes, les services de confiance ne peuvent être écartés dans le cadre d’une procédure judiciaire au seul motif qu’ils se présentent sous forme électronique ou qu’ils ne sont pas qualifiés.
Toutefois, en raison des exigences plus strictes applicables aux prestataires de services de confiance qualifiés, les services de confiance qualifiés produisent un effet juridique spécifique plus fort que les services non qualifiés, ainsi qu’une sécurité technique plus élevée: Une signature électronique qualifiée a l'effet juridique équivalent à celui d'une signature manuscrite. Un cachet électronique qualifié bénéficie de la présomption d'intégrité des données et d'exactitude de l'origine des données auxquelles le cachet électronique qualifié est lié. Une attestation électronique qualifiée d’attributs et des attestations d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou en son nom ont le même effet juridique que les attestations délivrées légalement sur support papier. Des services de confiance qualifiés offrent donc une plus grande sécurité juridique et une plus grande sécurité des transactions électroniques.
Il n’y a pas de changement en ce qui concerne l’effet juridique accordé aux signatures électroniques du règlement eIDAS original au règlement européen sur l’identité numérique. Ce qui va changer, c'est la disponibilité et la facilité pour tout le monde de créer des signatures électroniques qualifiées. Une fois intégrées dans un portefeuille européen d’identité numérique, toutes les personnes physiques auront la possibilité de signer par défaut avec une signature électronique qualifiée au moyen d’un portefeuille européen d’identité numérique gratuitement, à des fins non professionnelles.
Le règlement eIDAS 910/2014 a initialement introduit l’utilisation de cachets électroniques par les entités juridiques et cette disposition reste inchangée en vertu du règlement modifié. À l’instar des personnes physiques, les entités juridiques auront également accès à la fonctionnalité de scellement électronique des documents au moyen de leur portefeuille européen d’identité numérique. Toutefois, les fournisseurs de portefeuilles européens d’identité numérique ou les États membres ne sont pas tenus d’offrir ces fonctionnalités gratuitement aux entités juridiques et/ou aux cas d’utilisation professionnelle.
Le règlement européen sur l’identité numérique maintient le principe de non-discrimination des documents électroniques, en précisant que ceux-ci ne peuvent être privés d’effet juridique ou d’admissibilité au seul motif qu’ils sont sous forme électronique. En outre, aucune distinction n’est faite entre les données électroniques, les documents électroniques créés sous forme électronique et les documents physiques numérisés. Enfin, s'appuyant sur l'archivage électronique en tant que service de confiance, le règlement établit un cadre qui facilite la durabilité et la lisibilité des documents électroniques, ainsi que la préservation de leur intégrité, de leur confidentialité et d'une preuve de l'origine tout au long de la période de conservation.
En ce qui concerne les effets juridiques, les dispositions du règlement eIDAS qui stipulaient qu’une signature ou un cachet électronique qualifié fondé sur un certificat qualifié délivré dans un État membre devait être reconnu comme une signature ou un cachet électronique qualifié respectivement dans tous les autres États membres ont été conservées dans le règlement européen sur l’identité numérique (EUDI).
Dans un délai de douze mois à compter de la date d’entrée en vigueur du règlement EUDI, la Commission établira, au moyen d’actes d’exécution, une liste de normes, spécifications et procédures de référence, si nécessaire, pour les certificats qualifiés de signature électronique. Par conséquent, les fournisseurs de services de confiance qualifiés, chargés de délivrer ou de valider des certificats qualifiés pour les signatures électroniques, seront tenus de respecter ces normes et procédures spécifiées. Les certificats qualifiés de signature électronique délivrés avant la date d’entrée en vigueur de ces actes d’exécution restent valables jusqu’à leur expiration ou leur révocation, la date la plus proche étant retenue.
Dans un délai de douze mois à compter de la date d’entrée en vigueur du règlement EUDI, la Commission établira, au moyen d’actes d’exécution, une liste de normes, spécifications et procédures de référence, si nécessaire, pour les certificats qualifiés de cachet électronique. Par conséquent, les fournisseurs de services de confiance qualifiés, responsables de la délivrance ou de la validation des certificats pour les cachets électroniques qualifiés, devront se conformer à ces normes et procédures spécifiées. Les certificats qualifiés de cachet électronique délivrés avant la date d'entrée en vigueur de ces actes d'exécution restent valables jusqu'à leur expiration ou leur révocation, la date la plus proche étant retenue.
Fournisseurs de services de confiance
- Si un prestataire de services de confiance (TSP) souhaite fournir un service de confiance qualifié, il demande d’abord une évaluation à un organisme d’évaluation de la conformité accrédité (CAB). L’ACR doit confirmer que le candidat prestataire de services de confiance qualifié et le service de confiance qualifié qu’il entend fournir satisfont aux exigences énoncées dans le règlement européen sur l’identité numérique et à l’article 21 de la directive SRI 2 (UE) 2022/2555. Ce processus est communément appelé « vérification ».
- Une fois que le FST a obtenu le rapport, il doit soumettre une demande à l’organe de contrôle du pays où il est établi, accompagnée du rapport de l’organisme d’évaluation de la conformité confirmant la conformité. L'organe de contrôle devrait vérifier cette conformité alléguée dans un délai de trois mois. Si l’organe de contrôle met plus de temps que prévu à vérifier, le FST sera informé d’un tel retard dans les trois mois suivant la soumission, en expliquant les raisons du retard et un calendrier mis à jour sera fourni.
- Une fois la vérification terminée, l'organe de contrôle accorderait le statut qualifié. Par la suite, la liste nationale de confiance des prestataires de services de confiance qualifiés serait mise à jour. Ce n'est qu'après que l'organisme responsable l'aura ajouté à la liste que le QTSP sera autorisé à commencer à offrir son service de confiance qualifié. Les services de confiance qualifiés proposés bénéficieront d’une reconnaissance transfrontière à l’échelle de l’UE.
Les services de confiance qualifiés font l'objet d'une évaluation de la conformité tous les vingt-quatre mois. Un organisme d'évaluation de la conformité vérifiera le PSTQ et le service de confiance qualifié fourni. S’il satisfait toujours aux exigences énoncées dans le règlement européen sur l’identité numérique, un rapport sera transmis au QTSP. Dès réception, le QTSP dispose d’un délai de trois jours ouvrables à compter de la date de réception pour soumettre le rapport à l’organe de contrôle. Après vérification positive par l'organe de contrôle, le statut qualifié est maintenu. Toutefois, l'organe de surveillance se réserve le droit de demander des preuves supplémentaires ou de procéder à des évaluations supplémentaires à tout moment si nécessaire.
Chaque fois qu'un QTSP prévoit un audit, il doit en informer l'organe de surveillance au moins un mois à l'avance. En outre, l'organe de contrôle a le droit d'assister à l'audit avec l'organisme d'évaluation de la conformité s'il le souhaite.
Entre deux audits réguliers, l’organe de contrôle peut à tout moment auditer ou demander à un organisme d’évaluation de la conformité d’effectuer une évaluation de la conformité, afin de confirmer le statut qualifié des services fournis et lui-même.
Si un QTSP a déjà obtenu un statut qualifié pour la délivrance de certificats qualifiés, avant l'entrée en vigueur du règlement, il doit soumettre un rapport d'évaluation de la conformité à un organisme de contrôle au plus tard deux ans après l'entrée en vigueur du règlement.
Si le PSTQ ne satisfait pas aux exigences énoncées dans le règlement européen sur l’identité numérique et ne les rectifie pas dans le délai imparti après en avoir été informé, le statut qualifié peut être retiré et la liste nationale de confiance mise à jour en conséquence.
Étant donné que le statut qualifié du service de confiance fourni par le FST est indiqué comme retiré de la liste de confiance, le FST n’est plus autorisé à fournir ce service de confiance qualifié.
Dans le règlement européen sur l’identité numérique, un organisme d’évaluation de la conformité (OEC) est défini comme une entité compétente pour évaluer les prestataires de services de confiance qualifiés et les services qu’ils proposent.
À l’origine, les organismes nationaux d’accréditation (ONA) ou les États membres n’étaient pas tenus d’informer la Commission européenne des OEC accrédités en vertu de l’article 3, paragraphe 18, d’eIDAS.
Toutefois, grâce aux efforts de coopération des organismes nationaux d’évaluation et des organes de surveillance, la Commission a dressé une liste des organismes agréés par eIDAS.
En vertu du règlement eIDAS 910/2014, les OEC sont répertoriées dans le pays où se trouve l'OEN d'accréditation, ce qui peut différer du pays d'établissement de l'OEC.
Le règlement européen sur l’identité numérique introduit une modification, étant donné que les États membres seront tenus de notifier rapidement à la Commission les organismes d’évaluation de la conformité accrédités, y compris leurs noms, adresses et détails d’accréditation, ainsi que toute modification ultérieure. Ces informations seront partagées avec tous les États membres et resteront accessibles au public.
Les listes deconfiance sont essentielles pour garantir la sécurité et renforcer la confiance entre les opérateurs du marché. Les listes de confiance indiquent en permanence le statut qualifié d'un prestataire de services de confiance et le service de confiance qu'il offre. La liste favorise l’interopérabilité des services de confiance qualifiés en facilitant la validation, entre autres, des signatures électroniques qualifiées et des cachets électroniques qualifiés.
En vertu du règlement européen sur l’identité numérique, les listes nationales de confiance continuent d’avoir un effet juridique constitutif, comme c’était déjà le cas en vertu du règlement eIDAS initial. En d’autres termes, un prestataire/service ne sera qualifié que s’il figure avec un statut qualifié valide sur la liste nationale de confiance de l’État membre dans lequel il est établi. Par conséquent, les utilisateurs (citoyens, entreprises ou administrations publiques) ne bénéficieront de l’effet juridique associé à un service de confiance qualifié donné que si ce dernier est inscrit (comme qualifié) sur la liste de confiance pertinente.
En vertu du nouveau règlement européen sur l’identité numérique, les vendeurs de navigateurs ne sont pas tenus de reconnaître, d’intégrer ou d’utiliser les listes de confiance dans leurs produits. L'obligation pour les navigateurs est limitée à afficher les données d'identité certifiées et les autres attributs attestés à l'utilisateur final de manière conviviale dans l'environnement du navigateur, par des moyens techniques de leur choix. Cela vise à renforcer la sécurité et la transparence d'Internet en tant que services de confiance.
Non. Il s’agit d’une décision commerciale des prestataires de services de confiance quant à l’opportunité de fournir un, plusieurs ou tous les services de confiance, y compris la fourniture de ceux dans leur version qualifiée.
Oui, dans le cadre de la fourniture d’un certificat qualifié ou d’une attestation qualifiée d’attributs, un prestataire de services de confiance qualifié (PSTQ) est tenu de vérifier l’identité de la personne physique ou morale. Cette exigence s'étend aux cas où un service d'envoi recommandé électronique qualifié est délivré. Conformément à l’article 24 du règlement européen sur l’identité numérique, lors de la délivrance d’un certificat qualifié ou d’une attestation électronique qualifiée d’attributs, un QTSP doit vérifier l’identité et tous les attributs nécessaires de la personne en question. Cela garantit que le PSTQ a la certitude de l'exactitude et de l'exactitude de l'identité de la personne, ainsi que de tous les attributs pertinents, au moment de la délivrance. La vérification peut être effectuée à l’aide de diverses méthodes, notamment le portefeuille européen d’identité numérique, les signatures ou cachets électroniques qualifiés ou d’autres méthodes très fiables. En outre, la présence physique de la personne physique ou d'un représentant autorisé de la personne morale peut également servir de moyen de vérification.
Non. Conformément au principe du marché intérieur (article 4) et à l’article 24 bis du règlement européen sur l’identité numérique, un service de confiance qualifié fourni dans un État membre est reconnu comme qualifié dans tous les autres États membres.
Le règlement européen sur l’identité numérique simplifie le processus de reconnaissance mutuelle des services de confiance en ajoutant à l’accord international visé à l’article 218 du TFUE la possibilité d’adopter des actes d’exécution afin d’établir les conditions dans lesquelles les cadres de confiance de pays tiers peuvent être considérés comme équivalents au cadre applicable aux services de confiance qualifiés dans l’Union.
Que peut/doit-on faire au niveau national?
Le règlement européen sur l’identité numérique établit un nouveau cadre de gouvernance global pour l’identification électronique et les services de confiance. Ce cadre est conçu pour faciliter la mise en œuvre et la surveillance des portefeuilles européens d’identité numérique et des services de confiance. Le nouveau cadre de gouvernance comprend notamment un nouvel organe de coopération et de coordination, le groupe européen de coopération en matière d’identité numérique. Cet organe a été chargé d’un large éventail de tâches, par exemple d’échanger des conseils et de coopérer avec la Commission sur les initiatives politiques émergentes, d’organiser des examens par les pairs des moyens d’identification électronique notifiés autres que le portefeuille européen d’identité numérique, d’examiner les demandes d’assistance mutuelle et d’échanger des points de vue, des bonnes pratiques et d’autres informations entre toutes les parties. La nouvelle structure améliorera la cohérence et l'efficacité du système de gouvernance actuel et remplacera la structure fragmentée actuelle.
Oui, les États membres peuvent mettre en place d’autres services de confiance. Toutefois, si ces services ne respectent pas le cadre juridique défini par le règlement eIDAS modifié, notamment pour les services de confiance qualifiés, ils seront dépourvus d’effet juridique au-delà des frontières.
En règle générale, les signatures électroniques et les cachets électroniques ne se voient pas refuser l'effet juridique et la recevabilité en tant que preuves dans les procédures judiciaires, y compris par les administrations publiques, au seul motif qu'ils se présentent sous une forme électronique ou qu'ils ne satisfont pas aux exigences relatives aux signatures/cachets électroniques qualifiés. Ces signatures/scellés électroniques devraient bénéficier de ce principe quel que soit leur format technique. Le règlement EUDI a maintenu l’obligation, pour les services en ligne proposés par un organisme du secteur public ou en son nom, de reconnaître au moins les formats ou méthodes techniques énumérés dans un acte d’exécution adopté en vertu de l’article 27/37I.
Non, il est interdit aux législations nationales de réglementer la durée de validité des certificats qualifiés, étant donné que celle-ci est harmonisée par le règlement européen sur l’identité numérique.
Non, il est interdit aux législations nationales de réglementer cette question, étant donné que celle-ci est harmonisée par le règlement européen sur l’identité numérique. Le règlement européen sur l’identité numérique dispose que la validité d’une telle certification ne dépasse pas cinq ans, à condition que des évaluations de la vulnérabilité soient effectuées tous les deux ans. La Commission sera chargée de publier des lignes directrices sur la certification et la recertification des dispositifs qualifiés de création de signatures électroniques et des dispositifs qualifiés de création de cachets électroniques, y compris leur validité et leur durée limitée. Cela garantira la cohérence des pratiques de certification dans l’ensemble de l’Union.
Le règlement européen sur l’identité numérique dispose que les États membres doivent définir des sanctions en cas d’infraction, y compris en cas d’utilisation abusive du label de confiance de l’UE pour des services de confiance qualifiés par des prestataires de services de confiance non qualifiés. Afin de garantir l’application effective du règlement tout en garantissant que les sanctions sont effectives, proportionnées et dissuasives, le règlement prévoit l’établissement de lignes directrices en matière d’amendes administratives pour les prestataires de services de confiance qualifiés et non qualifiés. Le règlement fixe un seuil pour les sanctions maximales qui peuvent être appliquées aux prestataires de services de confiance qui enfreignent les règles concernant les personnes physiques.
Mesures prises par les institutions de l'UE et les États membres
Après l’entrée en vigueur du règlement européen sur l’identité numérique, la Commission publiera une série d’actes d’exécution visant à harmoniser la mise en œuvre des exigences du règlement. En outre, la Commission encouragera une coopération étroite et structurée avec diverses parties prenantes, notamment les États membres, la société civile et le secteur privé. Cette collaboration sera facilitée par des groupes d’experts, des consultations ciblées des parties prenantes et des consultations publiques.
Le règlement européen sur l’identité numérique est directement applicable dans l’ensemble des 27 États membres de l’UE. Les États membres veillent notamment à:
- Désigner un ou plusieurs organes de contrôle et communiquer leurs noms et adresses à la Commission.
- Désigner des organismes d’évaluation de la conformité pour la certification des portefeuilles européens d’identité numérique et notifier à la Commission leurs noms, adresses et détails d’accréditation.
- Collaborer avec la Commission pour désigner des représentants au sein du groupe de coopération pour la coopération transfrontalière.
- Mettre en œuvre des sanctions efficaces, proportionnées et dissuasives en cas d'infraction.
- Veiller à ce que les fournisseurs de services de confiance qualifiés d'attestation électronique d'attributs puissent vérifier électroniquement les attributs clés à la demande de l'utilisateur. Ces attributs comprennent au minimum ceux énumérés à l’annexe VI du règlement européen sur l’identité numérique, lorsque ceux-ci reposent sur des sources authentiques dans le secteur public.
- Envisager d'incorporer des certificats qualifiés pour l'authentification de sites Web sur les sites Web gouvernementaux.
- Continuer à publier et à tenir à jour des listes nationales de confiance conformément à l'article 22.
- Veiller à ce que les organismes du secteur public reconnaissent les formats des signatures électroniques avancées et des cachets électroniques conformément à l’article 27/37.
Le règlement n’est pas applicable aux institutions de l’UE qui sont régies par leurs propres règles de procédure adoptées. La Commission européenne est actuellement réglementée dans ce domaine par la décision 2021/2121 de la Commission établissant ses propres dispositions relatives aux documents électroniques et numérisés.