Le point sur le règlement eIDAS, cadre européen pour la signature électronique

Par Samantha Mur
Le 17/05/2021
definition backgroundLe point sur le règlement eIDAS, cadre européen pour la signature électronique

Le règlement eIDAS, destiné à favoriser le développement des usages numériques au sein de la communauté européenne, a été adopté par le Parlement européen et le Conseil de l’Union européenne le 23 juillet 2014.

Applicable depuis le 1er juillet 2016, il pose un socle commun en matière de dématérialisation et harmonise les règles régissant les interactions électroniques entre tous les États membres. Il a notamment permis d’éliminer toutes les zones d’ombre autour de la valeur juridique d’une signature électronique.

Quelles sont les exigences du règlement européen eIDAS ? Comment s’assurer du niveau de conformité de vos signatures électroniques ? Pourquoi avoir recours à un prestataire de services de confiance ? On décrypte toutes vos questions dans cet article !

Règlement eIDAS : définition

Signification d’eIDAS

Le règlement eIDAS, qui signifie Electronic Identification And trust Services, est un ensemble de règles sur l’identification électronique et les services de confiance pour les transactions électroniques au sein de la communauté européenne.

Il concerne tout particulièrement les organismes du secteur public et les prestataires de services de confiance au sein du marché intérieur.

Objectifs du règlement européen

Le règlement a pour objectif de :

  • favoriser l’émergence d’un marché unique numérique, en renforçant la confiance dans les transactions électroniques sur le territoire de l’UE ;

  • standardiser et clarifier les règles en matière d’identification électronique (eID) et de services de confiance pour tous les États membres ;

  • établir un cadre juridique strict et des normes exigeantes qui confèrent à toute signature électronique la même valeur légale qu’une signature manuscrite.

💡Il abroge la directive 1999/93/CE, dont la transposition dans les lois nationales et la mise en œuvre technique par les États membres étaient différentes, ce qui a ralenti le développement attendu des échanges transfrontaliers. De plus, elle portait uniquement sur la signature électronique alors que le règlement eIDAS adresse tous les types d’interactions électroniques au sens large.

Champ d’application

Le règlement eIDAS aborde les principaux thèmes suivants :

  • linteropérabilité et les effets juridiques des services de confiance tels que :
    • la signature électronique,
    • l’horodatage,
    • le cachet électronique,
    • l’envoi de recommandés électroniques,
    • l’émission de certificats d’authentification de site web ;
  • la qualification des Prestataires de Services de Confiance (PSCE) ;
  • l’élaboration des listes de confiance (« Trust lists ») européennes répertoriant les PSCE et les opérateurs qualifiés ;
  • les niveaux de garantie des eID (faible, substantiel et élevé) pour l’identification et l’authentification en ligne des citoyens européens.
Niveaux de sécurité pour les schémas d’authentificationNiveaux de sécurité pour les schémas d’authentification © Sia Partners

Les 3 types de signatures légales selon eIDAS

Le règlement eIDAS renforce la valeur légale de la signature électronique. Il distingue deux principaux types de signatures électroniques :

  • les signatures qualifiées d’un côté,
  • et les signatures non qualifiées de l’autre (simples et avancées).

Elles ont chacune des usages spécifiques qu’il convient de connaître, selon le degré de fiabilité et de sécurité requis.

Avec le guide de la signature électronique de DocuSign, découvrez tout ce qu'il faut savoir sur le sujet, n'hésitez pas à télécharger gratuitement le livre blanc :

Comment eIDAS garantit la valeur légale d’une signature électronique ?

Le règlement eIDAS énumère plusieurs critères pour définir la valeur légale d’une signature électronique à l’échelle européenne :

  • la délivrance d’un certificat électronique pour authentifier l’identité du signataire,
  • la conformité du procédé de signature électronique et l’application hauts standards de sécurité, attestées par une certification eIDAS,
  • toute signature sous une forme électronique, même si elle ne remplit pas les exigences de la signature électronique qualifiée, doit pouvoir être acceptée comme preuve en justice au niveau européen,
  • le respect de l’intégrité du document signé, qui ne doit pas être modifié,
  • la conservation des documents électroniques pendant dix ans dans un coffre-fort électronique sécurisé.

Comment vous assurer d’être en conformité avec eIDAS ?

En pratique, pour vous assurer de la fiabilité et de la conformité des services de signature électronique que vous utilisez, vérifiez que le certificat de signature électronique est délivré par une autorité compétente ou tiers de confiance.

Acteur de la confiance numérique, un tiers de confiance se tient garant de la protection des données et des documents électroniques échangés entre tous les utilisateurs. Il doit pouvoir justifier de sa certification eIDAS si vous la réclamez.

Ces attestations de conformité au règlement eIDAS garantissent que les normes de sécurité et de confidentialité imposées par eIDAS sont respectées.

Choisir un Prestataire de Services de Confiance

Au sens de l’article 3, sous-paragraphe 19, du règlement eIDAS, un Prestataire de Services de Confiance peut être une personne physique ou morale fournissant un ou plusieurs services de confiance. Il peut être qualifié ou non qualifié.

Lorsqu’un prestataire de services de confiance qualifié délivre un certificat qualifié pour un service de confiance, il vérifie, par des moyens appropriés et conformément au droit national, l’identité et, le cas échéant, tous les attributs spécifiques de la personne physique ou morale à laquelle il délivre le certificat qualifié.

Article 24-1, eIDAS

Un Prestataire de Services de Confiance (PSCo) dit « qualifié » doit fournir des services électroniques de confiance qualifiés tels que définis par le règlement eIDAS. C’est le cas notamment d’Universign, qui offre des services de signature électronique, d’horodatage et de cachet électronique.

En choisissant un PSCo, vous avez l’assurance que vos documents signés électroniquement ont une valeur légale reconnue et que toutes vos transactions numériques sont fiables, sécurisées et conformes au règlement eIDAS.

En effet, ces opérateurs doivent se conformer à un ensemble de règles de sécurité et respecter un processus de qualification strict. Ils obtiennent une certification par un organe de contrôle, attestant qu’ils remplissent les exigences du règlement eIDAS.

💡 En France, l’organe national de supervision est l’Agence nationale de sécurité des systèmes d’information (ANSSI), qui a pour rôle de mettre en œuvre le règlement, et notamment de veiller à la qualification des prestataires de confiance sur le territoire français.

FAQ : eIDAS et la signature électronique

La valeur juridique d’une signature numérique est-elle la même qu’une signature manuscrite selon eIDAS ?

En vertu de l’article 25-2 du règlement eIDAS, toute signature électronique est recevable comme élément de preuve en justice et a donc une valeur légale. Une signature électronique ne peut pas être refusée comme preuve lors d’un jugement, simplement parce qu’elle n’est pas au format manuscrit.

De plus, avec la signature électronique qualifiée, qui est le niveau maximal de sécurité et de fiabilité possible, « l’effet juridique (...) est équivalent à celui d’une signature manuscrite ».

Quand utiliser les signatures simples, les signatures avancées et les signatures électroniques qualifiées ?

Voici les recommandations d’utilisation pour chaque type de signature électronique :

  • la signature simple : à utiliser dans le cas de faibles risques juridiques ou financiers, comme des contrats de bail, contrats de travail, des devis ou des notes de frais par exemple ;

  • la signature électronique avancée : à privilégier lorsque les risques de litiges sont modérés, comme des contrats non soumis à une réglementation spécifique, comme des contrats de crédit, d’assurance vie, etc. ;

  • la signature électronique qualifiée : à utiliser impérativement lorsque les risques sont forts, intervenant lors de transactions financières réglementées et/ou à montant élevé, ou de documents de contractualisation à fort taux de risque, nécessitant la forme écrite à titre de preuve.

Qu’est-ce qu’une autorité de certification ?

Une autorité de certification (AC) est un organisme de confiance (une entreprise ou une autorité administrative, par exemple) habilité à émettre et à gérer des certificats numériques pour le compte d’utilisateurs.

Ces certificats permettent de s’assurer de la validité, de la fiabilité et du niveau de sécurité de vos signatures électroniques, conformément au règlement eIDAS.

Comment reconnaître un Prestataire de Services de Confiance certifié ?

Vous pouvez avoir recours au prestataire de services de confiance de votre choix, en France ou dans l’Union européenne.

Pour vos signatures électroniques qualifiées au niveau européen, vous devez choisir votre solution auprès des Prestataires de Services de Confiance certifiés regroupés par la Commission européenne au sein de listes (European Union Trusted Lists - EUTL) et reconnus comme fiables par tous les États membres.

Au niveau français, consultez la liste de confiance nationale établie par l’ANSSI : elle répertorie les prestataires de service de confiance qualifiés, et leurs services de confiance qualifiés, reconnus en France.

La transparence est une valeur essentielle pour Appvizer. En tant que média, nous avons pour objectif d'offrir à nos lecteurs des contenus utiles et de qualité tout en permettant à Appvizer de vivre de ces contenus. C'est pourquoi, nous vous invitons à découvrir notre système de rémunération.   En savoir plus
Définition backgroundClassement antivirus : les meilleures solutions passées au crible
Définition
le mois dernier
Tout savoir sur le certificat électronique
Le certificat électronique, qu’est-ce que c’est et à quoi ça sert ? Appvizer vous dit tout sur cette notion pour mieux comprendre la signature numérique.
Définition backgroundTout savoir sur la dématérialisation des documents administratifs
Définition
l’année dernière
Tout savoir sur la dématérialisation des documents administratifs
appvizer vous dit tout sur la dématérialisation des documents administratifs et la signature électronique pour répondre aux obligations légales des entreprises et des organismes publics, dans un contexte de transition numérique.
Livre blanc backgroundLa signature électronique est-elle légale et devriez-vous l’utiliser ?
Livre blanc
l’année dernière
La signature électronique est-elle légale et devriez-vous l’utiliser ?
Bien que l’adoption de la signature électronique n’a eu de cesse de grandir ces dernières années, les évènements récents ont encore accentué le phénomène. Toutefois, il est une question qui revient régulièrement puisqu’elle est fondamentale : la signature électronique est-elle légale ?