Le point sur le règlement eIDAS, cadre européen pour la signature électronique

Le règlement eIDAS, destiné à favoriser le développement des usages numériques au sein de la communauté européenne, a été adopté par le Parlement européen et le Conseil de l’Union européenne le 23 juillet 2014.

Applicable depuis le 1er juillet 2016, il pose un socle commun en matière de dématérialisation et harmonise les règles régissant les interactions électroniques entre tous les États membres. Il a notamment permis d’éliminer toutes les zones d’ombre autour de la valeur juridique d’une signature électronique.

Quelles sont les exigences du règlement européen eIDAS ? Comment s’assurer du niveau de conformité de vos signatures électroniques ? Pourquoi avoir recours à un prestataire de services de confiance ? On décrypte toutes vos questions dans cet article !

Le règlement eIDAS, qui signifie Electronic Identification And trust Services, est un ensemble de règles sur l’identification électronique et les services de confiance pour les transactions électroniques au sein de la communauté européenne.

Il concerne tout particulièrement les organismes du secteur public et les prestataires de services de confiance au sein du marché intérieur.

Le règlement a pour objectif de :

• favoriser l’émergence d’un marché unique numérique, en renforçant la confiance dans les transactions électroniques sur le territoire de l’UE ;
  
  
• standardiser et clarifier les règles en matière d’identification électronique (eID) et de services de confiance pour tous les États membres ;
  
  
• établir un cadre juridique strict et des normes exigeantes qui confèrent à toute signature électronique la même valeur légale qu’une signature manuscrite.

💡Il abroge la directive 1999/93/CE, dont la transposition dans les lois nationales et la mise en œuvre technique par les États membres étaient différentes, ce qui a ralenti le développement attendu des échanges transfrontaliers. De plus, elle portait uniquement sur la signature électronique alors que le règlement eIDAS adresse tous les types d’interactions électroniques au sens large.

Le règlement eIDAS aborde les principaux thèmes suivants :

• l’interopérabilité et les effets juridiques des services de confiance tels que :
  • la signature électronique,
  • l’horodatage,
  • le cachet électronique,
  • l’envoi de recommandés électroniques,
  • l’émission de certificats d’authentification de site web ;
• la qualification des Prestataires de Services de Confiance (PSCE) ;
• l’élaboration des listes de confiance (« Trust lists ») européennes répertoriant les PSCE et les opérateurs qualifiés ;
• les niveaux de garantie des eID (faible, substantiel et élevé) pour l’identification et l’authentification en ligne des citoyens européens.

Le règlement eIDAS renforce la valeur légale de la signature électronique. Il distingue deux principaux types de signatures électroniques :

• les signatures qualifiées d’un côté,
• et les signatures non qualifiées de l’autre (simples et avancées).

Elles ont chacune des usages spécifiques qu’il convient de connaître, selon le degré de fiabilité et de sécurité requis.

La signature simple offre un niveau de sécurité basique, tout en garantissant l’intégrité du document signé. Elle ne peut offrir la garantie de l’identité de la personne signataire, ni fournir des informations complémentaires comme la date et l’heure de signature.

C’est le protocole le plus utilisé, car il est rapide et facile à mettre en place.

La signature avancée ajoute un niveau de sécurité supplémentaire à la signature simple. Les données sont chiffrées par une technologie, ce qui permet de les protéger et d’avoir un niveau de fiabilité supérieur. Cela est rendu possible grâce à :

• un certificat digital associé au signataire,
• un format de signature PAdES (PDF Advanced Electronic Signatures) qui la rend identifiable et visible,
• l’authentification à deux facteurs pour vérifier l’identité.

Toute modification du document qui interviendrait après la signature sera détectée, rendant le processus très sûr.

La signature qualifiée ajoute de nouveaux éléments de sécurité par rapport à la signature avancée, à savoir :

• la vérification visuelle de l’identité du signataire, soit en physique, soit en visio-conférence ;
• l’utilisation d’un système de signature certifié SSCD.

C’est le niveau de sécurité le plus haut, car seul un Prestataire de Services de Confiance peut la délivrer, garantissant ainsi une signature sécurisée et unique via un certificat qualifié.

Son système sûr et complexe le rend pleinement équivalent à une signature manuscrite en présentiel.

Le règlement eIDAS énumère plusieurs critères pour définir la valeur légale d’une signature électronique à l’échelle européenne :

• la délivrance d’un certificat électronique pour authentifier l’identité du signataire,
• la conformité du procédé de signature électronique et l’application hauts standards de sécurité, attestées par une certification eIDAS,
• toute signature sous une forme électronique, même si elle ne remplit pas les exigences de la signature électronique qualifiée, doit pouvoir être acceptée comme preuve en justice au niveau européen,
• le respect de l’intégrité du document signé, qui ne doit pas être modifié,
• la conservation des documents électroniques pendant dix ans dans un coffre-fort électronique sécurisé.

En pratique, pour vous assurer de la fiabilité et de la conformité des services de signature électronique que vous utilisez, vérifiez que le certificat de signature électronique est délivré par une autorité compétente ou tiers de confiance.

Acteur de la confiance numérique, un tiers de confiance se tient garant de la protection des données et des documents électroniques échangés entre tous les utilisateurs. Il doit pouvoir justifier de sa certification eIDAS si vous la réclamez.

Ces attestations de conformité au règlement eIDAS garantissent que les normes de sécurité et de confidentialité imposées par eIDAS sont respectées.

💡Vous n’en êtes pas encore là et vous interrogez plus précisément sur le fonctionnement de la signature électronique et ses usages ? On a ce qu’il vous faut ! Grâce à ce guide conçu par DocuSign, vous saurez tout sur la signature électronique : comment elle fonctionne, ce qu’elle peut vous apporter, comment choisir son prestataire... dans un guide synthétique et indispensable pour mieux comprendre ses enjeux. Téléchargez-le gratuitement :

Au sens de l’article 3, sous-paragraphe 19, du règlement eIDAS, un Prestataire de Services de Confiance peut être une personne physique ou morale fournissant un ou plusieurs services de confiance. Il peut être qualifié ou non qualifié.

Un Prestataire de Services de Confiance (PSCo) dit « qualifié » doit fournir des services électroniques de confiance qualifiés tels que définis par le règlement eIDAS. C’est le cas notamment d’Universign, qui offre des services de signature électronique, d’horodatage et de cachet électronique.

En choisissant un PSCo, vous avez l’assurance que vos documents signés électroniquement ont une valeur légale reconnue et que toutes vos transactions numériques sont fiables, sécurisées et conformes au règlement eIDAS.

En effet, ces opérateurs doivent se conformer à un ensemble de règles de sécurité et respecter un processus de qualification strict. Ils obtiennent une certification par un organe de contrôle, attestant qu’ils remplissent les exigences du règlement eIDAS.

💡 En France, l’organe national de supervision est l’Agence nationale de sécurité des systèmes d’information (ANSSI), qui a pour rôle de mettre en œuvre le règlement, et notamment de veiller à la qualification des prestataires de confiance sur le territoire français.

En vertu de l’article 25-2 du règlement eIDAS, toute signature électronique est recevable comme élément de preuve en justice et a donc une valeur légale. Une signature électronique ne peut pas être refusée comme preuve lors d’un jugement, simplement parce qu’elle n’est pas au format manuscrit.

De plus, avec la signature électronique qualifiée, qui est le niveau maximal de sécurité et de fiabilité possible, « l’effet juridique (…) est équivalent à celui d’une signature manuscrite ».

Voici les recommandations d’utilisation pour chaque type de signature électronique :

• la signature simple : à utiliser dans le cas de faibles risques juridiques ou financiers, comme des contrats de bail, contrats de travail, des devis ou des notes de frais par exemple ;
  
  
• la signature électronique avancée : à privilégier lorsque les risques de litiges sont modérés, comme des contrats non soumis à une réglementation spécifique, comme des contrats de crédit, d’assurance vie, etc. ;
  
  
• la signature électronique qualifiée : à utiliser impérativement lorsque les risques sont forts, intervenant lors de transactions financières réglementées et/ou à montant élevé, ou de documents de contractualisation à fort taux de risque, nécessitant la forme écrite à titre de preuve.

Une autorité de certification (AC) est un organisme de confiance (une entreprise ou une autorité administrative, par exemple) habilité à émettre et à gérer des certificats numériques pour le compte d’utilisateurs.

Ces certificats permettent de s’assurer de la validité, de la fiabilité et du niveau de sécurité de vos signatures électroniques, conformément au règlement eIDAS.

Vous pouvez avoir recours au prestataire de services de confiance de votre choix, en France ou dans l’Union européenne.

Pour vos signatures électroniques qualifiées au niveau européen, vous devez choisir votre solution auprès des Prestataires de Services de Confiance certifiés regroupés par la Commission européenne au sein de listes (European Union Trusted Lists - EUTL) et reconnus comme fiables par tous les États membres.

Au niveau français, consultez la liste de confiance nationale établie par l’ANSSI : elle répertorie les prestataires de service de confiance qualifiés, et leurs services de confiance qualifiés, reconnus en France.