Signature électronique

Tout savoir du règlement eIDAS !

De nos jours, une très grande partie des processus d’entreprises sont digitalisés. Ce flux électronique implique des informations qui nécessitent une protection et donc la garantie d’une certaine sécurité numérique. D’années en années, ce besoin de confiance numérique entre les parties était devenu une réelle préoccupation.

C’est dans l’optique d’uniformiser et de protéger les nombreux échanges numériques à l’échelle européenne qu’a été créé le règlement eIDAS. Ce n’est pas le premier dispositif ayant pour but de révolutionner les transactions numériques à être créé. Pourtant, encore trop d’individus et d’entreprises ne semblent avoir réellement compris son enjeu et son importance.  

Alors en quoi consiste exactement le règlement eIDAS ? Nous allons vous expliquer dans cet article tout ce qu’il y a à savoir, de son fonctionnement à son impact sur la société. 

Définition : qu’est-ce que le règlement eIDAS ?

Voyons d’abord ce que « eIDAS » signifie. Le terme eIDAS signifie electronic Identification, Authentication and trust Services.

Il permet d’encadrer les différents types d’interactions électroniques entre tous les pays européens, en permettant une reconnaissance mutuelle des systèmes mis en place par ces États. Il concerne l’identification numérique, les services de confiance ainsi que les documents électroniques.

Ce règlement ne date pas d’hier, puisqu’il a été adopté dès 2014. Mais ce n’est qu’en septembre 2018 qu’il est devenu obligatoire. Le règlement eIDAS (910/2014/UE) remplace d’ailleurs une précédente directive européenne portant sur la signature électronique (1999/93/CE) qui manquait d’un cadre exigeant. Ce règlement permet, entre autres, aux entreprises de réaliser des signatures électroniques en garantissant leur sécurité et celle de leurs interlocuteurs.

Comment fonctionne l’eIDAS ?

Le règlement eIDAS vise à simplifier et donc encourager les échanges numériques entre les pays membres de l’Union Européenne, en définissant des standards et des pratiques pour les transmissions de données, et en fixant certaines exigences sur l’utilisation de la signature électronique. 

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) est l’organisme chargé d’intervenir pour faire appliquer ce règlement en France. Elle permet de garantir une certaine sécurité lors des identifications électroniques, et est chargée de la qualification et du contrôle des différents services de confiance. 

Identification électronique

L’identification électronique constitue comme une preuve d’identité d’une personne (qu’elle soit morale ou physique). L’un des objectifs du règlement eIDAS est donc d’implémenter certains standards permettant la reconnaissance mutuelle des différents moyens d’identification numérique des pays européens. 

De cette manière, la présence physique des signataires n’est plus obligatoire, ce qui facilite grandement les transactions. Mais cela implique un renforcement de la sécurité autour de ces échanges. Votre système d’identification électronique doit répondre à des normes imposées. Il doit donc obligatoirement :

  • Être élaboré selon un schéma d’identification précis : permettant aux personnes de pouvoir s’identifier, grâce à différents moyens électroniques qui leur sont donnés. Le schéma d’identification que vous utiliserez doit être constitué par l’État européen concerné, et ainsi figurer sur la liste publiée par la Commission ;
  • Respecter le niveau de sécurité de l’organisme en question : à condition qu’il requiert un niveau suffisant. Vous pouvez donc décider d’élaborer un système d’identification électronique de niveau substantiel, ou bien opter pour plus de sécurité avec un niveau élevé.

Les services de confiance

Le règlement eIDAS a également pour rôle d’implémenter un cadre pour les services de confiance électroniques, qui s’accompagnent de certaines exigences :

  • La signature ou le cachet électronique : la signature concernant les personnes physiques et le cachet concernant les personnes morales. Ils permettent de garantir l’intégrité d’un document, que ce pour soit la délivrance, la validation ou encore la conservation ;
  • L’horodatage : permettant d’attester que certaines données électroniques existaient à un certain moment précis ;
  • L’authentification de sites internet : où le règlement stipule qu’un site internet certifié doit être associé à son propriétaire (personne physique ou morale) ;
  • L’envoi de recommandé par la voie électronique : qui permet de transmettre facilement des données, en fournissant certaines preuves et en les protégeant contre les risques, notamment contre le risque de modification.

L’ANSSI a donc produit des référentiels contenant les exigences liées à chacun de ces services de confiance, permettant aux organismes qualifiés d’obtenir le statut de Prestataire de Services de Confiance. Les fournisseurs de services de confiance qualifiés doivent donc répondre à de nombreuses exigences :

  • apparaître sur la liste nationale de confiance avant de pouvoir exercer ;
  • vérifier physiquement l’identité de la personne à chaque fois qu’un certificat doit être délivré ;
  • être en mesure de stocker en tout sécurité les données relatives aux certificats ;
  • mettre à jour ces données, en cas de modification ou de révocation, et ainsi être toujours en mesure de fournir des preuves appropriées ;
  • proposer des services en continuité, notamment en formant les employés sur les pratiques en vigueur ;
  • transmettre un rapport d’audit à l’ANSSI tous les 2 ans pour réévaluation.

La plupart des logiciels de signature électronique de notre comparatif respectent bien évidemment ces exigences.

Quel est l’impact de l’eIDAS sur une entreprise ?

Si vous êtes dans le cas où votre entreprise utilise la signature électronique, alors vous avez certainement déjà entendu parler de ce règlement eIDAS. En effet, il vous concerne directement. C’est donc à vous de vous assurer de la valeur légale des documents que vous signez. Le règlement propose 3 niveaux de fiabilité pour une signature électronique :

Type de signatureDocument associéExemples
SimpleDocuments comportant un risque faible à moyenNote de frais, souscription à un service quelconque
AvancéeDocuments à risque moyen, mais nécessitant une vérification de l’identité du signataireCompromis de vente, contrat d’ouverture d’un  compte bancaire
QualifiéeDocuments associés à un risque élevéFactures, actes authentiques

De plus, la règlementation eIDAS prévoit 3 niveaux de sécurité liés aux schémas d’identification électronique :

Niveau de sécuritéObjectifVérificationDegré de confiance
FaibleRéduire le risque d’usurpation d’identité Le signataire doit prouver être propriétaire de son adresse mailTrès limité
SubstantielRéduire de manière considérable le risque d’usurpation Le signataire doit prouver son identité et confirmer qu’il est le propriétaire de son adresse mailMoyen
ÉlevéEmpêcher une quelconque usurpation d’identitéL’identité du signataire ainsi que l’organisation qu’il représente doivent être vérifiéesÉlevé

Quels sont les avantages de l’eIDAS ?

Comme nous l’avons dit précédemment, le règlement eIDAS vient se substituer à une précédente directive, qui manquait d’un cadre exigeant et surtout commun à tous les pays de l’UE. La réglementation eIDAS présente donc de nombreux avantages pour le marché européen :

  • La simplification des transactions numériques : entre les particuliers, entreprises et les administrations publiques ;
  • La sécurisation des interactions numériques : entre les différents pays européens ;
  • Le renforcement de la confiance envers les transactions électroniques : ce qui favorise un certain épanouissement ;
  • La numérisation des démarches administratives : ce qui induit une baisse de coûts et donc une augmentation des bénéfices ;
  • L’uniformisation du marché électronique : ce qui a aussi l’avantage d’augmenter sa transparence.

Ce règlement implique beaucoup d’avantages pour tous les acteurs du marché européen. Il est donc primordial qu’il soit compris et surtout implémenté par tous les organismes concernés. 

FAQ

Comment obtenir un certificat eIDAS ?

Les certificats de signature sont commercialisés par différents prestataires de services de confiance qualifiés, tels que Chambersign, CertEurope ou encore Yousign

Quels niveaux de signatures sont concernés par l’eIDAS ?

Le règlement propose 3 niveaux de fiabilité pour une signature électronique : les signatures simples, avancées et qualifiées.

Guillaume Robez

Responsable éditorial

Guillaume est le co-fondateur d'independant.io. Sa spécialité ? Décrypter les offres, lire les conditions générales et les grilles tarifaires pour vous dénicher les meilleurs produits et services.