Règlement eIDAS vs eIDAS V2 : quels changements ?

La récente adoption du règlement eIDAS V2, aussi appelé règlement eIDAS 2.0, vient apporter des évolutions importantes concernant le cadre juridique des transactions électroniques au sein de l’Union européenne (UE). Ce règlement vise à combler les lacunes du précédent règlement, eIDAS V1, en améliorant la sécurité, l’interopérabilité et l’accès aux services numériques au sein des États membres. 

Quels vont être les changements pour les entreprises ? Comment choisir un outil conforme avec eIDAS V2 ? Cet article a pour but de vous aider à y voir clair, en dressant un panorama complet sur le sujet. 

Règlement eIDAS V2 : définition et raisons de son adoption

Les origines du règlement européen eIDAS V2

Le règlement eIDAS V1 (electronic IDentification, Authentication and trust Services), officiellement adopté en 2014, a établi un cadre uniforme pour la reconnaissance des identités numériques et des services de confiance à travers l’Union européenne. Ce règlement visait à faciliter les transactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques, en assurant la légalité et la fiabilité des signatures électroniques et autres services de confiance comme les cachets électroniques et les horodatages. En complémentarité avec la réglementation française (notamment l’article 1367 du Code civil), eIDAS V1 a contribué à harmoniser les pratiques en France.

Les limites du règlement européen eIDAS V1

Le règlement eIDAS V2 introduit de nouvelles mesures afin de répondre aux principales lacunes de la première version du règlement, dont voici les principales : 

• Bien que eIDAS V1 ait standardisé certains services, il n’a pas couvert de manière exhaustive tous les aspects des transactions numériques, laissant certains services comme l’archivage électronique ou l’identification numérique sans un cadre clair.
• L’application non uniforme d’eIDAS V1 au sein des États membres, nuisant à l’interopérabilité et à la fluidité des services numériques transfrontaliers.
• Un manque de clarté dans certaines dispositions du règlement a conduit à des interprétations diverses, compliquant ainsi la mise en œuvre uniforme du règlement à travers l’UE.
• eIDAS V1 n’avait pas prévu des adaptations nécessaires pour intégrer les avancées technologiques rapides, comme la Blockchain et l’intelligence artificielle (IA), limitant ainsi sa capacité à soutenir l’innovation numérique.

eIDAS V2 a donc été conçu pour répondre aux déficiences d’eIDAS V1. Ce règlement a ainsi pour mission de : 

• Couvrir une gamme plus large de services numériques, assurant une couverture complète des besoins en transactions électroniques sécurisées.
• Clarifier les dispositions ambiguës pour une meilleure harmonisation des pratiques à travers l’UE.
• Renforcer la confiance numérique en établissant des normes plus strictes et en intégrant de nouvelles technologies.

Les principales améliorations apportées par le règlement eIDAS V2

eIDAS V2 apporte plusieurs améliorations par rapport à sa version précédente, visant à renforcer la sécurité, améliorer l’interopérabilité et étendre les fonctionnalités des services de confiance au sein de l’Union européenne.

Les portefeuilles européens d’identité numérique (PEIN) ou "e-wallet"

Le changement le plus structurant apporté par eIDAS V2 est l'introduction des Portefeuilles Européens d’Identité Numérique (PEIN), souvent appelés European Digital Identity Wallet ou « e-wallet ». Les PEIN seront proposés aux citoyens et résidents de chaque État membre. Ce nouveau dispositif vise à doter chaque citoyen et résident de l'Union Européenne d'une identité numérique souveraine et hautement sécurisée. Il leur permettra, s’ils le souhaitent, de gérer de manière centralisée leurs identifications numériques, ainsi que d’autres documents et attestations électroniques.

Ces moyens d’identification électroniques devront être acceptés par la majorité des administrations publiques, acteurs privés et plateformes. Le PEIN ou e-wallet ne sera pas seulement une preuve d'identité en ligne ; il permettra aux utilisateurs de stocker, de gérer et de partager de manière sélective des attributs d’identité vérifiés (permis de conduire, diplômes, coordonnées bancaires) avec des tiers de confiance.

Le PEIN ou e-wallet sera également utilisé pour créer des signatures électroniques qualifiées (QES) à distance avec la plus grande facilité, car l’identité du signataire aura déjà été rigoureusement vérifiée par l’État membre lors de l'émission du portefeuille. Ce mécanisme est conçu pour simplifier radicalement la vérification transfrontalière des signatures et des documents, assurant ainsi une interopérabilité et une confiance maximales dans toutes les transactions électroniques au sein de l'UE.

Ainsi, ces portefeuilles ou e-wallet assurent un haut niveau de sécurité donnant lieu à une certification. Ils doivent être gratuits pour les particuliers, et leur offrir un contrôle complet sur leurs données, permettant de choisir quand et comment ces informations sont partagées et utilisées.

L’élargissement des services de confiance

De nouveaux services, oubliés par la première version du règlement, sont inclus dans les services de confiance par eIDAS V2. Cela comprend notamment :

• La signature électronique générée à distance d’un niveau qualifié ;
• Les certificats d’authentification de sites web ;
• La délivrance d’attestations électroniques d’attributs ;
• Les services d’archivage électronique ; 
• Les registres électroniques. 

Plus de services électroniques en ligne encadrés, pour plus de sécurité !

Le renforcement des exigences de sécurité pour la signature électronique avancée

Jusqu’à présent, la signature électronique avancée souffrait d’un manque de définition claire et d’uniformité dans son application au sein de l’UE : 

• Historiquement, la norme ETSI EN 319 411-1 a servi de référence principale pour la production de certificats électroniques utilisés par de nombreux prestataires. 
• Toutefois, cette norme n’était pas universellement adoptée, créant ainsi une dispersion dans les pratiques et une certaine opacité sur le marché. 

Ces problématiques ont été relevées par les législateurs européens et les magistrats, de plus en plus conscients des implications légales des signatures électroniques. 

Pour remédier à ces défis, eIDAS V2 prévoit que, dans les 24 mois suivant son entrée en vigueur, la Commission européenne doit évaluer l’opportunité de développer et d’implémenter des standards de référence plus précis pour la signature électronique avancée. L’objectif est de clarifier et standardiser ce qui qualifie une signature comme étant « avancée » en s’appuyant sur les bases établies par la norme ETSI et potentiellement d’autres critères nouveaux. Cela facilitera une reconnaissance uniforme de la validité et de la sécurité des signatures électroniques avancées à travers l’UE.

De nouvelles sanctions pour non-conformité au règlement eIDAS V2

eIDAS V2 introduit des mesures de sanction renforcées pour garantir le respect strict des normes par tous les prestataires de services de confiance opérant dans l’Union européenne.

En cas de non-conformité, les prestataires s’exposent à des amendes pouvant atteindre 5 millions d’euros ou 1% du chiffre d’affaires annuel mondial total du groupe auquel ils appartiennent. Cette approche vise à proportionner les sanctions à la taille et à l’impact économique de l’entreprise, assurant ainsi que les pénalités soient à la fois dissuasives et justes.

Quand le règlement eIDAS V2 entre-t-il en vigueur ?

Voici un résumé de l’adoption et de la date d’entrée en vigueur du règlement eIDAS V2 : 

• Il a été formellement adopté par le Parlement européen le 29 février 2024.
• Puis, par le Conseil de l’Union européenne le 26 mars 2024. 
• Le règlement prévoit qu’il entrera en vigueur à compter du 20 mai. 

Cela signifie que les dispositions du règlement eIDAS V2 sont désormais applicables. Cependant, certains aspects du règlement ne peuvent être appliqués en l’état. C’est le cas notamment de ceux nécessitant des précisions techniques ou la mise en place de nouvelles infrastructures. Un temps d’adaptation de 24 mois est prévu à cet effet. 

Quels sont les défis posés par eIDAS 2.0 aux entreprises ?

Le règlement eIDAS V2 pose plusieurs défis pour les entreprises. Voici les principaux défis identifiés :

• Conformité réglementaire : Les entreprises doivent adapter leurs pratiques commerciales et leurs systèmes informatiques pour répondre aux nouvelles exigences légales d’eIDAS V2. Cela implique souvent des mises à jour des systèmes existants.
• Mise à jour des systèmes IT : Pour intégrer les nouvelles solutions de signature électronique, d’identification numérique et autres services de confiance conformes à eIDAS V2, les entreprises doivent revoir ou reconstruire leurs infrastructures IT, ce qui peut être un processus complexe et onéreux.
• Formation et sensibilisation : Il est essentiel d’assurer que le personnel comprend les nouvelles normes et pratiques introduites par eIDAS V2. La formation et la sensibilisation à la sécurité et la conformité sont cruciales pour une transition réussie.

Bon à savoir : Pas de panique, la plupart des modifications concrètes sont soumises à la publication dans un délai de 6 à 24 mois selon les actes d’exécution correspondants. Donc, vous avez encore de la marge pour vous adapter ! 

Comment choisir un prestataire de signature électronique conforme à eIDAS V2 ? 

Voici quelques critères et étapes clés à considérer pour choisir un prestataire de services de confiance et, par conséquent, sécuriser les transactions numériques de votre entreprise : 

• Vérifiez que le prestataire délivre des services de confiance qualifiés eIDAS V2 pour les niveaux de signature électronique que vous prévoyez d’utiliser (avancée et qualifiée, à savoir que rien ne change par rapport à eIDAS V1 pour la signature simple).  
• Assurez-vous que le prestataire respecte les standards techniques, tels que ceux définis par l’ETSI (Institut des Standards Européens de Télécommunication), chargé notamment de créer des spécifications et des standards en matière de signature électronique. En particulier, le standard  EN 319 401, permet d’évaluer les pratiques des prestataires de services de confiance par le biais d’organismes de certification agréés par les plus hautes instances françaises et européennes en matière de sécurité, tels que l’ANSSI et le COFRAC. 
• Examinez les mesures de sécurité mises en place par le prestataire pour protéger les données et les processus de signatures électroniques.
• Privilégiez un prestataire avec une solide expérience et une bonne réputation dans le domaine des services de confiance numérique.
• Les témoignages de clients, les études de cas et les avis en ligne peuvent vous fournir des insights précieux sur la fiabilité et la qualité des services offerts.
• Considérez les services supplémentaires qui pourraient être bénéfiques pour votre entreprise, tels que l’horodatage électronique, l’archivage électronique qualifié ou la gestion de l’identité numérique.
• Assurez-vous que la solution reste en conformité avec les réglementations applicables en la matière, vous déchargeant d’une veille attentive et d’une mise en conformité sur ces sujets. 
• Privilégiez un prestataire capable de fournir des solutions personnalisables, s’adaptant aux spécificités de votre entreprise et s’intégrant facilement à vos systèmes existants.

Goodflag : une solution de signature électronique complète et conforme à eIDAS V2

Goodflag se positionne comme un acteur de premier plan des solutions de signature électronique. Nous avons à cœur d’assurer aux entreprises européennes la légalité et la sécurité de leurs transactions numériques grâce à un outil de signature complet, vous offrant : 

• Une gamme complète de services : Goodflag offre des signatures simples, avancées et qualifiées, permettant aux entreprises de choisir le niveau de sécurité adapté pour chaque transaction, sur un seul outil.
• Personnalisation et intégration : Avec des solutions hautement personnalisables (marque blanche disponible) et une API gratuite mise à disposition, Goodflag garantit une bonne intégration avec les systèmes et applications métiers existants au sein des entreprises. Cela facilite ainsi son adoption sans perturber les opérations courantes.
• Conformité et sécurité : Les solutions de Goodflag sont régulièrement mises à jour pour respecter les dernières réglementations, comme eIDAS V2, grâce à des mesures de sécurité robustes pour protéger les données et les processus de signature.
• Support clients : Nous vous accompagnons à chaque étape, du choix de l’outil de signature électronique, à son déploiement. Vous bénéficiez également d’un support technique continu, assurant une expérience utilisateur optimale.

Choisir Goodflag pour vos signatures électroniques, c’est bénéficier d’une solution complète, sécurisée et toujours en conformité avec les normes applicables. Vous souhaitez découvrir notre gamme complète d’outils pour vos transactions numériques ?