Qu'est-ce que le règlement eIDAS ?
Le règlement sur l'identification électronique, l'authentification et les services de confiance est entré en vigueur dans l'Union européenne le 1er juillet 2016. Il a été créé pour normaliser les règlements relatifs aux signatures et aux transactions électroniques. Juridiquement, il est connu sous le nom de règlement européen n° 910/2014.
eIDAS remplace la directive de 1999 sur la signature électronique. Il garantit que tous les États membres respectent les mêmes normes et réglementations. eIDAS a été conçu pour corriger les incohérences, réduire les hésitations et rétablir la confiance entre les marchés intérieurs en ce qui concerne les signatures et les transactions électroniques. L'objectif était de faire en sorte que les documents numériques comportant des signatures électroniques soient reconnus et acceptés dans tous les États membres de l'UE.
Que couvre le règlement eIDAS ?
Par rapport à la directive sur les signatures électroniques de 1999, eIDAS est plus large. Outre les signatures électroniques, le règlement couvre également l'identification électronique, la livraison, les services d'archives et l'authentification des sites web.
eIDAS comprend un ensemble normalisé de règlements relatifs à l'identification électronique et aux services de confiance.
Identification électronique
Dans le chapitre sur l'identification électronique, eIDAS donne des conseils pour garantir la reconnaissance de l'identification électronique dans tous les États membres de l'UE.
Services fiduciaires
La directive de 1999 sur les signatures électroniques était principalement axée sur les signatures électroniques et leurs certifications.
Le règlement eIDAS comprend un chapitre relatif aux services de confiance qui standardise davantage tout ce qui concerne les services de confiance pour l'authentification et les signatures, notamment :
- Les signatures électroniques
- Les certificats pour les signatures électroniques
- Les scellés électroniques
- Les horodateurs
- L’authentification de sites web
- Les services d'envoi recommandé électronique qualifiés
Les prestataires de services de confiance qualifiés doivent répondre aux exigences définies par l'État membre et sont identifiables par la marque de confiance standard de l'UE.
Quels sont les avantages du règlement eIDAS ?
Malgré la directive sur les signatures électroniques, il y avait avant un manque d'uniformité dans toute l'UE. Chaque pays avait sa propre interprétation du système. Cela signifie que les niveaux de sécurité et d'authentification requis variaient considérablement.
eIDAS présente un ensemble de lignes directrices qui profitent aux entreprises et aux citoyens, notamment sur les points suivants :
- Amélioration de la confiance dans les transactions en ligne et électroniques
- Reconnaissance de l'identification électronique dans tous les États membres
- Processus plus rapides et simplifiés pour les transactions transfrontalières
- Réglementation cohérente en matière de signature électronique dans toute l'UE
Qui est concerné par eIDAS ?
Toute personne effectuant des transactions électroniques au moyen de signatures électroniques dans l'UE est couverte par le règlement eIDAS. Cela permet aux entreprises et aux consommateurs d'effectuer leurs transactions sans être physiquement présents.
Si les consommateurs qui effectuent des transactions électroniques doivent être conscients de la réglementation, la charge de la conformité incombe généralement au prestataire de services de confiance.
Qu'est-ce qui est considéré comme une signature électronique dans le cadre du règlement eIDAS ?
Les signatures électroniques dans le cadre du règlement européen eIDAS désignent toute donnée sous forme électronique jointe ou associée logiquement à d'autres données numériques et utilisée par le signataire pour signer. Il n'est pas nécessaire d'utiliser un type de technologie spécifique pour qualifier une signature électronique dans le cadre d'eIDAS.
eIDAS définit trois niveaux d'assurance pour l'identification : faible, substantiel et élevé. De même, eIDAS a établi trois catégories de signatures électroniques :
- 1. Signatures électroniques
- 2. Signatures électroniques avancées
- 3. Signatures électroniques qualifiées
Bien qu'elles soient toutes valables en tant que signatures électroniques, le type de signature influe sur la quantité de preuves requises pour prouver que la signature est authentique.
Voici les principales distinctions entre les trois types de signatures.
Types de signatures électroniques
La signature électronique est avant tout un concept juridique, et a une valeur légale. En général, il s'agit d'avoir une trace durable de l'intention du signataire. Une signature numérique est différente d'une signature électronique. La signature numérique désigne la technologie de cryptage utilisée dans les applications de commerce électronique et d'affaires électroniques, y compris les applications de signature électronique. Elle permet de mener à bien bon nombre de transactions électroniques au sein du marché intérieur.
Une signature électronique peut-être dite de base ou simple. Il s'agit alors d'un nom dactylographié ou d'une copie d'une signature manuscrite. Étant donné que ces types de signatures peuvent être falsifiés, le tribunal peut exiger davantage de preuves pour prouver l'authenticité de la signature.
Signatures électroniques de base ou simples
La signature électronique de base est neutre du point de vue technologique. En d'autres termes, toute forme ou tout processus électronique est généralement accepté, du moment que la signature électronique qui en résulte réponde à trois exigences fondamentales. La signature électronique doit être :
- Utilisée par la personne associée à la signature
- Utilisée d'une manière qui démontre l'intention du signataire
- Associée au document ou aux données que le signataire a voulu signer
Signatures électroniques avancées (SÉA)
Une signature électronique avancée va au-delà de la signature électronique de base en liant l'authentification à la signature et au document. Elle atténue les risques dans les transactions commerciales en fournissant des preuves supplémentaires pouvant être utilisées pour vérifier l'authenticité de la signature. Elle est plus difficile à falsifier et moins de preuves peuvent être exigées par le tribunal pour prouver l'intention et l'authenticité de la signature.
En plus des exigences requises pour une signature électronique simple, une signature électronique avancée doit :
- Établir un lien unique avec la personne qui utilise la signature
- Permettre d'identifier le signataire
- Être créée de manière à ce que le signataire soit sûr qu'elle est sous son contrôle exclusif
- Être liée au document, de sorte que toute modification apportée au document par la suite soit identifiable
Pour leur utilisation des signatures électroniques, la plupart des entreprises et des banques optent pour la signature électronique avancée comme forme standard de signature électronique. Ce type de signature intégrant une garantie d'authentification, cela renforce la sécurité sans affecter l'expérience client.
Signatures électroniques qualifiées (SÉQ)
Le terme "signature électronique qualifiée" est basé sur le règlement eIDAS, mais il est similaire à de nombreuses autres lois dans le monde qui exigent un certificat délivré par un organisme accrédité.
La signature électronique qualifiée OneSpan est une signature électronique avancée qui requiert un certificat numérique personnel en plus de toutes les autres exigences standard. Le certificat numérique est un justificatif d'identité électronique sécurisé, nominatif et unique délivré au signataire sous une forme qu'il peut garder sous son contrôle, ce qui en fait une forme d'assurance liée directement au signataire.
En plus des exigences des signatures électroniques et des signatures électroniques avancées, une signature électronique qualifiée doit être :
- Créée à l'aide d'un dispositif qualifié de création électronique ou de création de signature
- Soutenue par un certificat qualifié (délivré par un fournisseur de services de confiance qualifié ; un exemple serait itsme en Belgique)
Comme une signature électronique avancée, elle est reconnue comme équivalente à une signature manuscrite. Toutefois, si elle est contestée dans le cadre d'un litige, ce type de signature ne nécessite aucune preuve supplémentaire devant le du tribunal, selon l'article 25 d'eIDAS.
La signature électronique qualifiée renverse le fardeau de la preuve qui pèse normalement sur une transaction numérique. Avec les signatures électroniques simples et les signatures électroniques avancées, c'est à l'organisation à qui revient la charge d'authentifier le signataire. Mais avec une signature électronique qualifiée, le signataire doit délivrer le certificat numérique utilisé pour s'authentifier.
En pratique, d'autres formes de signatures électroniques peuvent être contestées dans le cadre de procédures judiciaires et l'organisation à l'origine de la transaction peut être amenée à prouver au tribunal qu'elle est fiable et originale ; en bref, qu'elle a une portée juridique. Si certains pays peuvent favoriser la validité des signatures électroniques basées sur des certificats numériques, ils ne peuvent pas refuser la validité du document signé au tribunal au seul motif que la signature se présente sous la forme d'une signature électronique de base ou avancée.
Quel type de signature devez-vous utiliser sous eIDAS ?
Le type de signature à utiliser dépend du type de transaction et du niveau de risque (par exemple risque d'authentification, risque juridique, risque de conformité, risque d'adoption, etc.) que votre société est prête à prendre. Selon le livre blanc eIDAS et E-Signature : une perspective juridique, si la loi ne précise pas qu'une signature électronique qualifiée est nécessaire pour qu'un document soit légal, une signature électronique avancée peut suffire.
Écoutez le témoignage d'une société européenne, P&V Insurance, en Belgique, sur son cas d'utilisation et sur la façon dont son équipe juridique a pris la décision d'adopter la signature électronique avancée au lieu de la signature électronique qualifiée. Pour P&V Insurance, la question était de savoir comment choisir le bon type de signature électronique pour chaque cas d'utilisation. Le cas d'utilisation initial concerne les demandes d'assurance-vie - un processus à faible risque où les exigences de conformité sont minimales.
"La demande d'assurance ne présente pas le même niveau de risque que la police, par conséquent une signature électronique avancée est suffisante. Cependant, pour les documents qui doivent avoir une forte valeur juridique, comme la police elle-même ou le formulaire de changement de bénéficiaire, nous avons besoin de signatures électroniques qualifiées ou même de signatures à l'encre pour être conformes", explique Marc Lucion, chef de projet informatique senior.
Selon l'avocat général de l'assureur, "nous avons conseillé à l'entreprise d'utiliser des signatures électroniques qualifiées (avec eID et PIN émis par le gouvernement), au moins pour certains actes ou contrats, en fonction du risque, de la sensibilité ou du montant. Cependant, nous avons également convenu que les signatures électroniques avancées (avec authentification et code d'accès à usage unique par SMS) étaient légalement suffisantes pour la plupart des demandes d'assurance. Dans tous les cas, les documents signés électroniquement devaient être conservés et archivés dans nos systèmes." Pour en savoir plus, lisez cette étude de cas : P&V Insurance pose les bases de la signature électronique en entreprise.
En résumé
eIDAS résout le problème de l'incohérence des transactions électroniques dans les États membres de l'UE. Bien que cela puisse sembler complexe, en établissant un ensemble de normes de base, eIDAS contribue à créer un environnement électronique sans faille. La confiance accrue dans les processus électroniques favorise une croissance économique et sociale accélérée sur le long terme dans l'ensemble de l'UE. En tant qu'entreprise, il est important de se familiariser avec eIDAS et de s'assurer que votre organisation est conforme.
La solution de signature électronique de OneSpan, OneSpan Sign, prend en charge tous les types de signature dans le cadre du règlement eIDAS. Découvrez comment OneSpan Sign est conçu pour répondre aux exigences en matière de signature électronique dans les pays qui ont adopté des lois sur la signature électronique.
Pour de plus amples informations sur la législation relative aux signatures électroniques, sur l'efficacité juridique et l'applicabilité des signatures électroniques pour vos transactions commerciales ou avec un type spécifique d'accord ou de contrat, consultez notre guide sur la légalité des signatures électroniques et votre conseiller juridique.