Transactions électroniques au sein du marché intérieur - Identification électronique - Services de confiance et Documents électroniques – Règlement « eIDAS » n° 910/2014/UE (JOUE 28 août 2014).
Dans Alerte le 2016-10-03 12:45:28
Ce règlement entré en vigueur le 17 septembre 2014 est applicable, pour l’essentiel, au 1er juillet 2016.
Il vise à promouvoir le développement d’un marché européen de la confiance numérique par l’’interopérabilité des différents systèmes des États membres et concerne principalement les organismes du secteur public et prestataires de services de confiance établis sur le territoire de l’Union européenne.
L’ANSSI intervient en tant que garante de la sécurité pour le volet « identification électronique » et en tant qu’organe de contrôle pour le volet « services de confiance ».
Identification électronique
Le règlement eIDAS instaure un mécanisme de reconnaissance mutuelle des moyens d’identification électronique des États membres sur l’ensemble des services en ligne des autres États membres.
A cet effet, un moyen d’identification électronique doit avoir été délivré conformément à un schéma d’identification électronique notifié par l’Etat membre concerné et figurant sur la liste publiée par la Commission.
Les exigences relatives aux différents niveaux de garantie sont détaillées dans le règlement d’exécution n°2015/1502 du 8 septembre 2015.
La reconnaissance mutuelle des moyens d’identification électronique est effective depuis le 29 septembre 2015 sur une base volontaire et obligatoire à compter du 29 septembre 2018.
la Direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC) assure le rôle d’autorité nationale en matière d’identification électronique ;
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est responsable de l’établissement du cahier des charges pour les exigences applicables à chaque niveau ainsi que de l’évaluation de l’atteinte des niveaux de garantie par les moyens d’identification électronique.
Services de confiance
Le règlement eIDAS a également pour objectif d’instaurer un cadre juridique pour l’utilisation des services de confiance de confiance relatifs à la signature électronique, au cachet électronique, à l’horodatage électronique, à l’envoi recommandé électronique et à l’authentification de sites internet.
Le règlement établit une distinction entre les services de confiance qualifiés, assurés par des prestataires de services de confiance qualifiés et les services de confiance non qualifiés.
Le règlement eIDAS est applicable à compter du 1er juillet 2016 pour les services de confiance.
Les services de confiance qualifiés prévus par le règlement eIDAS sont la délivrance de certificats qualifiés de signature électronique, de cachet électronique et d’authentification de site internet ;
Un service de validation qualifié des signatures électroniques qualifiées ou cachets électroniques qualifiés permet de garantir la sécurité juridique d’une signature ou d’un cachet qualifié en fournissant une preuve de validation par un tiers qualifié.
L’envoi recommandé électronique qualifié permet de transmettre des données entre tiers par voie électronique en fournissant des preuves concernant le traitement des données transmises, y compris la preuve de leur envoi et de leur réception, et en protégeant ces données contre les risques de perte, de vol, d’altération ou de toute modification non autorisée.
Le règlement ne considère pas le service de création de signature électronique qualifiée « à distance » (ou « server signing ») comme un service de confiance qualifié.
Au sein de chaque Etat membre, la certification de conformité de ces produits aux exigences du règlement est attestée par un organisme certificateur désigné à la Commission européenne.
Le règlement prévoit que, dans certains cas, la création de signature ou de cachet puisse être déléguée à un prestataire de services de confiance qui doit être un prestataire qualifié au titre de l’un des services de confiance qualifiés précités.
En France, le rôle d’organe de contrôle pour les services de confiance est assuré par l’ANSSI qui définit les modalités techniques et assure la qualification des prestataires de confiance.
En complément, l’ANSSI:
Le référentiel général de sécurité (RGS) continuera à s’appliquer pour partie ;
le règlement eIDAS s’appliquant aux échanges entre l’administration et le public (citoyens, entreprises) pas aux « systèmes fermés » (sans impact direct sur les tiers); le périmètre fonctionnel du règlement eIDAS ne couvrant ni la délivrance de certificats d’authentification de personnes ou de machines, ni la délivrance de certificats de confidentialité ;
Enfin, le règlement n’induit pas d’obligation pour les administrations de recourir à des moyens d’identification électroniques notifiés ou à des services de confiance qualifiés au titre du règlement eIDAS.