Des transactions plus sécurisées sur l’internet

SYNTHÈSE DU DOCUMENT:

Règlement (UE) n^o 910/2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur

SYNTHÈSE

QUEL EST L’OBJET DE CE RÈGLEMENT?

• Le règlement sur l’identification électronique et les services de confiance (eIDAS) instaure un nouveau système pour les interactions électroniques sécurisées au sein de l’Union européenne (UE) entre les entreprises, les citoyens et les autorités publiques.
• Il vise à renforcer la confiance dans les transactions électroniques à l’échelle de l’UE ainsi qu’à améliorer l’efficacité des services en ligne publics et privés et des services de commerce électronique. Il s’applique:
  • aux schémas d’identification électronique (eID)* notifiés à la Commission européenne par les pays de l’UE;
  • aux prestataires de services de confiance établis dans l’UE.
• Il élimine les entraves existantes à l’utilisation de l’eID dans l’UE. Il serait à présent aisé, par exemple, pour une entreprise portugaise de participer à un appel d’offres pour un contrat de service public en Suède, les subventions de l’UE pouvant être gérées intégralement en ligne.

POINTS CLÉS

Identification électronique

• L’eID délivrée par un pays de l’UE est reconnue dans l’ensemble des pays de l’UE. Ceci s’applique seulement si l’eID répond aux exigences du règlement et si la Commission en a été notifiée et que cette dernière l’a publiée sur une liste. Cette reconnaissance mutuelle des eID deviendra obligatoire à partir du 28 septembre 2018 et facilitera les transactions électroniques sécurisées à l’échelle de l’UE.
• Un schéma d’eID doit mentionner l’un des trois niveaux de garantie (faible, substantiel, élevé) pour la forme d’identification électronique délivrée dans le cadre de ce schéma. La reconnaissance mutuelle est uniquement obligatoire lorsque les organismes du secteur public concernés ont recours aux niveaux «substantiel» ou «élevé» pour accéder à ce service en ligne.

Notification

• Lorsqu’ils notifient à la Commission des schémas d’eID, les pays de l’UE doivent fournir des informations sur les aspects suivants:
  • le niveau de garantie et l’entité qui délivre l’eID relevant de ce schéma;
  • les régimes de contrôle et de responsabilité applicables;
  • les organismes qui gèrent l’enregistrement des données d’identification personnelle uniques.
• En cas d’atteinte à la sécurité du schéma d’eID ou de l’authentification, le pays de l’UE notifiant est tenu de:
  • suspendre ou révoquer rapidement cette authentification à l’échelle de l’UE ou les éléments altérés en cause dans ce schéma; et
  • d’en informer les autres pays de l'UE et la Commission.

Responsabilité

• Dans toute transaction entre des pays de l’UE où les obligations découlant du règlement ne sont pas respectées, les entités suivantes peuvent être tenues responsables du dommage causé intentionnellement ou par négligence à toute personne physique ou morale:
  • un pays de l’UE notifiant;
  • l’entité qui délivre l’eID;
  • l’entité qui gère la procédure d’enregistrement.

Coopération et opérabilité parmi les pays de l’UE

• Les schémas d’eID nationaux notifiés sont interopérables. Le cadre d’interopérabilité est neutre du point de vue technologique, c'est-à-dire qu’il ne favorise pas l’une ou l’autre des solutions techniques nationales particulières destinées à l’eID.

Services de confiance

• Ce règlement définit les services de confiance comme des services payés comprenant:
  • la création, la vérification, la validation des signatures électroniques, des cachets électroniques ou de l’horodatage électronique, des services d’envois recommandés électroniques et des certificats relatifs à ces services; ou
  • la création, la vérification, la validation des certificats pour l’authentification de site internet; ou
  • la conservation de signatures électroniques, de cachets électroniques ou des certificats relatifs à ces services.
• Les prestataires de services de confiance établis dans l’UE sont considérés comme «qualifiés» s’ils répondent aux exigences applicables dudit règlement. Ils sont légalement autorisés à prester des services de confiance qualifiés (par exemple des signatures, cachets ou certificats électroniques qualifiés) dans tous les pays de l’UE. Les services de confiance offerts par les prestataires de services établis dans des pays tiers peuvent être considérés comme équivalents, sur le plan juridique, à des services de confiance qualifiés, mais uniquement après la conclusion d’un accord entre le pays de l’UE et le pays tiers ou une organisation internationale.

Contrôle

• Les pays de l’UE doivent sélectionner un ou plusieurs organismes destinés à exercer les activités de contrôle au titre de ce règlement. Ces organes doivent coopérer avec les autorités chargées de la protection des données, le cas échéant.
• Tous les prestataires de services de confiance sont soumis aux obligations de notification en matière de contrôle, de gestion des risques et d’atteinte à la sécurité.
• Les prestataires de services de confiance non qualifiés sont soumis à un contrôle léger, c'est-à-dire que l’organe de contrôle ne réagira que si le prestataire est soupçonné de faute.
• Les prestataires de services de confiance qualifiés établis dans l’UE sont soumis à un contrôle strict. Il s’agit notamment d’obtenir une autorisation préalable délivrée par les organes de contrôle et d’audit au moins une fois tous les deux ans par une organisation qui procède à une évaluation de la conformité aux exigences dudit règlement.
• Un nouveau label de confiance de l’UE, sur base volontaire, permettra de déterminer les services de confiance qualifiés fournis par les prestataires concernés.

Une série d’actes adoptés par la Commission européenne au cours de l’année 2015 énoncent:

• les modalités de procédure relatives à la coopération entre pays de l’UE en matière d’identification électronique;
• les spécifications relatives à la forme du label de confiance de l’UE pour les services de confiance qualifiés;
• les exigences techniques et opérationnelles du cadre d’interopérabilité;
• les spécifications techniques minimales et les procédures relatives aux niveaux de garantie pour les moyens d’eID;
• les spécifications techniques et les formats des listes de confiance;
• les spécifications relatives aux formats des signatures et cachets électroniques avancés qui doivent être reconnus par des organismes du secteur public; et
• les circonstances, les formats et les procédures pour les notifications des schémas d’eID.

À PARTIR DE QUAND CE RÈGLEMENT S’APPLIQUE-T-IL?

Il s’applique à partir du 17 septembre 2014.

TERME CLÉ

* Identification électronique (eID): il s’agit des formes d’identification tangibles ou intangibles contenant des données d’identification personnelles, utilisées pour l’authentification d’un service en ligne.

ACTE

Règlement (UE) n^o910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du 28.8.2014, p. 73-114)

Les modifications successives du règlement (UE) n^o 910/2014 ont été intégrées au texte d’origine. La version consolidée n’a qu’une valeur documentaire.

dernière modification 17.03.2016