Après plusieurs années de débats et de travaux, le règlement européen n°2024/1183 révisant le règlement n°910/2014, connu sous le nom d’« eIDAS » (Electronique Identification Authentification & trust Services), est entré en vigueur le 20 mai dernier. Cette nouvelle ère de confiance numérique ouvre un champ de potentialités intéressant pour les décideurs d’entreprise. Tour d’horizon.
Par Romain Santini, directeur de programme identités numériques & eIDAS v2 chez Docaposte, pour les lecteurs de Solutions Numériques et Cybersécurité.
Envoyer des documents signés électroniquement en quelques secondes, avec la garantie de reconnaissance de leur effet juridique dans toute l’Union européenne, c’est possible depuis l’adoption du règlement eIDAS en 2014. Et pour cause, ce règlement avait pour objectif d’établir un cadre harmonisé pour les échanges électroniques au sein du marché intérieur. Néanmoins, les pratiques restaient hétérogènes entre les Etats membres, et le développement des transactions électroniques transfrontières en-deçà des ambitions européennes.
La version révisée du règlement, publiée le 30 avril 2024, pose notamment le concept du portefeuille européen d’identité numérique, plus à même de répondre aux besoins des entreprises et de consolider le travail d’harmonisation initié en 2014.
Les trois piliers du futur portefeuille européen d’identité numérique
1. L’identification et l’authentification électroniques : attribution d’une identité unique et vérifiée à une personne physique ou morale, et la capacité à prouver cette identité de manière sécurisée ; 2. Le partage d’attestations électroniques d’attributs : transmission sécurisée de données vérifiées se rapportant à une personne physique ou morale (mandats et délégations, qualifications professionnelles, coordonnées bancaires, attestations d’assurance…) ; 3. La signature et le cachet électronique : protection et fiabilisation des transactions en ligne, permettant la conclusion de contrats à distance ou la signature des factures électroniques. |
Un portefeuille européen d’identité numérique prometteur
Au plus tard en novembre 2026, l’identité numérique pourra se présenter sous forme de portefeuille européen d’identité numérique (« EUDI wallet ») mis gratuitement à disposition des personnes physiques par les Etats membres de l’Union européenne, pour les usages non professionnels. Ce portefeuille permettra de prouver son identité (sur Internet comme dans le monde physique), de signer électroniquement et de partager des attestations électroniques d’attributs d’identité (diplômes, permis de conduire, données bancaires…). Il devra être accepté par les services publics, les entreprises mettant en œuvre de l’authentification forte et les très grandes plateformes en ligne, au plus tard en novembre 2027.
Pour les usages professionnels, des portefeuilles d’entreprise permettront à terme de simplifier les démarches administratives en regroupant dans une même application mobile les dispositifs d’authentification et de signature ainsi que les mandats et délégations de pouvoir. Plus rapide et sécurisé, ce dispositif de vérification d’identité réduira les risques de fraudes (vol ou usurpation d’identité ou de coordonnées bancaires) lors de transactions entre les fournisseurs et leurs clients. On peut aussi imaginer un ensemble de cas d’usage potentiels pour répondre à des besoins métiers spécifiques.
Des progrès significatifs en matière d’interopérabilité et l’intégration de nouveaux services
L’harmonisation des standards applicables aux services de confiance sera renforcée via plusieurs textes réglementaires complémentaires attendus d’ici mai 2025. Objectif : aligner les pratiques entre tous les services de confiance qualifiés au sein de l’Union européenne et ainsi, les rendre véritablement interopérables. Cette évolution facilitera grandement les intégrations et échanges transfrontaliers, ouvrant de nouvelles perspectives commerciales.
Dans le même temps, cette nouvelle version intègre désormais de nouveaux services qualifiés, dont l’émission d’attestations électroniques d’attributs qualifiées et l’archivage électronique qualifié. Au même titre que la signature qualifiée ou l’envoi recommandé électronique qualifié, ces services feront désormais l’objet d’un audit et d’une reconnaissance par l’Etat, permettant de confirmer leur fiabilité. En particulier, ce nouveau service d’archivage électronique qualifié permettra de conserver en toute sécurité les preuves de connexion avec le portefeuille européen d’identité numérique, notamment à des fins de résolution des litiges.
Bien plus qu’une simple mise à jour technique de l’approche parfois monolithique de l’identité numérique de la première version, le règlement révisé « eIDAS v2 » est une occasion de repenser et d’optimiser les pratiques numériques pour gagner en efficacité et en sécurité. Si l’utilisation du portefeuille n’est pas contrainte et sera seulement effective dans plusieurs années, les entreprises européennes devront ainsi anticiper ses impacts sur leurs activités et intégrer cette nouvelle technologie dans leurs processus pour rester compétitives et sécurisées. Une évolution à suivre.
