La nouveauté de l’année en matière de dématérialisation est certainement l’adoption, en juillet dernier, du Règlement européen eIDAS sur l'identification électronique et les services de confiance pour les transactions électroniques. Le point avec Polyanna Bigle, avocat au Cabinet Alain Bensoussan.
« Instaurer un climat de confiance dans l’environnement en ligne est essentiel au développement économique et social » et « fournir un socle commun pour les interactions électroniques sécurisées entre citoyens », tel est l’objectif affiché dans les premiers considérants du Règlement dit eIDAS. Au 1er juillet 2016, il abrogera à la directive 1999/93/CE qui avait été la première pierre européenne de la signature électronique, afin de définir un cadre harmonisé pour différents nouveaux objets de transaction électronique
L’identification électronique au cœur du système de confiance et de reconnaissance mutuelle européen
Sur la toile, en réseau ou via une messagerie électronique, comment savoir que vous êtes bien celui que vous prétendez être, et que votre interlocuteur est bien celui ayant capacité et pouvoir de s’engager dans une transaction avec vous ? Avec la multiplication des fraudes et des « hacking », le règlement permet ici, par le système de notification par les Etats membres, de répondre à cette problématique essentielle des échanges et transactions électroniques afin d’assurer la confiance recherchée entre les différentes parties. S’il ne vise essentiellement que les administrations publiques nationales et européennes au sens large, et leurs usagers, il pourra s’entendre comme « bonnes pratiques » dans le secteur des entreprises privées et consommateurs.
En tout état de cause, le Règlement pose les fondations de l’Europe Numérique : après la libre circulation des produits et services, puis des personnes, c’est la libre circulation des flux sur la toile qui est instaurée. En effet, les démarches administratives seront possibles dans toute l’Union avec le développement des téléservices et l’obligation pour les Etats membres de reconnaître les moyens d’identification électroniques des usagers venant d’autres Etats membres.
Création d’un cadre pour les Prestataires de Services de Confiance européens
Les prestataires de services de confiance (PSCO) jouent un rôle prédominant dans la conduite de l’objectif poursuivi par l’Union Européenne. Des exigences de sécurité sont applicables à tous les PSCO : mesures techniques et organisationnelles permettant de gérer les risques de sécurité, prévenir et limiter les conséquences d’incidents de sécurité, informer les personnes concernées, …. Mais surtout, une liste des PSCO sera instaurée afin de permettre une reconnaissance mutuelle entre Etats membres de ces prestataires dès lors qu’ils sont « qualifiés ». La qualification reste une démarche volontaire, mais elle sera certainement le nerf de la concurrence accrue entre les PSCO à travers l’Union….car un label de confiance UE leur sera réservé.
L’authentification des sites web
Les sites web vont pouvoir être authentifiés, c’est-à-dire que leur existence et origine pourront être vérifiées, grâce à des « certificats d’authentification de site internet ». Ainsi, nous n’aurons plus crainte de naviguer sur des vrais-faux sites.
Des « objets » électroniques pour les transactions, reconnus dans l’UE
Des nouveaux objets juridico-techniques apparaissent dans le paysage européen. Outre la signature électronique « avancée » et la « qualifiée », le Règlement reconnait l’existence de la « signature à distance ». Le cachet de personne morale, déjà connu du Référentiel Général de Sécurité français, permettra aux entreprises, administrations et autres organisations telles que les associations de pouvoir valablement apposer un cachet en leur nom sur des écrits qui seront recevables comme preuve d’origine et d’intégrité. Aux côtés de notre écrit électronique des années 2000, apparaît le « document électronique » à valeur probatoire, constitué de « tout contenu conservé sous forme électronique, notamment un texte ou un enregistrement sonore, visuel ou audiovisuel ». Enfin, allant de pair avec la sécurité des services de confiance, l’horodatage pourra désormais être qualifié UE.
Il faut comprendre que le Règlement eIDAS est par nature applicable directement en droit français … sans aucun texte d’application national. Si le Règlement exclut de son champ d’application les « systèmes fermés résultant du droit national » et n’affecte pas le droit national et Européen sur la conclusion et la validité des contrats ou autres obligations juridiques ou procédurales d’ordre formel (ex : signature électronique des arrêts de cour de cassation ou signature numérique pénale), le législateur français devra sans doute tout de même revoir quelque peu sa copie aux fins d’harmonisation.
En conclusion, hormis des certificats électroniques, le texte semble être ouvert à toutes les technologies et à leurs évolutions. Il faudra attendre avec patience les textes d’application et normes ainsi que la conclusion de conventions euro-internationales pour toucher les transactions électroniques au niveau mondial.
———————————————————————
ETUDE D’IMPACT
Audit de sécurité et mise en conformité
Les PSCO proposant des services de confiance pour opérer des transactions électroniques devront assurément réaliser un audit de sécurité ainsi qu’une mise en conformité au Règlement eIDAS, ses annexes techniques ainsi qu’à ses textes d’application. On trouve d’ores et déjà les spécifications techniques préliminaires d’un jeton d’identification eIDAS éditées par l’Anssi et son homologue Allemand BSI. http://www.ssi.gouv.fr/fr/anssi
Ce processus d’audit et de mise en conformité touchera naturellement leurs contrats, garanties et marchés publics de prestations, ainsi que les autres documents pseudo-contractuels comme les politiques (ou « policies ») de sécurité, de signature électronique, de certification, de cachet, d’horodatage…
———————————————————————