Le règlement eIDAS du 23 juillet 2014 a pour ambition d’accroître la confiance dans les transactions électroniques au sein du marché de l’Union Européenne.
Il a deux objectifs principaux. Le premier est d’instaurer, depuis le 29 septembre 2018, un mécanisme de reconnaissance mutuelle des moyens d’identification électronique des États membres sur l’ensemble des services en ligne des autres États membres.
Trois niveaux de garantie des moyens d’identification électronique sont prévus par le règlement :
- faible : pour réduire le risque d’utilisation abusive ou d’altération de l’identité ;
- substantiel pour limiter substantiellement ce risque ;
- élevé afin d’empêcher l’utilisation abusive ou l’altération de l’identité.
En France, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est responsable de l’établissement du référentiel des exigences applicables à chaque niveau ainsi que de l’évaluation du niveau de garantie des moyens d’identification électronique.
Le second est d’instaurer un cadre juridique pour l’utilisation des services de confiance, applicable depuis le 1er juillet 2016. Il distingue les services qualifiés des services non qualifiés. Les services de confiance qualifiés prévus par le règlement sont :
- délivrance de certificats qualifiés de signature électronique pour les personnes physiques, de cachet électronique pour l’identité des personnes morales et d’authentification de site Internet ;
- validation et conservation qualifiée des signatures électroniques qualifiées et des cachets électroniques qualifiés ;
- horodatage électronique qualifié ;
- envoi recommandé électronique qualifié.
Une version 2 du règlement eIDAS est à venir prochainement. Elle permettra plus d’interopérabilité entre les identités numériques et de traiter de nouveaux services de confiance.