Qu'est-ce que le règlement eIDAS ?

Le règlement européen n°910/2014 amendé encadre les transactions électroniques dans le marché intérieur. Il est en vigueur depuis juillet 2016. Contrairement à la directive antérieure (1999/93/CE), ce texte s'applique directement sans transposition nationale. Autrement dit, les États membres appliquent des règles identiques pour la signature électronique qualifiée et les autres services de confiance qualifiés. Cela élimine les divergences juridiques qui fragmentaient auparavant l'espace numérique européen.

Le règlement couvre :

  • la signature électronique,
  • le cachet électronique,
  • l'horodatage électronique,
  • l'envoi recommandé électronique,
  • l'authentification de site web.
     

Chaque service répond à des exigences sécuritaires, techniques et organisationnelles précises définies par le règlement eIDAS.

Le règlement s’adresse à l’ensemble des acteurs publics et privés, aux particuliers et aux administrations réalisant des transactions électroniques dans l’Union européenne. Les secteurs de la banque, de l’assurance, de la santé, du droit, de l’immobilier, du commerce en ligne et de l’administration sont concernés par ces exigences. En gros, tous les domaines touchés de près ou de loin par la numérisation galopante.

Les objectifs du règlement eIDAS

  • Faciliter les transactions transfrontalières

Le règlement instaure la reconnaissance automatique mutuelle de services de confiance qualifiés. Une signature qualifiée délivrée dans un État membre est reconnue dans tous les autres sans contestation possible. Les entreprises contractualisent avec des partenaires européens sans obstacle juridique ni technique. Ainsi, un document signé électroniquement avec une signature qualifiée au Luxembourg possède la même valeur probante dans tous les états membres de l'UE. Cette situation fluidifie les échanges commerciaux et administratifs dans l'espace européen.

  • Harmoniser le cadre juridique des États membres

Le règlement établit des normes communes pour l'identification électronique et les services de confiance qualifiés. Tous les prestataires qualifiés appliquent des exigences de sécurité, des procédures d'audit et des obligations techniques semblables, quel que soit leur État d'établissement. Cette uniformité remplace les normes réglementaires issues de la directive 1999/93/CE qui nécessitait une transposition nationale.

  • Renforcer la sécurité des échanges numériques

Des audits réguliers contrôlent les prestataires qualifiés qui doivent maintenir des moyens techniques robustes et protéger les données personnelles. Les organismes de surveillance nationaux, comme l'ANSSI en France ou ILNAS au Luxembourg, vérifient le respect des exigences. Les certificats délivrés répondent à des standards techniques élevés, limitant les risques de falsification ou d'usurpation d'identité dans les transactions dématérialisées.

  • Encadrer les prestataires de services de confiance

Chaque État membre publie une liste nationale recensant les prestataires qualifiés agréés sur son territoire. La Commission européenne intègre ces informations sur une plateforme centralisée accessible au public. Les entreprises vérifient ainsi la fiabilité d'un prestataire avant toute transaction. Les autorités nationales exercent une surveillance continue, retirant l'agrément en cas de manquement. Cette architecture renforce la confiance des utilisateurs dans les outils numériques.

Qu'est-ce qui est considéré comme une signature électronique dans le cadre de la réglementation eIDAS ?

  • La signature électronique simple (SES)

Une signature électronique simple désigne tout procédé technique permettant d'identifier un signataire et d'approuver le contenu d'un document. Un scan de signature manuscrite, une case cochée ou un code SMS constituent des exemples courants. Aucune exigence technique particulière n'encadre cette catégorie. La valeur probante reste limitée car l'intégrité du document et l'identité du signataire demeurent difficiles à prouver juridiquement en cas de contestation.

  • La signature électronique avancée (SEA)

Une signature électronique avancée est plus sécurisée que la signature électronique de base. Elle atténue les risques dans les transactions en fournissant des preuves supplémentaires qui peuvent être utilisées pour vérifier l’authenticité de la signature. Elle est plus difficile à falsifier et le tribunal peut exiger moins de preuves pour prouver l’authenticité de la signature.

Selon le règlement eIDAS, la signature avancée doit être en mesure de :

  • lier le signataire de manière univoque,
  • permettre son identification,
  • utiliser des données sous son contrôle exclusif,
  • détecter toute modification ultérieure du document.

Un certificat électronique nominatif et un système cryptographique remplissent généralement ces conditions. Cette catégorie offre un niveau de sécurité intermédiaire adapté aux transactions commerciales courantes sans nécessiter l'intervention d'un prestataire qualifié.

  • La signature électronique qualifiée (SEQ)

La signature qualifiée offre le niveau maximal de sécurité juridique. Elle utilise un certificat qualifié délivré par un prestataire de services de confiance qualifié et utilise un dispositif de création de signature électronique qualifiés. La SEQ produit les mêmes effets juridiques qu'une signature manuscrite dans tous les États membres. Les tribunaux ne peuvent contester sa validité. Elle est employée pour les actes notariés électroniques et certains documents administratifs exigeant une authentification renforcée.
 

eIDAS impose-t-il des types de signature ?

eIDAS n'impose pas de type de signature spécifique. Il définit trois niveaux (simple, avancé, qualifié) mais laisse aux parties le choix du niveau approprié selon leurs besoins. Le règlement établit toutefois un principe fondamental : aucune signature électronique ne peut être refusée pour simple motif qu'elle est électronique. Chaque niveau répond à des contextes différents selon le degré de risque et les exigences juridiques du document concerné.

La signature simple convient aux transactions courantes à faible risque comme les souscriptions en ligne ou la réception de livraison. La signature avancée s'utilise pour les accords de confidentialité, contrats de travail ou propositions commerciales nécessitant une identification renforcée. La signature électronique qualifiée est utilisée pour les déclarations fiscales, les crédits immobiliers, l’ouverture d’un compte bancaire ou les contrats avec des montants ou risques plus significatifs. Elle est par ailleurs obligatoire pour certains actes réglementés comme les actes notariés électroniques ou les documents administratifs exigeant l'équivalence stricte avec la signature manuscrite.

Le choix du niveau de signature relève donc de l'analyse des parties contractantes en fonction de la nature du document, du secteur d'activité et des obligations légales sectorielles applicables. L'ANSSI propose d'ailleurs un guide de sélection pour aider les organisations à déterminer le niveau adapté à leurs besoins.

Soulignons qu'eIDAS évolue au rythme des usages et des risques (comme tout texte réglementaire). Une deuxième mouture a ainsi été adoptée et est entrée en vigueur le 20 mai 2024.
 

Les changements apportés par le nouveau règlement eIDAS 2.0

Cette nouvelle version du règlement eIDAS répond à l’accélération des démarches en ligne et au besoin d’un cadre plus homogène pour prouver son identité partout dans l’Union européenne. Elle vise aussi à élargir l’usage des services de confiance au-delà des cas les plus réglementés, en tenant compte de nouveaux acteurs et de parcours numériques plus variés. eIDAS 2.0 introduit notamment le portefeuille européen d’identité numérique (EUDI Wallet), conçu pour stocker et présenter des justificatifs (documents officiels, diplômes, attestations) de façon simple et réutilisable. Pour en savoir plus sur cette évolution, consultez notre article ici.

FAQ

  • Qu’est-ce que le règlement eIDAS ?
    eIDAS est le règlement européen qui encadre l’identification électronique et les services de confiance, comme la signature électronique. Il harmonise les règles entre États membres pour sécuriser les transactions électroniques.
  • Qui peut utiliser la signature électronique eIDAS ?
    Entreprises, administrations et particuliers peuvent l’utiliser. Les signatures électroniques qualifiées et conformes à eIDAS garantissent la validité juridique des documents dans tous les pays de l’Union Européenne.
  • Quel est le rôle d’un prestataire de services de confiance qualifié ?
    Il délivre et gère les certificats électroniques qualifiés, vérifie l’identité des signataires et sécurise les transactions numériques conformément aux exigences du règlement eIDAS.
  • Qu’apporte eIDAS 2.0 ?
    La nouvelle mouture du règlement introduit principalement l’EUDI Wallet, un portefeuille d’identité numérique européen. Il élargit les obligations aux grandes plateformes et renforce la fiabilité des services de confiance qualifiés.