Le règlement eIDAS expliqué en 3 minutes

eIDAS (electronic Identification, Authentication and trust Services) s’applique directement et intégralement sur l’ensemble de l’Union Européenne depuis le 29 septembre 2018. Stefan Runneberger, expert en infrastructures de l’information pour la société Nexus Group, spécialisée dans les identités et la sécurité, détaille cette réglementation en 3 minutes.

Qu’est-ce qu’eIDAS ?

« eIDAS réglemente l’identification ainsi que les services dits ‘de confiance’ dans le cadre des transactions électroniques au sein du marché européen. La réglementation vise à faciliter les transactions sécurisées au sein de l’UE, à encourager la dématérialisation des services, à stimuler l’innovation, et à simplifier les échanges entre États membres de l’Union européenne. Afin d’accorder aux transactions électroniques la même valeur légale qu’à leurs équivalents imprimés, eIDAS définit des normes techniques pour les signatures électroniques, les certificats numériques qualifiés, les scellés électroniques, l’horodatage, et plus encore, » explique Runneberger.

Quel impact peut avoir eIDAS sur mon organisation ?

Runneberger : « Toutes les organisations offrant des services numériques aux usagers au sein d’un État membre de l’UE qui accepte les identités électroniques d’un niveau de confiance ‘substantiel’ doivent accepter les identités électroniques approuvées par eIDAS, quel que soit l’État membre dans lequel celles-ci ont été générées. Dans certains cas, eIDAS peut contraindre les organismes publics à accepter la signature électronique de documents. Ce sont les seules exigences d’eIDAS envers les organisations qui ne sont pas prestataires de services de confiance. En-dehors de ces exigences, vous pouvez bénéficier de la règlementation de la façon que vous estimez appropriée. Exploiter les identités et les signatures électroniques approuvées par eIDAS peut améliorer significativement vos processus métier en facilitant notamment les transactions électroniques sécurisées, à la fois à l’intérieur d’un État membre et entre États membres de l’UE. La Norvège, l’Islande et le Liechtenstein sont également concernés par la réglementation. »

Comment accepter les identités électroniques approuvées par eIDAS de ressortissants étrangers ?

Runneberger : « Chaque État membre de l’UE crée un ou plusieurs nœuds, vers lesquels sera dirigé tout usager souhaitant s’authentifier auprès des e-services de ce pays, à l’aide d’une identité électronique approuvée par eIDAS. La solution d’authentification utilisée par votre organisation doit par conséquent être adaptée et capable de se connecter aux nœuds du pays concerné. »

Comment les identités électroniques sont-elles approuvées par eIDAS ?

Runneberger : « Les identités électroniques nationales doivent être approuvées dans leurs pays respectifs, et destinées à être exploitées sur l’ensemble de l’UE ».

Que dit eIDAS à propos des signatures électroniques ?

Runneberger : « Selon la définition d’eIDAS, une e-signature représente des données sous forme électronique, qui sont logiquement associées à d’autres données électroniques, et exploitées par le signataire du document. eIDAS définit trois niveaux de signatures électroniques : les signatures électroniques simples, les signatures électroniques de niveau ‘avancé’, et les signatures électroniques dites ‘qualifiées’. Les signatures électroniques ‘avancées’ sont considérées comme appropriées dans de nombreux cas d’utilisation. »

Quelle est la définition des signatures électroniques avancées (AdES) selon eIDAS ?

Runneberger : « Une signature électronique avancée est une signature associée de façon unique au signataire, permettant ainsi d’identifier celui-ci ; elle est en outre conçue pour permettre au signataire de conserver le contrôle du document, et est associé à ce dernier de telle façon que toute modification ultérieure du document sera détectable. La méthode la plus courante pour créer des signatures électroniques avancées est de s’appuyer sur ce que l’on appelle une infrastructure à clés publiques (PKI) ainsi qu’un mécanisme de chiffrement appelé signature numérique. »

Que dit eIDAS à propos des services de confiance ?

Runneberger : « Les services de confiance comprennent les services qui impliquent des signatures, des scellés et/ou des horodatages électroniques, l’authentification des sites web, ou encore des transmissions électroniques sécurisées. eIDAS définit les normes que doivent respecter les fournisseurs de services de confiance, et fournit des recommandations aux États membres sur la façon dont ces fournisseurs doivent être régulés et reconnus. »

Comment mon organisation peut-elle profiter au mieux d’eIDAS ?

Runneberger : « Il est recommandé de numériser vos processus et de vous appuyer sur une solution d’e-signature permettant à vos utilisateurs de procéder à des signatures avancées pour les transactions, les contrats ou les procédures administratives nécessitant leur approbation. Vous améliorez ainsi votre compétitivité et gagnez à la fois du temps et de l’argent. Assurez-vous également d’accepter les identités électroniques approuvées par eIDAS des ressortissants étrangers, même si vous n’y êtes pas contraint : vous attirerez ainsi davantage de clients et améliorerez vos résultats. »