Hôtel de l’Echiquier, PARIS – 09/10/2024
A l’occasion de la publication du 3e volet consacré à l’eIDAS v2, la FnTC décortiquait pour nous les évolutions du règlement eIDAS dans sa version 2. Voici un retour sur l’évènement.
Les intervenants :
Pascal Agosti (avocat associé – Cabinet Caprioli & Associés), Marie-Christine Baldy (responsable juridique – Société Générale), Amélie Frézier (responsable des partenaires stratégiques – Cecurity.com) et Sébastien Passelergue (directeur de la conformité – BeYS)
Présentation :
eIDAS est un règlement, il est donc applicable directement par les états membres. Sa cible est le marché européen. Son objet porte sur l’identité numérique et les services de confiance.
LA version 2 du règlement eIDAS vise à rendre obligatoire la création d’une identité numérique, enrichir les services de confiance existant et en introduire de nouveaux.
- LE CONTEXT REGLEMENTAIRE EUROPEEN
Le règlement eIDAS ne vit pas seul. Autour de lui gravitent d’autres textes touchant aux domaines de :
La cybersécurité : Cybersecurity Act, NIS2, règlement (EU) 2019/1157
La protection des données à caractère personnel : RGPD, Directive 2002/58/CE, règlement (EU) 2018/1725
Les plateformes numériques : DSA, DMA
L’accessibilité : Directive (EU) 2019/882 - LES SERVICES DE CONFIANCES
De nombreuses évolutions viennent enrichir les services existants (Cf. le détail dans la présentation) dont les actes d’exécution sont en attendus.
Parmi les nouveautés, notons :
– La gestion de dispositifs de création de signatures/cachets électroniques qualifiés à distance qui permettra entre autre d’enrôler à distance et donc de démocratiser les SEQ/CEQ ;
– Le service qualifié d’archivage électronique qui donnera un cadre pour l’archivage des documents et des données ;
Les registres électroniques qualifiés qui donneront un cadre pour les registres électroniques comme les blockchains ;
– Les attestations d’attributs qualifiées qui permettront d’authentifier un attribut personnel comme le fait de posséder un diplôme, d’être majeur, etc.
- RESPONSABILITES ET SANCTIONS
Dans cette partie de la présentation, la FnTC met en lumière les différences applicables en fonction que le prestataire de confiance est qualifié ou non. Pour qu’il y ait mise en responsabilité du prestataire de confiance, il faut démontrer qu’il existe un lien de causalité entre une faute (ce qu’on lui reproche) et le préjudice qui en découle (ce que cette faute nous fait subir).
2 cas possibles :
è Le prestataire de confiance n’est pas qualifié : en cas de litige, c’est la loi de l’état membre qui s’applique. En France donc, c’est à moi d’apporter la faute et son préjudice et de démontrer le lien de causalité entre ces 2 éléments pour engager la responsabilité du prestataire de confiance.
è Le prestataire de confiance est qualifié : en cas de litige, c’est le règlement eIDAS qui s’applique avec comme conséquence le renversement de la charge de la preuve. C’est-à-dire que c’est cette fois au prestataire de confiance qualifié de démontrer qu’il n’y a pas de lien de causalité entre la faute et le préjudice pour dégager sa responsabilité.
En ce qui concerne les sanctions, il s’agit d’amendes administratives détaillées à l’Art. 16, dont les montants varient de 5 millions d’euros à 1% du chiffre d’affaires annuel mondial avec cumul possible des sanctions liées au non-respect du RGPD. - LE PORTEFEUILLE EUROPEEN D’IDENTITE NUMERIQUE
L’eIDAS V2 consacre son chapitre 2 au PEIN. Ce chapitre s’adresse aux états qui ont obligation de mettre en place un PEIN. Il s’inscrit dans la continuité d’une démarche amorcée en 2014 dans la première version de l’eIDAS qui introduisait la notion de moyen d’identification. En 2017, l’Art. 102 du Code des postes et des communications électroniques pose en France le cadre de l’identification électronique.
Le PEIN c’est quoi ?
Un moyen d’identification élevé.
Diffusé par un état membre, ou sous son mandat, ou encore avec son accréditation.
Quelles sont ses fonctions ?
Stocker, gérer et valider des données d’identification à caractère personnel.
Stocker, gérer et valider des attestations électroniques d’attributs.
Signer avec une signature électronique qualifiée.
Apposer un cachet électronique qualifié.
Quels sont les principes de sa mise en œuvre ?
La construction d’un ARF (Architecture and Reference Framework), entendre un modèle d’architecture.
Appliquer des standards.
4 pilotes existent déjà en Europe qui visent à explorer les différents cas d’usage. Un nouvel appel à projet est en cours pour lancer de nouveaux pilotes. - CAS D’USAGE DU PEIN APPLIQUE AU SYSTEME BANCAIRE
Dans l’attente de la sortie d’actes d’exécution, la Société Générale expose néanmoins ses craintes quant aux obligations qui seront exigées pour l’authentification forte.Elle rappelle, qu’en l’état, de grandes zones de flou demeurent qui ne permettent pas de se projeter pour l’instant. - POUR CONCLURE
Même si le règlement eIDAS v2 est une réalité, sa mise en application nécessite encore la publication de nombreux actes d’exécution. Le calendrier à venir est le suivant :
22/11/2024 : les actes d’exécution pour le PEIN et les formats d’attestation électroniques d’attributs.
21/05/2025 : entre autres, les exigences portant sur les Prestataires de services de confiance et les services de confiance.
21/05/2026 : si les autorités le jugent nécessaire, des actes d’exécution concernant les signatures/cachets électroniques avancés.
