Le 1er juillet 2016, la réglementation
eIDAS (Electronic IDentification, Authentication and Trust Services) sur l'identification électronique et les services de confiance a commencé à fonctionner dans les pays de l'UE. Il est entré en vigueur après l'adoption du
règlement (UE) n ° 910/2014 et l'abrogation de la directive sur les signatures électroniques (directive eSignature) de 1999. Le règlement établit une norme commune pour les signatures électroniques, les timbres électroniques, les horodatages, les services de livraison électronique et les certificats d'authentification de sites Web.
La reconnaissance mutuelle obligatoire des identifiants électroniques par les pays de l'UE
est valable à partir du 29 septembre 2018 .
Il semblerait que le règlement soit une affaire interne à l'UE, mais en réalité, il est également confronté à des contreparties étrangères qui traitent avec des organisations européennes. Non seulement les personnes morales, même les étudiants entrant dans les universités européennes, enregistrent et signent des documents sur les normes eIDAS. La norme s'applique aux activités des centres de certification.
La conformité EIDAS est importante pour toute personne physique ou morale qui travaille dans l'Union européenne, utilisant des signatures électroniques pour l'identification et les transactions électroniques.
Carte interactive des prestataires de services de confiance dans les pays de l'UE (Trust Service Providers). GlobalSign a passé la certification en Belgique et est devenu l'un des premiers centres mondiaux à délivrer des certificats qualifiés selon eIDASBien que chaque pays ait ses propres normes d'identification et EDS, eIDAS est un ensemble de «meilleures pratiques» qui garantit la compatibilité EDS au niveau européen, car toutes les organisations publiques de l'Union européenne
doivent reconnaître les EDS qualifiés d'autres pays. À l'avenir, il est probable que l'eIDAS étendra sa portée au-delà de l'UE.
Qu'est-ce que l'eIDAS
En bref, eIDAS établit une norme commune qui doit être respectée par le matériel et les logiciels pour générer des signatures numériques. Tous les jetons subissent une certification obligatoire. Pour les particuliers, un tel jeton peut être, par exemple, un passeport électronique ou un smartphone, et pour une organisation, des cartes à puce, des jetons USB et d'autres appareils.
L'EDS paneuropéen doit avoir une structure de données logique unique. Le jeton doit pouvoir travailler avec les guichets uniques entre les organisations de l'UE (points de contact uniques de l'UE), qui mènent des opérations commerciales en ligne entre les pays de l'Union. En d'autres termes, les documents fournis à l'un des points d'interaction seront acceptés et traités de manière appropriée. Par exemple, de cette manière, un citoyen d'un pays de l'UE peut soumettre une déclaration de revenus ou remplir d'autres documents dans n'importe quel autre pays de l'UE en les signant avec son jeton eID.
L'article 22 du règlement eIDAS oblige les États membres à publier des informations relatives aux prestataires de services de confiance qualifiés (QTSP) dont ils sont responsables, ainsi que les informations relatives aux services de confiance qualifiés qu'ils fournissent. Ces informations sont publiées dans les «listes de confiance» et la décision d'exécution (UE)
2015/1505 de la Commission détermine les caractéristiques techniques de ces listes de confiance.
Les principaux changements dans la législation sur les signatures électroniques après l'adoption d'eIDAS:
- Le statut juridique de la loi (au lieu de la directive) la rend directement applicable dans toute l'Europe sans qu'il soit nécessaire de l'inclure dans la législation nationale. Ainsi, toutes les signatures numériques européennes sont désormais harmonisées et mises en œuvre selon une norme unique.
- La possibilité d'introduire de nouvelles solutions techniques pour la signature à distance. Les documents électroniques ne peuvent pas être invalidés simplement parce qu'ils sont sous forme électronique.
- Introduction de tampons électroniques à la disposition des personnes morales, techniquement similaires aux signatures électroniques. Ils garantissent l'identité et l'intégrité des documents.
- Saisie d'horodatages.
- Inclusion de listes nationales de confiance.
- Service de vérification de signature électronique qualifié.
Bien que le règlement eIDAS soit effectivement entré en vigueur, ses dispositions individuelles seront adaptées en fonction de l'expérience pratique acquise.
Signatures renforcées et qualifiées
elDAS définit 3 types de signatures électroniques:
- Simple : sert à garantir que l'utilisateur peut exprimer son consentement avec le contenu du document ou du contrat; ici, l'utilisateur n'est pas authentifié.
- Signature électronique avancée (AdES): permet d'identifier le signataire et est associée aux données signées afin que toute modification ultérieure puisse être détectée.
- Signature électronique qualifiée (QES): créée par un appareil qualifié pour créer des signatures électroniques et basée sur un certificat qualifié pour la signature électronique.
La différence entre une signature renforcée et une signature qualifiée est que les signatures améliorées
peuvent être acceptées dans d'autres pays, et les signatures qualifiées
doivent être acceptées dans tous les pays de l'Union européenne (à partir du 29 septembre 2018).
Conformément à l'eIDAS, la
décision 2015/1506 de la Commission européenne définit les formats minimaux pour les signatures électroniques améliorées et les tampons améliorés qui peuvent être reconnus par les autorités gouvernementales pour garantir la compatibilité transfrontalière des services en ligne.
Les impressions numériques fonctionnent comme des signatures numériques, mais seules les personnes morales peuvent en être propriétaires. De plus, l'impression peut être affectée à une unité organisationnelle spécifique: c'est la bonne solution pour certifier des documents dans des systèmes de gestion électronique de documents.
Cependant, la loi eIDAS ne
permet pas de reconnaître des qualifications
comme des signatures considérées comme qualifiées en vertu du droit russe . Il «contient un certain nombre d'exigences supplémentaires, dont le respect permet de reconnaître une signature électronique comme qualifiée (et qui ne sont pas prévues par la législation russe écrite sur la base d'une version antérieure de la directive euro). Par exemple, vous devez utiliser un appareil hautement sécurisé pour créer une signature. Du point de vue du droit européen, les signatures qualifiées russes sont précisément considérées comme des signatures électroniques améliorées basées sur un certificat qualifié. »
En mettant en œuvre les exigences eIDAS et en réussissant le contrôle de conformité, les fournisseurs de services de confiance peuvent obtenir le statut de fournisseur de services qualifié (QTSP) et entrer dans la liste de confiance de l'UE. En octobre 2018, GlobalSign
est devenue l'une des premières autorités de certification mondiales à recevoir le statut de fournisseur qualifié . Accréditation délivrée par l'Autorité belge de Surveillance (SPF Economie) le 11 octobre.
Tel que défini à l'article 3 de la loi eIDAS, «service de confiance» désigne un service électronique qui est généralement fourni moyennant des frais et comprend:
- a) création, vérification et validation de signatures électroniques, de timbres électroniques ou d'horodatages électroniques, de services d'enregistrement de livraison et de certificats associés à ces services; soit
- b) la création, la vérification et la validation des certificats d'identification de sites Web; soit
- c) la conservation des signatures électroniques, sceaux ou certificats associés à ces services.
De nouveaux certificats qualifiés pour les signatures électroniques et les tampons de
GlobalSign seront disponibles en décembre 2018, puis des informations plus détaillées sur ce sujet apparaîtront.
Des certificats qualifiés pour les signatures électroniques et les sceaux seront disponibles pour les particuliers et les organisations grâce au déploiement d'un système basé sur les jetons GlobalSign. Conformément aux exigences eIDAS, un certificat qualifié est stocké sur un périphérique de création de signature qualifié (jeton).
Le statut QTSP est le plus haut niveau de garantie de signature. Un fournisseur qualifié (QTSP) peut fournir des certificats qualifiés pour les signatures électroniques et les tampons. Ils ont la même valeur juridique que les signatures manuscrites et impliquent l'intégrité et l'origine du document. Comme indiqué ci-dessus, ces certificats qualifiés
doivent être reconnus et acceptés dans tous les États membres de l'UE.
Grâce à l'adoption d'eIDAS, la gestion électronique des documents devient progressivement la norme dans l'Union européenne. Il est prévu que d'ici 2020, EDS
dépassera les signatures conventionnelles comme principal moyen de signer des documents dans l'UE.
