De nouvelles règles européennes en matière d’identification électronique et d’identité numérique entrent en vigueur à partir du 20 mai 2024. Elles résultent d’une révision du règlement eIDAS. L’Union européenne souhaite mettre en place un cadre plus harmonisé. L’objectif est, d’une part, de permettre à tout citoyen de l’Union de participer en toute sécurité à la société numérique et, d’autre part, de faciliter l’accès aux services publics et privés en ligne.
eIDAS
Le
règlement eIDAS (règlement 910/2014) crée un cadre juridique pour l’identité et l’authentification numériques. L’Europe entend ainsi instaurer la confiance dans les transactions électroniques transfrontalières, tout en augmentant l’efficacité des services en ligne et des plateformes de commerce électronique.
Les États membres n’ont cependant pas réussi à atteindre de manière suffisante les objectifs de ce règlement, à savoir la mise en place d’un cadre européen pour l’identité numérique et pour les services de confiance. En raison de l’importance et des effets de ces objectifs, il était préférable que les institutions européennes prennent elles-mêmes des mesures. C’est ce qui a conduit à l’actuelle révision.
En quelques mots
L’objet et la finalité du règlement sont étendus. Sont désormais ajoutés :
| • | le portefeuille européen d’identité numérique ; |
| • | l’archivage électronique ; |
| • | l’attestation électronique d’attributs ; |
| • | les dispositifs de création de signatures électroniques ; |
| • | les dispositifs de création de cachets électroniques ; |
| • | les registres électroniques. |
Portefeuille européen d’identité numérique
Un portefeuille européen d’identité numérique est un moyen d’identification électronique qui permet de s’identifier et de choisir les données à caractère personnel que l’on souhaite partager, aussi bien en ligne que hors ligne, avec les autorités publiques et les entreprises dans toute l’Union européenne.
En résumé, il s’agit d’une identité numérique européenne.
À l’heure actuelle, les systèmes d’identification numérique proposés par les pouvoirs publics dans l’Union européenne présentent plusieurs lacunes importantes : ils ne sont pas accessibles à l’ensemble de la population, ils se limitent souvent aux services publics en ligne et ils ne peuvent pas facilement être utilisés dans un autre pays.
Seuls 14 % de tous les fournisseurs de services publics clés dans toute l’Union européenne acceptent une telle preuve électronique provenant d’un autre pays, par exemple pour vérifier l’identité d’une personne sans mot de passe. Ce n’est pas encore très fréquent, mais le nombre de cas se multiplie.
Grâce au portefeuille européen d’identité numérique, les citoyens peuvent prouver leur identité partout dans l’Union européenne, lorsque cette preuve est nécessaire pour avoir accès à des services en ligne, partager des documents numériques ou simplement attester un attribut personnel spécifique, comme leur âge, et ce sans devoir révéler leur identité complète ou d’autres détails personnels.
Chaque État membre est tenu de fournir au moins un portefeuille européen d’identité numérique. Il doit le faire vingt-quatre mois suivant l’entrée en vigueur des actes d’exécution de la Commission.
Ces actes d’exécution ont pour but d’éviter des approches divergentes dans différents États membres. La Commission doit établir une liste de normes de référence et, si nécessaire, les spécifications et les procédures.
Si une personne physique ou morale souhaite utiliser des portefeuilles européens d’identité numérique pour fournir des services publics ou privés, elle doit s’enregistrer dans l’État membre où elle est établie.
Il appartient aux organismes d’évaluation de la conformité de certifier que le portefeuille répond à toutes les exigences légales. Chaque État membre envoie à la Commission et au Groupe de coopération européen en matière d’identité numérique (voir ci-après) une liste contenant des informations sur les portefeuilles certifiés.
En cas d’atteinte à la sécurité ou d’altération d’un portefeuille, l’État membre doit suspendre l’utilisation du portefeuille ou le retirer.
Schémas d’identification électronique
Dans un schéma d’identification électronique, des moyens d’identification électronique sont délivrés à des personnes physiques ou morales ou à leurs représentants.
Si un État membre souhaite utiliser des portefeuilles d’identité numérique pour fournir des services transfrontaliers, il doit garantir une mise en correspondance des identités sans équivoque pour les personnes physiques utilisant des moyens d’identification électroniques notifiés ou un tel portefeuille.
Il appartient également aux organismes d’évaluation de la conformité de certifier qu’un système répond à toutes les exigences légales en matière de cybersécurité.
Services de confiance
Un service de confiance est un service électronique normalement fourni contre rémunération.
Le règlement introduit des exigences pour :
| • | les prestataires de services de confiance non qualifiés ; |
| • | la validation des signatures électroniques avancées ; |
| • | les certificats qualifiés d’authentification de site Internet ; |
| • | la validation des cachets électroniques avancés ; et |
| • | une série de services de confiance qualifiés. |
Les fournisseurs de navigateurs Internet peuvent prendre des mesures conservatoires en matière de cybersécurité. Ils peuvent en prendre pour les certificats qualifiés d’authentification de site Internet en cas de préoccupations étayées concernant des atteintes à la sécurité ou la perte d’intégrité d’un certificat ou d’un ensemble de certificats.
Les services qualifiés, tels qu’une signature électronique, basés sur un certificat qualifié doivent être reconnus en tant que tels dans tous les autres États membres.
Attestation électronique d’attributs
Un attribut est une caractéristique, une qualité, un droit ou une autorisation d’une personne physique ou morale ou d’un objet. Il peut être authentifié par une attestation sous forme électronique.
Une attestation électronique d’attributs peut avoir des effets juridiques. Une attestation électronique d’attributs qualifiée doit satisfaire à plusieurs exigences, même si elle est délivrée par ou au nom d’un organisme public. Chaque État membre doit prendre des mesures permettant de vérifier des attributs lorsqu’un utilisateur en fait la demande.
Les fournisseurs d’attestations électroniques d’attributs doivent donner aux utilisateurs de portefeuilles européens d’identité numérique la possibilité de demander, d’obtenir, de stocker et de gérer les attestations électroniques d’attributs.
Services d’archivage électronique
Les services d’archivage électronique ont également des effets juridiques. Par conséquent, leur recevabilité en tant que preuve en justice ne peut être écartée au motif qu’ils se présentent sous une forme électronique.
Les données et documents électroniques conservés à l’aide d’un service d’archivage électronique qualifié bénéficient d’une présomption quant à leur intégrité et à leur origine.
Les services d’archivage électronique doivent également satisfaire à plusieurs exigences. Ils doivent entre autres être fournis par des prestataires de services de confiance qualifiés et garantir que les données et les documents électroniques sont conservés de telle sorte qu’ils sont protégés contre les pertes et les altérations.
Registres électroniques
Comme les services d’archivage et les attestations, les registres électroniques ont des effets juridiques. Les registres électroniques qualifiés doivent satisfaire à plusieurs exigences.
Contrôle et point de contact unique
Chaque État membre désigne un ou plusieurs organes de contrôle et doit communiquer leurs noms et adresses à la Commission. Le rôle de ces organes consiste à contrôler les fournisseurs de portefeuilles européens qui sont établis dans cet État membre.
Les États membres doivent également désigner un organe chargé de contrôler les services de confiance.
Enfin, chaque État membre désigne un point de contact unique pour les services de confiance, les portefeuilles européens d’identité numérique et les schémas d’identification électronique notifiés. Ce point de contact exerce une fonction de liaison visant à faciliter la coopération transfrontalière entre les organes de contrôle et avec d’autres autorités compétentes.
Assistance mutuelle
Les organes de contrôle peuvent demander l’assistance des organes d’un autre État membre. Le but est de faciliter le contrôle et l’exécution des obligations.
Ils peuvent par exemple :
| • | solliciter des informations ; |
| • | demander l’adoption de mesures ; |
| • | mener des enquêtes conjointes. |
Groupe de coopération européen
La Commission crée un groupe de coopération européen en matière d’identité numérique pour faciliter la coopération et l’échange d’informations entre les États membres.
Le groupe de coopération est composé de représentants désignés par les États membres et la Commission. Il est présidé par la Commission.
Entrée en vigueur
Le règlement entre en vigueur le 20 mai 2024.
