Découvrez Le Brief de la Démat, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des data, de la dématérialisation et de la transformation numérique !
Face à une dématérialisation croissante des contrats, des démarches administratives, des procédures judiciaires ou encore des opérations bancaires, la question de l’identité électronique est devenue primordiale. L’identification électronique est un processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale.
L’ambition du règlement eIDAS
Le règlement eIDAS (Electronic IDentification And Trust Services) du 23 juillet 2014, applicable depuis le 1er juillet 2016, avait pour ambition de permettre à tous les citoyens européens d’accéder aux services publics dans toute l’Union européenne (UE) en utilisant un schéma d’identification électronique (eID) unique émis dans leur pays d’origine.
Lire aussi : Archivage électronique : la FNTC s'inquiète de la nouvelle version du règlement eIDAS
Il souhaitait aussi renforcer la confiance dans les transactions électroniques au sein du marché intérieur en instaurant un cadre juridique et des exigences pour les services de confiance (service électronique consistant par exemple en la création, vérification et validation de signatures électroniques ou encore en l’archivage électronique de documents électroniques).
En effet, les institutions européennes constataient que, du fait d’un manque perçu de sécurité juridique dans l’environnement numérique, les entreprises et les pouvoirs publics étaient réticents à effectuer des transactions par voie électronique. Également, dans la plupart des cas, les citoyens ne pouvaient utiliser leur identification électronique pour s’authentifier dans d’autres États membres, car les schémas nationaux d’identification électronique de leur pays n’y étaient pas reconnus.
Nécessaire évolution du texte
Si l’apport de ce règlement pour le développement d’un marché unique numérique est indiscutable (création du réseau eIDAS, mise en place d’un cadre cohérent des exigences de sécurité et de confidentialité pour les services de confiance), un rapport de la Commission européenne publié en 2021 souligne la nécessaire révision de ce dernier.
D’abord, la Commission reconnaît que le règlement eIDAS, dans sa version actuelle, n’a pas permis d’atteindre les objectifs développés ci-dessus. En effet, la Commission relève que seuls 14 États membres ont notifié au moins un schéma d’identification électronique et seuls 59 % des résidents de l’UE ont accès à des schémas d’identification électronique fiables et sécurisés par-delà les frontières.
En ce qui concerne la fourniture de services de confiance, la Commission souligne que le cadre mis en place par le règlement a été plutôt une réussite. Cependant, l’objectif de neutralité technologique souhaité par le règlement a donné lieu à des interprétations diverses des exigences de ce dernier de la part des États membres. La révision du règlement doit ainsi renforcer l’harmonisation et l’acceptation des services de confiance.
Puis, la Commission souligne que le texte doit prendre en compte les évolutions sociétales et technologiques intervenues depuis 2014. La pandémie de Covid-19 a accéléré la numérisation des services tant publics que privés.
Lire aussi : 4 questions autour de la vérification d’identité à distance
Il en découle une multiplication des services électroniques en ligne (notamment l’archivage de données) et une évolution des besoins des citoyens européens qui souhaitent davantage bénéficier d’un mécanisme de fourniture d’attestations électroniques d’attributs (permis de conduire, carte d’identité par exemple) plutôt que de recourir aux seules solutions d’identité numérique.
Proposition de révision
Pour surmonter ces obstacles, la Commission a publié une proposition de révision du règlement le 3 juin 2021.
Intégration du secteur privé
D’abord, pour faire face aux évolutions sociales et technologiques, la Commission souhaite étendre le champ d’application du règlement eIDAS en y intégrant le secteur privé. En effet, la Commission a constaté que la grande majorité des besoins en matière d’identité électronique et d’authentification à distance s’observe désormais dans le secteur privé et notamment chez les acteurs de la banque et des télécommunications.
Nous pouvons relever d’ailleurs que, si dans le préambule de la première version du règlement, il était indiqué que les objectifs du règlement devaient être atteints « au moins pour les services publics », la Commission évoque dans sa deuxième version, pour ces mêmes objectifs « les services publics et privés ».
Cet élargissement du champ d’application du règlement résulte du constat qu’étant exclus de la première version du règlement, de nombreux fournisseurs de services privés (services de communication électronique ou institutions financières) ont développé de leur côté des solutions d’identité électronique. Ces mécanismes posent plusieurs problèmes de sécurité et de confidentialité des données.
En incluant désormais le secteur privé dans le règlement, la Commission renforce l’harmonisation des mécanismes d’identification numérique et ainsi les exigences en matière de sécurité et de confidentialité des données.
Trois nouveaux services
Toujours dans l’optique d’adapter le règlement eIDAS aux évolutions sociales et technologiques, la Commission ajoute trois nouveaux services à la liste actuelle des services de confiance : la fourniture de services d’archivage électronique, les registres électroniques, ainsi que la gestion des dispositifs de création de signatures et de cachets électroniques à distance.
En intégrant ces nouveaux services de confiance dans l’eIDAS, la Commission vient harmoniser les exigences nationales de sécurité juridique de ces derniers.
Ces nouveaux services de confiance pourront ainsi être reconnus dans toute l’Europe. Comme cela était le cas pour les services déjà encadrés par le règlement, il y aura présomption de fiabilité quand ils auront la qualité de « service qualifié ».
Portefeuille européen d’identité numérique
Afin de généraliser l’utilisation de l’identité numérique et permettre à toutes les personnes physiques et morales un accès simplifié aux services publics et privés transfrontaliers, la Commission propose la création d’un portefeuille européen d’identité numérique que chaque État membre devra délivrer.
Lire aussi : Le ministère de l’Intérieur lance une nouvelle application d’identification numérique
Ce portefeuille européen permettra à l’utilisateur de stocker et de partager en toute sécurité les données légales nécessaires à l’authentification en ligne en vue d’utiliser des services publics et privés.
La création de cet outil vise à répondre au besoin des citoyens de pouvoir facilement stocker et partager au sein de l’Union européenne des documents électroniques délivrés par leur pays d’origine et rattachés à leur identité (permis de conduire, diplôme universitaire, carte bancaire notamment).
Cette solution technique permettra aux citoyens européens d’éviter d’utiliser des méthodes d’identification privées ou de partager inutilement des données personnelles. Ce mécanisme renforce ainsi le contrôle des citoyens sur les données qu’ils partagent.
Accès aux services publics essentiels
Les très grandes plateformes seront tenues d’accepter l’utilisation du portefeuille européen d’identité numérique sur demande de l’utilisateur. En revanche, le choix d’utiliser le portefeuille d’identité numérique européenne sera toujours laissé à l’appréciation de l’utilisateur ; il ne pourra s’y voir contraint.
D’un point de vue technique, la Commission définit des conditions harmonisées pour l’établissement d’un cadre régissant les portefeuilles européens d’identité numérique et les exigences de sécurité et de fiabilité de ces derniers. Notamment, chaque portefeuille devra être certifié par un organisme accrédité désigné par les États membres.
La mise en place de ce portefeuille européen vise à atteindre l’objectif fixé par la commission qui est de permettre à au moins 80 % des citoyens d’utiliser une solution d’identification numérique pour accéder à des services publics essentiels d’ici 2030.
Les prochaines échéances de cette proposition de révision ne sont pas encore fixées. Mais la Commission travaille actuellement avec les États membres et le secteur privé sur les aspects techniques de l’identité numérique européenne.
Eric Barbry
[Avocat associé Racine Avocat, équipe IP IT & data]
Robin Genest
[Juriste]