Le wallet européen sera-t-il obligatoire ?
Avec l’EUDI wallet (ou portefeuille d’identité numérique européen), citoyens et entreprises disposeront de portefeuilles numériques reliant leur identité numérique nationale à la preuve d’autres attributs personnels (permis de conduire, diplômes, compte bancaire, etc.).
Le règlement européen du 11 avril 2024, qui le met en place, est applicable depuis le 20 mai dernier. D’ici 2026, chaque État membre de l’UE devra offrir un wallet à ses citoyens et résidents, à installer sur son téléphone portable. Il sera gratuit et sans obligation : vous l’adopterez si vous voulez.
>> règlement (UE) 2024/1183 du 11 avril 2024 concernant l’établissement du cadre européen relatif à une identité numérique.
Vol d’identité numérique : que faire ?
Quelqu’un utilise vos données personnelles sans votre accord, soit vos nom, prénom, photos, adresse électronique, adresse IP, logo, etc. Que faire contre cet usurpateur d’identité ?
Il faut d’abord essayer de réunir des preuves : URL des publications pirates, captures d’écran des publications. Un huissier de justice peut faire des constats. Demandez aussi au fournisseur d’accès internet ou au fournisseur d’hébergement l’identification de l’auteur de l’infraction. Changez rapidement vos mots de passe et demandez aux administrateurs des sites ou réseaux la suppression des contenus.
Lire aussi : Dossier : Le futur (proche) de l'identité numérique
Portez plainte au commissariat ou à la gendarmerie la plus proche - c’est la procédure la plus simple. Cela pourra conduire à un procès pour usurpation de l’identité numérique.
Identité numérique : vous avez dit "substantiel" ?
Faible, substantiel ou élevé : ce sont les trois niveaux de garantie que peuvent offrir les moyens d’identification électronique. Ils sont fonction de spécifications techniques et de procédures minimales prédéfinies.
Recourir à un moyen d’identification électronique, présumé fiable, donne l’avantage, en cas de contestation, du renversement de la charge de la preuve. Ainsi une personne physique ou morale qui évoquera l’usurpation ou l’altération d’une identité fondée sur ce moyen devra apporter la preuve de sa non-fiabilité.
>> règlement eIDAS n°910/2014 et décret n° 2022-1004 du 15 juillet 2022 fixant les modalités de certification, par l’Agence nationale de la sécurité des systèmes d’information (Anssi), des moyens d’identification électronique et le cahier des charges permettant d’établir la présomption de fiabilité de ceux-ci.
Lire aussi : eIDAS 2.0 : vers un portefeuille d’identité numérique européen
Quelle est la durée de la validité juridique de la signature électronique ?
La signature électronique vous simplifie la vie administrative et commerciale, mais combien de temps est-elle valable ? Rappelons que l’article 1366 du Code civil énonce : "l’écrit électronique a la même force probante que l’écrit sur support papier".
Mais il existe quatre niveaux de signature électronique jouant sur la fiabilité de l’identité du signataire et la sécurité du dispositif de création de signatures : simple, avancé, avancé reposant sur un certificat de signature électronique qualifié et, enfin, qualifié.
Les deux derniers sont recommandés pour les entreprises. Seul le niveau qualifié garantit la même valeur que la signature manuscrite (décret n° 2017-1416 du 28 septembre 2017). Là encore, le cadre légal est le règlement eIDAS.
D’accord, la validité peut être acquise, mais pour combien de temps ? On bascule là sur une question de durée légale de conservation, que votre entreprise doit respecter. Ces différentes durées légales dépendent de la loi et des délais de prescription (découvrez les Bases de données des durées de conservation des documents - secteurs public et privé - proposées par Archimag).
En pratique, mieux vaut recourir à un système d’archivage électronique (SAE). Sa conformité à la norme NFZ 42-013 "Archivage électronique - Recommandations et exigences" (Iso 14 641-1) est un prérequis.
Lire aussi : Comparatif des systèmes d'archivage électronique : un marché soutenu par la digitalisation des processus
Arrive-t-il qu’un juge rejette une signature électronique ?
Méfiez-vous d’une signature scannée. Pour le juge, ce mode de signature ne permet pas d’identifier avec certitude son auteur et de prouver son consentement aux obligations découlant de l’acte signé. Il n’a pas la même fiabilité qu’une signature électronique.
Une "vraie" signature électronique consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec le document signé. Avantage : "la fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée".
Que se passe-t-il devant le juge ? Si le procédé de signature électronique est qualifié, il sera présumé fiable. Sinon, la fiabilité devra être démontrée. Vous devrez apporter un dossier de preuve décrivant le procédé de signature utilisé et les procédés techniques assurant sa fiabilité.
Au juge de vérifier que le signataire est identifiable et que le document électronique est établi et conservé de façon à en garantir l’intégrité. Sans cette preuve, l’on aura affaire qu’à un simple commencement de preuve par écrit.
>> décret nº 2017-1416 du 28 septembre 2017, relatif à la signature électronique et règlement eIDAS
eIDAS ou RGS : faut-il choisir ?
À votre droite, le règlement européen eIDAS sur l’identification électronique et les services de confiance pour les transactions électroniques. À votre gauche, le référentiel général de sécurité (RGS, version 2 du 13 juin 2014). C’est un texte réglementaire français s’adressant aux administrations dans leurs relations entre elles, ainsi qu’avec leurs usagers. Son but : renforcer la confiance des usagers dans les services électroniques des administrations.
Selon Cyber.gouv.fr, "le RGS impose l’usage de signatures et cachets électroniques conformes à ses prescriptions par les administrations pour leurs échanges entre elles ou avec les usagers, dès lors qu’un risque identifié nécessite la mise en œuvre d’une signature ou d’un cachet". Il y a trois niveaux de sécurité croissants : une, deux ou trois étoiles. Ici aussi, l’Anssi délivre une qualification, présomption de conformité aux exigences du RGS.
Lire aussi : Éclairage juridique : avec eIDAS 2.0, l’archivage électronique est enfin reconnu au plan européen !
Techniquement, eIDAS et RGS ne sont pas équivalents quant à leurs niveaux, même si le niveau RGS une étoile présente un degré de fiabilité de l’ordre d’une signature électronique avancée et si les niveaux RGS deux ou trois étoiles sont proches de la signature électronique qualifiée. Juridiquement, une conformité au règlement eIDAS ne vaut pas une qualification RGS et inversement.
Enfin, rien n’empêche d’appliquer à la fois eIDAS et le RGS, par exemple quand une administration française signe des actes ayant besoin d’une reconnaissance européenne.
Pourquoi faire confiance… à un tiers de confiance ?
Personne physique ou morale, le tiers de confiance est un prestataire de services ayant pour mission d’assurer la sécurité numérique. Il protège l’identité, sécurise les documents, veille sur l’intégrité de la mémoire numérique (archivage électronique). Il est habilité à fournir des signatures électroniques. Ses actions engagent sa responsabilité juridique.
On ne se déclare pas tiers de confiance : un tiers de confiance doit être certifié par l’Anssi, via une autorité de certification (AC). Le cadre est celui du règlement eIDAS. Voilà une première raison d’être rassuré.
La seconde est la possibilité de consulter la "liste nationale de confiance" qui énumère les services de confiance qualifiés par l’Anssi.
Comment apporter la preuve d’un archivage à un juge ?
Devant le juge, vous devez être en mesure de prouver la lisibilité, l’intégrité et la pérennité de votre document archivé électroniquement.
Qui dit valeur probante d’un tel document, dit solution d’archivage fiable. Vous êtes libre de choisir votre dispositif technique d’archivage électronique. Cependant, un système d’archivage électronique (SAE) ou un coffre-fort électronique respectant les normes (voir par ailleurs) sont vivement recommandés.