3 éléments absents du règlement eIDAS

eIDAS

Le règlement eIDAS fournit un cadre légal et juridique à l’identification électronique et aux services de confiance pour les transactions électroniques au sein du marché intérieur Européen. Cette réglementation permet des interactions électroniques sécurisées et fluides entre les entreprises, les citoyens et les pouvoirs publics au sein d’un marché commun. Le réglement eIDAS est en vigueur depuis 2014 au sein de l’UE et il n’a cessé d’évoluer depuis. Plus récemment, la Commission européenne a organisé, du 24 juillet au 2 octobre 2020, une consultation publique destinée à recueillir des informations sur les éléments (les facteurs et les obstacles) qui favorisent ou entravent le développement et l’adoption de l’identité électronique et des services de confiance en Europe, ainsi que sur l’impact des différentes possibilités permettant de délivrer une identité numérique européenne. Dans cet article, nous nous sommes entretenus avec Wim Coulier, Jérôme Bordier et Guillaume Forget, trois experts eIDAS qui ont leur mot à dire à ce sujet.

 

« Nous apprécions beaucoup le règlement eIDAS. Celui-ci a rencontré un réel succès, notamment pour les Prestataires de Services de Confiance (TSP). La qualification des services est aujourd’hui devenue la règle nous permet enfin de comparer des Tiers de Confiance entre eux. Toutefois, le monde du digital est en perpétuelle évolution et le règlement doit donc s’y adapter. »

– Jérôme Bordier, directeur de SEALWeb

 

Ces entretiens nous ont permis d’identifier dans le règlement trois lacunes importantes qui nécessitent certains changements :

 

1. Qu’en est-il du secteur privé ?

L’arrivée du règlement eIDAS a certainement été un grand pas en avant en ce qui concerne l’harmonisation, l’interopérabilité et la création d’une reconnaissance mutuelle des systèmes d’identité électronique (eID) entre les États membres. Bien que les avis divergent largement, nous devrons probablement encore compter pendant longtemps sur nos gouvernements en tant que source officielle d’identité électronique(eID). L’existence d’un règlement est donc une bonne chose.

Nous constatons toutefois et ce dans de nombreux pays un mouvement important caractérisé par la multiplication de systèmes d’identification électronique nationaux gérés par le secteur privé (SPID en Italie, itsme® en Belgique, etc.). Cela montre qu’en plus du secteur public, le secteur privé joue également un rôle clé dans la construction d’une Europe digitale au sein de laquelle les différents systèmes d’identification électronique nationaux sont reconnus au-delà des frontières. Et c’est peut-être ce qui manque précisément dans le règlement eIDAS, à savoir un cadre réglementé applicable aux émetteurs d’identités privées.

 

Wim Coulier, expert eIDAS pour itsme® :

« Je pense qu’il manque dans le règlement eIDAS la certification et les différents niveaux d’assurance nécessaires pour le secteur privé, à l’image des niveaux d’assurance faibles, substantiels et élevés qui existent pour le secteur public. L’émission d’une identité peut parfaitement être effectuée par des entreprises privées certifiées à cet effet tout comme elles le seraient pour d’autres services de confiance.»

 

2. 2. L’audit n’est pas toujours cohérent

Le problème aujourd’hui n’est pas le manque d’expertise, il réside plutôt dans les procédures d’audit. La manière dont un Tiers de Confiance (TSP) est contrôlé aux Pays-Bas, par exemple, n’est pas nécessairement la même qu’en Italie ou dans un autre pays. Cela signifie que deux TSP peuvent être contrôlés d’une manière totalement différente et mais obtiendront la même qualification. Cela va à l’encontre de l’objectif du règlement qui est d’instaurer l’harmonisation, la transparence et l’interopérabilité des services. Les experts ont convenu qu’il était nécessaire de créer une procédure homogène d’audit et de qualification partout au sein de l’Union européenne et de l’appliquer en tous lieux avec le même niveau de transparence et de clarté.

 

« Une mesure possible serait de limiter le pouvoir des organes de contrôle locaux, mais de mettre en place un groupe de travail global à la Commission européenne par exemple. Ainsi, les règles effectivement fixées au niveau central seraient appliquées de la même manière à travers tous les États membres de l’UE. C’est une pratique en cours dans d’autres industries, comme l’industrie pharmaceutique, alors pourquoi pas ici ? »

Ajoute Guillaume Forget, directeur de Cryptomathic.

 

3. Besoin de certification des services de création de signatures électroniques

Aujourd’hui, vous pouvez faire l’objet d’un audit afin de devenir prestataire de services de confiance qualifié pour les services de validation, la création de signatures électroniques et de certificats de sites Web, l’horodatage, les services de conservation et les services d’envois recommandés.

Mais si nous voulons que citoyens se sentent suffisamment confiants pour passer aux signatures électroniques, il nous faut prouver que celles-ci sont fiables. C’est pour cette raison que nous devons inclure dans le règlement eIDAS un service officiel lié à la création de signatures électroniques.

 

D’après Jérôme Bordier :

« Il aurait fallu clairement indiquer dans la liste de services rédigée spécifiquement pour le règlement; qu’un service de signature électronique pouvait être qualifié. »

 

Conclusion

Pour l’instant, nous devons attendre de voir quelles seront les suites données par la Commission européenne au vu de ces recommandations. Les experts sont unanimes pour dire qu’il y aura une nouvelle version du règlement eIDAS. La question principale est de savoir quand. Connective s’y prépare déjà avec impatience !

 

À propos des experts

Wim Coulier

Wim est expert eIDAS pour Belgian Mobile ID, la société à l’origine de «itsme® », l’initiative d’identité innovante en Belgique. Wim possède une vaste expérience en matière de mise en œuvre de projets et programmes de grande envergure. Il a prouvé son savoir-faire dans le domaine de l’alignement des activités et des technologies de l’information et sa capacité à combiner des connaissances techniques et une vue d’ensemble. Il possède également une très solide expertise dans les services de confiance (certificats PKI, signatures électroniques, eID, règlement eIDAS, etc.).

 

Jérôme Bordier

Jérôme BORDIER est directeur et fondateur de SEALWeb. Jérôme est un expert reconnu dans les domaines de l’identité numérique, de la signature électronique, de la gestion de contrats numériques et des services de confiance numériques. Il est également secrétaire général de l’association ClubPSCo (www.clubpsco.fr), une organisation institutionnelle qui regroupe plus de 30 prestataires français de services de confiance qualifiés eIDAS, et expert dans ces domaines auprès de l’ENISA (agence européenne de cybersécurité).

 

Guillaume Forget

Guillaume est directeur chez Cryptomathic GmbH où il dirige les opérations de la filiale allemande. Il est également « évangéliste eSignature » mondial et responsable du domaine eSignature où il mène les initiatives de Cryptomathic en ce qui concerne la signature à distance eIDAS et le concept « What You See Is What You Sign » (vous signez ce que vous voyez). Guillaume possède plus de 15 ans d’expérience dans le déploiement et l’intégration des technologies et des services de signature au plus haut niveau d’assurance.

 

Des questions? Contactez-nous !