La question de la confiance numérique s’impose comme un enjeu central dans la dématérialisation des échanges. C’est précisément pour y répondre que le règlement eIDAS (electronic IDentification, Authentication and trust Services) a été conçu, offrant un socle commun pour sécuriser et harmoniser les transactions électroniques à l’échelle européenne. Avec l’entrée en vigueur de sa V2 en 2024, une nouvelle étape a été franchie. Explications.
Avant 2014, la signature électronique en Europe reposait sur une mosaïque de réglementations nationales (à l’instar du Référentiel général de sécurité en France), souvent incompatibles entre elles. Cette fragmentation compliquait les échanges transfrontaliers et limitait la portée juridique des documents numériques. L’adoption du règlement eIDAS (n° 910/2014), le 23 juillet 2014, a profondément changé la donne. Son objectif : instaurer un cadre juridique unique pour l’identification électronique et les services de confiance.
Au cœur de ce dispositif, un principe structurant : la reconnaissance mutuelle. Concrètement, une signature électronique qualifiée émise dans un pays membre doit être reconnue avec la même valeur dans l’ensemble de l’Union européenne.
Au-delà de la signature, eIDAS encadre également d’autres services essentiels comme le cachet électronique, l’horodatage, la lettre recommandée électronique ou encore l’authentification des sites internet.
eIDAS V2 : vers une généralisation de l’identité numérique
Si la première version du règlement a permis de structurer les services de confiance, certaines limites subsistaient, notamment en matière d’identification des citoyens. Adoptée le 26 mars 2024, soit dix ans après la version originale, eIDAS 2 vient répondre à ces enjeux avec une évolution majeure : la création du Portefeuille Européen d’Identité Numérique (EUDI Wallet).
Alors que le premier règlement eIDAS se concentrait principalement sur les prestataires de services de confiance et la validité juridique des transactions, eIDAS V2 introduit une approche centrée sur l’utilisateur. Chaque citoyen pourra ainsi stocker, sur son smartphone, des éléments clés de son identité : pièce d’identité, permis de conduire, diplômes, etc. Autre avancée notable : les États membres devront proposer un moyen d’identification de niveau élevé et permettre l’accès à une signature électronique qualifiée gratuite pour les usages non professionnels.
Trois niveaux de signature pour répondre à tous les usages
Constituant un jalon essentiel de la confiance numérique, le règlement eIDAS a instauré, dès sa création, des niveaux de signature visant à adresser l’ensemble des besoins en la matière. Au nombre de trois, ces différents niveaux impliquent chacun un degré de sécurité et une valeur juridique spécifique :
- La signature électronique simple : très largement utilisée, elle représente la majorité des transactions. Elle se caractérise par une grande souplesse, sans exigences techniques strictes. Elle peut prendre différentes formes : signature scannée, case à cocher ou code SMS. Si elle est recevable juridiquement, sa valeur probante reste limitée : en cas de litige, la preuve de sa validité doit être apportée ;
- La signature électronique avancée : plus sécurisée, elle repose sur des exigences précises. Elle doit notamment permettre d’identifier le signataire, garantir un lien unique avec celui-ci et assurer l’intégrité des données signées. Ce niveau est couramment utilisé pour des documents engageants comme les contrats de travail, les compromis de vente ou les contrats d’assurance ;
- La signature électronique qualifiée : considérée comme le niveau le plus élevé, elle offre une sécurité maximale. Elle repose sur un certificat qualifié et sur un dispositif de création sécurisé. Sa particularité : elle bénéficie d’une présomption de fiabilité et possède la même valeur juridique qu’une signature manuscrite dans toute l’Union européenne. Elle est notamment requise pour certains actes réglementés.
Un ensemble de composants au service de la fiabilité
Quel que soit le niveau de sécurité choisi, chaque signature électronique repose sur un ensemble de mécanismes techniques et juridiques complémentaires. L’identité du signataire constitue le premier pilier. Pour les signatures avancées et qualifiées, elle doit être vérifiée selon des processus rigoureux afin de lier de façon certaine une personne physique à une clé cryptographique. Pour le niveau qualifié, cette vérification doit se faire en face à face (physique ou à distance via des technologies certifiées PVID par l’ANSSI en France).
Le certificat électronique joue également un rôle clé : véritable carte d’identité numérique, il garantit le lien entre une personne et une clé cryptographique. Dans le cas d’un certificat électronique qualifié, il doit être, là encore, délivré par une autorité de certification auditée et figurant sur la Trusted List de l’Union Européenne.
Le dispositif de création de signature vient compléter l’ensemble. Dans le cas d’une signature qualifiée, la clé cryptographique doit être stockée dans un matériel hautement sécurisé (carte à puce, jeton USB, etc.), garantissant que seul le signataire peut déclencher l’acte. Enfin, l’horodatage permet d’ancrer la signature dans le temps, en attestant de l’existence d’un document à un instant donné et de son intégrité depuis cette date.
Des formats adaptés à chaque type de document
Au-delà du règlement eIDAS, la Commission européenne a établi, en septembre 2015, des spécifications concernant les formats des signatures et cachets électroniques avancés devant être reconnus par les organismes du secteur public. Ces formats déterminent comment la signature est encapsulée dans le fichier :
- PAdES (PDF Advanced Electronic Signature) : le plus courant pour les documents lisibles par l’homme. La signature est intégrée directement au PDF ;
- XAdES (XML) : utilisé pour les transactions structurées (données informatiques, factures) ;
- CAdES (CMS) : format binaire, souvent utilisé pour signer n’importe quel type de fichier de manière « détachée ».
Dans la pratique, le choix du format de signature est le plus souvent transparent pour l’utilisateur. En effet, les logiciels et plateformes de signature électronique appliquent automatiquement le format le plus adapté en fonction du type de document traité. Néanmoins, certaines solutions offrent davantage de souplesse. Dans des environnements plus avancés, il est possible de sélectionner manuellement le format de signature. Les utilisateurs peuvent ainsi opter pour du PAdES, CAdES ou XAdES selon leurs besoins.
Assurer la validité de la signature dans la durée
Si la sélection du format est une étape importante du processus de signature, une question cruciale demeure : comment s’assurer qu’elle reste juridiquement valable des années plus tard ? En effet, les certificats ont une durée de vie limitée, le plus souvent de deux à trois ans. Dès lors, comment garantir la validité des documents signés sur le long terme ?
C’est là qu’intervient la LTV (Long Term Validation), qui consiste à conserver, dès la signature, l’ensemble des éléments de preuve nécessaires : certificats, chaînes de confiance et informations de non-révocation. Combinée à des horodatages réguliers, elle permet d’assurer la validité juridique d’un document, même plusieurs années après sa création.
Une transformation en marche
Bien plus qu’un simple cadre réglementaire, eIDAS s’impose aujourd’hui comme un levier structurant de la transformation numérique en Europe.
Avec l’arrivée d’eIDAS V2 et de l’EUDI Wallet, la signature électronique tend à devenir un outil du quotidien, accessible à tous. Une évolution qui marque le passage d’un usage réservé à des initiés à une adoption plus large, au service des citoyens comme des organisations.