eIDAS - La nouvelle réglementation européenne sur l'identité numérique

Le Parlement européen et le Conseil de l’Union européenne ont adopté le 23 juillet 2014 le règlement N°910/2014 – connu sous le nom eIDAS - sur l’identification électronique et les services de confiance pour les transactions électroniques au sein de l’Union Européenne.

Ce règlement comporte 2 volets : l’identification électronique et les services de confiance.

eIDAS est applicable depuis le 1er juillet 2016 pour la majorité de ses dispositions, incluant celles relatives aux « service de confiance ».

La reconnaissance mutuelle des moyens d’identification électronique sera quant à elle obligatoire à partir de septembre 2018.

Le règlement prévoit que les organismes du secteur public des Etats membres décident, pour chaque service en ligne, s’ils exigent un moyen d’identification électronique notifié pour y accéder.

L’enjeu du règlement eIDAS est donc de créer un cadre européen de reconnaissance mutuelle et d’interopérabilité pour l’identification électronique et les services de confiance.

Le règlement eIDAS est complètement agnostique de la technologie et s’adapte à la maturité technologique des pays concernés. Cette approche porte deux intérêts. D’une part, permettre aux Etats de conserver leur souveraineté nationale sur certains domaines de la sécurité SI comme la cryptographie. D’autre part, favoriser l’innovation technologique au travers des solutions nationales pour répondre aux exigences du règlement.

Identification Electronique

La DINSIC est l'autorité française en charge du volet identification électronique. Elle opère FranceConnect, la plateforme fédérant les identités en ligne reconnue par certains services publics. Cette plateforme permet aux usagers d’être en relation avec des services publics en ligne français et européens. Pour ce faire, le tiers doit disposer d’une identité électronique reconnue en France et à l’étranger et se connecter avec un niveau de garantie supérieur ou égal à celui requis pour accéder au service. Ce niveau est transfrontalier.

Trois niveaux de garantie peuvent être demandés par une administration en fonction du service qu'elle rend et de la sensibilité des données qu’elle traite : Faible, Substantiel, Elevé.

C'est l'Administration rendant le service qui en définit le niveau de garantie. La DINSIC est garante au niveau national de la cohérence entre les niveaux de garantie demandés par les administrations pour un service donné d'une part et entre le niveau de garantie demandé et la nature du service d'autre part. A savoir que les niveaux de garantie demandés en France sont assez homogènes entre les administrations : environ 50% des usages nécessitent une identification de niveau Faible. Par exemple, le site Améli.fr ne donne que des relevés de remboursement sans informations personnelles ; de ce fait le niveau de garantie requis est Faible. Pour les usagers, le seul cas identifié où le niveau de garantie pourrait être Elevé est la procuration de vote.

Pour les nouveaux usages éventuels, il faut signaler l’intérêt des banques pour la mise en œuvre de l’identité électronique. Elles souhaitent que le revenu fiscal de référence soit associé à cette identité afin de pouvoir accorder des prêts bancaires dans une procédure entièrement dématérialisée ; ce faisant, les fournisseurs d’identité de FranceConnect deviendraient ainsi fournisseur d'identité pour la sphère privée. Il s’agit d’une décision politique qui ne relève pas de la seule autorité de la DINSIC.

Le modèle économique de l'identité électronique reste à définir en France. Les principaux acteurs ne l'ont pas encore trouvé. L’intérêt que portent les acteurs privés à l’identité électronique pourrait offrir des pistes pour son financement.

Services de confiance

Cette partie du règlement eIDAS est comme une boîte à outil concernant la signature électronique, le cachet électronique ainsi que les services de confiance ci-après : horodatage électronique, validation et conservation des cachets et signatures électroniques, envoi de recommandé électronique.

Les exigences associées à ces services sont définies dans le règlement : exigences de sécurité technique et exigences de la sécurité sur la délivrance des services.

L'ANSSI a la responsabilité de vérifier la bonne application de ces exigences. Pour faciliter cette mission, l’ANSSI a produit des référentiels d’exigences pour chacun des services de confiance qualifiés du règlement eIDAS.

Les organismes qualifiés pour délivrer les services de confiance et générer ou la gérer des données de création de signature ou de cachet sont des Prestataires de Services de Confiance Qualifiés (PSCQ).

Des procédures de contrôle existent afin que les Prestataires de Services de Confiance (PSCO) obtiennent le statut "qualifié" au titre d’eIDAS. Bien que le règlement soit d'application directe, il ne définit pas de norme d’application obligatoire pour évaluer la mise en conformité d’un PSCO au règlement. Au niveau français, l'ANSSI, en tant qu’organe de contrôle, travaille à la définition de grilles d’évaluation afin d’accompagner les prestataires intéressés dans la préparation de leur candidature. Le respect des critères d’évaluation définis par l’ANSSI permet d’apporter une présomption de conformité aux exigences du règlement.

Une fois la candidature déposée, un organisme d’évaluation de la conformité (accrédité par le COFRAC - Comité Français d'Accréditation) procède à la vérification du respect des exigences par le prestataire lors d’un audit global de type RGS, et rédige un rapport d'évaluation qu'il transmet à l'ANSSI.

L'ANSSI rend une décision et ajoute le prestataire en cas de décision favorable à la liste de confiance, un outil qui permet de vérifier automatiquement le statut qualifié du prestataire. Cette liste de confiance, obligatoirement mise à jour au minimum tous les six mois, est actualisée par l’ANSSI sur une base mensuelle. Le PSCO est "qualifié au titre d’eIDAS" pour deux ans et des audits de qualification réévaluent la conformité des PSCO au règlement à la fin de ce délai. Des audits ad hoc peuvent également être demandés ou réalisés par l'ANSSI.

Les prestataires qualifiés au titre de la directive 1999/93/EC (précédant eIDAS et concernant uniquement la signature) bénéficient d’une période de transition d’un an. Pour que les prestataires conservent leur qualification sans discontinuité, ils doivent transmettre leur rapport de conformité avant le 01/07/2017.

Quant aux certificats de signature électronique, ils restent qualifiés jusqu’à la fin de leur durée de validité.

Le statut "qualifié" est transfrontalier. Cela induit une ouverture du marché européen des services de confiance. L’ANSSI est confiante sur la capacité des acteurs français à se conformer aux exigences du règlement et donc à faire face à une nouvelle concurrence.

Au niveau européen, on ne peut pas imposer à un Etat l’utilisation d’un moyen d’identification électronique notifié pour accéder à un service donné. Il n’y a pas non plus de logique d'harmonisation. Les Etats restent souverains. En France, la plateforme FranceConnect est mise en place afin de permettre à la fois à un tiers français d’accéder aux services publics en ligne européen et aussi à un tiers européen d’accéder aux services publics français en ligne. Des écarts au niveau des pratiques sont déjà constatés entre les Etats et pourraient retarder l’émergence du marché numérique commun à l’union européenne. Une harmonisation des niveaux de garantie requis devra être faite tôt ou tard en fonction des services proposés. Il appartient aux Etats de s’accorder entre eux afin de faire vraiment de l’Europe un espace d’échange unique. Cependant, la Commission européenne peut adopter des actes d’exécution venant préciser certains articles du règlement, publier des bonnes pratiques ou intervenir en dernier ressort en cas de litige.

Le règlement eIDAS rend-il le Référentiel Général de la Sécurité (RGS) obsolète ?

Le RGS comporte 2 volets : sécurité des autorités administratives et un volet technique.

Le RGS reste valable sur la sécurisation des autorités administratives. D’autres différences existent le règlement eIDAS :

• ne traite que d'un certain nombre de service de confiance et ne traite pas certains services couverts par le RGS (certificat de chiffrement, signature de code, signature d'applet java...)
• introduit un effet juridique applicable au sein de l'UE pour certains services de confiance qualifiés eIDAS (la signature électronique qualifiée au sens eIDAS équivalente à une signature manuscrite)
• ne prévoit qu'un statut "qualifié" et un statut "non qualifié" tandis que le RGS a, pour certains services comme la délivrance de certificats électroniques, 4 niveaux de qualification. Cela permet d'éviter de passer de "rien" à "tout".

Sur les points de recoupement entre le règlement eIDAS et le RGS, un travail est actuellement effectué par l’ANSSI pour rendre l’ensemble cohérent. Les textes sont complexes et l’harmonisation ne peut pas être immédiate. Sur la signature électronique un rapprochement va et doit s'opérer entre le RGS et le règlement eIDAS.

Le RGS n’est donc finalement pas rendu obsolète.

La confiance dans un marché numérique commun à l’Union Européenne est nécessaire pour permettre les échanges numériques. Le règlement eIDAS vise à construire cette confiance par la définition de prestataires capables de fournir au niveau européen des services de confiance qualifiés et disposant d’un effet juridique.

Toutefois pour créer un véritable espace unique d’échange en Europe des travaux sont encore à prévoir, notamment, l’harmonisation des pratiques des Etats membres dans l’application du règlement, l’harmonisation des niveaux de garantie requis pour accéder aux services de l’ensemble des pays européens et enfin, l’alignement entre eIDAS et les référentiels de sécurité nationaux, à savoir le RGS pour la France.