À une époque où les technologies numériques révolutionnent nos manières de travailler, comme le montre la généralisation du télétravail, les acteurs publics et privés sont vivement encouragés à adopter et promouvoir l’usage des signatures numériques et électroniques. Cette tendance concerne autant le Royaume-Uni que les pays de l’Union européenne (UE). Cette transition vers une identification numérique s’inscrit dans une dynamique globale, portée par les nombreux avantages qu’offrent les signatures numériques pour les transactions en ligne : rapidité d’exécution, fiabilité accrue, niveau de sécurité renforcée et réduction des coûts.
Malgré ces atouts indéniables, l’adoption des signatures électroniques continue cependant à rencontrer des résistances, notamment au Royaume-Uni et dans certaines régions de l’UE. C’est notamment le cas dans le secteur financier. La tendance est néanmoins à la hausse, comme en témoigne l’étude de Prescient & Strategic Intelligence qui prévoit, pour le marché mondial de la signature électronique, un taux de croissance annuel composé (TCAC) d’environ 26,6 % d’ici 2030. Dans cette perspective, l’actualisation du règlement eIDAS 2.0 entend contribuer à élargir l’acceptation des services électroniques à l’ensemble du Royaume-Uni et dans tous les États membres de l’Union européenne.
Qu’est-ce que l’eIDAS 2.0 ?
L’eIDAS 2.0 représente une évolution du cadre réglementaire applicable aux services d’identification électronique, d’authentification et de confiance (Electronic Identification, Authentication and Trust Services) dans l’UE et au Royaume-Uni. Créé en 2016, le règlement eIDAS visait à faciliter les transactions électroniques entre les entreprises pour qu’elles soient sécurisées, rapides et efficaces. La mise en place initiale de l’eIDAS a toutefois révélé une application inégale à travers les différents États membres, générant des difficultés et des disparités dans l’usage des services d’identification et de confiance électroniques. Avec l’eIDAS 2.0, l’ambition est de surmonter ces obstacles en introduisant des obligations et des directives plus précises pour l’application du règlement.
Dans cette seconde mouture, l’eIDAS 2.0 élargit le champ d’application du règlement initial en y incluant les prestataires de services de confiance qualifiés (PSCQ). Ces prestataires répondent aux normes de sécurité et de fiabilité les plus strictes fixées par le Royaume-Uni et l’UE, et sont soumis à des exigences plus rigoureuses. Pour s’assurer qu’ils continuent à respecter les normes requises, les PSCQ doivent régulièrement faire l’objet de contrôles. Le Royaume-Uni et l’Union européenne ont chacun leur propre liste de PSCQ. GlobalSign figure sur ces deux listes.
Le règlement mis à jour élargit l’éventail de services de confiance électroniques. Initialement, ce cadre réglementaire couvrait principalement les signatures électroniques, les sceaux électroniques et les horodatages électroniques. Avec l’introduction de l’eIDAS 2.0, la palette s’est enrichie pour inclure les services d’envoi recommandé électronique, ainsi que les certificats électroniques destinés à l’authentification des utilisateurs, et les sceaux électroniques pour les documents électroniques.
L’eIDAS distingue trois catégories de signatures électroniques : simples, avancées et qualifiées. Seules les signatures électroniques qualifiées (SEQ) sont reconnues comme ayant une valeur juridique équivalente à celle d’une signature manuscrite. Afin de satisfaire aux exigences de l’eIDAS, les SEQ sont adossés à des certificats qualifiés qui doivent être délivrés par un PSCQ. On compte des centaines de cas d’utilisation pour les signatures électroniques qualifiées : depuis les contrats immobiliers jusqu’aux contrats de services financiers et de crédit, en passant par les contrats de travail.
En savoir plus sur le rôle des signatures électroniques qualifiées dans la réduction des risques
L’eIDAS 2.0 vise à créer un espace numérique plus sûr et homogène au sein de l’UE en introduisant des services étendus, ainsi que des exigences et des standards communs pour une identification électronique et des services de confiance.
Portefeuille européen d’identité numérique
Dans les prochains mois, tous les États membres de l’UE vont devoir faire en sorte que chaque citoyen, résident et entreprise de l’UE qui le souhaite puisse bénéficier d’un portefeuille d’identité numérique (EUDI, European Union Digital Wallet). L’objectif de cette initiative : permettre qu’au moins 80 % des citoyens de l’UE disposent d’un système d’identification numérique d’ici 2030 afin de faciliter leurs interactions et transactions sécurisées avec les administrations et les entreprises dans toute l’UE.
Les portefeuilles d’identité numérique offriront la possibilité aux utilisateurs de conserver leur carte d’identité virtuelle en sécurité. Si l’objectif principal du règlement initial concernait les relations inter-entreprises (B2B), l’eIDAS 2.0 évolue pour mettre davantage l’accent sur les consommateurs et les citoyens. Ainsi, la version révisée de l’eIDAS vise à donner aux utilisateurs plus de contrôle sur leurs informations et données personnelles, notamment sur celles partagées avec des services requérant des attributs d’identité spécifiques.
Applications et cas d’utilisation innovants des signatures électroniques qualifiées
Depuis l’introduction de l’eIDAS, et avec les évolutions attendues dans la version 2.0, les signatures électroniques et les services numériques connaissent un développement accéléré, tant au Royaume-Uni que dans l’Union européenne.
Voici une sélection de cas d’utilisation particulièrement pertinents pour les signatures et les services numériques :
- Transfert de propriété (terrains et biens immobiliers) : Les signatures numériques simplifient les démarches de demande, d’enregistrement et de transfert. Grâce à des fonctions de sécurité numériquement vérifiées, elles garantissent la sécurité et l’exactitude des transactions. Au Royaume-Uni, le HM Land Registry (HMLR) explore l’utilisation des signatures électroniques qualifiées pour renforcer l’authentification et sécuriser la numérisation du processus de transfert de propriété.
- Facturation électronique et e-reporting : L’adoption de ces technologies permet de réduire les coûts liés au traitement des factures. Cela permet notamment d’éliminer les erreurs manuelles, de mieux détecter les fraudes, de réduire les litiges de facturation, et de renforcer la conformité fiscale à l’échelle internationale.
- Directive sur les services de paiement 2 (DSP2) : Initiée par l’UE, la DSP2 réduit la fraude tout en enrichissant l’offre et le choix pour les consommateurs. Elle encourage l’innovation et la transformation dans le secteur des paiements. La Directive sur les services de paiement 2 exige une authentification forte du client (SCA, Strong Client Authentication) — SCA qui sera imposée pour toutes les transactions de commerce électronique en Europe.
- Registre européen des produits pour l’étiquetage énergétique (EPREL) : EPREL est une base de données dans laquelle les fabricants, les importateurs ou les représentants autorisés enregistrent les appareils nécessitant une étiquette énergétique de l’UE dans la base de données des produits. Ce registre vérifie les pouvoirs de signature des fournisseurs dans l’Union européenne, l’Espace économique européen et en Irlande du Nord, ainsi que l’utilisation de signatures et de sceaux électroniques qualifiés. EPREL s’appuie sur des tiers qualifiés, comme GlobalSign, en tant qu’autorité de certification (AC), pour la vérification des informations.
Le guide pratique de la réglementation européenne en matière de cybersécurité
Choisir un prestataire de services de confiance qualifié
Il est important de choisir un PSCQ qui soit en mesure de fournir des services B2B complets, et des services d’identité numérique adaptés aux futurs besoins des consommateurs. Selon les termes du règlement eIDAS, GlobalSign est un PSCQ dans l’UE et au Royaume-Uni. Notre service de signature qualifié répond aux exigences strictes de l’eIDAS relatives aux transferts de propriété (terrains et biens immobiliers), à la facturation électronique, aux rapports électroniques, à l’archivage, en plus des exigences de la DSP2 et de l’EPREL concernant les certificats, etc.
Pour en savoir plus sur les changements majeurs de l’eIDAS 2.0 pour le secteur des identités numériques et des infrastructures à clé publique (PKI) au Royaume-Uni et dans l’UE, nous vous invitons à lire notre eBook sur l’eIDAS.