La version finale de la proposition de l’eIDAS 2.0 a été dévoilée le 3 juin 2021. Le texte vise à combler plusieurs lacunes et à permettre aux citoyens de l’Union européenne d’acquérir une identité numérique officiellement reconnue de façon plus efficace.
L’introduction du portefeuille européen d’identité numérique (EUDI) dans le cadre de l’eIDAS 2.0 ouvre de formidables perspectives. L’EUDI étend la notion d’identité pour inclure l’accès à des services et des transactions physiques depuis n’importe quel point du globe, tout en permettant aux utilisateurs d’avoir la maîtrise exclusive de leurs informations et données personnelles.
Dans cet article, nous analysons en quoi le rôle de la vérification de l’identité numérique est déterminant.
Finalité et avantages de l’eIDAS 2.0
La version initiale du règlement eIDAS ne s’appliquait qu’aux services d’identification électronique et aux services de confiance pour les transactions électroniques, ainsi qu’à la reconnaissance mutuelle des interactions électroniques sécurisées entre les citoyens, les organisations et les autorités publiques. Derrière ce texte, l’ambition était, et demeure, d’accroître l’efficacité des services publics et privés dématérialisés, en mettant l’accent sur la sécurité des services électroniques tels que les signatures, les cachets (ou sceaux) et les horodatages électroniques.
L’une des évolutions majeures introduites par l’eIDAS 2.0 porte sur l’extension de son champ d’application à de nouveaux types de services de confiance électronique. Ainsi, l’eIDAS 2.0 inclut désormais dans son périmètre les services d’envoi recommandé électronique, les certificats électroniques d’authentification et les cachets électroniques pour les documents électroniques.
L’évolution du concept de « prestataires de services de confiance qualifiés » (PSCQ) constitue une autre avancée significative de l’eIDAS 2.0. Dans la nouvelle mouture du règlement, les PSCQ occupent une place centrale ; c’est à eux qu’il revient de veiller à la conformité des identités numériques avec le règlement révisé. L’eIDAS 2.0 définit également les notions de service de confiance qualifié et de prestataire de services de confiance qualifié (PSCQ, ou QTSP en anglais, pour Qualified Trust Service Provider), établissant ainsi les critères de conformité aux standards de sécurité les plus élevés que ceux-ci doivent respecter. Seuls les prestataires qualifiés, tels que GlobalSign, sont habilités à offrir des services de confiance qualifiés.
En leur qualité de prestataires spécialisés garantissant la sécurité des transactions électroniques par le biais de signatures électroniques, de certificats numériques ou de services d’horodatage, les PSCQ doivent répondre à un certain nombre d’exigences de sécurité. Celles-ci englobent l’utilisation d’algorithmes cryptographiques robustes, de méthodes d’authentification, de pistes d’audit pour chaque transaction et d’une architecture système sécurisée.
Un PSCQ désigne un prestataire de services de confiance qui a acquis le statut de qualifié et fait régulièrement l’objet de contrôles par l’organe de contrôle national.
L’eIDAS 2.0 vise à élargir le concept d’identité pour y intégrer des services physiques accessibles de partout dans le monde. L’objectif : permettre à chaque Européen de disposer d’un ensemble de titres d’identité numérique (cartes d’identité, passeports, certifications professionnelles et permis de conduire) reconnus à travers toute l’Union européenne, sous l’appellation de « portefeuilles d’identité numérique européenne » (EUDI). Ces « portefeuilles », qui prennent la forme d’applications mobiles ou de services cloud, servent à rassembler et stocker les données d’identification numériques, pour une utilisation privée et sécurisée dans des contextes divers.
Cette évolution implique la mise en place d’un processus d’identification sûr, fiable et efficace visant à offrir aux utilisateurs une expérience fluide lors de leurs achats et inscriptions, ou lors de l’utilisation de services.
Interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques
L’eIDAS 2.0 s’inscrit dans les objectifs du plan d’action européen pour une décennie numérique (« Path to digital decade ») qui vise à ce que 80 % des citoyens de l’UE disposent et puissent utiliser une identification numérique d’ici à 2030.
Ainsi, les citoyens européens auront la possibilité d’authentifier leur identité au-delà des frontières, d’exprimer un consentement explicite pour le partage d’informations personnelles spécifiques et d’être clairement informés des destinataires et des usages qui seront faits de ces données. En introduisant le concept de portefeuille d’identité numérique, cette intervention législative induit une transformation dans le cadre de référence de l’identité numérique au sein de l’UE.
Jusqu’à récemment, les débats sur la refonte du cadre de référence de l’eIDAS se sont largement concentrés sur les risques et les bénéfices potentiels pour les citoyens et les consommateurs. Toutefois, le succès du nouveau cadre européen de l’identité numérique dépend également de la prise en compte des besoins d’identification propres aux entreprises
L’identité numérique est un terme général qui englobe plusieurs solutions d’identité faisant toujours intervenir trois parties, quel que soit le scénario. On a donc :
- l’émetteur ou fournisseur de l’identité,
- l’utilisateur (ou détenteur de l’identité),
- la partie utilisatrice (qui utilise l’identité fournie par l’émetteur).
Posséder une identité numérique, telle qu’une carte d’identité numérique, permet à une personne d’établir son identité, mais ne livre aucune information quant à ses qualifications ou compétences. Or, l’accès aux services numériques requiert souvent de tels attributs, à savoir des caractéristiques ou des qualités spécifiques propres à une personne physique ou morale ou à une entité, sous forme électronique. Par conséquent, les attributs additionnels tels que les certificats médicaux, qualifications professionnelles, ou permis de conduire, associés à une identité numérique et validés par un prestataire de services de confiance qualifié, deviennent des éléments essentiels des systèmes d’identité numérique. Les services de confiance qualifiés fournissent des attestations électroniques qualifiées d’attributs (annexe V) basées sur des sources fiables et reconnues entre les pays. Cet avantage facilite la prise en charge d’une multitude de cas d’usage nécessitant une vérification fiable des attributs d’identité liés à une personne avec un niveau de garantie élevé.
Vérification de l’identité numérique — Modalités du partage d’informations, avec consentement explicite
L’eIDAS 2.0 met en avant un principe fondamental : le contrôle total par l’utilisateur de ses données personnelles. Le portefeuille d’identité numérique européen EUDI a été conçu pour faciliter l’accès aux services en ligne pour les individus et les entreprises, pour leur permettre d’assurer des transactions sécurisées, et simplifier les démarches et les déplacements transfrontaliers. Grâce à une gestion centralisée de l’identification électronique et des services de confiance, tels que les signatures électroniques et les certificats, les utilisateurs bénéficient d’un accès aisé à leurs informations et certificats, qu’ils peuvent utiliser à leur convenance.
L’écosystème du portefeuille EUDI est structuré autour de plusieurs rôles clés :
Source : Commission européenne
Cette approche rationalisée améliore l’accessibilité des utilisateurs et permet une utilisation efficace de ces services.
Confidentialité des données
Le portefeuille EUDI veillera à rigoureusement limiter les informations recueillies aux informations strictement nécessaires à la fourniture de ses services. Les données d’identification personnelle ou toute autre donnée personnelle liée au portefeuille européen d’identité numérique ne seront pas combinées avec des données personnelles provenant d’autres services de l’émetteur ou de services tiers non liés, sauf demande explicite de l’utilisateur. Le principe de protection de la vie privée par défaut et le partage sélectif des informations représentent les fondements du portefeuille EUDI. L’accent est également mis sur le respect de la confidentialité et la sécurité des données de l’utilisateur.
*Règles supplémentaires pour la fourniture de services d’attestation électronique des attributs :
- Les prestataires fournissant des services qualifiés et non qualifiés d’attestation électronique d’attributs ne combinent pas les données à caractère personnel relatives à la fourniture de ces services avec des données à caractère personnel provenant de tout autre service qu’ils offrent.
- Les données à caractère personnel relatives à la fourniture de services d’attestation électronique d’attributs sont maintenues séparées, de manière logique, des autres données détenues.
- Les données à caractère personnel relatives à la fourniture de services qualifiés d’attestation électronique d’attributs sont maintenues séparées, de manière physique et logique, des autres données détenues.
- Les prestataires de services qualifiés d’attestation électronique d’attributs fournissent ces services dans le cadre d’une entité juridique distincte.
Conclusion
L’eIDAS 2.0 définit des règles normalisées pour la fourniture de services d’identité électronique (eID) et de services de confiance sur le marché intérieur. Ces standards mettent en avant non seulement la priorité accordée à la préservation de la confiance, mais soulignent aussi l’importance pour les utilisateurs de contrôler leurs données personnelles. Cette approche constitue une avancée significative en matière de confidentialité, de sécurité et d’autonomie pour les utilisateurs, marquant un progrès notable dans la défense des droits à la protection des données personnelles et dans l’amélioration du contrôle des utilisateurs sur leurs informations.
Pour en savoir plus sur les innovations prévues au nouveau règlement eIDAS 2.0 et sur le rôle joué par la numérisation dans l’adoption des services de signature électronique dans l’UE et au Royaume-Uni, nous vous invitons à découvrir l’eBook de GlobalSign.
Solutions conformes au règlement eIDAS
Chez GlobalSign, nous comprenons l’importance de rester à jour avec les réglementations actuelles, y compris eIDAS. Nous pouvons aider les organisations à se conformer au règlement eIDAS de différentes manières, notamment par l’authentification, l’horodatage, les signatures qualifiées et les sceaux — prenez contact avec notre équipe dès aujourd’hui.