Nouveau règlement eIDAS : retour sur un projet de mise en conformité

Cybersécurité et confiance numérique

Publié le

Le Conseil Supérieur du Notariat (CSN) est l’un des premiers acteurs français à entamer une démarche de mise en conformité avec le nouveau règlement eIDAS. En sa qualité de Prestataire de Services de Confiance, le CSN dispose d’une autorité de certification émettant notamment des certificats de signatures à destination des notaires pour la signature d’actes authentiques.

Retour sur ce règlement et sur ce projet de mise en conformité avec Didier Lefèvre (DSI, CSN) et Yannick Thomassier (DSSI, Real.Not, opérateur de l’IGC du CSN).

Que pensez-vous de ce nouveau règlement ?

Yannick Thomassier : Avant ce règlement, il existait la directive 1999/93/CE mais un audit effectué dix ans après sa mise en place a mis en lumière ses limites. La réflexion initiée alors par la Commission au Parlement européen dans sa communication du 26 août 2010 (Une stratégie numérique pour l’Europe) est claire : « […] la Commission a désigné la fragmentation du marché du numérique, le manque d’interopérabilité et l’augmentation de la cybercriminalité comme les principaux obstacles au cercle vertueux de l’économie numérique ». Le règlement européen se veut remédier à certaines lacunes de la directive 1999/93/CE en imposant une même base légale à tous les États membres. Cependant le règlement n’a pas été pour le moment assorti des actes d’exécution nécessaires à une transposition technique unique au sein de l’Europe. Chaque État membre doit donc décider de la façon dont il l’appliquera et ainsi fixer ses propres règles. Ceci correspond finalement au schéma d’implémentation que nous connaissons actuellement avec la directive 1999/93/CE. En cela le règlement n’a pas encore complètement rempli ses promesses.

Didier Lefèvre : Néanmoins, une des vertus d’eIDAS est qu’il vise à établir une référence sur l’ensemble de la chaine de confiance. Ceci est une amélioration par rapport à la directive 1999/93/CE qui n’adressait qu’un spectre réduit, à savoir la signature électronique.

Pourquoi vous lancez-vous aujourd’hui dans cette mise en conformité eIDAS ?

YT : Nous sommes dans l’obligation de nous mettre en conformité dans la mesure où la signature des notaires est une signature qualifiée.

Quelles sont les opportunités que représente ce règlement pour vous ?

YT : Nous y voyons un intérêt pour le développement de la signature dans le Cloud. L’utilisation de la carte à puce pour signer des actes notariés est un premier pas vers la dématérialisation, mais celle-ci reste encore très contraignante. Or aujourd’hui, l’usage informatique ne se limite plus à un ordinateur, mais il inclut les smartphones, les tablettes, etc. Le notaire est de plus en plus mobile, et il doit être capable de signer via ces dispositifs afin de se démarquer et répondre aux besoins de ses clients. Le règlement eIDAS est une formidable opportunité d’offrir d’autres moyens de signature qualifiée.

Quelles sont la/les principale(s) difficulté(s) que vous avez rencontrée(s) ?

YT : Le planning. Nous avons opté pour une anticipation maximale de cette mise en conformité, car le changement est un processus fastidieux et très long : il faut compulser de nombreux documents, définir de nouveaux processus, mettre en œuvre parfois de nouveaux produits et faire concorder le tout dans un planning qui respecte les jalons fixés dans le règlement lui-même. D’autant plus qu’en tant que professionnel du droit, nous nous devons d’être prêts au bon moment.

Quels conseils donneriez-vous à ceux qui souhaiteraient se lancer dans un projet de conformité similaire ?

YT : Il y a principalement deux points sur lesquels il faut être vigilant. D’une part, il est nécessaire de faire preuve d’agilité face à un nouveau règlement, soumis à de potentielles évolutions. Le corpus documentaire technique français par exemple n’est pas encore figé. D’autre part il faut se mettre en ordre de marche assez rapidement afin de préparer l’audit de certification dans de bonnes conditions.

Comment voyez-vous le futur concernant ce règlement européen ?

YT : L’implémentation technique du règlement eIDAS est sujette à l’interprétation de la part des organes de contrôle nationaux. Cela pourrait impacter son déploiement. Il pourrait donc il y avoir une phase 2 au règlement afin d’en clarifier l’implémentation et rendre ainsi son déploiement homogène au sein de l’Europe.

Et pour la suite ?

YT : Nous espérons obtenir notre qualification eIDAS dans les temps. Rendez-vous le 1er juillet 2017 !