Cette réflexion avait notamment été initiée par la Commission au Parlement européen dans sa communication du 26 août 2010 (Une stratégie numérique pour l’Europe).  Bien qu’aujourd’hui le règlement reprenne la majeure partie des dispositions de cette directive auxquelles sont apportées quelques modifications, de nouvelles dispositions y sont décrites et viennent renforcer et développer l’acquis qu’elle représente.

Création d’un cadre transnational et intersectoriel

Le principal problème recensé est notamment cité au point (9) du règlement : « Dans la plupart des cas, les citoyens ne peuvent pas utiliser leur identification électronique pour s’authentifier dans un autre État membre parce que les systèmes nationaux d’identification électronique de leur pays ne sont pas reconnus dans d’autres États membres ». Cette non-reconnaissance est due à l’interprétation et à la mise en œuvre technique par chaque État membre de la directive, ce qui amène ainsi  des problèmes d’interopérabilité et des divergences  lors des contrôles effectués. Concernant les services de confiance tels que l’horodatage ou encore le cachet, les divergences pouvaient émaner de l’absence de cadre juridique clair au niveau européen.

C’est pourquoi, l’objectif du règlement eIDAS (electronic IDentification And trust Services) est d’«instaurer un climat de confiance dans l’environnement en ligne » en fournissant un cadre transnational et intersectoriel complet pour des transactions électroniques sûres, fiables et aisées entre citoyens. Ce climat de confiance couvre donc l’identification et l’authentification électroniques, mais également d’autres services de confiance tels que l’horodatage ou encore le recommandé électronique. La mise en place d’un tel cadre permettra d’effectuer des démarches administratives dans tous les pays membres de l’Union et imposera la reconnaissance mutuelle.

Cependant, il est nécessaire de souligner que le règlement reste ouvert puisqu’il laisse la liberté aux pays membres de définir d’autres types de services de confiance à des fins de reconnaissance au niveau national comme des services de confiance qualifiés.

Concrètement, qu’est-ce que eIDAS va changer ?

Un des premiers points notables concerne la mise en conformité en vue d’une qualification eIDAS pour les Prestataires de Services de Confiance (PSCO). Afin d’intégrer la liste des PSCO qualifiés (qui devra être publiée régulièrement) et donc reconnus par les États membres, ils devront respecter un ensemble d’exigences de sécurité (mesures techniques, organisationnelles, etc.). Pour cela, ils devront s’appuyer sur les standards décrivant les mesures à mettre en place : analyse de risques, plan de cessation d’activité, processus de délivrance en face à face, notifications en cas d’atteinte à la sécurité, contrôles, responsabilités, etc. L’interopérabilité technique des systèmes passe donc par la revue des référentiels nationaux, comme le Référentiel Général de Sécurité (RGS) ; et la coopération des pays membres.

Cependant, la qualification reste une démarche volontaire, et un label de confiance UE sera créé pour identifier les PSCO qualifiés. Pour obtenir ce label, les prestataires de services de confiance devront se soumettre à des audits qui attesteront du respect des mesures définies dans les standards adossés au règlement. Il est donc fort probable que dans les mois qui viennent, les PSCO recherchant la qualification eIDAS lancent des projets globaux de mise en conformité comprenant la mise à jour documentaire (PC, DPC, PH, DPH, CGU, etc.), la revue de leur architecture d’Infrastructures de Gestion de Clés (IGC), de leurs gabarits de certificats, etc. À noter que les prestataires qualifiés dans le cadre de la Directive restent qualifiés au sens du règlement jusqu’au renouvellement de leur qualification mais devront passer un audit avant le 1er Juillet 2017 pour renouveler leur qualification.

Parmi les autres points remarquables, nous pouvons citer l’apparition d’un nouveau principe juridique : la signature électronique de personne morale. Le cachet électronique permettra donc aux entreprises et administrations de signer électroniquement en leur nom des documents afin de certifier leur provenance. Concrètement, un juge français ne pourra pas refuser un cachet ou une signature électronique apposé par un italien avec une solution allemande.

Enfin, nous pouvons également souligner l’introduction de la notion de signature qualifiée côté serveur, ce qui permettra notamment le développement de nouvelles offres (en SaaS) ; objectif clairement recherché du règlement eIDAS.

Cet article Confiance numérique: que doit-on attendre du règlement eIDAS ? est apparu en premier sur RiskInsight.

Forts de premiers projets réussis, les années 2010 marquent une rupture en la matière, puisque l’on voit alors se développer rapidement l’utilisation conjuguée de la dématérialisation et de la signature électronique à destination du grand public. Cela s’explique par  trois facteurs.

Un cadre réglementaire aujourd’hui maîtrisé

En 2001, la législation française institutionnalisait la signature électronique  par les articles 1316-1 et 1316-4 du code civil et le décret n°2001-272 du 30 mars 2001. Elle rendait alors la signature électronique équivalente à la signature papier, sous condition du respect des principes d’identification fiable du signataire et d’intégrité des données. Pourtant, la frilosité l’emportait, faute de retours d’expérience suffisants dans l’application de ce cadre juridique.

Il faudra attendre 10 ans pour voir se déployer plus largement la signature électronique. Quelques jurisprudences, bien qu’encore peu nombreuses, confortent les entreprises : celle de décembre 2010, par exemple, concernant  la reconnaissance juridique de la notification électronique d’une demande de résiliation (exemple d’un abonnement téléphonique) portant une signature électronique (http://www.resilier.com).

Des premiers succès rassurants dans le B2B et les administrations

Ces dernières années, des projets plutôt B2B ont vu le jour. Les grandes entreprises ont mis en œuvre des solutions de dématérialisation et de signature électronique pour des usages professionnels (ex : signature de remises réglementaires pour les établissements financiers, signature d’ordres de paiement pour les trésoriers d’entreprise, signature de contrats entre professionnels). Ces solutions s’appuient sur l’utilisation de certificats électroniques, preuve de l’identité numérique personnelle de son porteur, indispensable à la signature électronique.

Déjà éprouvées par les entreprises, ces solutions sont désormais matures et peuvent être réutilisées pour de nouveaux usages destinés au grand public.Le grand public est prêt et demandeur !

Le grand public est aujourd’hui habitué et enclin à l’achat de biens et de services sur internet, ainsi qu’à l’utilisation de processus administratifs dématérialisés en ligne (Mon Service Public, déclaration des impôts, consultation de données personnelles de santé, facturation électronique des fournisseurs d’énergie et d’internet…).

De plus, conscients des risques de fraude et d’usurpation d’identité, le grand public est dès lors sensibilisé à l’utilisation de moyens de sécurité lors de transactions en ligne, tels que l’envoi de code par SMS, l’utilisation de carte bancaire virtuelle, de clavier numérique, de certificat électronique, etc.

Enfin, le grand public montre une appétence de plus en plus forte pour l’obtention de biens et de services rapidement, voire même de façon immédiate.

Les banques françaises (BNP Paribas, LCL…) participent fortement à cet essor ; elles offrent, depuis plusieurs années déjà, la gestion en ligne des comptes bancaires (suivi de comptes, opérations de virement…) ; et plus récemment, elles proposent la souscription en ligne à des services bancaires (ex : livret d’épargne, prêt à la consommation, assurance) à leurs clients particuliers, grâce à la signature électronique mise en œuvre par l’utilisation de certificats électroniques personnels. Cette  offre répond pleinement aux attentes du grand public.

Comment lever les derniers freins ?

Il reste aujourd’hui un frein majeur au développement de la signature électronique en France : la distribution et la gestion des  parcs de certificats pour le grand public.

Des opérateurs de téléphonie mobile (SFR en France, Turkcell en Turquie) ont ainsi créé des partenariats avec des fournisseurs de puces SIM cryptographiques (Oberthur, Gemalto), afin de fournir à leurs abonnés des mobiles embarquant une solution de signature.

Ces offres, reposant sur une collaboration entre opérateurs mobiles et banques, permettent aux abonnés d’accéder à des services sécurisés en ligne grâce à leur mobile, tel que l’achat en ligne et la banque en ligne, sans aucune transmission d’informations bancaires.

Par ailleurs, le gouvernement français renouvelle sa volonté de développer l’usage du numérique avec la préparation d’un nouveau plan France Numérique 2020, qui sera dévoilé d’ici 2012, avec la perspective d’y voir s’inscrire des projets concrets de confiance numérique.

Ces innovations et projets dans la confiance numérique permettront certainement de lever les derniers freins quant à la distribution et la reconnaissance des certificats électroniques.  En effet, c’est grâce à la demande du grand public et l’implication des grands acteurs du B2C et de l’administration (G2C) que la signature électronique pourra décoller !

Cet article Dématérialisation et signature électronique : vers l’explosion des usages grand public ? est apparu en premier sur RiskInsight.