Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Isabelle Renard : Le règlement EiDAS aurait-il échappé aux français ?

juillet 2015 par Isabelle Renard, Avocat au barreau de Paris, Docteur ingénieur

Le Règlement 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur « l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE », dit « EIDAS » est un texte fondamental pour la construction de l’Europe numérique. Paru depuis bientôt un an, il sera d’application directe en France le 1er juillet 2016, c’est-à-dire demain.

Il comprend deux volets distincts : l’un est relatif à l’identification électronique, et l’autre aux services dits de « confiance » pour les transactions électroniques.

Le volet relatif à l’identification électronique ne sera d’application obligatoire que dans le secteur public. Les entreprises privées sont néanmoins fortement incitées à en adopter les règles, qui actuellement font cruellement défaut en France, où l’on glose à l’envi sur le problème de l’identité numérique sans parvenir à aucune solution pratique, au contraire de plusieurs pays européens qui ont d’ores et déjà intégré l’identification électronique dans des titres sécurisés de type carte d’identité. Le règlement prévoit trois niveaux de garantie dans la fiabilité de l’identification, qui pourront être choisi en fonction de l’enjeu considéré : le niveau « faible » permet de réduire le risque d’usurpation, le niveau « substantiel » permet de le réduire substantiellement, et le niveau « élevé » a pour objectif de l’empêcher. Le règlement prévoit un système de paliers au sein duquel pourront coexister des schémas nationaux, en application au sein d’un état membre, et des schémas pouvant être notifiés par un état à la Commission, qui les postera sur une liste publiée au JOE et qui bénéficieront d’une reconnaissance mutuelle dans tous les pays de l’UE.

S’agissant des services de confiance, le règlement ne s’est pas limité, comme la directive de 1999, à la signature électronique. Il désigne également comme service de confiance le cachet électronique, l’horodatage, le recommandé électronique et l’authentification des sites internet.

Deux aspects essentiels sont à retenir de la construction proposée.

Le premier est la volonté du législateur européen de faire reposer l’édifice de confiance sur les prestataires qualifiés, habilités à fournir des services qualifiés mutuellement reconnus par tous les états membres. Les services qualifiés bénéficient d’une présomption de fiabilité et, s’agissant de la signature électronique, le règlement pose que la signature électronique qualifiée doit se voir attribuer un effet juridique équivalent à celui de la signature manuscrite. Les prestataires de service qualifiés seront soumis à un programme régulier d’audits visant à garantir le maintien d’un haut niveau de qualité. Chaque Etat membre sera responsable de la tenue d’une « liste de confiance », accessible en ligne, permettant aux tiers de vérifier à tout moment le statut d’un service. Pour autant, les services non qualifiés ne se verront pas privés d’effet juridique : mais ce sera à celui qui s’en prévaut d’en apporter la preuve.

Le second point essentiel est que ce règlement n’est pas un « texte de plus » qui se limiterait à une énumération de principes. Il renvoie, pour les aspects techniques, à des « actes délégués » et à des « actes d’implémentation » qui seront progressivement publiés entre 2015 et 2017 et reposeront sur un vaste corpus normatif (une centaine de documents) dont la définition est déjà bien avancée. Le travail ne part pas de rien, puisque dans certains domaines les normes existent déjà et seront reprises à l’identique après renommage (comme par exemple les normes ETSI TS 102 042 et ETSI TS 101 456 pour les certificats de signature électronique). Il est ainsi créé un référentiel européen homogène, qui conduira à une meilleure transparence dans la présentation de leurs services par les fournisseurs en situant sur des bases objectives et quantifiables chaque service sur une échelle de confiance par rapport au grade le plus élevé que représente le service qualifié. Dit autrement, un service (par exemple de signature électronique) qui ne se référerait à aucune des normes du corpus européen serait dans une sorte de « zone grise » ne permettant d’avoir aucune certitude sur ses qualités réelles.

De façon très étonnante, le règlement EiDAS reste ignoré en France. Il n’a pratiquement pas été commenté, il n’est pas cité une seule fois dans le rapport « Ambition Numérique » remis le 18 juin dernier au gouvernement par le président du CNNum, et rien n’indique qu’il ait été pris en compte dans la réforme du droit des contrats et du droit de la preuve qui va bientôt venir modifier notre Code civil, notamment sur les sujets portant à la forme et la voie électronique.

Cela est très regrettable. Car si la France manque ce train-là, d’autres pays européens ne le manqueront peut-être pas, et demain ce seront les services de confiance qualifiés en provenance d’autres fournisseurs européens que l’on pourra se procurer en France, à défaut d’offre nationale …

www.irenard-avocat.com


Voir les articles précédents

    

Voir les articles suivants