eIDAS V2 : ce qui change dans les services de confiance

Le règlement eIDAS V2 est sur le point d'être publié par la Commission Européenne, définissant le wallet européen et ajoutant l'archivage et le registre électronique aux services de confiance.

Le Règlement eIDAS V2 est en passe d’être publié par la Commission européenne, et son texte définitif est désormais connu. Il est très attendu sur la partie identité numérique, puisqu’il pose les bases du futur wallet européen. Mais il intègre également des nouveautés sur la partie services de confiance. Leur liste est réorganisée et deux nouveaux services apparaissent : l’archivage électronique et le registre électronique. Subsidiairement, un certain nombre de modifications sont apportées aux services déjà définis par la première version du règlement eIDAS. En voici les principaux traits, sans prétendre à l’exhaustivité, étant précisé que les termes employés sont en traduction libre, la version officielle de eIDAS V2 en français n’étant pas encore parue à ce jour.

Le  registre électronique

Le règlement eIDAS V2 définit le registre électronique comme un enregistrement séquentiel de données assurant leur intégrité et l’exactitude de leur ordre chronologique. Lorsqu’il est qualifié, les données enregistrées dans le registre bénéficient d’une présomption de leur intégrité, ainsi que de l’unicité et de l’exactitude de leur ordre chronologique.

Le registre électronique qualifié doit répondre aux exigences suivants :

  • Être créé et géré par un, ou plusieurs, prestataire(s) de services de confiance qualifiés ;
  • Etablir l’origine des enregistrements ;
  • Assurer un ordre chronologique séquentiel unique des enregistrements ;
  • Conserver les données de façon à ce que toute modification ultérieure soit immédiatement détectable, assurant ainsi leur intégrité au cours du temps.

La Commission aura 12 mois à compter de l’entrée en vigueur de eIDAS V2 pour établir une liste des standards de référence permettant de respecter les exigences susvisées. La conformité à ces standards sera attestée par chaque autorité de contrôle nationale (en France l’ANSSI), conformément à l’architecture de confiance élaborée par le règlement eIDAS.

Le règlement précise dans ses considérants que la spécificité du registre électronique par rapport aux autres services de confiance est l’organisation séquentielle chronologique de la donnée qui permettra, par exemple, d’éviter que le même actif digital ne soit copié et revendu plus d’une fois à différentes parties. De plus, le registre électronique devra relever d’une technologie durable et respectueuse de l’environnement. On pense bien sûr aux applications immédiates et déjà existantes de ce nouveau service dans le métavers ou les services financiers.

Le service d’archivage électronique

En France actuellement, il n’existe aucune définition légale de l’archivage électronique. Les normes AFNOR constituent des références bien connues, notamment la norme AFNOR NF Z 42 013 (associée à la certification NF 461) ou encore la norme AFNOR NF Z 42 026 pour la partie numérisation. Mais faute de définition juridique, il est difficile de se prononcer sur la fiabilité d’un système d’archivage s’il n’est pas conforme à ce référentiel AFNOR. Cette absence de définition juridique est une véritable lacune puisque l’archivage fiable est une condition fondamentale de la légitimité de la preuve numérique, aux termes de l’Art. 1366 du Code civil qui dispose que "L'écrit électronique a la même force probante que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité".

De plus, le référentiel de conformité d’un service d’archivage électronique résulte d’un état de l’art national qui varie d’un pays à l’autre, et ce même si la norme AFNOR Z 42 013 bénéficie également d’un nommage européen ISO (14641-1). Cette dispersion est une source de difficulté pour les acteurs internationaux qui souhaitent centraliser leur archivage électronique.

L’introduction dans la législation européenne d’un service d’archivage électronique et de sa déclinaison qualifiée permettra une référence juridique commune pour tous les pays européens, ce qui constitue à l’évidence une avancée très positive.

Le règlement eIDAS V2 définit l’archivage électronique comme un service qui assure la réception, le stockage, le retrait et la suppression des données ou documents électroniques de façon d’une part à garantir leur pérennité et leur lisibilité, et d’autre part à préserver leur intégrité, leur confidentialité et la preuve de leur provenance, et ce pendant toute leur durée de conservation.

Lorsqu’il est qualifié, le service d’archivage électronique doit respecter les exigences suivantes(1) :

  • Être fourni par un prestataire de service de confiance qualifié ;
  • Utiliser des procédures et des technologies propres à assurer la pérennité et la lisibilité de la donnée électronique au-delà de sa péremption technologique et au moins pendant sa période de conservation légale ou contractuelle, tout en préservant son intégrité et l’exactitude de son origine ;
  • Assurer que les modalités de conservation de la donnée électronique la préservent de toute perte et altération, sous réserve des modifications induites par un transfert de média ou de format électronique ;
  • Faire en sorte que les parties autorisées reçoivent automatiquement un rapport confirmant qu’une donnée électronique extraite d’un service qualifié d’archivage bénéficie d’une présomption d’intégrité depuis son versement dans l’archive jusqu’au moment de son retrait. Ce rapport doit être fourni de façon fiable et efficace et être revêtu de la signature ou du cachet électronique qualifié du fournisseur du service d’archivage électronique qualifié.

L’archivage électronique figure dorénavant dans la liste des services de confiance (« trust services ») définis par le règlement eIDAS(2), et, suivant la même logique que les autres services qualifiés du règlement eIDAS :

  • Un service d’archivage qualifié dans un état membre est reconnu comme tel dans tous les états membres (interopérabilité des services qualifiés);
  • Un document électronique conservé dans un service d’archivage qualifié bénéficie d’une présomption de son intégrité et de son origine pendant toute sa durée de conservation.

Les dispositions de droit interne relatives aux archives publiques ou nationales des états membre ne sont pas affectées par le nouveau service de confiance, ces dernières pouvant continuer à être opérées selon les dispositions existantes au niveau local(3).

Tant les documents électroniques natifs que les documents papier numérisés pourront bénéficier du service d’archivage électronique. Rappelons qu’en droit français, la copie fiable est encadrée par l’Art. 1379 du Code civil qui dispose : "Est présumée fiable jusqu'à preuve du contraire toute copie résultant d'une reproduction à l'identique de la forme et du contenu de l'acte, et dont l'intégrité est garantie dans le temps par un procédé conforme à des conditions fixées par décret en Conseil d'État". Sachant que le décret n° 2016-1673 du 5 décembre 2016 relatif à la fiabilité des copies et pris pour l’application de l’article 1379 du code civil n’a eu aucun impact pratique, il serait pertinent que le législateur français l’abroge et lui substitue une référence au service d’archivage qualifié, ce qui permettrait une interprétation claire du texte dans les situations contentieuses qui ne manqueront pas de se multiplier à l’avenir.

En cas de conservation sur une longue période, le service d’archivage électronique devra prévoir la migration de media ou de format, sous réserve bien sûr d’éviter toute perte informationnelle du contenu du document.

La Commission aura 12 mois à compter de la publication du règlement pour établir une liste des standards de référence du service d’archivage qualifié, par voie d’actes d’implémentation. L’apport de la France avec ses normes AFNOR/ISO sera certainement décisif, sous réserve toutefois d’un consensus rapide entre les experts des autres pays européens, qui n’est pas gagné d’avance puisqu’il existe d’ores et déjà des dispositions bien établies sur le sujet dans certains pays européens.

Renforcement des exigences pour la signature électronique avancée

La signature électronique avancée est un concept mou dans lequel on peut faire passer à peu près n’importe quoi, et le législateur européen semble en avoir pris acte. On sait en effet que la norme ETSI EN 319 411-1 constitue une référence pour la production de certificats électroniques pour en grand nombre de prestataires, mais pas pour tous. Il en résulte une dispersion et une opacité dans le marché tout à fait préjudiciables, d’autant plus que les magistrats, de plus en plus au fait de la signature électronique, commencent à s’intéresser de près à la question.

Le règlement eIDAS V2 prévoit que la Commission devra se livrer dans les 24 mois de l’entrée en vigueur du règlement à une évaluation de la nécessité d’établir des standards de référence pour la signature avancée : la conformité d’une signature électronique à ces standards permettra de présumer de son caractère avancé.

(1) Art. 3, point 48 et Art. 45 (g) a  eIDAS V2

(2) Art. 3, point 16 (ff) eIDAS V2

(3) Art. 33, (a) eIDAS V2