Etienne Drouard (Hogan Lovells) "En 2026, eIDAS 2.0 imposera ses règles de vérification d'identité à tous les acteurs de l'économie"
L'avocat spécialisé en droit de la cybersécurité précise les apports de la révision du règlement eIDAS en termes de sécurité de la signature électronique et des données personnelles.
JDN. Qu'apporte la révision du règlement eIDAS ?
Etienne Drouard. La deuxième version du règlement electronic identification, authentification and trust services (eIDAS), entrée en vigueur le 20 mai 2024, permet de certifier une identité. Ce règlement institue l'identité numérique en créant une sorte de FranceConnect européen : un portefeuille européen d'identité numérique disponible pour les citoyens et les entreprises, appelé EUDI wallet. Il certifie que les attributs d'un document, d'un citoyen ou d'une organisation sont véritables. L'EUDI wallet permet donc de stocker, gérer et partager des identifiants numériques et des justificatifs électroniques comme les pièces d'identité, les permis de conduire, les diplômes, etc. Sa mise en œuvre s'accélère : chaque Etat membre de l'Union européenne doit désormais être en capacité de proposer un EUDI wallet d'ici 2026.
Interopérable entre les Etats membres, l'EUDI wallet permettra aux citoyens de transmettre seulement les informations nécessaires aux entreprises. Celles-ci ne pourront donc plus mettre en œuvre des parcours d'identification complexes obligeant les citoyens à fournir tous les éléments de leurs documents d'identité. Il s'agit donc d'un dispositif plus protecteur des données personnelles.
Aussi, eIDAS 2.0 va plus loin qu'eIDAS 1.0 concernant la signature électronique. Il finalise la reconnaissance de la preuve électronique et harmonise les outils de signature et de certification électroniques partout en Europe. La signature électronique peut désormais valoir la signature sur papier et sa véracité est certifiée par des prestataires de services de confiance accrédités.
Depuis février 2000, grâce à la directive sur le commerce électronique, la loi française reconnaissait déjà la force probante d'une signature électronique équivalente à la signature papier. Toutefois, la qualité des preuves électroniques était discutée devant les tribunaux et celles-ci étaient fournies par une myriade d'acteurs. Avec eIDAS 2.0, toutes les composantes de la preuve électronique sont désormais normalisées, harmonisées au sein de l'Union européenne, et doivent être admises sans avoir à débattre de leur qualité.
Comment eIDAS 2.0 garantit-il la valeur de la signature électronique ?
Le règlement eIDAS institue trois niveaux de signature électronique. La signature simple garantit l'identification du signataire et permet donc d'imputer un document à une personne. Deux autres niveaux de signature existent : la signature avancée et la signature qualifiée. Celles-ci vont permettre d'identifier avec davantage de fiabilité les parties prenantes, de bénéficier d'une plus grande sécurité, d'identifier chaque action effectuée sur le document, etc.
La signature électronique qualifiée, qui a le niveau de sécurité le plus élevé, est conforme aux obligations les plus exigeantes du règlement. Elle offre la même force probante qu'une signature manuscrite. En cas de litige, c'est l'adversaire qui doit apporter la preuve qu'il n'a pas signé le document. Et on peut considérer que cela va être impossible. Et pour cause, tous les éléments qui garantissent la sécurité de la signature comme l'identification des parties prenantes, l'archivage du document, l'horodatage, sont conformes aux niveaux de sécurité les plus exigeants du règlement.
Les signatures simple et avancée sont des actes juridiques moins incontestables que la signature qualifiée. Toutefois, elles suffisent pour certains actes. Par exemple, si une entreprise conclut un contrat dans un régime où la preuve est libre, comme c'est le cas pour un contrat commercial d'une valeur qui requiert seulement la signature d'un bon de commande ou de livraison, elle peut choisir un niveau de signature peu complexe et moins cher. En revanche, elle doit choisir la signature électronique qualifiée en cas de vente immobilière, cession d'entreprise ou tout autre contrat nécessitant un acte authentique.
En outre, avec eIDAS 2.0, les signatures avancée et qualifiée sont certifiées par les prestataires de services de confiance accrédités. Désormais, les règles de vérification d'un acte, d'une signature, d'une preuve d'identité sont totalement harmonisées et ne dépendent pas des dispositifs des différentes plateformes. Cette vérification par des tiers de confiance crée une sécurité juridique pour tous les acteurs.
Comment les entreprises doivent-elles se conformer à eIDAS 2.0 ?
Elles doivent recourir à des prestataires de services de confiance qualifiés par l'Agence nationale de la sécurité des systèmes d'information pour garantir la fiabilité et la sécurité de leurs preuves électroniques.
Elles doivent aussi simplifier leurs processus de vérification des identités numériques et justificatifs électroniques. Et pour cause, en 2026, eIDAS 2.0 imposera ses règles de vérification d'identité à tous les acteurs de l'économie et celles-ci ne dépendront plus de chacun d'eux. Par exemple, une entreprise de location de véhicules doit faire en sorte qu'il soit plus facile qu'auparavant de prouver la possession d'un permis de conduire.
Aussi, la simplification de ces processus doit permettre à l'entreprise de ne récolter que les données qui sont nécessaires à la fourniture de ses biens et services. Et pour cause, l'EUDI wallet certifie l'identité. Donc si l'entreprise effectue une demande d'informations au-delà de ce que lui fournit l'EUDI wallet, celle-ci pourra être qualifiée de collecte excessive de données au sens du Règlement général de la protection des données. Sauf si elle démontre que cette collecte est proportionnée, légitime et satisfait le critère de minimisation qui impose de ne traiter que les données personnelles strictement nécessaires à la finalité poursuivie.
Avec eIDAS 2.0, les sites pornographiques peuvent donc vérifier l'âge de leurs utilisateurs, comme le souhaite l'Union européenne, sans prétendre qu'il s'agit d'une mesure excessive et que leurs données peuvent subir des fuites. L'EUDI wallet permet en effet qu'il n'y ait pas de collecte excessive de données. Chaque élément d'une identité est démembré et les sites pornographiques n'ont donc pas à aspirer l'ensemble des éléments d'une identité pour vérifier l'âge d'un utilisateur.