Face aux défis de l’ère numérique qui a transformé les rapports des individus aux services publics et privés, et dans la continuité du règlement eIDAS 1 de 2014, le règlement eIDAS 2 [1], en vigueur depuis mai 2024, prévoit une innovation majeure : l’introduction des portefeuilles européens d’identité numérique (appelés « e-wallet » ou « EUDI wallet »), conçus pour offrir une solution sécurisée concernant l’identification et l’authentification des citoyens et des entreprises à travers l’UE. Portefeuilles numériques, nouveautés en matière d’archivage et de signature électronique : quels sont les contours du cadre européen harmonisé pour une identité numérique européenne du règlement eIDAS 2 ?
L’Union européenne (UE) se dirige vers une transformation numérique majeure avec l’introduction d’une identité numérique européenne. Ce portefeuille numérique personnel sera accessible à tous les citoyens, résidents et entreprises de l’UE, leur permettant de s’identifier et d’attester certaines informations personnelles pour accéder à des services publics et privés, en ligne et hors ligne, dans toute l’UE. Au terme du projet de règlement, chaque Etat membre devra délivrer un portefeuille européen d’identité numérique dans un délai de 24 mois à compter de l’entrée en vigueur du règlement, soit pour mai 2026. Ce portefeuille pourra être délivré directement par les Etats membres, sur mandat ou par des entités privées, les « services de confiance ». Chaque citoyen ou résident de l’UE pourra ainsi utiliser ce portefeuille pour s’identifier, conserver et échanger des informations fournies par des autorités publiques et des acteurs privés dignes de confiance, de manière similaire à la présentation d’une carte nationale d’identité ou un passeport. Il pourra être utilisé pour attester le droit de résider, de travailler ou d’étudier dans un Etat membre donné.
Délivrance, disponibilité et sécurité
Les portefeuilles pourront être délivrés directement par un Etat membre, sur mandat d’un Etat membre, ou par des entités privées reconnues par l’Etat membre. Naturellement, le projet de règlement prévoit que les portefeuilles devront satisfaire aux exigences de sécurité les plus élevées, notamment en matière de preuve et de vérification d’identité, de gestion des moyens d’identification électronique et d’authentification. Par exemple, les données d’identification personnelle seront maintenues séparées des autres données détenues par l’entité délivrant le portefeuille, garantissant ainsi la confidentialité et la protection des données.
Les portefeuilles européens d’identité numérique devront être reconnus et acceptés par les services publics et privés dans toute l’UE. Les Etats membres fourniront des mécanismes de validation pour vérifier l’authenticité et la validité des portefeuilles et des attestations électroniques d’attributs.
Des projets pilotes
Un groupe d’experts des Etats membres élabore actuellement une boîte à outils comprenant une architecture technique, un cadre de référence, des normes et des bonnes pratiques pour rendre les portefeuilles européens d’identité numérique pratiques pour tous. La Commission européenne publiera régulièrement les résultats des travaux de ce groupe.
Avant son déploiement dans les Etats membres, le portefeuille d’identité numérique de l’UE fait déjà l’objet de quatre projets pilotes à grande échelle lancés le 1er avril 2023. Ces projets testeront les portefeuilles dans des scénarios réels couvrant différents secteurs, avec la participation de plus de 250 entreprises privées et autorités publiques dans 25 Etats membres ainsi qu’en Norvège, en Islande et en Ukraine.
Les autres nouveautés majeures du règlement eIDAS 2
Dix ans après l’entrée en vigueur du premier règlement eIDAS, cette nouvelle version vise à combler les lacunes en matière d’harmonisation et de précision, tout en ouvrant la voie à de nouvelles opportunités de digitalisation des échanges et des processus. Ainsi, la nouvelle version du règlement eIDAS introduit une liste élargie des services de confiance, incluant désormais l’archivage électronique et le registre électronique, ce qui vise directement la blockchain. Le règlement eIDAS 2 ouvre ainsi la possibilité aux prestataires blockchain (privée) de solliciter une certification – là encore, sous condition de respecter certaines exigences.
Par ailleurs, avant l’application de cette version révisée, chaque pays de l’UE définissait ses propres normes d’archivage et les prestataires de services d’archivage électronique devaient ainsi s’adapter aux exigences spécifiques de chaque pays. Par exemple, en France, les normes AFNOR NF Z42-013 et NF Z42-026 régissaient les services d’archivage numérique. Désormais, la Commission européenne devra référencer les standards applicables à ces services dans les 12 mois suivant l’adoption du règlement. Le respect de ces standards garantira la conformité avec les exigences du règlement, et les organes de contrôle nationaux, comme l’Agence nationale de la sécurité des systèmes d’information (Anssi) en France, continueront d’attester cette conformité. Cette réglementation commune permettra d’homogénéiser les définitions, obligations et pratiques d’archivage numérique à travers les juridictions européennes.
Concernant les signatures électroniques, la première version du règlement eIDAS avait introduit divers niveaux de signature électronique, tels que la signature simple, avancée et qualifiée. La nouvelle version du règlement renforce les exigences de sécurisation en permettant à la Commission européenne de référencer des standards publiés par les organismes de normalisation européens (CEN-CENELEC, ETSI) pour la signature électronique avancée, qui ne faisait pas encore l’objet d’exigences harmonisées au niveau européen. En outre, un nouveau service de confiance qualifié est introduit pour renforcer l’harmonisation de la signature électronique à distance. Ce service définira les exigences relatives à la gestion des équipements techniques utilisés pour créer la signature, facilitant ainsi son déploiement.
De nouvelles sanctions pour non-conformité au règlement eIDAS V2
En cas de non-conformité aux normes introduites par ce nouveau règlement, les prestataires de confiance s’exposent à des amendes pouvant atteindre 5 millions d’euros ou 1 % du chiffre d’affaires annuel mondial total du groupe auquel ils appartiennent. En France, cela supposera que l’Anssi transitionne vers ce rôle disciplinaire qu’elle ne joue actuellement toujours pas pour les autres législations européennes relevant de son champ de compétence (NIS, DORA, CRA, etc.). La création d’une commission des sanctions indépendante de l’Anssi est ainsi envisagée dans l’étude d’impact du projet de loi NIS 2 (relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité).
Ce nouveau règlement eIDAS 2 pour une identité numérique européenne représente une avancée significative vers un marché unique numérique harmonisé. En fournissant des solutions d’identité numérique sécurisées et interopérables, l’UE vise à faciliter l’accès aux services publics et privés tout en renforçant la protection des données personnelles. Cette initiative marque une étape importante dans la transformation numérique de l’Europe, offrant aux citoyens et aux entreprises les outils nécessaires pour naviguer en toute confiance dans l’ère numérique.
[1] Règlement (UE) 2024/1183 du Parlement européen et du Conseil du 11 avril 2024 modifiant le règlement (UE) n° 910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique.
