Règlement eIDAS : 2017 l’année charnière pour l’identification numérique


Règlement européen sur l'identification numérique 

 Où en sommes-nous au début de l'année 2017 ?
L'année 2017 est marquée par les premières notifications des schémas d'identité numériques par des Etats Membres au sein de l'Union Européenne.

C'est aussi une année charnière pour le développement des services de confiance  numérique qualifiés en Europe puisque le régime de transition cesse en Juillet 2017.

Il s'agit d'une double étape essentielle dans la mise en place et l'application effective du règlement européen sur l'identification électronique et les services de confiance pour les transactions électroniques.

Une année qui s'annonce décisive donc dans la perspective du marché unique numérique européen.

C'est l'occasion pour nous de faire un point sur les premières réalisations dans la mise en place du règlement eIDAS.

Nous aborderons le règlement de la confiance numérique eIDAS en lui-même, les défis de sa mise en place et de son adoption, l'arrivée des identités numériques transfrontières et  verrons comment promouvoir une confiance numérique qualifiée.

EIDAS: le règlement de la confiance numérique

Une première dans le monde

Grâce au règlement eIDAS, l'Union Européenne se distingue comme la première région mondiale à disposer d'un cadre juridique pour les transactions numériques transnationales visant à renforcer la confiance des échanges électroniques.

Ces conditions forment un atout précieux pour l'économie des trente et un pays membres de l'Union Européenne et de l'Espace Economique Européen, mais il faut encore les mettre en œuvre efficacement.

Cela constitue un défi autant qu'une promesse dans un marché qui rassemble plus de 500 millions d'habitants. 

Une identité numérique nationale

Un des aspects les plus novateurs et aussi des plus attendus du règlement est la possibilité d'accéder à de nombreux services presque partout en Europe, avec la même identité numérique nationale, qu'elle soit publique ou privée à condition que celle-ci soit officialisée par les autorités du pays où elle est actuellement utilisée.

C'est-à-dire qu'elle soit reconnue dans le cadre d'un schéma d'identité national notifié officiellement par le pays d'origine et qu'elle offre un niveau de sécurité équivalent à celui requis par le pays hôte.  

S'identifier et s'authentifier dans toute l'Europe, au départ sur les services en ligne des administrations publiques, en s'appuyant sur une ou plusieurs identités numériques reconnues  dans son propre pays, marque une étape décisive, car elle facilite l'accès aux services quel que soit le pays hôte tout en préservant la confiance dans l'identité des citoyens et résidents. 

Un réseau de prestataires de services de confiance

Ensuite, bénéficier des règles communes pour la reconnaissance mutuelle des signatures électroniques, des cachets ou des certificats numériques en s'appuyant sur un réseau de prestataires de confiance qualifiés réduit les barrières aux transactions numériques et augmente l'adoption de nouveaux services à travers les frontières.

Le Règlement de la confiance numérique, eIDAS introduit ainsi des bénéfices et des avancées sur le plan national pour presque tous les Etats membres.

C'est important car la volumétrie des échanges numérique à l'intérieur des Etats reste pour l'instant largement supérieure à celle des flux transfrontières de l'UE.

Concrètement, le dialogue initié par les acteurs économiques nationaux pour s'adapter aux exigences du règlement peut amener des améliorations significatives en particulier dans 4 domaines :

  1. Le renforcement d'une identité numérique nationale pour pouvoir s'authentifier avec fiabilité et signer numériquement,
  2. La  modernisation de l'architecture des échanges numériques,
  3. L'accélération du déploiement des services numériques utilisables. Cette démarche peut aussi favoriser une meilleure complémentarité et des synergies dans l'usage des infrastructures numériques entre secteur public et privé.
  4. La mise en place des signes de reconnaissance d'uneconfiance qualifiée assurant une garantie pour des échanges électroniques formels, caractéristique essentielle pour que les utilisateurs tirent pleinement avantage des services proposés.

  5. Les citoyens et résidents pourront maintenant bénéficier de la reconnaissance aisée du nouveau label européen de confiance, instauré par le règlement dans le but de signaler les prestataires de services qualifiés. Ce label augmente la transparence du marché et apporte une présomption de valeur légale permettant de s'assurer de la sécurité maximale juridique et technique des échanges réalisés ou des services utilisés.

 Le logo représentant le label de confiance européen Le logo représentant le label de confiance européen

Les défis de la mise en place et de l'adoption

Le législateur a prévu avec soin la phase de mise en œuvre du règlement.

Elle est intéressante à observer et comprendre. 

La mise en place du règlement se réalise progressivement sur presque cinq années (2014-2019).

  • Les années 2015 et 2016 correspondent à une période d'accompagnement et d'approfondissement. Elles ont vu la publication de huit actes d'exécution afin de préciser des modalités importantes d'application des articles du règlement. On a assisté aussi à l'accélération des travaux de normalisation confiés au CEN et à l'ETSI dans le cadre du mandat 460 pour bénéficier de standards adéquats à l'application du nouveau règlement.
  • Les travaux des années 2017 et 2018 sont davantage orientés vers la mise en place plus opérationnelle du règlement, en conjonction avec l'arrivée progressive des notifications des schémas d'identification électroniques nationaux et la fin de la période de transition pour les services de confiance.

Initié fin 2015, le travail du réseau de coopération entre les Etats Membres entre dans sa phase décisive en 2017 avec la discussion sur les premiers schémas pré-notifiés, pour contribuer à la bonne mise en place des schémas d'identité numérique et à la gouvernance de leur interopérabilité.

Simultanément les infrastructures numériques et particulièrement les nœuds de communication prévus pour supporter le fonctionnement du mécanisme d'interconnexion sont entrées dans une période de test et de phases pilotes d'interopérabilité entre plusieurs pays.

Des briques applicatives spécifiques servant à promouvoir des spécifications techniques partagées sont proposées.

On y trouve des modules d'authentification, mais aussi de signature, de facturation et d'envoi électronique. Ils peuvent être intégrées et utilisées aisément par les administrations publiques pour faciliter l'interopérabilité. Même la traduction instantanée a été prévue pour que l'on puisse accéder à l'administration d'un autre pays en lisant le contenu dans sa propre langue.

Par exemple, un conducteur autrichien qui a reçu une amende pour excès de vitesse aux Pays Bas peut déjà consulter avec son identité numérique, les informations détaillées de son amende, dans sa langue natale et choisir de payer ou contester électroniquement cette amende selon les procédures néerlandaises indiquées sur le site.

La mise en place a donc commencé dans le secteur gouvernemental et public. 

Mais l'autre enjeu important est l'adoption par le secteur privé des pratiques promues par le règlement. 

Le législateur attribue aux états la responsabilité de la mise en place des moyens nécessaires à l'implémentation tout en reconnaissant l'importance de l'implication des entreprises du secteur privé dans  la réussite du défi que représente le marché numérique européen. 

Le secteur privé Face à la diversité grandissante des pratiques numériques en Europe, la commission européenne cherche  ainsi à encourager l'adoption des dispositions du règlement eIDAS par le secteur privé. Le secteur public adoptera les mesures nécessaires à la réalisation du règlement: notification des schémas d'identification et leur niveau d'assurance, mise en place de nœuds d'interconnexion transfrontaliers, désignation d'organes de certification, contrôle et  supervision, publication de listes de SSCD notifiés (dispositifs de création de signature/cachet électroniques qualifiés) notification de prestataires de confiance qualifiées.

Pour atteindre cet objectif, la CE dispose de plusieurs atouts.

  • Il existe d'abord la traditionnelle dissémination à partir de la commande publique, la dépense publique représente en moyenne entre 45% et 50% du PIB de l'UE ce qui est très élevé.

  • Ensuite, la CE peut compter sur les partenariats Public Privé (PPP) pour diffuser les bonnes pratiques. Ces PPP sont en effet structurellement nombreux autour de l'identité numérique, puisque dans beaucoup d'Etats, pour atteindre une masse critique de services, il a été nécessaire de mettre en place des écosystèmes entre fournisseurs d'identité et fournisseurs de services nécessitant des ponts voir parfois des infrastructures partagées entre secteurs privés et publics.
     
  • A ces atouts vient s'ajouter l'approche sectorielle. Il s'agit de travailler sur des initiatives, législations ou projets sectoriels qui peuvent s'appuyer directement ou indirectement sur les mécanismes du règlement eIDAS.
    C'est aujourd'hui déjà visible dans le secteur financier, avec l'authentification et l'autorisation des paiements à distance (application de la directive révisée sur les services de paiement) ou la mise en conformité de la connaissance client (KYC) par exemple dans la directive de la lutte contre le blanchiment d'argent (AML4).
     
  • Plus largement ces transformations sont aussi perceptibles dans l'initiative de gouvernance de la santé (eHGI) et d'autres secteurs ou l'identification à distance et l'authentification sécurisée sont importantes. 

L'arrivée des identités numériques transfrontières

Pour pouvoir être utilisées dans le cadre du règlement, les identités numériques doivent figurer dans un schéma national qui doit lui-même passer un processus de notification de quelques mois. 

Ou en sommes-nous au début de l'année 2017 de cette phase de notification  

Sur le front des tests d'interopérabilité, les progrès sont palpables via les premiers pilotes multi-pays. 

En décembre 2016, l'Allemagne, les Pays Bas et l'Autriche ont annoncé avoir connecté avec succès leurs infrastructures numériques d'identification et d'authentification pour accéder aux services numériques d'un des pays à travers leurs nœuds de connexion transfrontalière mis en production. Le pilote d'essai réalisé dans le cadre du projet e-sens comprenait l'accès aux services de l'agriculture, du transport routier et des collectivités locales des Pays Bas.

L'Allemagne et l'eDIAS 

La première pré-notification qui marque l'enclenchement du processus de notification a bien eu lieu à la date du 20 février 2017. Le premier Etat Membre à franchir ce pas est donc l'Allemagne avec la pré-notification de sa carte d'identité nationale qui compte 40 millions de citoyens enregistrés. Un pas de plus dans la perspective de l'arrivée de 5 autres cas d'identités numériques transfrontières attendus avant la fin de l'année 2017. 

Une autre question importante vis-à-vis de l'arrivée de ces identités, est celle du niveau de confiance associé aux schémas d'identification notifiés. 

Si l'on considère la bonne vingtaine de schémas existant en 2016 au sein des pays de l'UE (mais pas encore notifiés), on peut estimer que plus d'une quinzaine devraient pouvoir prétendre à un niveau de confiance substantiel ou élevé, étant donné qu'ils reposent déjà sur des exigences d'identification et des moyens d'authentification correspondant à ces niveaux.  

Ces estimations semblent aujourd'hui confirmées par les déclarations des Etats Membres, puisque selon le compte rendu de la réunion du réseau de coopération qui s'est tenue fin 2016, 15 Etats Membres sur 18 ayant un projet de notification élaboré ont fait part de leur intention de notifier des niveaux substantiels ou élevés. 

Signatures, cachets ou horodatages électroniques 

Promouvoir une confiance numérique qualifiée

Avec le règlement le périmètre des services de confiance s'est élargi. 

A ce jour, neufs services de confiance numériques sont susceptibles de qualification sur le plan européen, alors que l'ancienne directive de 1999 sur la signature électronique de 1999, n'en prévoyait qu'un seul : la signature numérique basée sur un certificat qualifié. 

Quels sont ces services de confiance ?

Tout d'abord la création, vérification et validation de signatures, cachets ou horodatages électroniques, de services d'envoi recommandé électronique ainsi que de certificats qualifiés associés à ces services. 

L'horodatage électronique permet d'attester que des données sous forme électronique existent à un instant donné. Quant à l''envoi recommandé électronique qualifié pour transmettre des données entre tiers par voie électronique, en fournissant des preuves concernant le traitement des données transmises. 

Les services de conservation de ces mêmes services et certificats qualifiés font également du règlement. 

Enfin l'émission, vérification et validation de certificats qualifiés pour l'authentification de sites internet (certificats permettant d'établir sans ambiguïté l'identité de leur propriétaire légitime, qu'elle soit une personne physique ou morale). 

Dans ce contexte la consolidation de la confiance numérique repose sur des exigences stratégiques, organisationnelles et techniques supplémentaires qui sont élevées. 

Les entreprises qui veulent faire qualifier leur service de confiance numériques sont soumis à une évaluation préalable, puis en cas de décision d'octroi du statut qualifié, à une supervision continue sur l'ensemble de leurs activités qualifiées notamment sur les aspects d'analyse prévisionnelle des risques, de gestion de la sécurité du système d'information et de gestion des certificats numériques. 

En contrepartie de la satisfaction de telles exigences, mesurée périodiquement par un audit d'évaluation de la conformité, le régime de qualification offre une présomption de fiabilité pour satisfaire le besoin d'intégrité et de sécurité des acteurs économiques. 

Nous pouvons observer les premiers mouvements du positionnement de l'offre, du côté des prestataires.

Il y a d'abord le mouvement de transfert des prestataires déjà qualifiés (environ 150) sous l'ancien régime lié à la directive signature électronique et qui doivent basculer sur eIDAS avant le 1er Juillet prochain.

Ce mouvement est bien amorcé puisqu'une bonne trentaine de prestataires étaient déjà qualifiés sous le nouveau régime eIDAS au 1er Janvier 2017.

Pour les nouveaux services, l'émergence de cette nouvelle offre qualifiée prend du temps.

Ce n'est pas seulement que l'offre est nouvelle et qu'elle doit trouver son marché, mais aussi que sa maturité est encore conditionnée par le processus d'aboutissement de travaux de standardisation.

C'est le cas par exemple pour :

  • la conservation à long terme des signatures,
  • pour l'envoi de recommandés électroniques,
  • la signature numérique à distance.

Il faut donc encore patienter un peu pour apprécier le vrai potentiel de ces nouveaux services, mais celui-ci semble bien orienté.

2017, année charnière

L'année 2017 marque donc un tournant dans la mise en place du règlement grâce à cette double concrétisation de la nouvelle offre de confiance qualifiée et de la notification des premiers schémas d'identification numérique. Ce sont des avancées significatives qui vont permettre aux acteurs économiques de pouvoir cueillir les premiers fruits du règlement.

C'est aussi dans la perspective du marché unique du numérique européen, qu'il faut situer cette étape. Un marché dont la CE pointe le potentiel de génération de valeur économique autour de 415 milliards d'Euros par an, ce qui est considérable.

Si pour l'utilisateur les promesses de simplicité, de sécurité et d'interopérabilité accrues pourront se réaliser, ce sera en contrepartie d'un cadre de confiance numérique permettant, de s'affranchir de la sophistication des écosystèmes.

Et c'est tant mieux.  

Comme nous le préconisons pour tous les pays avec lesquels nous travaillons, la complexité du système ne doit pas être apparente.

Communiquer sur la validité juridique du système et l'extraordinaire effort de sécurité mis en œuvre ne génère que le doute. L'organisation de la gouvernance du système d'identification, ses techniques et ses experts doivent rester en coulisses.

Gemalto et le règlement eIDAS 

Gemalto et le règlement eIDAS

La confiance numérique constitue le cœur de métier de Gemalto. Conscients du potentiel de développement que représente le marché unique numérique, mais aussi des risques de cybercriminalité, nous saluons tout naturellement le travail effectué par le législateur et les Etats membres pour lever les obstacles et mettre en place le cercle vertueux de la transformation numérique en Europe.

Dans ce cadre, nous avons mis nos experts sécurité à disposition du Mandat 460 pour contribuer à l'évaluation des risques de sécurité et au développement d'un cadre normatif d'interopérabilité des systèmes.

Nous continuons ce travail au sein de groupes de standardisation CEN et ETSI qui accompagnent la mise en œuvre du règlement. 

Grâce à notre expertise et notre expérience terrain, notre portefeuille de solutions d'identité électronique permet à nos clients, entreprises privées ou agences gouvernementales, de bénéficier de solutions éprouvées et compatibles avec le règlement eIDAS et les actes d'implémentation.

Nous mettons à la disposition du marché des moyens d'identification sécurisés (documents d'identité électronique, cartes de résidents ou d'assurance sociale) ainsi que des dispositifs de création de signature qualifiée certifiés selon la procédure Critères Communs (EAL5+ minimum) pour atteindre le niveau d'Assurance le plus élevé défini par le règlement.

Nos solutions d'authentification sur base d'infrastructure à clé publique (PKI) permettent de valider en toute sécurité l'identité numérique d'un utilisateur sur un réseau public ou privé.

Les gouvernements, tout comme les prestataires de service de confiance, peuvent ainsi répondre aux exigences du règlement pour établir des transactions transfrontalières aisées, fiables et sécurisées.