Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Europe numérique : Tout sur le nouveau règlement sur l’identification et les services de confiance

Le numérique ne bouleverse pas que les business models. Pour le prendre en compte, les règles et les lois sont elles aussi en pleine mutation. Chaque vendredi midi, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour nous fournir des clés pour déchiffrer les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée… Aujourd’hui, regard sur les nouvelles règles européennes en matière de transactions électroniques, qui sont au cœur de la construction du marché unique numérique européen. 
mis à jour le 23 octobre 2015 à 17H08
Twitter Facebook Linkedin Flipboard Email
×

Europe numérique : Tout sur le nouveau règlement sur l’identification et les services de confiance
Europe numérique : Tout sur le nouveau règlement sur l’identification et les services de confiance © D.R.

La grande majorité des entreprises a mis en place des processus de contractualisation sous forme électronique vis-à-vis de ses clients et de ses fournisseurs. Pour ce faire, l’une de leurs principales attentes était de disposer de documents et contrats sécurisés ayant la même valeur juridique et force probante que leur équivalent papier (v. FNTC, Vade-mecum juridique de la dématérialisation des documents, téléchargeable : www.caprioli-avocats.com). C’est ce à quoi les législateurs français et européen se sont attelés.

 

Un réglement à appliquer au 1er juillet 2016

Ainsi, après une directive en 1999 sur les signatures électroniques, aux effets limités et divers selon les Etats membres, l’Union européenne a adopté un Règlement sur l’identification et les services de confiance le 23 juillet 2014. Ce texte sera directement applicable dans tous les Etats membres pour la majorité de ses dispositions à compter du 1er juillet 2016. Il a pour principal objectif de renforcer la confiance et la sécurité juridique des transactions électroniques au sein du marché intérieur. Son incidence sur les usages numériques intra-européens des entreprises est considérable.

 

une Identité numérique

S’agissant de l’identification électronique, le Règlement traite uniquement des identités numériques "régaliennes", obligatoires pour la sphère publique, mais sur lesquelles les entreprises pourront se fonder. En France, il s’agira sans doute de systèmes d’identité numérique issus des travaux de France Connect, faute de carte nationale d’identité électronique, contrairement à de nombreux pays européens.

 

Il y aura trois niveaux de garantie (faible, substantiel et élevé) à choisir en fonction du risque que présente la transaction. Lorsqu’un Etat notifie un schéma d’identification électronique à la Commission européenne, il figurera sur une liste publiée au journal officiel de l’UE,  assurant ainsi l’information réciproque et la reconnaissance mutuelle de tels systèmes dans tous les Etats membres. Sans cette notification, le schéma national n’aura d’effet que dans l’Etat concerné.

 

Des services de confiance numérique

Aux termes du Règlement, font partie des services de confiance : la signature électronique, le cachet électronique, l’horodatage, les envois recommandés et l’authentification de site web.

 

L’harmonisation européenne reposera sur des prestataires qualifiés (PSCo) et des services de confiance qualifiés. Ces services de confiance qualifiés seront interopérables et feront l’objet d’une reconnaissance mutuelle dans les pays de l’UE. Ces services qualifiés bénéficient d’une présomption de fiabilité, alors que ceux qui ne le sont pas devront être prouvés par la personne qui s’en prévaut. Mais la valeur juridique de ces derniers ne pourra être déniée au seul motif qu’ils sont réalisés sous forme électronique ou qu’ils ne répondent pas à toutes les exigences des services qualifiés.

 

Un Label de confiance des prestataires

La signature électronique permet de garantir l’identité du signataire et l’intégrité du document, voire le consentement à l’acte (ex : France, Belgique).  Le Règlement prévoit 3 niveaux de sécurité de la signature électronique comme en droit français : la signature électronique, la signature électronique avancée et la signature électronique qualifiée (SEQ) : "une signature électronique avancée qui est crée à l’aide d’un dispositif de création de signature électronique qualifié et qui repose sur un certificat qualifié de signature électronique" (en France, art. 2 du Décret du 30 mars 2001). Dès lors qu’elle remplit ces 3 conditions cumulées, la SEQ est déclarée avoir des effets juridiques équivalents à ceux d’une signature manuscrite.

 

Les signatures à la volée dont l’usage s’est généralisé en France pour la souscription de contrats en ligne ou sur le lieu de vente (banque, assurance, mutuelle, télécoms, distribution de produits, …), suppose que la gestion des clés privées soit centralisée. Ce type de signature devrait être reconnu sous réserve d’être sécurisée et utilisée sous contrôle exclusif du signataire.

 

Normes et actes d’exécution

Plusieurs actes d’exécution ont été publiés en septembre 2015 renvoyant, directement ou indirectement à des normes techniques, mais avec des incidences juridiques fortes, élaborées dans le cadre des organismes de normalisation européens (CEN, ETSI...) et ce, notamment dans le domaine de la signature électronique. 5.

 

Prestataires de services de confiance

Le Règlement impose à tous les PSCo de prendre les mesures adéquates de sécurité pour gérer les risques liés aux services de confiance et de notifier à l’organe de contrôle (l’ANSSI) ou à l’autorité chargée de la protection des données (CNIL), dans les meilleurs délais, de toute atteinte à la sécurité de leurs services de confiance ou sur les données à caractère personnel qu’ils conservent. Les PSco qualifiés sont soumis à des contrôles et audits réguliers de leur conformité aux exigences du Règlement. Chaque Etat membre établit, met à jour et publie des listes de confiance sur les PSCo qualifiés et les informations relatives aux services de confiance qu’ils fournissent.

 

Si, pour les entreprises, les enjeux de ces nouvelles règles sont importants, pour leur mise en oeuvre, on est déjà demain !

 

Eric A. CAPRIOLI, Avocat à la Cour, Docteur en droit

 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale