Recevez chaque jour toute l'actualité du numérique

x

Le ledger comme service de confiance dans la proposition de règlement eIDAS

Tribune La proposition de Règlement eIDAS telle qu’évoquée dans nos précédentes Chroniques relatives à l’identité numérique et à la Remote Signature met en avant certaines technologies comme les Registres. Si certaines voies comme le Self Sovereign Identity eIDAS Bridge ont été explorées par la Commission, elles étaient centrées sur une thématique particulière : l’identité numérique. Cette chronique du Cabinet Caprioli & Associés a pour objectif d’exposer comment le ledger (registre) pourra désormais être qualifié de service de confiance.
Twitter Facebook Linkedin Flipboard Email
×

Le ledger comme service de confiance dans la proposition de règlement eIDAS
Le ledger comme service de confiance dans la proposition de règlement eIDAS © dr

Quelle différence entre "ledger" et blockchain ?
Il faut bien comprendre que la blockchain est un type particulier de registre. Si toutes les blockchains sont des registres, tous les registres ne sont pas des blockchains. Alors qu’un registre est un concept générique décrivant le stockage d’une liste d’informations de même nature, une blockchain est un registre qui stocke les informations sous la forme d’une chaîne séquencée de blocs immutables qui sont répliqués.

La Commission a donc choisi d’intégrer le registre électronique plutôt que la blockchain comme service de confiance.

Quelles sont les raisons à l’origine de cette Proposition d’intégration ?
L’absence de réglementation européenne sur la question des registres électronique peut conduire à une fragmentation des législations nationales en la matière. Pour l’éviter, la Commission devait définir un cadre propre à un Marché unique assurant la reconnaissance transfrontalière de services de confiance s’appuyant sur les registres. Ces derniers sont déjà utilisés dans le domaine financier pour les actifs numériques. De nombreux cas d’usage démontrent leur compatibilité avec la réglementation financière : la DSP2, la MIFID2 ou le MICA : la proposition de Règlement du Parlement européen et du Conseil sur les marchés de crypto-actifs du 24 septembre 2020.

Une définition "neutre" du registre
Le ledger (registre) trouve une définition à la proposition d’art. 3.53 : "a tamper proof electronic record of data, providing authenticity and integrity of the data it contains, accuracy of their date and time, and of their chronological ordering". Il s’agit donc d’un enregistrement électronique "inviolable" des données, assurant l'authenticité et l'intégrité des données qu'il contient, l'exactitude de leur date et heure, et de leur ordre chronologique.
 

Il n’est pas mentionné que ce registre soit distribué ou centralisé, laissant ainsi supposer une neutralité quant au mode d’implémentation. Neutralité qui semble toutefois être mise à mal dans le cadre de l’explication de certains services de confiance (p.11) :
"An electronic ledger combines time stamping of data and their sequencing with certainty about the data originator similar to e-signing with the additional benefit of enabling a more decentralized governance that is suitable for multi-party cooperation".

Le registre semble donc devoir être entendu comme un registre "plus" décentralisé mais sans pour autant que cette assimilation soit entérinée dans le texte. En effet, une décentralisation totale s’effectuerait au détriment d’une autorité centrale ou d’intermédiaires en charge de la gestion des transactions. Dès lors, comment se justifierait sa place comme service de confiance s’il n’y avait pas une entité à qui imputer la responsabilité correspondante ?

C’est pourquoi la Commission a posé des exigences pour le qualifier en tant que service de confiance, qu’il soit qualifié ou non.

Les registres électroniques et le Juge
L’une des principales avancées du texte a trait aux effets légaux d’un registre électronique (art. 45 h), ce dernier pouvant être admissible comme preuve judiciaire, dont la valeur juridique ne peut être déniée au motif de sa forme électronique ou du fait que le registre n’est pas un service de confiance qualifié.

Ainsi, le Juge va devoir appréhender cette nouvelle réalité technique à laquelle il sera confrontée – tout comme pour les autres technologies diffusées dans tribunaux comme la signature électronique – il va devoir s’appuyer sur des éléments de nature à démontrer la fiabilité desdits registres. Il conviendra que ces éléments soient synthétiques, didactiques juridiquement et – surtout – intelligibles pour convaincre le Juge. Un gros travail en perspective pour tout prestataire entendant recourir à un registre et/ou une blockchain.

La présomption de fiabilité pour les registres électroniques qualifiés
Conformément à l’art. 45-h al.2 de la Proposition de Règlement, les registres électroniques qualifiés disposeront d’une présomption de fiabilité concernant l’unicité et l’authenticité des données qu’ils contiennent, de l’exactitude des dates et heures ainsi que l’ordre chronologique séquentiel du Registre. A sa lecture, on comprend que cette présomption de fiabilité a trait à la traçabilité des opérations (par exemple celles intervenant sur un document), leur horodatage et leur intégrité. Il sera donc important de faire le lien entre un document donné et ses traces conservées dans le registre électronique qualifié.

La nécessité de recourir à des Prestataires de services de confiance qualifiés
L’article 45-i prévoit les exigences nécessaires pour disposer d’un tel registre électronique qualifié. La Proposition de Règlement réintroduit le(s) Prestataire(s) de Service(s) de confiance qualifié(s) comme unique(s) créateur(s) d’un registre électronique qualifié. Dès lors, les exigences figurant à l’article 24 de l’actuel Règlement eIDAS pour les Prestataires de services de confiance qualifiés devront être respectées par tout prestataire entendant offrir un tel service de confiance qualifié.

Ces exigences permettent de trouver des réponses à différentes questions posées pour tout projet s’appuyant sur une blockchain/un registre : Quelle sécurité ? Quelle gouvernance ? Quelle responsabilité ? Les autres exigences renvoient directement ou indirectement à la notion d’horodatage, la fiabilité de certaines dates étant mise en exergue :
"(b) they ensure the uniqueness, authenticity and correct sequencing of data entries recorded in the ledger;
(c) they ensure the correct sequential chronological ordering of data in the ledger and the accuracy of the date and time of the data entry;
(d) they record data in such a way that any subsequent change to the data is immediately detectable.
"

Une présomption de conformité à ces exigences est prévue pour tout registre respectant des standards techniques dont la liste sera publiée par la Commission européenne. On peut supposer que les travaux actuels de l’ISO sur la blockchain (ISO 22739:2020 -Blockchain and distributed ledger technologies — vocabulary ; ISO/DTR 23249 blockchain and distributed ledger technologies – Overview of existing DLT systems for identity management ;  ISO/DTR 3242 Blockchain and distributed ledger technologies – use case ; ISO/DTS 23258 Blockchain and distributed ledger technologies — Taxonomy and ontology ; ISO/DIS 23257 Blockchain and distributed ledger technologies — reference architecture) serviront d’état de l’art quant à la conception de ces standards.

A suivre : l’archivage électronique et la proposition de règlement.

Eric A. CAPRIOLI et Pascal AGOSTI, Avocats associés, Docteurs en droit
Caprioli & Associés, société d’avocats membre du réseau Jurisdéfi

Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction

 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.