Un an après l’entrée en application du règlement eIDAS, où en sommes-nous ?

Le règlement européen n° 910/2014, dit « eIDAS », est devenu applicable, pour la majorité de ses dispositions, le 1er juillet 2016. Abrogeant la directive sur la signature électronique de 1999 et recoupant en partie le Référentiel général de sécurité français, ce règlement a profondément modifié l’écosystème de la confiance numérique en France et en Europe.

Publié le 05 Juillet 2017 Mis à jour le 05 Juillet 2017

Le règlement européen eIDAS est consacré à l’identification électronique et aux services de confiance.

L’ANSSI, désignée comme organe de contrôle par les autorités françaises, est désormais responsable de la supervision des prestataires de services de confiance, et en particulier de l’attribut du statut qualifié aux prestataires respectant les exigences spécifiées dans le règlement.

Le 1er juillet 2017 marquait la date d’expiration du délai de transition prévu par le règlement pour les prestataires qualifiés au titre de l’ancienne directive. Depuis, l’ensemble des prestataires de services de confiance qualifiés en France ont l’obligation, pour poursuivre leurs activités, de transmettre à l’ANSSI un rapport attestant leur conformité aux nouvelles exigences qui leur sont applicables.

 

 

Coordination et harmonisation européenne

Un an après l’entrée en application du règlement, deux organismes européens ont souhaité en établir un premier bilan. L’ANSSI a répondu présente pour partager son retour d’expérience.

L’ETSI (European Technical Standard Institute) organisme européen de standardisation, organisait du 12 au 16 juin à Sophia Antipolis, sa « semaine de la sécurité 2017 ».

Dans ce cadre, Romain Santini, chef de projet eIDAS à l’ANSSI et président de l’association FESA (Forum of European Supervisory Authorities for Trust Service Providers), a pu participer à deux tables tondes : «  Retours d’expérience d’organismes d’évaluation de la conformité, d’organismes nationaux d’accréditation et d’organes de contrôle », et « supervision et schémas d’audit pour les services d’envoi recommandé électroniques ». L’occasion de rappeler le besoin d’harmonisation des règles au niveau européen, passant par la définition de standards techniques appropriés et l’adoption de la législation secondaire prévue par le règlement.

 

L’ENISA, l’agence européenne chargée de la sécurité de l’information et des réseaux, organisait également, le 29 juin, le forum des prestataires de services de confiance. L’ANSSI a pu partager son expérience en participant à la table ronde « Un an après l’application du règlement – où en sommes-nous ? », en faisant la rétrospective des travaux menés en France sur l’année écoulée tout en rappelant l’enjeu d’une harmonisation des pratiques de l’ensemble des organes de contrôle désignés dans l’Union européenne.

 

 

eIDAS demain ?

Le règlement eIDAS vise en outre à instaurer un mécanisme de reconnaissance mutuelle des schémas d’identification électronique notifiés à la Commission européenne par les États membres pour l’accès aux services en ligne offerts par les organismes du secteur public des autres États membres. C’est en septembre 2018 que cette reconnaissance des schémas d’identification électronique deviendra obligatoire dans toute l’union.