Le règlement "eIDAS" n°910/2014

Le règlement « eIDAS » n°910/2014 du 23 juillet 2014 a pour ambition d'accroître la confiance dans les transactions électroniques au sein du marché intérieur.

Publié le 09 Août 2022 Mis à jour le 25 Février 2025

Le règlement « eIDAS » n°910/2014 du 23 juillet 2014 a pour ambition d'accroître la confiance dans les transactions électroniques au sein du marché intérieur. Il établit un socle commun pour les interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques.

Le 20 mai 2024, le règlement « eIDAS 2 » n°2024/1183 vient apporter des modifications au précédent règlement de 2014. Toutefois, l’ambition du texte demeure inchangée. 

D’une part, le règlement eIDAS vise à définir des exigences de sécurité harmonisées et à instaurer un mécanisme de reconnaissance mutuelle des moyens d’identification électronique des États membres sur l’ensemble des services en ligne des autres États membres.

D’autre part, il vise à instaurer un cadre juridique pour les services de confiance, en définissant des exigences de sécurité et d'interopérabilité ainsi qu'un schéma de qualification pour certains de ces services.

Pour ses aspects techniques le règlement eIDAS renvoie à des actes d’exécution (listés dans la partie « Références réglementaires »). Dans le cadre du nouveau texte, de nouveaux actes d’exécution doivent être adoptés par la Commission européenne : 

  • D’ici le 21 novembre 2024, des nouveaux actes d’exécutions relatifs à l’identification électronique, et plus particulièrement au portefeuille européen d’identité numérique
  • D’ici le 21 mai 2025, des nouveaux actes d’exécution relatifs aux services de confiance.

Quelles sont les nouveautés suite à l’entrée en vigueur du nouveau règlement eIDAS ?

Le nouveau règlement eIDAS est entrée en vigueur le 21 mai 2024. L’adoption de ce règlement représente une évolution majeure dans le domaine de l’identité numérique, avec une obligation pour les États membres de délivrer des portefeuilles européens d’identité numérique d’ici fin-2026 permettant notamment aux citoyens de s’identifier électroniquement avec un niveau de garantie élevé. Ce nouveau règlement poursuit également un objectif d’harmonisation croissante des services de confiance. Enfin, le texte prévoit la mise en place d’une nouvelle instance de coopération transverse au niveau européen : l’European Digital Identity Cooperation Group (EDICG).

L’enjeu phare de la révision du règlement eIDAS est donc l’avènement du portefeuille européen d’identité numérique qui devra être obligatoirement mis à disposition des citoyens par chaque Etat-membre.

Le portefeuille européen d’identité numérique est défini par la Commission européenne comme un produit et un service qui permet à l’utilisateur de stocker des données d’identification, des justificatifs et des attributs liés à son identité, de les communiquer aux parties utilisatrices sur demande et de les utiliser pour s’authentifier, en ligne et hors ligne, sur des services publics/privés ; et de créer des signatures et cachets électroniques qualifiés.

Le périmètre des services de confiance est étendu par l’ajout de quatre nouveaux services de confiance pouvant faire l’objet d’une qualification, ce qui porte à 9 leur nombre (cf. annexe 2):

  • La délivrance d’attestation électronique d’attribut ;
  • L’archivage électronique ;
  • Les registres électroniques ; et
  • La gestion à distance des dispositifs de création de signature et cachet électronique qualifiés (QSCD).

A qui s’adresse cette réglementation ?

Le règlement concerne les citoyens, les entreprises, les organismes du secteur public et les prestataires de services de confiance établis dans l'Union européenne.

Il couvre en particulier les échanges entre usagers et organismes du secteur public. Les mécanismes de reconnaissance mutuelle des moyens d’identification électronique et des signatures électroniques, s’appliquent ainsi uniquement à ces organismes dans leurs relations avec les usagers.

Quelles sont ses principales dispositions ?

Le règlement eIDAS traite de l’identification électronique (chapitre II), des services de confiance (chapitre III) et des documents électroniques (chapitre IV).

Objectifs et principes du chapitre « identification électronique » du règlement

Le règlement eIDAS vise à instaurer un mécanisme de reconnaissance mutuelle des moyens d’identification électronique,dont le portefeuille européen d’identité numérique, des États membres sur l’ensemble des services en ligne des autres États membres en s'appuyant sur des exigences de sécurité harmonisées.

Le règlement :

  • définit les fonctionnalités et spécifications permettant l’interopérabilité des portefeuilles européens d’identité numérique ;
  • définit les exigences relatives à la certification des portefeuilles européens d’identité numérique ;
  • définit les spécifications permettant l’interopérabilité des moyens d’identification électronique ;
  • définit les niveaux de garantie, et exigences de sécurité associées, de ces moyens ;
  • précise les conditions de reconnaissance mutuelle des moyens d’identification électronique délivrés dans les États membres.

Trois niveaux de garantie des schémas d’identification électronique sont prévus par le règlement répondant à des exigences de sécurité croissantes : faible, substantiel et élevé.

Les exigences applicables aux différents niveaux de garantie qui sont prévus par le règlement sont détaillées dans le règlement d’exécution n°2015/1502 du 8 septembre 2015 qui définit pour chacun les spécifications, normes et procédures minimales devant être respectées. Les nouveaux actes d’exécution relatifs au portefeuille européen d’identité numérique doivent être adoptés au plus tard pour le 21 novembre 2024.

Le réseau de coopération, composé de représentants des États membres, a été instauré par la décision d’exécution 2015/296 et est notamment chargé de rendre des avis sur les différents schémas d’identification électronique notifiés par les États membres. Ces avis sont publics et sont disponibles sur le site de la Commission européenne. Un nouveau groupe de coopération « European Digital Identity Cooperation Group », dit EDICG, doit être mis en place par la Commission européen dès septembre 2024 afin de garantir la coopération des Etats membres sur les sujets relatifs au portefeuille européenne d’identité numérique, aux moyens d’identification électroniques et aux services de confiance.

L'ANSSI est garante de la sécurité pour le volet identification électronique du règlement eIDAS. Dans ce cadre, elle évalue le bon respect de ces exigences par les organismes fournissant les moyens d’identification électronique.

L’ANSSI publie une liste actualisée de l’ensemble des moyens d’identification électronique qu’elle certifie.

Objectifs et principes du chapitre « services de confiance » du règlement

Le règlement eIDAS prévoit des exigences pour les services de confiance relatifs à la signature électronique, au cachet électronique, à l’horodatage électronique, à l’envoi recommandé électronique et à l’authentification de sites internet, à la gestion à distance des dispositifs de création de signature et cachet électronique, à l’archivage électronique, aux registres électroniques et aux attestations électroniques d’attributs.

Le règlement établit une distinction entre les services de confiance qualifiés et les services de confiance non qualifiés. Les services de confiance qualifiés satisfont à des exigences particulières et peuvent bénéficier d’effets juridiques spécifiques. Les services de confiance qualifiés sont assurés par des prestataires de services de confiance qualifiés.

Le règlement accorde également des effets juridiques spécifiques aux signatures électroniques qualifiées et aux cachets électroniques qualifiés.

En outre, il prévoit des exigences spécifiques concernant la certification des dispositifs de création de signature ou de cachet électronique qualifiés (QSCD) permettant la mise en œuvre de signatures électroniques qualifiées.

Les prestataires de services de confiance qualifiés font l’objet d’audits réguliers effectués par des organismes d’évaluation de la conformité, accrédités conformément au règlement n°765/2008 du 9 juillet 2008.

Le règlement instaure, au niveau national, un régime de contrôle des prestataires de service de confiance, passant en particulier par la désignation d'un organe de contrôle par chaque État membre. Cet organe de contrôle est notamment chargé d’accorder ou retirer le statut qualifié aux services de confiance, sur la base des évaluations de conformité réalisées.

Les nouveaux actes d’exécution relatifs aux services de confiance doivent être adoptés au plus tard le 21 mai 2025.

La « liste nationale de confiance » contient la liste des services de confiance qualifiés par l’ANSSI au titre de ce règlement.

L’ANSSI publie également une liste actualisée de l’ensemble des produits et services qu’elle qualifie.

Quel est le rôle de l’ANSSI ?

L'ANSSI intervient à double titre dans l'application du règlement eIDAS :

  • Pour le volet "identification électronique", l'ANSSI est garante de la sécurité des moyens d'identification électronique permettant de s'authentifier pour un service en ligne. A ce titre, elle établit le référentiel national précisant les exigences de sécurité applicables à chaque niveau de garantie des moyens d'identification électronique et évalue le bon respect de ces exigences par les organismes fournissant les moyens d’identification électronique.
  • Pour le volet "services de confiance", l'ANSSI est l'organe de contrôle français des services de confiance. A ce titre, l'ANSSI assure notamment les missions suivantes : le contrôle a priori et a posteriori des prestataires de services de confiance qualifiés ;  l’attribution et le retrait du statut « qualifié » aux prestataires de services de confiance qui en font la demande ; la conduite d’audits ou la requête d’évaluation de la conformité des prestataires de services de confiance qualifiés par des organismes d’évaluation ; la définition des modalités techniques de respect des exigences du règlement eIDAS ;  et l’analyse des rapports d’évaluation de la conformité.

De plus, l’ANSSI est aussi l'organisme de certification des dispositifs de création de signature ou de cachet électronique qualifiés (QSCD) et l'organisme en charge de l’établissement et de la publication de la liste nationale de confiance recensant les services de confiance qualifiés.

Points de contact

Pour toute question relative à un référentiel d’exigences publié par l’ANSSI ou aux textes réglementaires, le point de contact à privilégier est supervision-eIDAS@ssi.gouv.fr.
Les questions préliminaires à une demande de certification de conformité ou de qualification sont à adresser au bureau Politique Industrielle et Assistance de l’ANSSI (industries@ssi.gouv.fr).
Les demandes de certification de conformité ou de qualification sont à adresser au bureau Qualification et Agrément de l’ANSSI (qualification@ssi.gouv.fr).

Pour toute information complémentaire, une FAQ est disponible.

PDF
FAQ - Règlement eIDAS

L’identification électronique

Pour aller plus loin

Découvrir

Les services de confiance

Pour aller plus loin

Découvrir

L'articulation avec le RGS

Bien que le règlement eIDAS se recoupe pour une partie de ses dispositions avec le Référentiel général de sécurité (RGS), ce dernier continue pleinement à s’appliquer aux échanges entre autorités administratives.

Découvrir

Obtenir un certificat de signature électronique

Découvrir

Référentiel documentaire lié au règlement eIDAS

Découvrir

Référentiels d’exigences ANSSI

Référentiels d’exigences applicables à la qualification des prestataires de services de confiance

Découvrir

Guide de sélection du niveau des signatures et des cachets électroniques

Les entités dématérialisant des services doivent désormais choisir le niveau de signature électronique approprié, en fonction des contraintes réglementaires applicables et des risques de litiges identifiés.

Découvrir

Notification d’un incident - Règlement eIDAS

Découvrir