Transactions électroniques: Comment tirer le meilleur parti de la réglementation européenne 25/06/2019 Grâce à la réglementation européenne eIDAS, les grandes entreprises, PME et particuliers peuvent désormais effectuer des transactions électroniques complètes, nationales et transfrontalières, dans un cadre tout à fait légal. Pour une sécurité optimale, il convient toutefois de faire appel à un prestataire de services de confiance qualifié (Qualified Trust Services Provider ou QTSP). La réglementation eIDAS instaure un cadre pour les citoyens et les entreprises régulant l'utilisation des services de confiance électroniques tels que les cachets ou signatures électroniques, les horodatages, les services d'envois recommandés et les certificats d'authentification de sites Web. Elle définit les normes auxquelles les produits et solutions prenant en charge ces services doivent satisfaire. L'objectif principal de cette réglementation est d'établir un socle commun pour les interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques. Pas de papier ? Pas de problème. Grâce au règlement eIDAS, la preuve électronique doit désormais être acceptée. Les tribunaux, en particulier, ne peuvent nier l'effet juridique et la recevabilité des documents électroniques en tant que preuves dans le cadre de procédures judiciaires au seul motif qu'il s'agit de documents électroniques. Dès lors, si un particulier ou une organisation souhaite effectuer une transaction électronique, que ce soit pour s'enregistrer en tant qu'étudiant auprès d'une université étrangère ou pour répondre à un appel d'offre, ils peuvent le faire en toute légalité de partout en Europe. Pour sécuriser la transaction, ils peuvent avoir recours à un service de confiance comme un service de signature électronique ou un service d'horodatage. Outre le gain de temps et l'économie réalisés par rapport aux transactions papier, le règlement eIDAS garantit une reconnaissance transfrontalière des identités électroniques nationales et des transactions électroniques prenant en charge les services de confiance. Ce cadre, qui sécurise et facilite les transactions, favorise également l'interopérabilité des systèmes dans toute l'Europe. Des services de confiance véritablement fiables Les avantages potentiels de la réglementation eIDAS ont une portée considérable. Cependant, pour un fonctionnement optimal et sécurisé des services de confiance prenant en charge les transactions électroniques, il est essentiel que ceux-ci soient configurés et gérés par le prestataire adéquat, de préférence un prestataire de services de confiance qualifié. Il existe deux types de services de confiance : les services génériques et les services qualifiés. La différence entre un prestataire de services de confiance qualifié ou non qualifié réside donc dans les types de services qu'ils proposent. Un prestataire de services de confiance non qualifié peut uniquement intervenir pour des services génériques qui ne requièrent pas le même niveau de confirmation juridique que des services qualifiés. Ces prestataires sont toutefois tenus de respecter certaines exigences en termes d'accessibilité, de protection des données personnelles et de gestion des risques et de la sécurité. De même, ils sont responsables des préjudices causés intentionnellement ou par négligence à toute personne ou organisation résultant du non-respect des obligations du règlement eIDAS. Les services de confiance qualifiés exigeant le plus haut niveau de confiance, c'est à un prestataire de services de confiance qualifié qu'il convient de faire appel. Pour en trouver un, cherchez le logo distinctif « label de confiance européen », illustré au sommet de la pyramide ci-dessous, qui signale les QTSP. Ce label est votre garantie de qualité et de fiabilité. Il ne s’agit pas de l'un de ces « labels de qualité » dénués de fondement ou presque. Comme l'indique la pyramide, la réglementation eIDAS impose un ensemble cohérent d'exigences et d'obligations pour les prestataires de services de confiance qualifiés et les services qu'ils fournissent. Celles-ci ont pour but de renforcer la confiance des consommateurs et des entreprises (PME en particulier) dans le marché électronique. Une évaluation rigoureuse Dans le cadre de ce régime de supervision, tous les deux ans, les QTSP et les services qu’ils fournissent sont soumis à un audit d'évaluation de la conformité rédigé par un réviseur agréé, confirmant le respect des exigences de la réglementation eIDAS. C'est aux autorités de contrôle nationales que revient la décision d'accorder (ou de retirer) la qualification aux services de confiance et à leurs prestataires. Ces décisions sont publiées dans des listes de confiance nationales signées au moyen d'une signature électronique ou cachetées au moyen d'un cachet électronique, et adaptées au traitement automatisé. La pyramide de confiance établie par la réglementation eIDAS repose également sur l'application de bonnes pratiques et de normes. Afin d'assurer l'uniformité des conditions d'application de la réglementation, la Commission européenne a le pouvoir d'établir des spécifications de mise en œuvre et de fixer des normes avec des numéros de référence, dont l'utilisation indique la conformité à des exigences spécifiques. Les QTSP simplifient la vie de leurs clients Bien que le recours à un QTSP pour établir des services de confiance qualifiés implique d'effectuer certaines procédures, dont l'enregistrement sécurisé des services, dans la plupart des cas, celles-ci ne sont à faire qu'une seule fois. Pour certaines d'entre elles, le prestataire peut d'ailleurs s'occuper de tout. Ainsi, du point de vue du client, il est relativement simple de faire appel à un QTSP pour établir et gérer les services qualifiés, d'autant que c'est à lui qu'incombe la charge de la preuve en cas de préjudices. Par ailleurs, la valeur légale des services de confiance qualifiés est très claire et les outils fournis par le règlement eIDAS, dont le label de confiance et les listes de confiance lisibles en machine, garantissent la reconnaissance automatique des services par les applications disponibles dans le commerce. Une nouvelle technologie, plus d'avantages En plus de favoriser des niveaux de confiance constants, l'application de normes dans le cadre de la règlementation eIDAS facilite le développement de solutions interopérables et prêtes à l'emploi pour différents aspects des services de confiance électroniques. De nouvelles solutions visant à améliorer les services peuvent également être développées, même s'il n'existe pas encore de norme associée, pour autant qu'elles soient conformes aux exigences eIDAS. Depuis l'entrée en vigueur de la réglementation eIDAS il y a quelques années, le marché semble s'autoréguler. La Commission européenne ne fait référence qu'à quelques normes et des réviseurs, des organisations professionnelles, dont le CA/Browser Forum, ainsi que des sociétés privées comme Adobe ont choisi les normes par rapport auxquelles les QTSP doivent être audités. Cette flexibilité dans l'utilisation des normes s'est notamment traduite par l'augmentation des solutions interopérables qui aident les particuliers et les entreprises de chaque côté de la transaction électronique à communiquer de façon ouverte et sûre. Ainsi, la signature électronique qualifiée d'une personne, générée par un service de création de signatures de confiance dans un pays, peut être validée par quelqu'un d'autre dans un autre pays, grâce à une application sur l'ordinateur de ce dernier. Les deux parties ne doivent pas nécessairement partager la même application ou le même prestataire. Autre scénario possible, l'envoi et la réception d'un recommandé électronique entre un expéditeur et un destinataire qui ne sont pas clients auprès du même prestataire de services. Non seulement ces applications « parlent » le même langage standardisé et se comprennent, mais grâce aux listes de confiance nationales mentionnées précédemment, elles permettent également à leurs utilisateurs de savoir si la sortie d'un service de confiance est qualifiée ou non. Le statut du prestataire de services de confiance qualifié est déterminant pour les interactions électroniques. Fort heureusement, la réglementation qui a établi ce statut a également encouragé le développement d'une technologie qui en facilite l'identification. A propos de l’auteur Sylvie Lacroix, CISA (Certified Information Systems Auditor) et Directrice de la société SEALED, jouit de plus de 20 années d'expérience dans le domaine de la sécurité électronique. Titulaire d'un Master de l'École polytechnique de Louvain en formation technique, Sylvie a débuté sa carrière en tant que chercheuse en cryptographie à l'UCL (Université catholique de Louvain). Au fil des années, elle a acquis une solide expérience en représentation des entreprises et exploitation des sujets liés à la sécurité, à la cryptographie et aux infrastructures de clés publiques (PKI). Sylvie a participé à la mise en œuvre de projets majeurs en Europe et au-delà, parmi lesquels des projets de cartes d'identité nationales électroniques et de passeports électroniques. Elle a participé, en qualité d'expert, à différentes études européennes sur les signatures électroniques qui ont servi de base pour l'élaboration du règlement eIDAS. Elle a également travaillé pour de prestigieuses organisations telles que les gouvernements européens, la Commission européenne, de grandes entreprises ainsi que le CEN et l'ETSI, deux organismes de normalisation européens majeurs. Sylvie dirige actuellement le groupe de travail spécial de l'ETSI sur la validation des signatures (STF 524) et a également rédigé les stratégies de sécurité pour les prestataires de services de confiance (TSP). En savoir plus? Rejoignez nous sur LinkedIn First Name * Last Name * Email Address * Country * -- Please Select -- Afghanistan Åland Islands Albania Algeria American Samoa Andorra Angola Anguilla Antarctica Antigua and Barbuda Argentina Armenia Aruba Australia Austria Azerbaijan Bahamas Bahrain Bangladesh Barbados Belarus Belgium Belize Benin Bermuda Bhutan Bolivia Bosnia and Herzegovina Botswana Bouvet Island Brazil Brit/Indian Ocean Terr. Brunei Darussalam Bulgaria Burkina Faso Burundi Cambodia Cameroon Canada Cape Verde Cayman Islands Central African Republic Chad Chile China Christmas Island Cocos (Keeling) Islands Colombia Comoros Congo The Dem. Republic Of Cook Islands Costa Rica Côte D'Ivore Croatia Cuba Cyprus Czech Republic Denmark Djibouti Dominica Dominican Republic Ecuador Egypt El Salvador Equatorial Guinea Eritrea Estonia Ethiopia Falkland Islands Faroe Islands Fiji Finland France French Guiana French Polynesia French Southern Terr. Gabon Gambia Georgia Germany Ghana Gibraltar Greece Greenland Grenada Guadeloupe Guam Guatemala Guinea Guinea-Bissau Guyana Haiti Heard/McDonald Isls. Honduras Hong Kong Hungary Iceland India Indonesia Iran Iraq Ireland Israel Italy Jamaica Japan Jordan Kazakhstan Kenya Kiribati Korea (North) Korea (South) Kuwait Kyrgyzstan Laos Latvia Lebanon Lesotho Liberia Libya Liechtenstein Lithuania Luxembourg Macau Macedonia Madagascar Malawi Malaysia Maldives Mali Malta Marshall Islands Martinique Mauritania Mauritius Mayotte Mexico Micronesia Moldova Monaco Mongolia Montserrat Morocco Mozambique Myanmar N. Mariana Isls. Namibia Nauru Nepal Netherlands Netherlands Antilles New Caledonia New Zealand Nicaragua Niger Nigeria Niue Norfolk Island Norway Oman Pakistan Palau Palestinian Territory Panama Papua New Guinea Paraguay Peru Philippines Pitcairn Poland Portugal Puerto Rico Qatar Reunion Romania Russian Federation Rwanda Saint Kitts and Nevis Saint Lucia Samoa San Marino Sao Tome/Principe Saudi Arabia Senegal Serbia and Montenegro Seychelles Sierra Leone Singapore Slovak Republic Slovenia Solomon Islands Somalia South Africa Spain Sri Lanka St. Helena St. Pierre and Miquelon St. Vincent and Grenadines Sudan Suriname Svalbard/Jan Mayen Isls. Swaziland Switzerland Sweden Syria Taiwan Tajikistan Tanzania Thailand Timor-Leste Togo Tokelau Tonga Trinidad and Tobago Tunisia Turkey Turkmenistan Turks/Caicos Isls. Tuvalu Uganda Ukraine United Arab Emirates United Kingdom US Minor Outlying Is. United States Uruguay Uzbekistan Vanuatu Vatican City Venezuela Viet Nam Virgin Islands (British) Virgin Islands (U.S.) Wallis/Futuna Isls. Western Sahara Yemen Zambia Zimbabwe Department * -- Please Select -- eCommerce / Marketing Engineering Finance General InStore IT Logistics Maintenance None Packaging Production Purchasing Quality Sales Supply Chain Transport / Distribution Warehouse Level * -- Please Select -- Director Manager Collaborator Company * Industry * -- Please Select -- Trade - Food Retail Trade - Non-Food Retail Trade - Wholesale Trade - Food Service Manuf - Metal & non-ferro Manuf - (Petro)Chemical Manuf - Pharma & Cosmetics Manuf - Construction Supplies Manuf - Equipment & Electro Manuf - Automotive & Aeronautics Manuf - Paper & Carton Manuf - Textile & Leather Manuf - Food, Bev. & Cleaning Manuf - Others (furniture, toys, …) Services - Banking & Insurance Services - Hospitality Services - Utilities & Telecom Services - Healthcare Services - Maint., Constr., Others Services - Postal & CEP Services - Transport & Logistics Services - People Transportation Services - IT & Consultancy Services - Manuf. w/o local prod. Public, Gov, Army, Education Extraction, Agricult., Breeding Manuf – Medical Devices & Optical Business Phone Message * What's the color of the sky ? Consent text I agree to receive communication from Zetes. (We won't spam you and you can unsubscribe anytime). Please notify me periodically of future industry reports, case studies, events and solutions that are relevant to me. (You can unsubscribe at any time.) Yes, please No, thank you