Paperless transactions: How to get the best from the EU regulation

​​​​​​​Transactions électroniques: Comment tirer le meilleur parti de la réglementation européenne

25/06/2019

Grâce à la réglementation européenne eIDAS, les grandes entreprises, PME et particuliers peuvent désormais effectuer des transactions électroniques complètes, nationales et transfrontalières, dans un cadre tout à fait légal. Pour une sécurité optimale, il convient toutefois de faire appel à un prestataire de services de confiance qualifié (Qualified Trust Services Provider ou QTSP).

 

La réglementation eIDAS instaure un cadre pour les citoyens et les entreprises régulant l'utilisation des services de confiance électroniques tels que les cachets ou signatures électroniques, les horodatages, les services d'envois recommandés et les certificats d'authentification de sites Web. Elle définit les normes auxquelles les produits et solutions prenant en charge ces services doivent satisfaire. L'objectif principal de cette réglementation est d'établir un socle commun pour les interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques.

 

Pas de papier ? Pas de problème.

 

Grâce au règlement eIDAS, la preuve électronique doit désormais être acceptée. Les tribunaux, en particulier, ne peuvent nier l'effet juridique et la recevabilité des documents électroniques en tant que preuves dans le cadre de procédures judiciaires au seul motif qu'il s'agit de documents électroniques.

 

Dès lors, si un particulier ou une organisation souhaite effectuer une transaction électronique, que ce soit pour s'enregistrer en tant qu'étudiant auprès d'une université étrangère ou pour répondre à un appel d'offre, ils peuvent le faire en toute légalité de partout en Europe. Pour sécuriser la transaction, ils peuvent avoir recours à un service de confiance comme un service de signature électronique ou un service d'horodatage.

 

Outre le gain de temps et l'économie réalisés par rapport aux transactions papier, le règlement eIDAS garantit une reconnaissance transfrontalière des identités électroniques nationales et des transactions électroniques prenant en charge les services de confiance. Ce cadre, qui sécurise et facilite les transactions, favorise également l'interopérabilité des systèmes dans toute l'Europe.

 

Trust services you can trust

 

Des services de confiance véritablement fiables

 

Les avantages potentiels de la réglementation eIDAS ont une portée considérable. Cependant, pour un fonctionnement optimal et sécurisé des services de confiance prenant en charge les transactions électroniques, il est essentiel que ceux-ci soient configurés et gérés par le prestataire adéquat, de préférence un prestataire de services de confiance qualifié.

 

Il existe deux types de services de confiance : les services génériques et les services qualifiés. La différence entre un prestataire de services de confiance qualifié ou non qualifié réside donc dans les types de services qu'ils proposent. Un prestataire de services de confiance non qualifié peut uniquement intervenir pour des services génériques qui ne requièrent pas le même niveau de confirmation juridique que des services qualifiés. Ces prestataires sont toutefois tenus de respecter certaines exigences en termes d'accessibilité, de protection des données personnelles et de gestion des risques et de la sécurité. De même, ils sont responsables des préjudices causés intentionnellement ou par négligence à toute personne ou organisation résultant du non-respect des obligations du règlement eIDAS.

 

Les services de confiance qualifiés exigeant le plus haut niveau de confiance, c'est à un prestataire de services de confiance qualifié qu'il convient de faire appel. Pour en trouver un, cherchez le logo distinctif « label de confiance européen », illustré au sommet de la pyramide ci-dessous, qui signale les QTSP. Ce label est votre garantie de qualité et de fiabilité. Il ne s’agit pas de l'un de ces « labels de qualité » dénués de fondement ou presque. Comme l'indique la pyramide, la réglementation eIDAS impose un ensemble cohérent d'exigences et d'obligations pour les prestataires de services de confiance qualifiés et les services qu'ils fournissent. Celles-ci ont pour but de renforcer la confiance des consommateurs et des entreprises (PME en particulier) dans le marché électronique.

 

Une évaluation rigoureuse

 

Dans le cadre de ce régime de supervision, tous les deux ans, les QTSP et les services qu’ils fournissent sont soumis à un audit d'évaluation de la conformité rédigé par un réviseur agréé, confirmant le respect des exigences de la réglementation eIDAS. C'est aux autorités de contrôle nationales que revient la décision d'accorder (ou de retirer) la qualification aux services de confiance et à leurs prestataires. Ces décisions sont publiées dans des listes de confiance nationales signées au moyen d'une signature électronique ou cachetées au moyen d'un cachet électronique, et adaptées au traitement automatisé.

 

La pyramide de confiance établie par la réglementation eIDAS repose également sur l'application de bonnes pratiques et de normes. Afin d'assurer l'uniformité des conditions d'application de la réglementation, la Commission européenne a le pouvoir d'établir des spécifications de mise en œuvre et de fixer des normes avec des numéros de référence, dont l'utilisation indique la conformité à des exigences spécifiques.

 

Les QTSP simplifient la vie de leurs clients

 

Bien que le recours à un QTSP pour établir des services de confiance qualifiés implique d'effectuer certaines procédures, dont l'enregistrement sécurisé des services, dans la plupart des cas, celles-ci ne sont à faire qu'une seule fois. Pour certaines d'entre elles, le prestataire peut d'ailleurs s'occuper de tout.

 

Ainsi, du point de vue du client, il est relativement simple de faire appel à un QTSP pour établir et gérer les services qualifiés, d'autant que c'est à lui qu'incombe la charge de la preuve en cas de préjudices. Par ailleurs, la valeur légale des services de confiance qualifiés est très claire et les outils fournis par le règlement eIDAS, dont le label de confiance et les listes de confiance lisibles en machine, garantissent la reconnaissance automatique des services par les applications disponibles dans le commerce.

 

Une nouvelle technologie, plus d'avantages

 

En plus de favoriser des niveaux de confiance constants, l'application de normes dans le cadre de la règlementation eIDAS facilite le développement de solutions interopérables et prêtes à l'emploi pour différents aspects des services de confiance électroniques. De nouvelles solutions visant à améliorer les services peuvent également être développées, même s'il n'existe pas encore de norme associée, pour autant qu'elles soient conformes aux exigences eIDAS.

 

Depuis l'entrée en vigueur de la réglementation eIDAS il y a quelques années, le marché semble s'autoréguler. La Commission européenne ne fait référence qu'à quelques normes et des réviseurs, des organisations professionnelles, dont le CA/Browser Forum, ainsi que des sociétés privées comme Adobe ont choisi les normes par rapport auxquelles les QTSP doivent être audités.

 

Cette flexibilité dans l'utilisation des normes s'est notamment traduite par l'augmentation des solutions interopérables qui aident les particuliers et les entreprises de chaque côté de la transaction électronique à communiquer de façon ouverte et sûre. Ainsi, la signature électronique qualifiée d'une personne, générée par un service de création de signatures de confiance dans un pays, peut être validée par quelqu'un d'autre dans un autre pays, grâce à une application sur l'ordinateur de ce dernier. Les deux parties ne doivent pas nécessairement partager la même application ou le même prestataire. Autre scénario possible, l'envoi et la réception d'un recommandé électronique entre un expéditeur et un destinataire qui ne sont pas clients auprès du même prestataire de services.

 

Non seulement ces applications « parlent » le même langage standardisé et se comprennent, mais grâce aux listes de confiance nationales mentionnées précédemment, elles permettent également à leurs utilisateurs de savoir si la sortie d'un service de confiance est qualifiée ou non. Le statut du prestataire de services de confiance qualifié est déterminant pour les interactions électroniques. Fort heureusement, la réglementation qui a établi ce statut a également encouragé le développement d'une technologie qui en facilite l'identification.

 

A propos de l’auteur

Sylvie smallSylvie Lacroix, CISA (Certified Information Systems Auditor) et Directrice de la société SEALED, jouit de plus de 20 années d'expérience dans le domaine de la sécurité électronique. Titulaire d'un Master de l'École polytechnique de Louvain en formation technique, Sylvie a débuté sa carrière en tant que chercheuse en cryptographie à l'UCL (Université catholique de Louvain). Au fil des années, elle a acquis une solide expérience en représentation des entreprises et exploitation des sujets liés à la sécurité, à la cryptographie et aux infrastructures de clés publiques (PKI). Sylvie a participé à la mise en œuvre de projets majeurs en Europe et au-delà, parmi lesquels des projets de cartes d'identité nationales électroniques et de passeports électroniques. Elle a participé, en qualité d'expert, à différentes études européennes sur les signatures électroniques qui ont servi de base pour l'élaboration du règlement eIDAS. Elle a également travaillé pour de prestigieuses organisations telles que les gouvernements européens, la Commission européenne, de grandes entreprises ainsi que le CEN et l'ETSI, deux organismes de normalisation européens majeurs. Sylvie dirige actuellement le groupe de travail spécial de l'ETSI sur la validation des signatures (STF 524) et a également rédigé les stratégies de sécurité pour les prestataires de services de confiance (TSP).

En savoir plus?

Rejoignez nous sur LinkedIn