Depuis son lancement en 2016, eIDAS a progressivement augmenté le degré de confiance dans les transactions électroniques et donc la sécurité des transactions en ligne. Toutefois, l’interopérabilité souhaitée n’a pas été atteinte.

S’il y a quelques semaines, nous avons analysé les 6 questions clés pour comprendre eIDAS, aujourd’hui nous allons plus loin pour comprendre ce qui manquait à eIDAS et comment il a l’intention de se rattraper avec eIDAS 2.0.

Pour résumer, eIDAS est un cadre réglementaire régissant l’identification numérique et les services de confiance en Europe.

eIDAS 2.0 est l’adaptation d’eIDAS au contexte actuel de décentralisation et au paradigme SSI. Bien entendu, il prend également en compte les domaines d’amélioration identifiés, principalement liés à l’eID (d’autres services de confiance liés à l’eID sont également ajoutés).

En outre, elle introduit le concept de portefeuille d’identité numérique, qui vise à mettre en commun les titres d’identité des citoyens européens et à les rendre valables dans n’importe quel État membre.

eIDAS 2.0 devrait être opérationnel d’ici 2025. À cette fin, l’UE mettra à la disposition des États membres tous les outils nécessaires à la délivrance, à l’utilisation, à la vérification, etc. des titres de compétences.

L’objectif ultime est que, d’ici à 2030, la plupart des citoyens européens disposent d’un système d’identification appelé « e-ID », un moyen simple et sûr de partager des informations d’identification dans de multiples contextes, du permis de conduire aux diplômes professionnels en passant par les certificats médicaux. Ce système fonctionnera grâce aux portefeuilles numériques européens, disponibles sur les téléphones mobiles.

L’article 3, paragraphe 16, du règlement eIDAS définit les services fiduciaires comme des « services électroniques fournis contre rémunération, qui consistent en :

• (a) la création, la vérification et la validation de signatures électroniques, de sceaux électroniques ou d’horodatages, de services de livraison électronique certifiée et de certificats relatifs à ces services ; ou
• (b) la création, la vérification et la validation de certificats pour l’authentification de sites web ; ou
• (c) la conservation des signatures, sceaux ou certificats électroniques relatifs à ces services.

Les services de confiance (TS) garantissent la sécurité des transactions électroniques.

Le résultat de la signature électronique d’un document est un ensemble de bits et d’octets. Aucun document physique n’est obtenu. Les services de confiance sont nés pour pallier ces insuffisances, en opérant par l’intermédiaire de prestataires officiels (prestataires de services de confiance ou prestataires de services de confiance qualifiés) selon les normes de l’Union européenne.

L’eIDAS 2.0 introduit un niveau de sécurité plus élevé, l’utilisation d’un fournisseur de services de confiance qualifié (QTSP) doit être impliquée pour votre tranquillité d’esprit. Nous le définissons ci-dessous.

L’acronyme QTSP signifie Qualified Trust Service Provider (prestataire de services fiduciaires qualifié). En anglais, il s’agit d’un prestataire de services fiduciaires qualifié.

En règle générale, un PSQT est une entité (il peut également s’agir d’une personne physique) qui fournit des services fiduciaires qualifiés. Pour pouvoir fournir ces services, les PSQT sont placés sous le contrôle et la supervision d’un organisme national.

Le label de confiance de l’UE est réservé à certains prestataires et services, qui doivent se soumettre à des audits approfondis pour obtenir le statut de prestataire qualifié. Cela signifie qu’il s’agit de fournisseurs et de services de confiance sur lesquels vous pouvez compter pour effectuer vos transactions en ligne en toute sécurité.

1. Les PSQT et les services qu’ils proposent sont régis par des obligations strictes en matière de qualité et de sécurité. Ils sont donc très sûrs.
2. Avec un PSQT, il est très difficile d’usurper ou de manipuler le système, car toute modification de la configuration est effectuée par deux personnes de confiance, situées dans des locaux physiquement sécurisés.
3. Les STQP offrent le service le plus flexible et le plus adaptable. Par exemple, lorsque vous faites des affaires dans différents États membres, vous vous conformerez toujours aux exigences de tous les pays.
4. Seuls les QTSP agréés font partie de la liste de confiance de l’UE.

La principale différence entre un fournisseur de services de confiance (TSP) générique et un fournisseur de services de confiance qualifié (QTSP) réside dans la sécurité.

Le QTSP doit se conformer aux exigences fixées par eIDAS et faire l’objet d’un audit indépendant qui analysera la sécurité, le niveau de confiance et la qualité du service.

Les TSP et les QTSP doivent se conformer à l’eIDAS et être agréés en tant que prestataires de services de confiance (TSP) par leurs organismes nationaux compétents.

Selon eIDAS, les services de confiance sont les suivants :

• (1) Signature électronique
• (2) Scellés électroniques
• (3) Horodatage électronique
• (4) Service de livraison électronique certifié
• (5) Authentification du site web

eIDAS 2.0 étend les services de confiance en y ajoutant la sécurité la plus élevée, connue sous le nom de services « qualifiés ». Ces nouveaux services comprennent les services d’archivage de documents électroniques, l’attestation électronique d’attributs et les grands livres électroniques. Comme mentionné ci-dessus, les services de confiance sont liés à l’identification électronique.

Le portefeuille répond à l’objectif ultime de créer une identité numérique européenne. Il vise à permettre aux citoyens et aux entreprises européens d’accéder à leurs données personnelles via leur téléphone portable.

Il vous permet également de gérer toutes sortes de documents officiels et d’informations sensibles, qu’il s’agisse de permis de conduire, de diplômes, de contrats, d’ordonnances médicales, etc.

Le portefeuille est la numérisation de notre portefeuille physique. Grâce à cet outil virtuel, les citoyens de l’UE pourront stocker leurs cartes virtuellement.

L’objectif du portefeuille est d’identifier les personnes et de faciliter les transactions, comme par exemple :

• Enregistrements et inscriptions dans les services
• Authentification
• Paiements et accès aux services financiers
• Signatures électroniques
• Accréditation d’informations sensibles (âge, état civil, éducation, etc.)

En même temps, il protège la vie privée des utilisateurs, puisqu’ils sont les seuls à avoir accès à leurs informations.

Le portefeuille donne à l’utilisateur final le contrôle total de ses données. Il décide des informations à partager avec un service donné.

Le portefeuille numérique fonctionne de la même manière que son homologue physique.

Tout comme nous transportons notre carte d’identité, notre permis de conduire, nos cartes de paiement, etc. dans notre portefeuille physique, nous pouvons stocker les mêmes informations dans le portefeuille numérique, mais elles sont stockées dans le nuage.

Chaque portefeuille sera unique et associé à une personne physique ou à un représentant d’une entité juridique. En d’autres termes, il aura un numéro d’identification unique dans le monde, qui vous représentera sans donner de détails personnels.

Le portefeuille nous permet de confirmer qui nous sommes, que nous sommes majeurs, que nous avons un permis de conduire de type B, que nous avons été vaccinés contre Covid, que nous avons étudié dans une certaine école, etc.

Ainsi, si un utilisateur a besoin de fournir une preuve de son certificat de recensement, par exemple, il peut accéder directement au registre civil et télécharger ses informations.

Parce qu’elle simplifie la bureaucratie et rend la propriété des données personnelles à leurs propriétaires.

Le portefeuille stocke tout. Comme pour un portefeuille physique, si le propriétaire le perd, il devra annuler toutes ses cartes et refaire une demande pour la plupart des documents.

Le portefeuille stocke en toute sécurité toutes les informations personnelles d’un individu, telles que

• Carte d’identité
• Comptes bancaires
• Abonnements aux services
• Accès biométrique