Service de confiance
Les services de confiance permettent d’uniformiser les exigences techniques afin de créer un socle commun d’interopérabilité, essentiel au développement des échanges transfrontaliers et à l’amélioration de la sécurité des transactions dans le marché unique numérique.
⚠︎ Les prestataires de services de confiance ne doivent pas être confondus avec les prestataires de « services d'intermédiation » ou « organismes compétents » qui permettent d'assurer le partage de données protégées.
I. Cadre légal de l’activité des prestataires de services de confiance
- Lexique : Service de confiance
« [S]ervice électronique normalement fourni contre rémunération qui consiste en l’une des activités suivantes :
a) la délivrance de certificats de signature électronique, de certificats de cachet électronique, de certificats pour l’authentification de site internet ou de certificats pour la fourniture d’autres services de confiance ;
b) la validation de certificats de signature électronique, de certificats de cachet électronique, de certificats pour l’authentification de site internet ou de certificats pour la fourniture d’autres services de confiance ;
c) la création de signatures électroniques ou de cachets électroniques ;
d) la validation de signatures électroniques ou de cachets électroniques ;
e) la préservation de signatures électroniques, de cachets électroniques, de certificats de signature
électronique ou de certificats de cachet électronique;
f) la gestion de dispositifs de création de signature électronique à distance ou de dispositifs de création de cachet électronique à distance ;
g) la délivrance d’attestations électroniques d’attributs ;
h) la validation d’attestations électroniques d’attributs ;
i) la création d’horodatages électroniques ;
j) la validation d’horodatages électroniques ;
k) la fourniture de services d’envoi recommandé électronique ;
l) la validation de données transmises au moyen de services d’envoi recommandé électronique, ainsi que de preuves connexes ;
m) l’archivage électronique de données électroniques et de documents électroniques ;
n) l’enregistrement de données électroniques dans un registre électronique ».
Le Règlement 910/2014 du 23 juillet 2014, dit « Règlement eIDAS » :
- définit les conditions de reconnaissance mutuelle des moyens d’identification électronique entre États membres ;
- établit des règles applicables aux services de confiance, notamment pour les signatures électroniques, cachets électroniques, horodatages, documents électroniques, envois recommandés électroniques et certificats pour l’authentification des sites internet.
Le règlement de 2014 a été modifié et complété par le Règlement 2024/1183 du 11 avril 2024 modifiant le Règlement 910/2014 en ce qui concerne l'établissement du cadre européen relatif à une identité numérique.
Le règlement eIDAS vise à définir des exigences de sécurité harmonisées et à instaurer un mécanisme de reconnaissance mutuelle des moyens d’identification électronique des États membres sur l’ensemble des services en ligne des autres États membres.
Il vise également à instaurer un cadre juridique pour les services de confiance, en définissant des exigences de sécurité et d'interopérabilité ainsi qu'un schéma de qualification pour certains de ces services.
Sa révision en 2024 porte surtout l'avènement du "portefeuille européen d'identité numérique" qui est un produit et un service qui permet à l’utilisateur de stocker des données d’identification, des justificatifs et des attributs liés à son identité, de les communiquer aux parties utilisatrices sur demande et de les utiliser pour s’authentifier, en ligne et hors ligne, sur des services publics/privés ; et de créer des signatures et cachets électroniques qualifiés.
La révision a également permis d'étendre le champ d'application des services de confiance par l’ajout de quatre nouveaux services de confiance pouvant faire l’objet d’une qualification (neuf en tout) :
- La délivrance de certificats qualifiés de signature électronique, de cachet électronique et d’authentification de site internet ;
- La validation qualifiée des signatures électroniques qualifiées et des cachets électroniques qualifié ;
- La conservation qualifiée des signatures électroniques qualifiées et des cachets électroniques qualifiés ;
- L'horodatage électronique qualifié ;
- L'envoi recommandé électronique qualifié ;
- La délivrance d’attestation électronique d’attribut ;
- L’archivage électronique ;
- Les registres électroniques ;
- La gestion à distance des dispositifs de création de signature et cachet électronique qualifiés (QSCD).
Le Règlement permet également d'affirmer les effets juridiques produits par les outils électroniques. Peuvent ainsi être produits en justice et être recevables comme preuve les signatures électroniques, les cachets électroniques, les horodatages électroniques et les envois recommandés électroniques.
Recherche scientifique
Le règlement concerne les citoyens, les entreprises, les organismes du secteur public et les prestataires de services de confiance établis dans l'Union européenne. Il couvre en particulier les échanges entre usagers et organismes du secteur public. Les mécanismes de reconnaissance mutuelle des moyens d’identification électronique et des signatures électroniques, s’appliquent ainsi uniquement à ces organismes dans leurs relations avec les usagers.
Cependant, le règlement eIDAS est un règlement indirectement pertinent en matière de sécurité des systèmes d'information ou des données de la recherche, en ce qu'il concerne surtout la sécurité en matière de signature électronique. Il permet surtout d'obliger les États membres de l'Union européenne de délivrer des portefeuilles européens d'identité numérique des citoyens avec un niveau de garantie élevé.
II. Obligations légales des prestataires de services de confiance
Les prestataires ont pour obligation de :
- effectuer le traitement de données à caractère personnel conformément au RGPD ;
- rendre accessible aux personnes atteintes de handicap, dans la mesure du possible, leurs services de confiance ainsi que les produits servant à fournir ces services et destinés à un utilisateur final ;
- prendre les mesures techniques et organisationnelles adéquates pour gérer les risques liés à la sécurité des services qu'ils fournissent ; et
- notifier à l'organe de contrôle (ANSSI) (et, lorsque l'atteinte est susceptible de lui porter préjudice, la personne physique ou morale concernée) toute atteinte à la sécurité ou toute perte d'intégrité ayant une incidence importante sur le service de confiance fourni ou sur les données à caractère personnel qui y sont conservées.
III. Responsabilité des prestataires de services de confiance
Si, par négligence ou intentionnellement des dommages sont causés à toute personne physique ou morale en raison d’un manquement aux obligations prévues par le règlement, leur responsabilité peut être engagée. – Article 13 du Règlement eIDAS
Lorsque le prestataire est « qualifié », il est présumé avoir agi intentionnellement ou par négligence. La charge de la preuve de la faute est donc inversée.
Un prestataire qualifié applique des procédures conformes aux normes européennes ainsi qu’aux recommandations techniques de l’ANSSI (voir Référentiels d’exigences pour la qualification)
L’ANSSI impose aux prestataires de services d’horodatage électronique de conserver, pendant au moins sept ans après l’expiration de chaque jeton d’horodatage, toutes les informations pertinentes relatives aux données délivrées et reçues. Cette exigence garantit la disponibilité de preuves en cas de litige. – ANSSI, Services d’horodatage électronique qualifiés. Critères d’évaluation de la conformité au règlement eIDAS, p. 6
Cette disposition, couplée à l’inversion de la charge de la preuve, crée une présomption simple de faute (intentionnelle ou par négligence) de la part du prestataire qualifié en cas de dommage. Cela facilite ainsi la démarche probatoire pour les utilisateurs.