L’Europe remet à plat les règles en matière de signature électronique
Publié le 31/08/2014 par Thierry Léonard, Hervé Jacquemin
Quinze ans après la directive 1999/93/CE sur la signature électronique, le législateur européen a remis l’ouvrage sur le métier pour adopter, le 23 juillet 2014, un règlement sur l’identification électronique et les services de confiance pour les transactions électroniques (règlement eIDAS).
Tous les acteurs intéressés – les citoyens/consommateurs ainsi que les entreprises et les autorités publiques – doivent être en mesure de recourir aux technologies de l’information et de la communication (et notamment l’internet) en toute confiance et avec un niveau de sécurité élevé. Cela suppose notamment qu’ils puissent identifier avec certitude un cocontractant potentiel et que les obstacles à l’utilisation de certains outils (tels que des services de signature, d’horodatage ou de recommandé électroniques) soient levés. Par ailleurs, ces objectifs doivent être atteints dans un contexte transfrontalier paneuropéen de sorte que, par exemple, un citoyen belge puisse s’identifier auprès d’une administration publique italienne, en utilisant des technologies fournies par une entreprise allemande (ce qui requiert, entre autres, que les moyens techniques utilisés soient interopérables).
La directive précitée de 1999 ne permettant pas de répondre adéquatement à ces défis (en ne fournissant pas de cadre transfrontalier et intersectoriel complet en matière de transactions électroniques, notamment), la décision a été prise de l’abroger et de la remplacer par un règlement. La plupart des dispositions seront d’application à partir du 1er juillet 2016.
Les dispositions du règlement sont principalement de deux ordres.
D’une part, elles consacrent la reconnaissance mutuelle des moyens d’identification électronique délivrés par un Etat membre et qui seraient utilisés dans un autre Etat membre. On songe à l’hypothèse d’un étudiant belge qui souhaiterait s’inscrire en ligne dans une université espagnole, en établissant son identité au moyen de sa carte d’identité électronique. Pour les entreprises, cette reconnaissance mutuelle est importante dans le cadre des marchés publics et des réponses aux appels d’offres. Une procédure est mise en place, pour organiser la coopération entre les Etats membres et les autorités européennes (spécialement la Commission), et garantir l’interopérabilité des moyens d’identification utilisés.
D’autre part, le règlement eIDAS établit un cadre juridique pour plusieurs services de confiance. Outre la signature électronique, sont également visés le cachet électronique (qui doit permettre de garantir l’origine et l’intégrité d’un document électronique délivré par une personne morale), l’horodatage électronique (pour prouver l’existence des données à un moment particulier), les services d’envois recommandés et l’authentification de site internet (pour s’assurer qu’un site web est géré par celui qui s’en prétend titulaire).
Le règlement pose plusieurs principes majeurs.
Le principe de non-discrimination interdit de refuser tout effet juridique à une signature, un cachet, un horodatage, un recommandé ou un document électroniques, au motif qu’ils seraient électroniques ou que le service ne serait pas « qualifié ». Parallèlement, la signature électronique qualifiée peut être assimilée à une signature manuscrite. On présume également que les fonctions attendues du cachet, de l’horodatage ou du recommandé sont remplies lorsque ces services peuvent être considérés comme étant « qualifiés ». Ce qualificatif peut être octroyé moyennant le respect de normes très précises, telles qu’énoncées dans le règlement.
Par ailleurs, le règlement eIDAS prescrit diverses exigences applicables, de manière transversale, à tous les services de confiance, qu’ils soient qualifiés ou pas (responsabilité, contrôle, aspects internationaux, encadrement de l’activité des prestataires, etc.), ou à certains d’entre eux (pour leur utilisation dans les services publics, les questions de normalisation, la gestion des certificats, etc.).
En Belgique, il existe déjà des règles, au niveau fédéral ou des régions et communautés concernant la signature électronique ou certains documents électroniques. Une proposition de loi déposée lors de la précédente législature portait quant à elle sur certains services de confiance, tels que l’horodatage, l’archivage et le recommandé électroniques. Ces textes devront être revus à l’aune du règlement qui, rappelons-le, est d’application directe (il ne faut donc pas le transposer en tant que tel).
L’adoption du règlement eIDAS est assurément une excellente nouvelle. Gageons qu’avec ce nouvel instrument, ces services se généraliseront enfin (malgré son adoption de la directive en 1999, le recours à la signature électronique reste encore très limité), renforçant ainsi la confiance des acteurs dans les transactions électroniques. Ces nouvelles règles constituent aussi une opportunité pour les entreprises, dès lors qu’elles ouvrent des perspectives économiques intéressantes. Elles pourront désormais utiliser ces services (en particulier le nouveau service de cachet électronique), ou les fournir dans toute l’Union voire au-delà, avec un niveau élevé de sécurité juridique.