Le contexte du règlement de l’UE n° 910/2014 (le « règlement eIDAS ») est récemment entré en vigueur et a établi un nouveau régime juridique pour l’identification électronique (« eID ») et les services de confiance pour les transactions électroniques. Le règlement eIDAS abroge la directive 1999/93 (la » directive « ) et s’applique directement dans tous les États membres de l’UE, il ne nécessite donc pas de loi nationale pour sa mise en œuvre.
Objectifs du règlement eIDAS
Le règlement eIDAS introduit la reconnaissance mutuelle des identités électroniques et des services de confiance électroniques (notamment les signatures électroniques, les sceaux électroniques, les horodateurs électroniques et l’authentification de sites web).
En ce qui concerne les signatures électroniques, le règlement eIDAS est conçu pour que les entreprises et les autres personnes effectuant les transactions au sein de l’UE puissent avoir la certitude de savoir que leurs signatures électroniques seront juridiquement valables aux fins de l’exécution des documents.
Lorsque la validité juridique des signatures électroniques ne fera plus de doute, il est envisagé que les interactions numériques deviennent la norme.
Les interactions numériques deviendront le mode de facto, en particulier dans le cas de transactions transfrontalières.
Cadre juridique antérieur
Le cadre juridique précédent pour les signatures électroniques était prévu par la directive européenne 1999/93.
Toutefois, la transposition de la directive dans les États membres de l’UE a entraîné une incertitude quant à la validité juridique des signatures électroniques.
La Directive a été transposée en droit irlandais en vertu de la loi sur le commerce électronique de 2000 (la « loi »). Cette loi prévoit que les signatures électroniques ont le même effet juridique que les signatures traditionnelles « à l’encre humide », avec des exceptions ; les testaments, les codicilles, les trusts, les procurations durables et tout procurations et tout document dans lequel un intérêt dans un bien immobilier peut être créé, acquis, cédé ou enregistré, à l’exception des contrats de création,
l’acquisition ou l’aliénation de tels intérêts, qui sont exclus du champ d’application de la loi.
Le règlement eIDAS
Reconnaissance mutuelle des identités électroniques
Le règlement eIDAS exige des États membres de l’UE qu’ils reconnaissent et acceptent tout moyen d’identification électronique émis dans un autre État membre qui a été notifié à la Commission, comme le prévoit le règlement eIDAS. La notification des moyens d’identification électronique acceptés est volontaire. Les moyens d’identification électronique qui ont été notifiés seront publiés au Journal officiel de l’Union européenne.
Validité juridique de la signature électronique
Le règlement eIDAS prévoit que les signatures électroniques ne doivent pas être privées d’effet juridique au motif qu’elles sont sous forme électronique. Comme indiqué ci-dessus, la validité juridique des signatures électroniques n’était pas claire en raison de la mise en œuvre de la directive. Le règlement eIDAS cherche maintenant à remédier à cette incertitude.
Trois niveaux de signature électronique
Le règlement eIDAS reconnaît trois niveaux de signature électronique :
Les signatures électroniques simples :
Il s’agit de « données sous forme électronique qui sont jointes ou associées logiquement à d’autres données sous forme électronique et qui sont utilisées par le signataire pour signer ». Tout ce qui entre dans cette définition peut être considéré comme une signature électronique simple, par exemple une signature dactylographiée.
E-signatures avancées : une e-signature avancée est une signature électronique qui :
– est liée de manière unique au signataire – est capable d’identifier le signataire – est sous le contrôle exclusif du signataire – est liée aux données signées de telle manière que toute modification l’invalide.
Signatures électroniques qualifiées :
Une signature électronique qualifiée est une signature créée par un dispositif de création de signature électronique qualifié et basée sur un certificat qualifié pour les signatures électroniques.
Prestataires de services de confiance et supervision
Le règlement eIDAS prévoit que les États membres de l’UE désignent un (ou plusieurs) organisme(s) de surveillance chargé(s) de réglementer les prestataires de services de confiance qualifiés – précédemment appelés prestataires de services de certification. Ceux-ci peuvent être qualifiés ou non qualifiés. Le règlement eIDAS introduit également une « marque de confiance » européenne. Celle-ci est destinée aux services de confiance qualifiés. Une fois le statut qualifié acquis, le prestataire de services de confiance qualifié peut utiliser la marque de confiance de l’UE pour indiquer un niveau de sécurité plus élevé. Les prestataires de services de confiance qualifiés sont tenus de respecter des règles plus strictes et sont surveillés de plus près par l’organe de surveillance. Les organes de surveillance sont établis pour superviser les deux formes de prestataires de services de confiance afin de s’assurer qu’ils répondent aux exigences définies dans le règlement eIDAS. Les deux types de prestataires de services de confiance sont tenus de prendre des mesures techniques et organisationnelles pour gérer les risques liés à la sécurité des services de confiance qu’ils fournissent, et d’informer l’organe de contrôle en cas de violation de la sécurité. Lorsque la violation de la sécurité est susceptible d’affecter une personne physique ou morale, le prestataire de services de confiance est tenu d’en informer la partie affectée. L’organe de surveillance doit rapporter annuellement les violations de sécurité à l’ENISA. Les Etats membres peuvent également établir un organe de surveillance sur le territoire d’un autre Etat membre sur accord mutuel.
