eIDAS 2.0 : Ce qui change pour le SEQ en 2025-2026

Qu’est-ce que eIDAS 2.0 ?

eIDAS 2.0 fait référence au règlement (UE) 2024/1183, qui modifie le règlement eIDAS initial (910/2014) régissant l’identification électronique et les services de confiance dans l’UE depuis 2016. Il s’agit d’une version améliorée d’eIDAS 2.0, qui tient compte des limites découvertes au cours des huit premières années de mise en œuvre.

Pourquoi une mise à jour était-elle nécessaire ?

Le règlement eIDAS initial a remarquablement réussi à créer un cadre juridique pour les signatures électroniques qualifiées et la confiance numérique transfrontalière. Cependant, des lacunes sont apparues :

Adoption limitée des systèmes nationaux d’identification électronique

D’ici à 2021, seuls 59 % des résidents de l’UE pourront utiliser une identité électronique fiable pour accéder à des services en ligne transfrontaliers. Les États membres pouvaient notifier volontairement leurs systèmes nationaux d’identification électronique, mais nombre d’entre eux n’ont pas créé de systèmes complets, ce qui a entraîné une fragmentation.

Une mise en œuvre incohérente

Les organismes nationaux de surveillance et les organisations d’évaluation de la conformité ont interprété les exigences eIDAS différemment, créant ainsi des niveaux de sécurité et des normes de confiance variables d’un État membre à l’autre. Un fournisseur de signature qualifiée certifié en Allemagne peut être confronté à des exigences différentes de celles d’un fournisseur italien.

Lacunes technologiques

Le règlement de 2014 n’a pas anticipé la façon dont les smartphones allaient devenir le principal dispositif d’identité numérique. La création de signatures qualifiées à distance était possible mais fastidieuse, nécessitant des jetons USB ou des cartes à puce plutôt que des solutions mobiles intégrées.

Portée limitée des services fiduciaires

Les services fiduciaires tels que l’archivage électronique, les grands livres électroniques et la gestion des signatures électroniques à distance n’étaient pas couverts de manière adéquate, malgré la demande croissante des entreprises pour ces capacités.

Ce qui change la donne : Portefeuille européen d’identité numérique (EUDIW)

La pièce maîtresse d’eIDAS 2.0 est le portefeuille européen d’identité numérique, uneapplication mobile qui changera fondamentalement la façon dont les Européens prouvent leur identité et signent des documents par voie numérique.

Qu’est-ce que l’EUDIW ?

Le portefeuille européen d’identité numérique est une application pour smartphone (ou autre appareil personnel) qui permet aux utilisateurs de.. :

• Stockez et gérez les documents d’identité numériques : Cartes d’identité nationales, permis de conduire, qualifications professionnelles, diplômes, cartes d’assurance maladie, etc.
• Prouvez votre identité sans révéler de données inutiles : Par exemple, prouvez que vous avez plus de 18 ans sans indiquer votre date de naissance exacte ou votre nom complet.
• Créez des signatures électroniques qualifiées directement depuis votre téléphone : Pas besoin d’applications distinctes, de clés USB ou d’appareils physiques.
• Accédez aux services publics et privés : Portails gouvernementaux, applications bancaires, plateformes de commerce électronique et applications professionnelles.
• Utilisez le même portefeuille dans tous les pays de l’UE : Votre portefeuille belge fonctionne sans problème en Espagne, en Allemagne, en Italie ou dans n’importe quel autre État membre.

Délivrance obligatoire par les États membres

Contrairement à l’eIDAS original, où les systèmes nationaux d’identification électronique étaient facultatifs, l’eIDAS 2.0 exige des 27 États membres de l’UE qu’ils délivrent des portefeuilles d’identité numérique aux citoyens qui en font la demande. Ce mandat garantit une disponibilité universelle dans toute l’Union.

Les États membres ont jusqu’à 24 mois après l’adoption des spécifications techniques (actes d’exécution) pour fournir ces portefeuilles. Conformément à l’article 5 bis, la Commission européenne doit établir des normes techniques et des exigences de certification d’ici le 21 novembre 2024, ce qui signifie que le déploiement des portefeuilles devrait commencer en 2025, la disponibilité totale étant prévue pour 2026.

Le secteur privé doit accepter l’EUDIW

eIDAS 2.0 va plus loin en exigeant que les grandes plateformes en ligne acceptent l’EUDIW pour la vérification de l’identité. Il s’agit notamment de

• Plateformes de médias sociaux
• Places de marché pour le commerce électronique
• Services en nuage
• Plateformes d’économie de partage
• Prestataires de services financiers

Cette acceptation obligatoire garantit que les entreprises ne peuvent pas créer de silos d’identité propriétaires, ce qui favorise l’interopérabilité et le choix de l’utilisateur dans l’ensemble de l’économie numérique.

Impact sur les signatures électroniques qualifiées

Pour les entreprises et les particuliers qui utilisent actuellement des signatures électroniques qualifiées, eIDAS 2.0 apporte à la fois des opportunités et de nouvelles considérations.

Votre smartphone devient un QSCD

L’un des changements techniques les plus importants : L’EUDIW intègre la fonctionnalité QSCD (Qualified Signature Creation Device) dans le portefeuille. Cela signifie que :

• Aucun matériel externe n’est nécessaire : Oubliez les jetons USB, les cartes à puce ou les dispositifs cryptographiques séparés.
• Stockage sécurisé des clés dans l’enclave de l’appareil : Vos clés de signature privées restent protégées par le matériel sécurisé de votre smartphone.
• Authentification biométrique : Utilisez les empreintes digitales ou la reconnaissance faciale pour autoriser les signatures.
• Création instantanée de signatures qualifiées : De la réception du document au document signé en moins d’une minute

Les méthodes existantes de QES continuent de fonctionner

L’introduction de l’EUDIW n’invalide pas les méthodes QES actuelles. Les fournisseurs de services de confiance qualifiés, tels que ceux proposés par des plateformes comme QES-Sign (itsme, Evrotrust, Adacom), continueront d’opérer et resteront pleinement conformes à eIDAS 2.0.

Exigences de sécurité renforcées

eIDAS 2.0 introduit des exigences techniques et opérationnelles plus strictes pour les services de confiance qualifiés :

• Harmonisation de l’évaluation de la conformité : Des critères d’évaluation plus cohérents entre les États membres
• Déclaration obligatoire des incidents : Les PSQT doivent signaler les failles de sécurité aux autorités de contrôle dans des délais précis.
• Une surveillance renforcée : Les organes de surveillance nationaux disposent de pouvoirs supplémentaires pour veiller au respect de la législation.
• Audits réguliers : Évaluations de la conformité plus fréquentes pour maintenir le statut de personne qualifiée

Nouveaux services fiduciaires

eIDAS 2.0 élargit les services de confiance qualifiés :

Archivage électronique qualifié

Garantit que les documents restent lisibles, authentiques et légalement valides pendant des décennies, ce qui est crucial pour les contrats dont les exigences en matière de conservation sont longues.

Grands livres électroniques qualifiés

Fournit des enregistrements inviolables de données ou de transactions au fil du temps, contribuant ainsi à la conformité réglementaire et aux pistes d’audit.

Gestion des signatures et sceaux électroniques à distance

Formaliser la création de QES à distance (comme les méthodes actuelles) avec des normes techniques et des exigences de sécurité plus claires.

Calendrier de mise en œuvre : Que se passe-t-il quand ?

Le déploiement d’eIDAS 2.0 suit une approche progressive avec des échéances précises :

Ce que cela signifie pour les différentes parties prenantes

Pour les entreprises utilisant QES

Si votre organisation utilise actuellement des signatures électroniques qualifiées, tenez compte de ces implications :

Opportunités

• Adoption plus large par les clients/partenaires : Lorsque tout le monde dispose d’EUDIW, la demande de QES auprès des contreparties se fait sans friction.
• Embarquement simplifié : Les nouveaux employés ou partenaires commerciaux peuvent s’inscrire immédiatement sans avoir à télécharger d’application ni à choisir de fournisseur.
• Réduction de la charge d’assistance : Les portefeuilles émis par le gouvernement réduisent le nombre de tickets d’assistance « comment signer ?
• Une sécurité renforcée : Des normes unifiées dans l’ensemble de l’UE améliorent la confiance et la sécurité globales.

Points d’action

• Mettre à jour les systèmes d’acceptation : Assurez-vous que vos systèmes de gestion des documents et de vérification des signatures peuvent reconnaître les signatures qualifiées créées par l’EUDIW.
• Former le personnel : Préparer les équipes à la double méthode QES pendant la période de transition 2025-2026
• Réviser les contrats : Vérifiez la feuille de route de votre fournisseur de SEQ en matière de conformité à eIDAS 2.0 et mettez à jour les contrats de service.
• Surveillez les actes d’exécution : Restez informé des spécifications techniques publiées par la Commission européenne

Pour les prestataires de QES (QTSP)

Les prestataires de services fiduciaires qualifiés sont confrontés à la fois à des défis et à des opportunités :

• Coexistence avec l’EUDIW : les fournisseurs fonctionneront parallèlement aux portefeuilles gouvernementaux, en se concentrant sur les services à valeur ajoutée tels que l’automatisation des flux de travail, la signature en bloc, l’intégration des API et la prise en charge de plusieurs méthodes.
• Des exigences accrues en matière de conformité : Des évaluations de conformité plus strictes et une supervision continue nécessitent des investissements accrus dans la gestion de la sécurité et de la qualité.
• Nouvelles opportunités de services : L’extension des services de confiance (archivage, grands livres, gestion des signatures à distance) crée des sources de revenus supplémentaires.
• Normes d’interopérabilité : Les signatures doivent fonctionner de manière transparente avec l’EUDIW et d’autres fournisseurs.

Pour les départements RH

Les équipes des ressources humaines verront leurs flux de travail s’améliorer considérablement :

Pour les particuliers

Les citoyens de l’UE acquièrent un contrôle sans précédent sur leur identité numérique :

• Accès universel à QES : Pas besoin de rechercher des fournisseurs, de comparer les options ou de payer des frais de mise en place – votre gouvernement fournit le portefeuille.
• Le respect de la vie privée dès la conception : Ne partagez que les informations nécessaires (prouvez que vous avez plus de 18 ans sans révéler votre date de naissance exacte).
• Une seule application pour tout : vérification de l’identité, signature de documents, stockage de justificatifs et accès aux services dans une interface unique.
• Réduction de la dépendance à l’égard des plateformes privées : L’identité délivrée par le gouvernement réduit la dépendance à l’égard des systèmes de connexion des entreprises technologiques.

Préoccupations et questions ouvertes

Malgré ses promesses, eIDAS 2.0 fait l’objet de critiques et de défis non résolus :

Protection des données

Les défenseurs de la vie privée ont exprimé leur inquiétude au sujet de l’EUDIW :

• Potentiel de surveillance : Les systèmes d’identité centralisés pourraient permettre de suivre les activités des citoyens s’ils sont mal conçus.
• La conservation des données n’est pas claire : combien de temps les données peuvent-elles rester dans les portefeuilles numériques ? Qu’advient-il des justificatifs d’identité archivés ?
• Pas de garanties explicites contre les abus : Les détracteurs du règlement estiment qu’il ne contient pas d’interdictions strictes concernant l’utilisation des données des portefeuilles à des fins publicitaires ou de profilage.

Exigences en matière de sécurité

Les experts en sécurité informatique notent qu’eIDAS 2.0 ne définit pas de normes de sécurité spécifiques pour la mise en œuvre des portefeuilles – ces normes seront définies dans des actes d’exécution. Tant que les spécifications techniques ne seront pas publiées, des questions subsisteront :

• Algorithmes cryptographiques requis pour les signatures qualifiées dans les portefeuilles
• Protection contre les logiciels malveillants sur les smartphones grand public
• Mécanismes de récupération en cas de perte d’accès au portefeuille
• Prévention du clonage ou de l’extraction non autorisée de clés

Une mise en œuvre cohérente

La version originale d’eIDAS a souffert d’une interprétation incohérente entre les États membres. Bien que eIDAS 2.0 vise à résoudre ce problème grâce à des spécifications techniques plus détaillées, il reste difficile de parvenir à une véritable harmonisation dans les 27 pays.

Exigences d’acceptation du secteur privé

Si les grandes plateformes en ligne doivent accepter l’EUDIW, le règlement ne précise pas les détails de l’intégration technique. Des questions restent en suspens :

• Coût et complexité de l’intégration pour les entreprises
• Responsabilité lors de l’acceptation des informations d’identification du portefeuille
• Processus de vérification de la validité de la signature
• Mécanismes de repli en cas d’indisponibilité des systèmes de portefeuilles

Comparaison : eIDAS 1.0 vs. eIDAS 2.0

Comprendre ce qui a changé aide les entreprises à planifier leur transition :

Préparation à eIDAS 2.0 : Étapes pratiques

Les entreprises devraient commencer à se préparer dès maintenant, même si la mise en œuvre complète n’interviendra que dans 18 à 24 mois :

Actions immédiates (2024-2025)

1. Évaluer l’utilisation actuelle des SEQ : Documentez les processus qui utilisent des signatures qualifiées, identifiez les parties prenantes et cartographiez les flux de travail.
2. Vérifier la conformité du fournisseur : Confirmez que votre fournisseur de QES est prêt pour eIDAS 2.0 et qu’il dispose d’un calendrier pour la prise en charge des signatures EUDIW.
3. Examiner l’architecture des systèmes : Veiller à ce que les systèmes de gestion des documents et de vérification des signatures puissent gérer plusieurs sources de QES (QTSP traditionnels et EUDIW).
4. Surveillez les normes techniques : Surveillez les actes d’exécution publiés par la Commission européenne, en particulier les spécifications des portefeuilles.
5. Prévoyez un budget pour les mises à jour : Allouez des ressources pour les modifications du système, la formation du personnel et les éventuels travaux d’intégration.

Pendant le déploiement (2025-2026)

1. Pilotez l’acceptation de l’EUDIW : Testez les signatures basées sur un portefeuille dans des processus non critiques une fois que votre État membre aura lancé l’EUDIW.
2. Mettre à jour la documentation : Révisez les procédures de signature, les guides de l’utilisateur et les documents de la FAQ pour tenir compte des méthodes mixtes.
3. Former le personnel : Assurez-vous que les équipes comprennent les signatures traditionnelles QES et celles basées sur l’EUDIW.
4. Communiquer avec les parties prenantes : Informez les clients, les partenaires et les employés des nouvelles options de signature.
5. Testez les processus de vérification : Vérifiez que vos systèmes vérifient correctement les signatures provenant des deux sources.

Après la mise en œuvre (2027+)

1. Surveillez les taux d’adoption : Déterminez les méthodes de signature préférées des parties prenantes et optimisez les flux de travail en conséquence.
2. Évaluer la stratégie des prestataires : Évaluer si l’utilisation continue des QTSP traditionnels apporte une valeur ajoutée ou si l’EUDIW répond à la plupart des besoins.
3. Tirez parti de nouveaux services fiduciaires : Exploitez l’archivage qualifié, les grands livres et la gestion des signatures à distance pour obtenir des avantages supplémentaires en matière de conformité.
4. Réexaminer la structure des coûts : Comparez les dépenses dans le cadre du nouvel écosystème et adaptez les stratégies d’approvisionnement

Principaux enseignements

• eIDAS 2.0 a désormais force de loi : Le règlement (UE) 2024/1183 est entré en vigueur le 20 mai 2024, établissant le cadre juridique pour les portefeuilles d’identité numérique européens et les services de confiance renforcés dans l’ensemble de l’UE.
• L’EUDIW transforme l’accessibilité des SEQ : D’ici 2026, tous les citoyens de l’UE auront accès à des portefeuilles d’identité numérique délivrés par le gouvernement et capables de créer des signatures électroniques qualifiées directement à partir de smartphones, sans application ou matériel externe.
• L’acceptation obligatoire crée l’interopérabilité : Les grandes plateformes en ligne doivent accepter l’EUDIW pour la vérification de l’identité, et tous les États membres doivent délivrer des portefeuilles aux citoyens qui en font la demande, garantissant ainsi une disponibilité universelle et une fonctionnalité transfrontalière.
• Les méthodes QES existantes restent valables : Les prestataires de services fiduciaires qualifiés et les méthodes de signature actuelles continuent de fonctionner parallèlement à l’EUDIW pendant la période de transition et au-delà, offrant ainsi aux entreprises de multiples options de conformité.
• Les préparatifs doivent commencer dès maintenant : Même si la mise en œuvre complète n’interviendra que dans 18 à 24 mois, les entreprises doivent évaluer les systèmes actuels, vérifier la conformité des fournisseurs et planifier l’acceptation des signatures provenant à la fois des QTSP traditionnels et des sources EUDIW.
• Sécurité renforcée et nouveaux services : eIDAS 2.0 introduit des exigences de conformité plus strictes pour les services fiduciaires qualifiés et étend son champ d’application à l’archivage électronique, aux grands livres et à la gestion des signatures à distance, créant ainsi de nouvelles opportunités de conformité et d’affaires.

Questions fréquemment posées

Quand eIDAS 2.0 remplacera-t-il complètement eIDAS 1.0 ?

eIDAS 2.0 ne remplace pas le règlement original, il le modifie. Le règlement (UE) 2024/1183 est entré en vigueur le 20 mai 2024, mais sa mise en œuvre est progressive. Le déploiement de l’EUDIW devrait commencer en 2025, la disponibilité universelle étant prévue pour 2026. De nombreuses dispositions coexisteront avec les systèmes existants pendant une transition de plusieurs années.

Mon fournisseur actuel de QES fonctionnera-t-il encore après eIDAS 2.0 ?

Oui. Les fournisseurs de services de confiance qualifiés tels que ceux proposés par QES-Sign (itsme, Evrotrust, Adacom) poursuivent leurs activités et restent pleinement conformes. eIDAS 2.0 ajoute EUDIW en tant que méthode QES supplémentaire, mais n’invalide pas les approches existantes. De nombreuses entreprises utiliseront les deux systèmes pendant la transition et peut-être au-delà.

Dois-je attendre que l’EUDIW utilise des signatures qualifiées ?

Absolument pas. Continuez à utiliser les signatures électroniques qualifiées par l’intermédiaire des fournisseurs actuels. L’EUDIW ne sera pas largement disponible avant 2026, et les entreprises ont besoin de solutions QES dès aujourd’hui. Les plateformes proposant des QES payantes (comme QES-Sign, à partir de 5 euros par signature) offrent un accès immédiat sans abonnement ni engagement à long terme.

Combien coûtera le portefeuille européen d’identité numérique ?

L’EUDIW sera fourni gratuitement aux citoyens par les États membres. Cela est explicitement indiqué dans eIDAS 2.0. Les citoyens qui demandent un portefeuille d’identité numérique ne doivent pas payer de frais pour le portefeuille lui-même, bien que les services spécifiques accessibles par le biais du portefeuille puissent avoir des coûts associés déterminés par les fournisseurs de services.

Que se passe-t-il si quelqu’un ne veut pas d’un portefeuille d’identité numérique ?

L’EUDIW est facultatif pour les citoyens : personne n’est obligé de demander ou d’utiliser un portefeuille d’identité numérique. Les méthodes d’identification traditionnelles (cartes d’identité physiques, passeports) restent valables. Cependant, les entreprises et les plateformes pourraient de plus en plus préférer ou exiger la vérification de l’identité numérique pour les services en ligne, ce qui rend l’EUDIW très bénéfique, même s’il n’est pas obligatoire.

L’EUDIW fonctionnera-t-il dans les pays non membres de l’UE ?

EUDIW est conçu principalement pour être utilisé dans l’UE, l’EEE et éventuellement dans les pays ayant conclu des accords d’équivalence. Pour les opérations véritablement mondiales nécessitant des QES dans des pays comme les États-Unis, la Chine, le Brésil ou l’Australie, les entreprises devraient continuer à utiliser des QTSP ayant une large couverture géographique comme Adacom (68 pays) ou Evrotrust (58 pays).

La création de QES sur un smartphone est-elle sécurisée ?

L’EUDIW utilisera des enclaves sécurisées de smartphones (comme iOS Secure Enclave ou Android StrongBox) pour protéger les clés de signature privées, combinées à l’authentification biométrique. Ces dispositifs de sécurité matériels répondent aux exigences du QSCD dans le cadre de l’eIDAS. Les spécifications techniques publiées dans les actes d’exécution définiront les normes de sécurité exactes pour la mise en œuvre des portefeuilles.

Les entreprises peuvent-elles créer leur propre portefeuille d’identité numérique ?

Seuls les États membres peuvent émettre des portefeuilles d’identité numérique européens dans le cadre d’eIDAS 2.0. Les entreprises privées peuvent développer le logiciel du portefeuille (les États membres peuvent externaliser le développement), mais la délivrance, la certification et la surveillance restent des responsabilités gouvernementales. Cela garantit la confiance, la sécurité et l’interopérabilité transfrontalière.

Conclusion

eIDAS 2.0 représente l’évolution la plus importante de l’identité numérique européenne et des services de confiance depuis le règlement initial lancé en 2016. L’introduction des portefeuilles d’identité numérique européens transformera les signatures électroniques qualifiées d’un outil commercial spécialisé en une capacité omniprésente accessible à chaque citoyen de l’UE via son smartphone.

Pour les entreprises qui utilisent actuellement les QES, cette évolution offre d’énormes possibilités : adoption plus large par les partenaires et les clients, simplification des processus d’intégration, réduction des frictions dans les transactions transfrontalières et renforcement de la sécurité grâce à l’harmonisation des normes. Au cours de la période de transition entre 2025 et 2027, les méthodes traditionnelles basées sur le QTSP et les nouvelles signatures EUDIW fonctionneront simultanément, ce qui donnera aux entreprises une certaine souplesse d’adaptation.

La clé du succès est la préparation. En comprenant le calendrier, en évaluant vos systèmes actuels, en vérifiant la conformité des fournisseurs et en planifiant l’acceptation de la double méthode, votre organisation sera en mesure de tirer parti des avantages d’eIDAS 2.0 tout en maintenant des capacités QES ininterrompues pendant la transition.

Bien qu’il reste des défis à relever, notamment en ce qui concerne les garanties de confidentialité, les spécifications de sécurité et la mise en œuvre cohérente dans les États membres, l’objectif fondamental d’eIDAS 2.0 est clair : créer un marché unique numérique véritablement unifié où les identités électroniques et les signatures qualifiées fonctionnent de manière transparente au-delà des frontières, des plates-formes et des cas d’utilisation.

Que vous soyez un responsable des ressources humaines signant des contrats de travail, un avocat exécutant des documents juridiques ou un chef d’entreprise négociant des accords internationaux, eIDAS 2.0 rendra les signatures électroniques qualifiées plus accessibles, plus sûres et plus intégrées dans la vie numérique européenne de tous les jours.