eIDAS vu de l’ANSSI

signatureelectronique1er juillet 2016, le règlement eIDAS devient applicable, après son adoption le 23 juillet 2014 par le Parlement européen et de Conseil de l’UE et son entrée en vigueur le 17 septembre 2014.
« eIDAS » c’est précisément le règlement n°910/2014/UE sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.

L’ANSSI a publié un article à ce propos, je m’y suis intéressé et ai pointé quelques éléments dans ce billet.

Genèse

eIDAS ne sort pas par hasard du chapeau. C’est le résultat d’une longue réflexion sur l’échec relatif de la directive 1999/93/CE relative à la signature électronique. Celle-ci avait donné lieu à une transposition en droit national français: la loi n°2000-230 du 13 mars 2000, modifiant le code civil avec les article 1316-3 + 1316-4.
En gros:

  • Art. 1316-3 du code civil : « L’écrit sur support électronique a la même force probante que l’écrit sur support papier. »
  • Art. 1316-4 du code civil : « La signature nécessaire à la perfection d’un acte juridique identifie celui qui l’appose (…) . Lorsqu’elle est électronique, (…) la fiabilité de ce procédé est présumée (…) lorsque la signature électronique est créée [dans les règles de l’Art], l’identité du signataire est assurée, et l’intégrité de l’acte garantie, (…). »

Ce qui ouvre alors la voie au renversement de valeur de la preuve, à la présomption de fiabilité juridique de la signature électronique.

Oui mais, les pré-requis à ce niveau sont trop élevés ! Les décrets d’application ont donné naissance à des monstres administratifs: PRISv1, PRISv2, puis l’actuel RGS (référentiel général de sécurité) édités par l’ANSSI.

Était-ce nécessaire?

Certains disent que c’est un passage obligé pour éviter certains couacs, et restaurer la confiance.
Au hasard, rappelons-nous : l’histoire des signatures scannées du trésorier UMP apposées sur des factures dans l’affaire Bygmalion. Cela a permis à ce monsieur de réfuter et rendre irrecevables les documents, puisque ce ne sont pas des signatures électroniques.
Vu comme ça, oui ! le besoin de confiance numérique est essentiel.

Les limites du règlement eIDAS

Merci l’UE, on a enfin un cadre clair pour la confiance numérique concernant l’identification et les signatures. Vraiment? Non. C’est alors que je m’intéresse au récent article de l’Agence nationale de la sécurité des systèmes d’information.
L’ANSSI précise dans son billet, la portée du règlement concerne les échanges numériques « entre les organismes du secteur public et les usagers ». Explicitement :

« il exclut les échanges internes des administrations sans impact direct sur les tiers ainsi que les actes sous-seing privé ».

En clair, ça veut dire que certaines procédures de dématérialisation déjà entamées dans l’administration sont hors-eIDAS. En particulier nous trouvons celles qui sont subies par les collectivités territoriales:

  • ACTES, la dématérialisation des actes administratifs: délibérations, arrêtés, etc. soumis au contrôle de légalité
  • HELIOS, la dématérialisation des flux comptables entre les collectivités territoriales et la DGFiP.

Les mauvaises langues sont rassurées, la complexité et l’exception françaises sont bien préservées.

Période de transition

Entre le RGS et eIDAS, un tuilage est nécessaire, notamment pour les moyens techniques d’identification et de signature électronique.
Il est confirmé que les services de délivrance de certificats de signature électronique qualifiés RGS gardent leur qualification jusqu’au 1er juillet 2017.

Nouveaux services

Pour les usages « pur eIDAS », les usagers vont voir émerger des offres de service de signature « à distance ». En effet, le règlement prévoit que la création de signature puisse être déléguée à un tiers « prestataire de services de confiance ». Ce PSCo aura la charge de la génération/gestion des données de création de signature.
C’est de la souplesse en plus, qui était jusqu’ici hors de portée avec le RGS.

Du coup, cette souplesse et ces nouveaux usages vont très certainement bénéficier aux entreprises qui contractualisent avec l’administration. Ainsi les pièces de marché public (actes d’engagement, factures) sont normalement directement concernées par eIDAS.

Déclinaisons concrètes en devenir

Un règlement c’est bien, pouvoir l’appliquer c’est mieux.
Tous les aspects techniques sont dans des « actes d’exécution » postérieurs au règlement.

Certains d’entre-eux sont publiés (n°2015/1505 sur les listes de confiance, et n°2015/1506 sur certains profils de signature électronique notamment).

Les normes dites « M/460 » (du nom du Mandat 460 donné à l’ETSI et au CEN)  sont accessibles: http://www.e-signatures-standards.eu/activities

Notons que d’autres restent en discussion dans les bureaux de l’ETSI et du CEN pour le moment.

Longue vie au RGS

Le RGS n’est donc pas mort, longue vie au RGS!
En effet, les administrations ne sont pas obligées de respecter le règlement eIDAS pour leurs besoins propres (agissant en vase clos).

Finalement eIDAS: Un texte de plus sur la pile ?
Pour le citoyen lambda, eIDAS devient la règle, et de même pour les entreprises: Halleluyah!, les choses sont claires de ce côté.
Dans les procédures de la lourde administration française: c’est compliqué. On peut regretter que la noble mission de simplification à l’échelle européenne aboutisse dans les faits qu’à l’ajout d’un texte. Et ce texte n’abroge pas vraiment les précédents (le RGS), encore promu par les technocrates locaux.
Singularité bien de chez nous, c’est dans certains cas un facteur de complexité qui s’ajoute au mille-feuille de l’administration française.

 

Sources:

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.