Le conseil de l’UE vote une législation commune sur la signature électronique

Le 23 juillet, le Conseil de l'Union européenne a voté un nouveau règlement européen sur la signature électronique appelé eIDAS. Publié officiellement d'ici quelques jours, il entrera en application globale dans 2 ans.
Échanger des factures électroniques entre entreprises européennes de pays différents devrait bientôt être plus facile. Jusqu'ici les signatures électroniques acceptées dans les différents pays n’étaient pas toujours compatibles. Mais le nouveau règlement européen sur l’identification électronique et les services de confiance a été approuvé par le Conseil de l’Union européenne le 23 juillet, après avoir été voté par le parlement européen début avril. Appelée eIDAS, « cette nouvelle régulation fournit un socle commun pour sécuriser les interactions entre les entreprises, les citoyens et les administrations. Il a pour objectif d’améliorer l’efficacité des services en ligne public et privé, du commerce électronique et des relations commerciales dans l’Union européenne. Il cherche aussi à améliorer la confiance dans les transactions électroniques sur le marché interne » explique le communiqué du conseil de l’Europe annonçant l’adoption des règles.
Une entrée en application globale prévue pour juillet 2016
Concrètement, jusqu’ici, il était difficile pour une entreprise française d’envoyer une facture dématérialisée ou de signer un contrat avec une entreprise allemande. Les réponses dématérialisées aux appels d’offres transfrontaliers étaient aussi problématiques. « Depuis la directive de 1999 sur les échanges électroniques, il y avait un manque d’harmonisation technique et juridique entre les pays, car chaque pays avait transposé en droit local la directive européenne », ajoute Julien Stern, co-fondateur de Cryptolog.
Contrairement à une directive, un règlement ne nécessite pas de transposition en droit local, il est applicable directement. La publication officielle du règlement devrait intervenir d’ici 15 jours et « il entrera en vigueur juillet 2016 pour laisser du temps aux acteurs du secteur et aux entreprises de se préparer », assure Julien Stern.
Un niveau de signature électronique appelé qualifiée
Le nouveau règlement apporte plusieurs changements. D’abord, il définit un niveau de signature électronique dite « qualifiée ». « En première approximation, le RGS 3 (Référentiel général de sécurité) utilisé en France serait équivalent au niveau qualifié du règlement », commente Julien Stern. Avec ce niveau de signature, il est par exemple nécessaire de vérifier l’identité en face à face de la personne qui récupère un certificat électronique pour effectuer des signatures.
Pour s’identifier sur leurs propres services en ligne, les États membres devront accepter les moyens d’identifications utilisés par les autres États de l’UE. L’ANSSI et son équivalent allemand la BSI ont ainsi publié des spécifications préliminaires en mars sur un jeton eIDAS compatible avec les objectifs du règlement. « Le règlement interdit aux États de définir des exigences de signatures électroniques supérieures. Autrement dit, il interdit un protectionnisme technique qui pousserait un État à refuser les signatures électroniques produit dans un autre pays européen », explique Julien Stern.
Cachet : la signature de personnes morale autorisée
Le règlement introduit aussi la notion de signature de personne morale ou de cachet. « C’est une sorte de tampon d’entreprise. En France aujourd’hui, seule la signature de personne physique existe de manière juridique », rappelle Julien Stern. Autrement dit, dans une structure lorsqu’il faut signer un document électronique c’est l’acheteur, le juriste ou l’élu qui signe en son nom. À l’avenir, il existera donc des signatures d’entreprise que les organismes géreront comme ils veulent en interne. « Jusqu’ici une action était nécessaire pour chaque signature, dans les entreprises avec un million de factures par an, il fallait, en théorie, taper un million de fois son code pin » décrit Julien Stern. Certaines contournaient le problème avec notamment des signatures serveur qui auront donc une reconnaissance juridique à l’avenir.
Enfin, le nouveau règlement ouvre la voie à une signature qualifiée sans carte physique. « Jusqu’ici il fallait mettre une carte dans un lecteur et entrer un code pin pour pouvoir signer avec un niveau élevé de sécurité » détaille Julien Stern. La signature électronique pourrait fonctionner de la même manière que le paiement par carte bancaire sécurisé sur internet : un code pin est envoyé par SMS à l’acheteur qui le rentre pour valider son achat.
Selon les solutions mises en place, les entreprises risquent d’avoir à changer leur système de signature électronique avant l’entrée en vigueur du nouveau règlement. Après le SEPA (dont l’échéance est fixée au premier août), le DSN (Déclaration sociale nominative), c’est un nouveau chantier réglementaire qui vous attend.