Il y a des innovations technologiques, il y a des innovations marketing, mais il peut aussi y avoir des innovations juridiques. C’est le cas de la nouvelle réglementation européenne sur l’identité et les services de confiance numériques, eIDAS de son petit nom, qui entre en application au 1er juillet 2016.
A priori on pourrait dire : encore un règlement, après la pêche au thon rouge et les quotas laitiers voilà que Bruxelles nous dit que faire avec le numérique. Mais ne nous y trompons pas, eIDAS est une véritable innovation juridique, dont le but proclamé est de favoriser le développement des usages numériques en Europe, et qui va même au-delà.

Vers une citoyenneté numérique européenne ?

Le texte est constitué de 2 parties : l’une sur l’identité numérique, l’autre sur les services de confiance en ligne ; comprenez la signature électronique sous ses différentes formes.
La première partie sur l’identité numérique s’adresse en premier lieu aux usages du secteur public. Il s’agit de favoriser la confiance des usagers et des fournisseurs de services (publics) lorsqu’il faut prouver son identité en ligne. Pourquoi se restreindre aux services du secteur public ? Parce que le texte a l’intelligence de reconnaître qu’il n’a ni la prétention ni la légitimité pour imposer une reconnaissance de l’identité numérique à la sphère marchande. Mais cela ne veut pas dire qu’eIDAS n’aura pas d’impact sur la gestion de l’identité numérique dans le secteur privé. Bien au contraire. En définissant des niveaux de confiance (faible, substantiel, élevé), en distinguant bien les concepts différents d’identification et d’authentification, en favorisant une approche ouverte et technologiquement neutre, nul doute qu’eIDAS fournira les repères et les solutions dont le secteur privé a aussi besoin.
Mais la chose qui frappe en lisant attentivement le texte, c’est que le lien entre le citoyen et son pays de nationalité disparaît. Les Etats Membres deviennent des guichets où le citoyen européen peut venir obtenir une identité numérique, en fonction des innovations ou des facilités d’utilisation que tel ou tel Etat Membre sera capable de proposer. Si chaque Etat Membre reste maître d’attribuer un niveau à un fournisseur d’identité établi sur son territoire, rien n’oblige le citoyen à choisir un de ces fournisseurs plutôt que ceux de l’Etat Membre voisin. Folie ou coup de génie politique ? S’il est probable que le citoyen français ne se ruera pas le 2 juillet sur un fournisseur polonais pour obtenir une identité numérique, il reste que le texte, prenant acte du fait que le numérique n’a pas de frontière, en profite pour mettre le citoyen européen au centre du jeu, et les Etats Membres dans une situation de coopétition. Si avec un fournisseur français je dois me rendre dans une mairie ou un bureau de poste pour obtenir une identité numérique alors qu’avec un fournisseur belge, je peux l’avoir en 3 minutes en présentant mon justificatif à un agent devant ma webcam, peut-être y réfléchirai-je. Le texte n’oublie pas le principe de responsabilité, mais la responsabilité de l’Etat membre qui aura attribué son niveau à un fournisseur d’identité numérique restera limitée à la procédure de contrôle, et c’est bien ledit fournisseur qui assumera la responsabilité de la fiabilité du procédé qu’il propose.
On peut donc prédire qu’il y aura de l’innovation, et que cette innovation se généralisera rapidement. C’est tout l’intérêt de créer un grand espace européen du numérique, homogène et tourné vers la simplification de la vie des citoyens et des entreprises.

La signature électronique pour tous

La seconde partie du texte traite des services de confiance, et notamment du plus emblématique : la signature électronique. On constante que le législateur a l’intelligence de ne faire aucun lien obligatoire entre les 2 parties, alors même que l’identité numérique et la signature électronique sont intimement liées.
C’est que, comme on l’a dit, l’identité numérique n’est traitée que dans le cadre de son utilisation dans le secteur public, alors que la signature électronique intéresse tous les secteurs. Il s’agit ici de donner, enfin, un niveau de protection juridique optimal aux services en ligne, tout en prenant en compte la simplicité d’usage par le consommateur, ou le professionnel.
Le règlement décrit précisément 2 niveaux de signature : le niveau « avancé » qui est recevable comme preuve écrite en justice, et le niveau « qualifié » qui a les mêmes effets juridiques qu’une signature manuscrite. Le niveau avancé est plus simple à mettre en œuvre mais il n’inverse pas la charge de la preuve : il reste à la charge de l’offreur de service en ligne de prouver la fiabilité et la conformité de son procédé en cas de litige. Ce niveau reste toutefois privilégié par les offreurs dans 80% des cas où le risque de litige est faible, à la condition que les solutions utilisées disposent d’un moyen efficace de présenter une preuve électronique de la transaction.
Le niveau qualifié est quant à lui nettement plus exigeant : il impose 2 conditions supplémentaires.
D’abord, avoir préalablement vérifié l’identité du signataire avec un niveau de fiabilité équivalent à la rencontre en face à face ; chaque Etat pourra définir quel procédé est « équivalent », même esprit que pour la première partie sur l’identité numérique ; l’innovation est là encore encouragée pour faciliter l’usage. Et cette fois, l’Etat n’assume plus de responsabilité, même limitée ; c’est le « Prestataire de Services de Confiance Qualifiés » qui réalise l’identification qui est pleinement responsable en cas de défaillance.
Ensuite, la signature électronique doit être mise en œuvre à l’aide d’un dispositif certifié. Cette seconde condition existait déjà avec la législation antérieure, mais alors un tel dispositif était nécessairement semblable à une carte à puce protégée par un code PIN. Séduisant en apparence mais pas si pratique en réalité car peu de citoyens européens sont équipés d’un tel dispositif, et encore plus rare sont ceux qui peuvent l’utiliser facilement sur les ordinateurs domestiques (PC, tablettes tactiles, smartphones, …). L’innovation apportée par eIDAS consiste ici à pouvoir offrir un tel dispositif à distance. On peut ainsi activer sa signature « qualifiée » à distance, à partir de son téléphone mobile par exemple. Bien entendu, ledit dispositif à distance doit tout de même disposer de certifications de sécurité très strictes, mais son utilisation devient simple et transparente pour le quidam, et la complexité est reportée sur les « Prestataires de Services de Confiance Qualifiés » qui peuvent mettre en œuvre ce type de dispositifs dans des conditions optimales de sécurité.
Transposer dans le nouveau contexte numérique, de manière simple et équivalente, ce geste millénaire de signer, n’est-elle pas la moindre des choses que l’on pouvait attendre d’une réglementation sur le numérique ? Il a pourtant fallu attendre 15 ans pour parvenir à cet aboutissement.
On l’aura compris, eIDAS est un savant mélange d’innovation juridique et d’ouverture technologique, dont le but est politique : favoriser le développement de l’économie numérique en Europe, dans un vaste espace économique harmonisé. Beaucoup d’autres innovations restent « en devenir » dans ce texte à tiroir, et les institutions européennes pourront les dégainer au gré des nouveaux besoins qui ne manqueront pas d’émerger au cours de la grande transformation numérique qui s’annonce…

Thibault De Valroger

(Visited 385 times, 1 visits today)

Tags