eIDAS 2.0 : Avantages, controverses et avenir des identités numériques
eIDAS 2.0 améliore les transactions numériques dans l'UE via le portefeuille d'identité numérique EUDI, rendant les processus plus rapides et sécurisés. Malgré ses avantages, la réglementation suscite des critiques sur les risques de centralisation, de vie privée et d’indépendance des navigateurs. Les certificats d’authentification des sites (QWAC) soulèvent des questions de cybersécurité. En phase pilote, eIDAS 2.0 promet commodité, mais suscite des débats sur ses implications sécuritaires.
Table des Matières
eIDAS 2.0 : Qu'est-ce que c'est et quelles sont les controverses qui l'entourent ?
Les services d'identification électronique, d'authentification et de confiance (eIDAS) sont une réglementation établie par les 27 pays de l'Union européenne (UE) afin de rendre plus pratique et plus sûre la conduite des affaires par voie électronique. Il réglemente les certificats numériques, les signatures électroniques et les sceaux électroniques, et contrôle les services qui établissent la confiance entre deux entités effectuant une transaction électronique dans l'UE.
Le règlement eIDAS 2.0 est conçu pour faciliter l'authentification des sites web, la signature des documents et la réalisation d'un large éventail de transactions en ligne. Par exemple, vous pouvez acheter un véhicule, demander un prêt automobile, souscrire une assurance, immatriculer le véhicule et l'ajouter à votre police d'assurance sans jamais avoir à signer un papier.
Mais eIDAS a également suscité des inquiétudes. De nombreuses parties prenantes estiment qu'il peut inutilement exposer les citoyens et les entreprises à des risques en raison de sa nature centralisée. D'autres estiment qu'eIDAS va trop loin en dictant les types de certificats numériques auxquels les navigateurs peuvent faire confiance, et certains pensent qu'eIDAS permet aux États membres de l'UE d'espionner plus facilement leurs citoyens.
L'évolution d'eIDAS à eIDAS 2.0
Si eIDAS 1.0 a contribué à rendre les espaces numériques plus sûrs, il n'a pas fourni une protection complète. Par exemple, chaque État membre pouvait choisir la manière de mettre en œuvre eIDAS, ce qui se traduisait par des politiques incohérentes d'un pays à l'autre. En outre, ses services de confiance ne comprenaient que les signatures électroniques, les sceaux et les horodatages. Le règlement ne protégeait pas les utilisateurs contre les faux sites cherchant à voler leur identité.
eIDAS 2.0 cherche à remédier à ces problèmes en introduisant le portefeuille d'identité numérique de l'Union européenne (EUDI), qui devrait rendre les transactions numériques plus cohérentes entre les individus et les organisations.
Les utilisateurs peuvent stocker des informations d'identification dans le portefeuille EUDI, telles que le nom, la date de naissance, la signature, le lieu de résidence et le numéro de téléphone. Ensuite, lorsqu'ils font une demande de prêt et que le prêteur leur demande des informations d'identification, par exemple, ils peuvent envoyer les données directement à partir de leur portefeuille. Il n'est pas nécessaire de signer des documents, de les faxer ou d'utiliser un logiciel de signature électronique tiers.
En outre, en introduisant de nouveaux mécanismes et services de confiance, eIDAS 2.0 couvre un plus large éventail de transactions numériques. Une caractéristique notable est le certificat d'authentification de site web qualifié (QWAC), l'équivalent des certificats numériques SSL utilisés aujourd'hui pour valider l'authenticité d'un site web. La version 2.0 comprend également l'archivage électronique et les grands livres, ainsi que des systèmes de gestion des signatures électroniques à distance.
Qu'est-ce que eIDAS 2.0 ?
Les principaux objectifs d'eIDAS 2.0 sont les suivants :
- élargir le nombre de services auxquels le règlement s'applique, tels que les certificats électroniques pour l'authentification
- Rendre plus cohérente la mise en œuvre des transactions électroniques, notamment via le portefeuille EUDI
- l'intégration de transactions électroniques plus sûres et plus pratiques dans un plus grand nombre d'activités quotidiennes, telles que le remplissage d'un contrat de location, la réservation d'un vol ou la candidature à un emploi.
L'écosystème eIDAS comprend trois catégories principales d'entités :
- Émetteur d'identité: Par exemple, une entité gouvernementale peut émettre des données d'identification personnelle à partir du certificat de naissance d'un utilisateur, attestant du lieu de naissance, du nom, de la date et des parents de l'utilisateur.
- L'utilisateur: Il s'agit de la personne ou de l'entité commerciale qui reçoit les données d'identification de l'émetteur. Il peut s'agir d'un citoyen ou du propriétaire d'un site web qui reçoit une QWAC.
- La partie se fiant à la décision: La partie utilisatrice est l'entité qui utilise l'identification fournie par l'utilisateur. Il peut s'agir d'une compagnie aérienne acceptant une réservation de vol, d'un hôpital effectuant des procédures d'admission ou d'un employeur interrogeant un candidat.
Après que les colégislateurs sont parvenus à un accord sur son contenu le 29 juin 2023, eIDAS est entré pleinement en vigueur en septembre 2023.
Avantages d'eIDAS 2.0 pour les citoyens et les entreprises de l'UE
Avec eIDAS 2.0, les entreprises et les citoyens de l'UE devraient bénéficier de transactions électroniques plus pratiques, plus rapides et potentiellement plus sûres.
Pour les citoyens, les transactions sont beaucoup plus rapides. Par exemple, lors de l'achat d'un logement, ils n'ont pas besoin de fournir une copie de leur passeport ou de faire certifier la transaction par un juge de paix ou une autre entité de certification. Il leur suffit de présenter leur portefeuille EUDI avec leurs informations d'identification numérique et de choisir les données qu'ils souhaitent partager. De même, les entreprises peuvent bénéficier de transactions plus rapides, plus fluides et plus sûres. Elles ont un accès instantané à toute une série d'informations d'identification pour vérifier que les clients sont bien ceux qu'ils prétendent être.
Les transactions en ligne sont également plus sûres et plus pratiques pour les entreprises comme pour les clients, même pour les achats importants. Les clients peuvent partager leurs informations d'identification, de paiement et d'expédition directement à partir de leur portefeuille, ce qui permet aux entreprises qui vendent en ligne de bénéficier de flux de revenus plus fluides.
Les transactions transfrontalières en bénéficient également. Historiquement, les pays avaient leurs propres lois sur la protection des données, ce qui entravait les transactions nécessitant le partage de données. eIDAS 2.0 fonctionne en conformité avec les principes du GDPR, qui s'appliquent à l'ensemble des 27 pays.
Controverses autour d'eIDAS 2.0
Un prestataire de services de confiance qualifié (PSTQ) est une personne physique ou morale qui fournit un ou plusieurs services de confiance qualifiés. Il existe des centaines de PSQT, dont beaucoup sont spécifiques à chaque pays. Il peut être difficile de s'assurer de la fiabilité et des mesures de cybersécurité de chaque PSFQ. Cette question, ainsi que d'autres dispositions d'eIDAS 2.0, a suscité quelques controverses:
- eIDAS pourrait ouvrir la voie à un référentiel central de certificats de sites, un référentiel contenant tous les CAQT délivrés par certains ou tous les États membres. Cela signifie qu'un seul piratage pourrait entraîner des violations sur des milliers de sites dans l'UE.
- L'eIDAS limite la liberté des fabricants de navigateurs en les obligeant à travailler avec des QWAC provenant de n'importe lequel des fournisseurs de services de confiance approuvés. Si un développeur de navigateur a des doutes sur les pratiques de cybersécurité d'un QTSP, il doit quand même reconnaître les QWAC émis par ce QTSP.
- Si un gouvernement européen voulait commencer à espionner des citoyens ou des entreprises, il pourrait très bien obtenir des informations sur les certificats et les clés auprès des QTSP.
- L'eIDAS spécifie la manière dont les navigateurs affichent les informations sur les organisations. Ces informations doivent être faciles à identifier, à comprendre et à vérifier pour les consommateurs. Certaines parties prenantes estiment que cela entrave la capacité des producteurs de navigateurs à concevoir des interfaces et à prendre leurs propres décisions créatives.
Tous ces éléments s'ajoutent au risque de surréglementation. À l'avenir, le gouvernement pourrait même choisir de certifier les PSQT sur la base de critères discutables, tels que le nombre d'employés ou le pays d'où ils opèrent.
Quelles sont les prochaines étapes ?
eIDAS 2.0 en est encore à ses débuts. Le portefeuille EUDI a commencé à faire l'objet d'essais pilotes en avril 2023, en se concentrant sur plusieurs cas d'utilisation, notamment
- l'accès aux services gouvernementaux
- l'ouverture d'un compte bancaire
- L'enregistrement de cartes SIM
- Stockage des informations relatives au permis de conduire
- Signature de contrats
- Demander des ordonnances
- Voyager à travers les frontières
- Délivrer des identités numériques organisationnelles
- Accepter des paiements
- Certification des diplômes
- Accès aux prestations de sécurité sociale
À mesure que les fonctionnaires, les entreprises et les citoyens tireront les leçons de ces tests, l'avenir d'eIDAS se précisera. Il est en passe d'améliorer la fluidité et la sécurité des transactions numériques et d'éliminer les systèmes de vérification d'identité sur papier, qui prennent beaucoup de temps.
Dans le même temps, certaines parties prenantes estiment qu'eIDAS 2.0 pourrait menacer la sécurité des systèmes d'authentification des sites web et des données des utilisateurs. Il pourrait également ouvrir la voie à l'espionnage gouvernemental et à la surréglementation.
Sectigo propose des certificats numériques conformes à eIDAS qui permettent aux particuliers et aux entreprises de sécuriser les documents et d'utiliser les signatures numériques de manière plus efficace. Pour en savoir plus, contactez Sectigo dès aujourd'hui.