eIDAS : Règlement européen sur l'identité numérique et les services de confiance

Le règlement eIDAS établit un cadre européen qui vise à définir des exigences de sécurité harmonisées et à instaurer un mécanisme de reconnaissance mutuelle des moyens d'identification électronique des États membres, tout en instaurant un cadre juridique pour les services de confiance (signature électronique, cachet, horodatage, envoi recommandé, authentification de sites internet). Le nouveau règlement eIDAS est entré en vigueur le 21 mai 2024 et représente une évolution majeure dans le domaine de l'identité numérique, avec une obligation pour les États membres de délivrer des portefeuilles européens d'identité numérique d'ici fin 2026 permettant notamment aux citoyens de s'identifier électroniquement avec un niveau de garantie élevé.

Évolution du cadre réglementaire

Le règlement eIDAS, adopté à l'origine en 2014, a été conçu pour créer un cadre commun de confiance pour les transactions électroniques au sein de l'Union européenne, couvrant l'identification électronique et les services de confiance comme la signature électronique, le cachet électronique, l'horodatage, les services d'envoi recommandé électronique ou encore l'authentification de site web, afin de sécuriser les échanges numériques et de favoriser leur reconnaissance transfrontalière dans l'UE.

La révision du règlement eIDAS de 2014 par le règlement (UE) 2024/1183 introduit notamment le portefeuille d'identité numérique européen (EUDI Wallet), renforce les services de confiance et précise de nouvelles obligations pour les États membres ainsi que pour les acteurs publics ou privés. De nouveaux actes d'exécution doivent être adoptés par la Commission européenne d'ici le 21 novembre 2024 pour l'identification électronique et le portefeuille européen, et d'ici le 21 mai 2025 pour les services de confiance.

L'ANSSI est garante de la sécurité pour le volet identification électronique du règlement eIDAS et évalue le respect des exigences par les organismes fournissant les moyens d'identification électronique.

Lien avec NIS2

Les prestataires de services de confiance qualifiés au sens du règlement eIDAS figurent parmi les entités régulées par la directive NIS2, quelle que soit leur taille. eIDAS 2.0 soutient directement la conformité NIS2, les services de confiance répondant aux exigences NIS2 en matière de gestion des accès, de traçabilité, de réponse aux incidents et de continuité d'activité.

Les exigences de gestion des risques de cybersécurité et les obligations de notification de la directive NIS2 sont considérées comme complémentaires aux exigences imposées aux prestataires de services de confiance en vertu du règlement eIDAS, ces prestataires devant prendre des mesures techniques et organisationnelles appropriées conformément à la directive NIS2 et notifier les incidents significatifs et menaces cyber selon NIS2.

Pour la mise en conformité NIS2, consulter les mesures de sécurité sur /mesures/services-confiance et le référentiel des prestataires qualifiés sur /prestataires/pstc-qualifies.

Pour aller plus loin

• Règlement eIDAS – ANSSI
• Règlement (UE) 2024/1183 – EUR-Lex
• Règlement eIDAS – Commission européenne