Aller au contenu

Contenu généré par IA: Les réponses sont générées par une IA, assemblées automatiquement et peuvent contenir des erreurs. Conformi est un outil de recherche et ne remplace pas un conseil juridique ou un examen juridique au cas par cas. Toutes les réponses doivent être vérifiées à l’aide des sources originales liées.

Conformi/Knowledge Base/eIDAS/eIDAS
🪪Identité numérique

Règlement (EU) 2014/910 — Règlement eIDAS — Identification électronique et services de confiance

Analyse du 10 mai 20262 sourcesVersion consolidée du 18.10.2024 (intégrant les modifications de la directive (UE) 2022/2555 et du règlement (UE) 2024/1183)EUR-Lex Original

Nos signatures électroniques et nos certificats hérités de la directive 1999/93/CE sont-ils encore valables au 21 mai 2026 — et que risque notre prestataire de services de confiance s'il n'a pas remis son rapport de conformité à temps ?

À partir du 21 mai 2026, les certificats qualifiés délivrés sous la directive 1999/93/CE cessent d'être reconnus et les prestataires de services de confiance qualifiés agréés avant le 20 mai 2024 doivent avoir transmis un rapport d'évaluation de la conformité à l'organe de contrôle, sous peine d'amendes administratives d'au moins 5 000 000 EUR ou 1 % du chiffre d'affaires annuel mondial [Art. 16 par. 2, Art. 51 par. 2, Art. 51 par. 4].

Réponse courte

Le règlement eIDAS, profondément remanié par le règlement (UE) 2024/1183, fixe le cadre juridique unique de l'Union pour l'identification électronique, les portefeuilles européens d'identité numérique et dix services de confiance, qualifiés ou non [Art. 1, Art. 3 point 16]. Une signature électronique qualifiée a le même effet juridique qu'une signature manuscrite et est reconnue dans tous les États membres [Art. 25 par. 2]. Tout prestataire de services de confiance non qualifié doit notifier toute atteinte à la sécurité ayant une incidence importante dans les meilleurs délais et au plus tard 24 heures après en avoir eu connaissance [Art. 19 bis par. 1 b)]. Les prestataires qualifiés sont audités au moins tous les 24 mois par un organisme d'évaluation de la conformité, à leurs frais [Art. 20 par. 1].

Concernés

S'applique aux schémas d'identification électronique notifiés par les États membres, aux portefeuilles européens d'identité numérique fournis par un État membre et à tous les prestataires de services de confiance — qualifiés ou non — établis dans l'Union, sans seuil de taille [Art. 2 par. 1, Art. 3 point 19]. Sont concernés en particulier les émetteurs de signatures et de cachets électroniques, les services d'horodatage, les services d'envoi recommandé électronique, les services de certificats pour l'authentification de site internet, les services d'archivage électronique, les services d'attestation électronique d'attributs et les services qualifiés de gestion à distance des dispositifs de création de signature et de cachet électroniques [Art. 3 point 16, Art. 1 point c)]. Les parties utilisatrices privées qui se fient à un service de confiance sont soumises aux règles de reconnaissance et d'enregistrement applicables au portefeuille européen d'identité numérique [Art. 5 ter, Art. 3 point 6].

Échéance

Plusieurs échéances de transition convergent au 21 mai 2026 (J+11 par rapport à aujourd'hui) : les certificats qualifiés délivrés à des personnes physiques sous la directive abrogée 1999/93/CE cessent d'être reconnus comme qualifiés [Art. 51 par. 2] ; les prestataires de services de confiance qualifiés ayant obtenu leur statut avant le 20 mai 2024 doivent avoir remis un rapport d'évaluation de la conformité prouvant le respect de l'article 24, paragraphes 1, 1 bis et 1 ter [Art. 51 par. 4] ; la gestion à distance des dispositifs qualifiés de création de signature ou de cachet par des prestataires non qualifiés cesse d'être tolérée [Art. 51 par. 3]. Les dispositifs sécurisés de création de signature reconnus sous la directive 1999/93/CE ne sont assimilés à des dispositifs qualifiés que jusqu'au 21 mai 2027 [Art. 51 par. 1]. Obligation permanente : notification d'atteinte à la sécurité au plus tard 24 heures après connaissance, pour les prestataires non qualifiés [Art. 19 bis par. 1 b)] et, en pratique, audit au moins tous les 24 mois pour les prestataires qualifiés [Art. 20 par. 1].

Risque

Plafond minimal harmonisé pour les amendes administratives infligées aux prestataires de services de confiance qualifiés et non qualifiés : 5 000 000 EUR pour une personne physique ; 5 000 000 EUR ou 1 % du chiffre d'affaires annuel mondial total de l'entreprise du groupe, le montant le plus élevé étant retenu, pour une personne morale [Art. 16 par. 2]. Les États membres fixent en outre des sanctions effectives, proportionnées et dissuasives [Art. 16 par. 1]. L'organe de contrôle peut, en cas de manquement non corrigé dans le délai imparti, retirer le statut qualifié au prestataire ou au service affecté [Art. 20 par. 3]. Sans préjudice des sanctions au titre de l'article 31 de la directive (UE) 2022/2555 (NIS 2) qui peuvent s'ajouter pour les prestataires entrant dans son champ d'application [Art. 16 par. 1].

Preuves

Statut juridique

  • En vigueur
  • au 2026-05-10
  • Version consolidée du 18.10.2024 (intégrant les modifications de la directive (UE) 2022/2555 et du règlement (UE) 2024/1183)

Sources primaires

À faire maintenant

Juridique / DPO

  • Cartographier les contrats et procédures internes qui s'appuient encore sur des certificats qualifiés ou des dispositifs sécurisés de création de signature délivrés sous la directive 1999/93/CE et planifier leur remplacement avant le 21 mai 2026 (certificats personnes physiques) et le 21 mai 2027 (dispositifs sécurisés) [Art. 51 par. 1, Art. 51 par. 2].
  • Vérifier que les clauses contractuelles avec les prestataires de services de confiance imposent la notification des atteintes à la sécurité dans les meilleurs délais et au plus tard 24 heures après leur découverte, et la transmission du rapport d'évaluation de la conformité [Art. 19 bis par. 1 b), Art. 20 par. 1].
  • Encadrer juridiquement la reconnaissance et l'enregistrement de l'entité comme partie utilisatrice du portefeuille européen d'identité numérique avant toute intégration produit, en documentant les finalités et les attributs strictement nécessaires [Art. 5 ter, Art. 3 point 6].

Conformité

  • Établir un registre des services de confiance utilisés en interne (signature, cachet, horodatage, envoi recommandé, archivage, certificats SSL/TLS, attestation d'attributs) en distinguant qualifiés et non qualifiés et en consignant les listes de confiance nationales sur lesquelles ils figurent [Art. 22 par. 1, Art. 3 point 16].
  • Pour les prestataires qualifiés agréés avant le 20 mai 2024, suivre la livraison du rapport d'évaluation de la conformité à l'organe de contrôle au plus tard le 21 mai 2026 et conserver la preuve documentaire dans le dossier d'audit interne [Art. 51 par. 4, Art. 20 par. 1].
  • Mettre en place une procédure d'identification de l'utilisateur conforme à l'article 24, paragraphes 1, 1 bis et 1 ter, en privilégiant le portefeuille européen d'identité numérique ou un moyen d'identification électronique notifié de niveau de garantie élevé pour la délivrance de certificats qualifiés et d'attestations électroniques d'attributs qualifiées [Art. 24 par. 1 bis].

IT / Sécurité

  • Mettre en oeuvre une procédure de détection et de notification des atteintes à la sécurité sous 24 heures, couvrant l'organe de contrôle, les personnes affectées identifiables et, le cas échéant, le public et les autres autorités compétentes [Art. 19 bis par. 1 b)].
  • Auditer les dispositifs de création de signature électronique qualifiée et les services de gestion à distance pour confirmer leur conformité à l'annexe II et la séparation stricte des données de création, sous peine de retrait du statut qualifié [Art. 29, Art. 29 bis, Art. 20 par. 3].
  • Contrôler la chaîne de validation des certificats pour l'authentification de site internet qualifiés (QWAC) et veiller à leur acceptation par les navigateurs conformément aux normes de référence à adopter par la Commission au plus tard le 21 mai 2025 [Art. 45, Art. 45 bis].

Produit / Ingénierie

  • Préparer les interfaces produit à accepter le portefeuille européen d'identité numérique pour l'authentification utilisateur, en prévoyant la divulgation sélective d'attributs et la possibilité d'utilisation hors ligne lorsque pertinente [Art. 5 bis par. 4, Art. 3 point 24].
  • Pour les services de confiance qualifiés intégrés au produit, planifier la mise à jour vers les normes, spécifications et procédures de référence à publier par la Commission par actes d'exécution au plus tard le 21 mai 2025 [Art. 24 par. 1 quater, Art. 26 par. 2, Art. 28 par. 6].
  • Pour les parties utilisatrices privées qui se fient au portefeuille européen d'identité numérique, procéder à l'enregistrement préalable auprès de l'État membre d'établissement et afficher le label de confiance de l'UE pour le portefeuille d'identité numérique conformément aux exigences techniques [Art. 5 ter par. 2, Art. 3 point 23].

Termes clés

Service de confiance
Service électronique normalement fourni contre rémunération qui consiste en la délivrance, la validation ou la conservation de certificats, la création ou la validation de signatures et de cachets électroniques, l'horodatage, l'envoi recommandé électronique, l'archivage électronique ou l'attestation électronique d'attributs [Art. 3 point 16].
Service de confiance qualifié
Service de confiance qui satisfait aux exigences applicables fixées par le règlement et est fourni par un prestataire de services de confiance qualifié inscrit sur une liste de confiance nationale [Art. 3 point 17, Art. 22 par. 1].
Signature électronique qualifiée
Signature électronique avancée créée à l'aide d'un dispositif de création de signature électronique qualifié et reposant sur un certificat qualifié de signature électronique ; elle a le même effet juridique qu'une signature manuscrite [Art. 3 point 12, Art. 25 par. 2].
Portefeuille européen d'identité numérique
Moyen d'identification électronique permettant à l'utilisateur de stocker, gérer et partager en toute sécurité des données d'identification personnelle et des attestations électroniques d'attributs, fourni par chaque État membre dans un délai de 24 mois à compter des actes d'exécution applicables [Art. 3 point 42, Art. 5 bis par. 1].
Organisme d'évaluation de la conformité
Organisme accrédité conformément au règlement (CE) n° 765/2008 chargé d'évaluer si un prestataire de services de confiance qualifié et les services qu'il fournit respectent les exigences du règlement, au moyen d'audits réalisés au moins tous les 24 mois [Art. 3 point 18, Art. 20 par. 1].
Liste de confiance
Liste sécurisée publiée par chaque État membre, signée électroniquement ou cachetée, contenant les informations relatives aux prestataires de services de confiance qualifiés dont il est responsable et aux services qualifiés qu'ils fournissent [Art. 22 par. 1, Art. 22 par. 2].
Partie utilisatrice
Personne physique ou morale qui se fie à une identification électronique, à un portefeuille européen d'identité numérique, à un autre moyen d'identification électronique ou à un service de confiance pour vérifier l'identité d'un utilisateur ou la validité d'une attestation [Art. 3 point 6].
?

Questions fréquentes

Quelle est la valeur juridique d'une signature électronique qualifiée par rapport à une signature manuscrite ?
L'effet juridique d'une signature électronique qualifiée est équivalent à celui d'une signature manuscrite [Art. 25 par. 2]. Une signature électronique qualifiée fondée sur un certificat qualifié délivré dans un État membre est reconnue en tant que telle dans tous les autres États membres [Art. 25 par. 3]. Toutefois, une signature électronique simple ou avancée ne peut pas être refusée comme preuve en justice au seul motif qu'elle n'est pas qualifiée ou qu'elle est sous forme électronique [Art. 25 par. 1].
Quelles sont les exigences applicables à une signature électronique avancée ?
Une signature électronique avancée doit être liée au signataire de manière univoque, permettre d'identifier le signataire, avoir été créée à l'aide de données de création que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif, et être liée aux données associées de telle sorte que toute modification ultérieure des données soit détectable [Art. 26 par. 1]. La Commission peut, au plus tard le 21 mai 2026, adopter des actes d'exécution établissant des normes de référence pour ces signatures [Art. 26 par. 2].
Quel est le montant maximal des sanctions applicables aux prestataires de services de confiance ?
Les États membres veillent à ce que les infractions au règlement commises par des prestataires de services de confiance qualifiés ou non qualifiés soient soumises à des amendes administratives d'un montant maximal s'élevant au moins à 5 000 000 EUR pour une personne physique, ou pour une personne morale, à 5 000 000 EUR ou 1 % du chiffre d'affaires annuel mondial total de l'entreprise à laquelle le prestataire appartenait lors de l'exercice précédent, le montant le plus élevé étant retenu [Art. 16 par. 2]. Ces sanctions s'ajoutent, le cas échéant, à celles prévues par la directive (UE) 2022/2555 (NIS 2) [Art. 16 par. 1].
Dans quel délai un prestataire non qualifié doit-il notifier une atteinte à la sécurité ?
Tout prestataire de services de confiance non qualifié doit notifier à l'organe de contrôle, aux personnes affectées identifiables, au public si cela est dans l'intérêt public et, le cas échéant, à d'autres autorités compétentes, toute atteinte à la sécurité ou perturbation ayant une incidence importante sur le service de confiance fourni ou sur les données à caractère personnel qui y sont conservées, dans les meilleurs délais et, en tout état de cause, au plus tard 24 heures à compter du moment où il a eu connaissance de l'atteinte ou de la perturbation [Art. 19 bis par. 1 b)]. Les prestataires qualifiés sont soumis à des exigences renforcées et à un audit au moins tous les 24 mois [Art. 20 par. 1].
Qu'est-ce que le portefeuille européen d'identité numérique et qui doit le fournir ?
Chaque État membre fournit au moins un portefeuille européen d'identité numérique dans un délai de 24 mois à compter de la date d'entrée en vigueur des actes d'exécution visés à l'article 5 bis paragraphe 23 et à l'article 5 quater paragraphe 6 [Art. 5 bis par. 1]. Le portefeuille permet à l'utilisateur de demander, stocker, sélectionner, partager et présenter de manière sécurisée des données d'identification personnelle et des attestations électroniques d'attributs, en garantissant la divulgation sélective et un contrôle complet de l'utilisateur [Art. 5 bis par. 4]. Il peut être fourni directement par l'État membre, sur mandat, ou de manière indépendante mais reconnu par l'État membre [Art. 5 bis par. 2].
Mes certificats qualifiés délivrés sous la directive 1999/93/CE sont-ils encore valables ?
Les certificats qualifiés délivrés à des personnes physiques au titre de la directive 1999/93/CE continuent à être considérés comme des certificats qualifiés de signature électronique au titre du règlement eIDAS jusqu'au 21 mai 2026 [Art. 51 par. 2]. Les dispositifs sécurisés de création de signature dont la conformité a été déterminée sous l'article 3 paragraphe 4 de la directive 1999/93/CE continuent d'être considérés comme des dispositifs de création de signature électronique qualifiés jusqu'au 21 mai 2027 [Art. 51 par. 1].
Comment vérifier qu'un service de confiance est bien qualifié ?
Chaque État membre établit, tient à jour et publie de façon sécurisée des listes de confiance nationales contenant les prestataires de services de confiance qualifiés dont il est responsable et les services qualifiés qu'ils fournissent [Art. 22 par. 1, Art. 22 par. 2]. Ces listes portent une signature électronique ou un cachet électronique [Art. 22 par. 2]. Les prestataires qualifiés peuvent utiliser le label de confiance de l'Union pour les services de confiance qualifiés à condition d'inclure un lien vers la liste de confiance concernée sur leur site internet [Art. 23 par. 1, Art. 23 par. 2].
3

Facteurs d’évaluation et liste de contrôle

Premium
Essai gratuit 7 jours
4

Questions pour votre avocat

Premium
Essai gratuit 7 jours
5

Conclusion et résumé

Premium
Essai gratuit 7 jours

Analyse détaillée avec liens sources.

Schalten Sie die KI-Analyse frei — mit markierten Fundstellen und direkten Links zu EUR-Lex. 7 Tage kostenlos testen.

Essai gratuit 7 jours

Keine Kreditkarte heute. Kündigung jederzeit.

Sources