Inscription aux services de confiance qualifiés eIDAS : aperçu du paysage réglementaire
Introduction
Dans le monde eIDAS (identification électronique, authentification et services de confiance), comprendre les concepts de base des PKI (infrastructures publiques-clés) est essentiel pour appréhender les processus d’inscription aux services-types eIDAS. La réglementation eIDAS donne à la Commission européenne la charge de définir les normes techniques, ce qui en fait de facto la législation PKI. L’écosystème des parties chargées de résoudre les problèmes de communications cryptées doit comprendre des acteurs qui enregistrent ou qui vérifient l’identité des personnes physiques. Ces acteurs sont les Autorités d’Enregistrement (les AE), lesquelles travaillent en lien étroit avec les acteurs les plus importants, les autorités de certification (les AC). Ces dernières fournissent les infrastructures techniques permettant de créer les infrastructures de cryptage et d’héberger les identités numériques dans ce que l’on appelle un certificat.
Le rôle des AC et des AE pour la réglementation eIDAS
Dans le cadre de la réglementation eIDAS, il y a des modèles de certification pour les PSCo (Prestataires de services de confiance). Ces derniers proposent des services conformes à la réglementation eIDAS, y compris les signatures, sceaux et tampons électroniques, et les services électroniques de livraison. Les AC émettent des certificats numériques qui lient les clés publiques aux identités des personnes physiques ou morales, tandis que les AE sont chargées de vérifier l’identité des personnes physiques ou morales avant l’émission d’un certificat numérique. Les AE effectuent des tâches telles que la vérification de l’identité, la gestion des justificatifs ou encore l’inscription. Elles sont souvent des intermédiaires entre les AC et les utilisateurs finaux.
Paysage réglementaire des Services de confiance qualifiés eIDAS
Chez ZealiD, une question revient souvent : celle de la réglementation régissant la vérification et l’enregistrement de l’identité et l’aspect AE des choses s’agissant des services de confiance qualifiés. La réponse est que la réglementation eIDAS ne régit pas formellement le volet relatif à l’enregistrement. Ce volet relève de la responsabilité des AC, et cela n’est donc pas réglementé dans le cadre de la réglementation eIDAS. Cependant, en ayant recours à un AC réglementé, les clients peuvent être sûrs que la méthode de l’AE sera conforme à la réglementation eIDAS et aux dispositions de son article 24.
Législation nationale sur l’enregistrement
La façon dont les États-membres de l’UE ont choisi de procéder à l’enregistrement diffère grandement d’un pays à un autre. Dans la plupart des cas, cela n’est pas réglementé, car l’enregistrement est largement axé sur la technologie.
En France, le PVID est un modèle de certification des services de vérification de l’identité qui pourrait être utilisé par les AE pour qu’elles fournissent des services conformes à eIDAS. Il s’agit sans doute de la législation nationale la plus aboutie au sein de l’UE, gage de qualité, de clarté et de contrôle poussé de tous les acteurs de l’écosystème des services de confiance.
En Espagne, l’identification vidéo est régie par le Décret royal 8/2021, qui pose le cadre légal de l’identification à distance et qui comprend des critères spécifiques pour les processus d’identification vidéo. Cette réglementation s’applique aux organismes tant publics que privés et autorise le recours à l’identification vidéo comme moyen de vérifier à distance l’identité des individus. Néanmoins, la législation espagnole n’est pas neutre sur le plan technologique et ne promeut pas l’innovation du secteur technologique espagnol.
En Italie, l’identification vidéo est régie par le décret législatif N° 217/2018, qui autorise l’identification à distance par voie électronique, y compris l’identification par vidéo. Cette réglementation s’applique aux institutions financières et à d’autres entités soumises à la réglementation contre le blanchiment d’argent. Elle établit des critères spécifiques pour les processus d’identification vidéo. L’approche italienne pose les mêmes problèmes que la réglementation espagnole.
En Allemagne, l’identification vidéo est régie par la loi allemande contre le blanchiment d’argent (Geldwäschegesetz), laquelle autorise l’identification à distance par voie électronique, y compris l’identification vidéo. L’Allemagne a été pionnière en termes de législation sur la vidéo. Certains affirment qu’il s’agissait d’une manœuvre politique, un million de réfugiés syriens devant être enregistrés pour accéder à des comptes en banque, à distance depuis l’Allemagne. Aussi, une dérogation était-elle nécessaire à une tradition technocratique très focalisée sur la sécurité. Cette réglementation s’applique aux institutions financières et aux autres organismes soumis aux réglementations de lutte contre le blanchiment. Elle pose des critères spécifiques pour les processus d’identification vidéo. La Bundesnetzagentur allemande dispose de longue date d’une liste de prestataires de confiance conformes à la législation VDG pour l’identification vidéo et elle la considère conforme à eIDAS.
Norme ETSI EN 419 261 d’enregistrement à distance
La norme ETSI EN 419 261 sur l’enregistrement à distance ayant été publiée, l’Europe dispose désormais d’une norme pour l’identification à distance. Cette norme pose les grandes orientations pour la vérification de l’identité à distance et l’enregistrement ; elle aide à garantir que les processus soient sûrs, fiables et conformes à eIDAS. Elle couvre un éventail de sujets, y compris les processus d’enregistrement, les preuves d’identité et les exigences de sécurité.
L’application de cette norme devrait avoir un impact significatif sur l’enregistrement des services qualifiés de confiance au sein de l’UE. Les législateurs nationaux et les autorités de surveillance peuvent désormais utiliser cette norme comme base de leur propre législation et de leurs cadres réglementaires. Cela aidera à harmoniser la réglementation relative à l’enregistrement dans l’UE et à mettre à disposition de tous les acteurs de l’écosystème des services de confiance un terrain de jeu homogène.
Adoption par l’Allemagne de la norme ETSI EN 419 261
L’Allemagne est l’un des premiers membres de l’UE à avoir adopté la norme ETSI EN 419 261 pour l’enregistrement à distance. L’Office fédéral allemand pour la sécurité des technologies de l’information (BSI) a intégré cette norme à ses directives techniques pour la mise en œuvre de la réglementation eIDAS.
Les directives du BSI donnent des instructions détaillées sur la façon de mettre cette norme en pratique. Elles couvrent des sujets tels que l’identification des personnes physiques, les infrastructures techniques nécessaires à l’enregistrement à distance et les documents devant être fournis à l’autorité d’enregistrement.
L’adoption de cette norme par l’Allemagne aura sans doute un effet ricochet dans toute l’UE. D’autres États-membres vont sans doute suivre et adopter cette norme dans leur propre législation et leur propre cadre réglementaire. Cela aidera à harmoniser la réglementation sur l’enregistrement dans l’UE et offrira un terrain de jeu plus homogène à tous les acteurs de l’écosystème des services de confiance.
Conclusion
En conclusion, si la réglementation eIDAS ne concerne pas formellement l’enregistrement des services qualifiés de confiance, les méthodes d’enregistrement utilisées par les AC sont réglementées par les autorités de contrôle. Cela signifie qu’une partie cherchant un service de confiance qualifié n’a pas besoin d’évaluer sa solution ou son fournisseur d’enregistrement. En effet, une fois le service validé comme service de confiance qualifié, cela répond à toutes les exigences de conformité pour la partie concernée.
De plus, certains États-membres ont leur propre législation nationale sur l’enregistrement. Cependant, avec la publication de la norme ETSI EN 419 261 sur l’enregistrement à distance, l’Europe dispose désormais d’une norme sur l’identification à distance pouvant servir de base aux législations et aux cadres réglementaires nationaux. L’adoption de cette norme par l’Allemagne aura sans doute un impact significatif sur la réglementation relative à l’enregistrement dans l’UE, avec pour conséquence un terrain de jeu plus harmonisé et homogène pour tous les acteurs de l’écosystème des services de confiance.