La signature électronique et le règlement eIDAS de l’Union européenne : explications

Raido Aarop, expert chez Proud Engineers, une société estonienne d’expertise en transformation numérique, explique dans la présente interview les principaux éléments du règlement eIDAS et identifie les domaines potentiels de coopération entre l’Afrique et l’Europe dans le domaine de la signature numérique.

Les expert·es de Proud Engineers soutiennent les activités d’assistance technique du Digital for Development (D4D) Hub Union africaine - Union européenne (UA-UE) en matière de signature numérique dans le cadre de la plateforme collaborative Estonian ICT Cluster.

Photo: Raido Aarop, eID expert. Credit: Proud Engineers.

Q : Pouvez-vous tout d’abord nous expliquer ce qu’est une signature numérique et à quoi elle sert ?

RA : Pour comprendre ce qu’est une signature numérique, il faut d’abord penser à la signature sur papier. Lorsque celle-ci a été inventée, il s’agissait d’une marque unique et indiscutable qui confirmait à toutes les personnes de votre village que vous aviez fait ou effectué quelque chose, en général une sorte de contrat ou de proclamation. Mais les villages se sont progressivement transformés en villes, et les villes en mégapoles. Aussi, statistiquement parlant, il est devenu très invraisemblable que votre signature soit aujourd’hui encore unique. Et même si c’était le cas, les 8 milliards d’autres personnes dans le monde ne vous connaissent ni vous ni votre signature, qui n’est donc plus une preuve de quoi que ce soit. Qui plus est, il est aujourd’hui incroyablement simple d’imiter une signature physique et l’usurpation d’identité basée sur la signature est devenue monnaie courante. Pensons par exemple à des personnalités populaires comme l’ancienne Chancelière allemande Angela Merkel, dont la signature est même disponible sur sa page Wikipédia.

À l’ère de l’accélération et la mondialisation, la signature numérique constitue la réponse. Ainsi, en Estonie, une signature numérique est juridiquement équivalente à une signature sur papier, et ce, depuis plus de 20 ans. En réalité, c’est une espèce de timbre numérique qui rend un ou plusieurs fichiers numériques (documents, images ou vidéos) immuables et qui confirme que cette personne, avec son identité numérique, marque son accord avec le contenu de ces fichiers. À l’instar d’une signature sur papier, en fait, mais en mieux.

Dans l’idéal, il pourrait y avoir un jour un écosystème unique de signatures électroniques, mais à l’heure actuelle, le secteur est très fragmenté, avec des signatures électroniques gouvernementales et privées qui se font concurrence et dont la plupart ne sont pas compatibles les unes avec les autres. Une situation à laquelle il faut absolument remédier. À titre de comparaison, imaginez que vous devez payer trois euros ou dollars pour apposer une signature avec votre stylo, sans être sûr·e à 100 % que l’autre partie contractante pourra signer avec son propre stylo. C’est ridicule ! Mais telle est la situation dans laquelle nous nous trouvons. Heureusement, de nombreuses initiatives commencent à remettre de l’ordre dans tout cela - si ce n’est dans le monde entier, à tout le moins au sein de l’Union européenne.

Avant de poursuivre, je tiens à préciser que j’utilise indifféremment les termes « signature électronique » et « signature numérique ». La signature « numérique » est un terme couramment utilisé dans le monde entier, tandis que la signature « électronique » est un terme juridique utilisé dans le règlement eIDAS et très répandu dans l’écosystème de l’Union européenne.

Q : Vous avez mentionné le règlement eIDAS, pouvez-vous nous expliquer en quoi il consiste ?

RA : Le règlement de l’Union européenne n° 910/2014, mieux connu sous le nom d’eIDAS, réglemente l’identification électronique et les services de confiance pour les transactions électroniques dans le marché intérieur de l’UE. Il a été introduit en 2014 dans le but de créer un écosystème d’identité et de signature électroniques à l’échelle de l’UE assez proche de ce que j’ai décrit précédemment. Une nouvelle version de l’eIDAS est en cours d’élaboration et devrait être introduite l’année prochaine.

L’eIDAS réglemente le fonctionnement de ce qu’on appelle une « liste de confiance » de l’UE, c’est-à-dire une liste technique qui contient tou·tes les prestataires de services de confiance de l’UE qui émettent des certificats (ou d’autres services) et qui sont soumis·es à une supervision. La liste de confiance est consultée chaque fois qu’une signature est validée afin de confirmer que la signature a été créée en utilisant un certificat de confiance délivré par un·e prestataire de services de confiance.

Q : Quels sont les types de signature électronique existant dans le cadre de l’eIDAS ? 

RA : Le règlement définit deux types de signature électronique : (1) la signature électronique qualifiée et (2) les signatures électroniques avancées. Toutes les signatures électroniques réglementées par l’eIDAS sont définies comme des signatures électroniques avancées. Un sous-ensemble de ces signatures est réglementé de manière plus stricte : ce sont les signatures dites qualifiées.
Les signatures sont réglementées en termes de :

• effets juridiques ;
• exigences relatives aux formats de signature ;
• exigences relatives aux dispositifs de création de signature et
• exigences relatives à la création et à la validation des signatures.

En outre, l’eIDAS réglemente les certificats électroniques nécessaires à la création de signature, à savoir :

• émission de certificats électroniques ;
• exigences relatives aux services d’émission de certificats (services de confiance) ;
• supervision des services d’émission de certificats (services de confiance).

Les signatures électroniques avancées sont moins strictement réglementées et laissent une grande marge de manœuvre aux États membres de l’UE. En revanche, la réglementation des signatures électroniques qualifiées est plus stricte, étant donné que celles-ci sont juridiquement assimilées à une signature manuscrite. Qui plus est, l’eIDAS rend obligatoire l’acceptation des signatures électroniques qualifiées par tous les États membres de l’UE.

Q : Qu’est-ce qu’un accord de reconnaissance mutuelle (ARM) dans le cadre du règlement eIDAS et qu’est-ce que celui-ci implique pour les pays tiers (en dehors de l’UE) ?

RA : L’article 14 du règlement eIDAS régit la reconnaissance des signatures électroniques qualifiées entre l’UE et un pays tiers. À ce jour, la seule possibilité de reconnaissance mutuelle des signatures qualifiées est de conclure un accord entre l’UE et le pays tiers, conformément à l’article 218 du Traité sur le fonctionnement de l’Union européenne (TFUE). Sans entrer dans les détails, cela signifie qu’un tel accord doit être approuvé par les 27 États membres de l’Union européenne.

Dans la pratique, cela est très difficile à réaliser. C’est pourquoi la prochaine version de l’eIDAS que j’ai mentionnée définira des options supplémentaires permettant aux pays tiers d’interagir avec l’écosystème de la signature électronique de l’UE.

Cela dit, il existe des étapes « intermédiaires » qui ne nécessitent pas la signature d’un ARM et que je vais tenter d’expliquer sans être trop technique. 

Une solution de signature d’un pays tiers peut être reconnue comme une signature avancée dans le cadre de l’eIDAS. La Commission européenne a créé une liste de confiance pour les signatures avancées des services de confiance des pays tiers et a préparé les outils nécessaires à leur validation. Pour tout ajout à la liste de confiance, une demande officielle doit être adressée à la Commission européenne. La liste de confiance fournit un outil de validation des signatures, mais l’effet juridique et la fiabilité d’une signature doivent encore être convenus séparément entre les parties intéressées.

Q : Quels sont les avantages pour les pays africains de se conformer aux normes européennes en matière de signature électronique ?

RA : Pour les pays tiers, il y a de nombreux avantages à s’aligner sur les normes européennes en matière de signature électronique. 

Ainsi, pour commencer, l’Union européenne a fait appel à des centaines d’expert·es en droit, en architecture, en cryptologie et en politique qui ont longuement réfléchi à la façon de créer des solutions à la fois conviviales et sûres. Ce travail a abouti à des normes très élevées.

Par ailleurs, le respect des normes européennes pourrait donner accès à un marché de 450 millions de personnes. Imaginez que vous êtes une banque arménienne et que vous pouvez du jour au lendemain attirer des client·es européen·nes parce que ceux et celles-ci peuvent utiliser leur propre carte d’identité électronique et leur signature numérique pour se connecter aux services bancaires en ligne et confirmer leurs transactions de manière transparente. Ou que vous êtes un·e entrepreneur·e égyptien·ne cherchant à créer un consortium avec une entreprise estonienne - plus de paperasserie, fini le casse-tête ! Des secteurs entiers seraient non seulement rationalisés, mais surtout simplifiés pour les utilisateur·rices finaux·ales.

Q : Quelle devrait être la première étape à effectuer par un pays africain souhaitant coopérer avec des partenaires européens en vue de répondre aux normes eIDAS ?

RA : La première chose à faire est de se familiariser avec le programme « Pilot for the International Compatibility of Trust Services » de la Commission européenne, et notamment avec le « MRA Cookbook ».

Il convient ensuite de procéder à une (auto)évaluation du cadre juridique et technique du pays, d’identifier les lacunes et les efforts à fournir, et enfin de préparer la documentation requise et de soumettre une demande formelle à la Commission européenne.

Des projets tels que le D4D Hub UA-UE peuvent fournir une assistance technique pour guider les institutions africaines tout au long de ce processus.