En 2012, la Commission Européenne avait entamé des travaux destinés à favoriser le commerce électronique au sein de l’Union Européenne, qui ont abouti à l’adoption par le Parlement Européen et le Conseil de l’Union Européenne le 23 juillet 2014 du Règlement n° 210/2014/UE sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit Règlement « eIDAS ».
Ce règlement concerne essentiellement les organismes du secteur public et les prestataires de services de confiance établis sur le territoire de l’Union Européenne, et s’applique directement à l’ensemble des états membres.
Les états membres devaient encore préciser certaines modalités techniques permettant d’assurer le respect des exigences du règlement, notamment pour les moyens d’identification électronique et pour les services de confiance qualifiés.
L’Ordonnance adoptée le 4 octobre 2017 a justement pour objet d’apporter une définition précise dans le Code des postes et des communications électroniques, des notions introduites par le règlement « eIDAS », et des moyens d’identification électronique.
Ainsi, une identification électronique est définie comme «un processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale ». Il s’agit notamment des systèmes de login et de mot de passe exigés sur les sites Internet à titre professionnel pour identifier tel ou tel utilisateur et limiter le nombre d’habilitations pour accéder à certaines informations, considérées comme personnelles.
L’Ordonnance définit par ailleurs un moyen d’identification électronique comme « un élément matériel ou immatériel contenant des données d’identification personnelles et utilisées pour s’authentifier pour un service en ligne ».
Ladite Ordonnance crée également un nouveau pouvoir de certification au profit de l’Autorité Nationale de Sécurité des Systèmes d’Information, organe de contrôle du respect du Règlement « eIDAS ». Ainsi, il est précisé que le prestataire fournissant un moyen d’identification électronique et qui en fait la demande peut se voir délivrer par l’Autorité Nationale de Sécurité des Systèmes d’Information une certification attestant du niveau de garantie associé à ce moyen d’identification électronique.
L’Autorité Nationale de Sécurité des Systèmes d’Information établit à cette fin, après avis de la Commission Nationale de l’Informatique et des Libertés, les référentiels définissant les exigences de sécurité associées aux moyens d’identification électronique. Ces exigences précisent notamment des critères retenus pour la délivrance des moyens d’identification électronique, pour la gestion de ces moyens, pour l’authentification, ainsi que pour la gestion et l’organisation des prestataires. Ces référentiels seront mis à la disposition du public par voie électronique.
Les modalités de certification seront bientôt définies par Décret en Conseil d’Etat.
Ce système de certification permettra aux éditeurs de sites Internet d’obtenir à tout le moins une présomption de respect des dispositions du Règlement « eIDAS », mais également du Règlement général sur la protection des données qui entrera en vigueur le 25 mai 2018 et exigera de la part des entreprises un niveau de sécurisation renforcé de leur système de traitement informatique des données à caractère personnel.
Virginie PERDRIEUX
Vivaldi-Avocats
