Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la...

24
Premier ministre Agence nationale de la sécurité des systèmes d’information Règlement eIDAS Foire aux questions Version 1.1 du 16 janvier 2019

Transcript of Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la...

Page 1: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Premier ministre

Agence nationale de la seacutecuriteacute

des systegravemes drsquoinformation

Regraveglement eIDAS

Foire aux questions

Version 11 du 16 janvier 2019

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 16012019 PUBLIC 224

HISTORIQUE DES VERSIONS

DATE VERSION EVOLUTION DU DOCUMENT REDACTEUR

02062016 10 Version pour publication ANSSI

16012019 11

Mise agrave jour

Ajout de preacutecisions sur

- la proceacutedure de notification de scheacutemas drsquoidentification

eacutelectronique

- les niveaux de signature eacutelectronique

- la deacutelivrance de certificats qualifieacutes

- lrsquoarticulation entre le regraveglement eIDAS et le RGS

- les points de contact au sein de lrsquoANSSI

ANSSI

Les commentaires sur le preacutesent document sont agrave adresser agrave

Agence nationale de la seacutecuriteacute

des systegravemes drsquoinformation

SGDSNANSSI

51 boulevard de La Tour-Maubourg

75700 Paris 07 SP

supervision-eIDASssigouvfr

qualificationssigouvfr

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 324

SOMMAIRE

I QUESTIONS GENERALES SUR LE REGLEMENT EIDAS 5

I1 Qursquoest-ce que le regraveglement eIDAS 5

I2 Quels sont les sujets couverts par le regraveglement eIDAS 5

I3 Quand le regraveglement eIDAS a-t-il eacuteteacute publieacute Quand est-il entreacute en vigueur et quand est-il devenu applicable 5

I4 Qui est concerneacute par le regraveglement eIDAS 5

I5 Le regraveglement eIDAS srsquoapplique-t-il uniquement aux eacutechanges transfrontaliers 6

I6 Que sont les actes deacuteleacutegueacutes et actes drsquoexeacutecution du regraveglement eIDAS 6

I7 Quels sont les impacts et caracteacuteristiques du regraveglement eIDAS sur le plan juridique 6

I8 Quel est le rocircle de lANSSI au titre du regraveglement eIDAS 6

II QUESTIONS RELATIVES A LrsquoIDENTIFICATION ELECTRONIQUE 7

II1 Quel est lrsquoobjectif du volet laquo identification eacutelectronique raquo du regraveglement eIDAS 7

II2 Quels sont les principes du volet laquo identification eacutelectronique raquo du regraveglement eIDAS 7

II3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo identification eacutelectronique raquo du regraveglement 7

II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema drsquoidentification eacutelectronique par un Etat membre 8

II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema drsquoidentification eacutelectronique 8

II6 Qursquoest-ce que le reacuteseau de coopeacuteration 8

II7 Qursquoest-ce que lrsquoexamen par les pairs 9

II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes 9

II9 Les organismes du secteur public sont-ils tenus de recourir agrave des moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS 9

II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo pour lrsquoaccegraves agrave ses services 9

II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification eacutelectronique 10

II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification eacutelectronique 10

II13 Comment se deacuteroule la mise en œuvre au niveau national du volet laquo identification eacutelectronique raquo du regraveglement eIDAS 11

III QUESTIONS RELATIVES A LrsquoENSEMBLE DES SERVICES DE CONFIANCE 12

III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement eIDAS 12

III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement eIDAS 12

III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services de confiance raquo du regraveglement 12

III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS 13

III5 Quelles sont les exigences applicables aux prestataires de services de confiance 13

III6 Quelles sont les obligations induites du volet laquo services de confiance raquo du regraveglement eIDAS pour les prestataires de services de confiance qualifieacutes 14

III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement 14

III8 Quel est le reacutegime de controcircle des prestataires de services de confiance 14

III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de services de confiance qualifieacutes 15

III10 Qursquoest-ce qursquoune liste de confiance 15

III11 Qursquoest-ce que le label de confiance de lrsquoUnion 15

III12 Qursquoest-ce que le laquo mandat 460 raquo 15

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 424

III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave des services de confiance qualifieacutes 16

III14 Comment se deacuteroule la mise en œuvre au niveau national du volet laquo services de confiance raquo du regraveglement eIDAS 16

IV QUESTIONS RELATIVES A LA SIGNATURE ET AU CACHET ELECTRONIQUE 17

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique 17

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique qualifieacute 18

IV3 Qui peut demander un certificat qualifieacute 18

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la signature qualifieacutee 18

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat qualifieacute de signature eacutelectronique 19

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave distance par quels moyens la personne peut-elle manifester son consentement 19

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave distance 20

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de la signature eacutelectronique 20

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur un cadre communautaire pour les signatures eacutelectroniques 21

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS 21

V QUESTIONS RELATIVES AUX IMPACTS NATIONAUX DU VOLET laquo SERVICES DE CONFIANCE raquo 22

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE suite agrave la parution du regraveglement eIDAS 22

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement eIDAS 22

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-272 sont-ils qualifieacutes au titre du regraveglement eIDAS 22

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave lhorodatage eacutelectronique 23

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS sont-ils qualifieacutes au titre du regraveglement eIDAS 23

VI POINTS DE CONTACT DE LrsquoANSSI 24

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 524

I Questions geacuteneacuterales sur le regraveglement eIDAS

I1 Qursquoest-ce que le regraveglement eIDAS

Le regraveglement ndeg 9102014 sur lidentification eacutelectronique et les services de confiance pour les

transactions eacutelectroniques au sein du marcheacute inteacuterieur dit regraveglement laquo eIDAS raquo est un regraveglement

europeacuteen qui a eacuteteacute adopteacute le 23 juillet 2014 par le Parlement europeacuteen et le Conseil de lUnion

Europeacuteenne Lobjectif de ce regraveglement est de mettre en place un cadre juridique propre agrave

susciter une confiance accrue dans les transactions eacutelectroniques au sein du marcheacute inteacuterieur

I2 Quels sont les sujets couverts par le regraveglement eIDAS

Le regraveglement eIDAS sapplique agrave lrsquoidentification eacutelectronique et aux services de confiance

(faisant respectivement lrsquoobjet des chapitres II et III du preacutesent document) Il accorde eacutegalement

un effet juridique aux documents eacutelectroniques

I3 Quand le regraveglement eIDAS a-t-il eacuteteacute publieacute Quand est-il entreacute en

vigueur et quand est-il devenu applicable

Le regraveglement eIDAS a eacuteteacute publieacute au Journal Officiel de lUnion Europeacuteenne (JOUE) le 28 aoucirct

2014 Il est entreacute en vigueur le 17 septembre 2014

Le regraveglement est devenu applicable

le 29 septembre 2015 pour la notification et la reconnaissance volontaire des moyens

didentification eacutelectronique par les Etats membres

le 1er juillet 2016 pour les services de confiance et les documents eacutelectroniques

le 29 septembre 2018 pour la reconnaissance mutuelle obligatoire des moyens

didentification eacutelectronique par les Etats membres

I4 Qui est concerneacute par le regraveglement eIDAS

Le regraveglement concerne les citoyens les entreprises les organismes du secteur public et les

prestataires de services de confiance eacutetablis dans lUnion europeacuteenne Il couvre en particulier les

eacutechanges entre usagers et administrations Les meacutecanismes de reconnaissance mutuelle des

moyens drsquoidentification eacutelectronique et des signatures eacutelectroniques deacutetailleacutes dans les chapitres

II et IV du preacutesent document srsquoappliquent ainsi uniquement aux administrations dans leurs

relations avec les usagers

En revanche le regraveglement ne sapplique pas agrave la fourniture de services de confiance utiliseacutes

exclusivement dans des systegravemes fermeacutes nrsquoayant pas drsquoimpact direct sur des tiers reacutesultant du

droit national ou drsquoaccords au sein dun ensemble deacutefini de participants Par exemple une

autoriteacute administrative mettant en œuvre une infrastructure de gestion de cleacutes pour couvrir ses

besoins internes ne serait pas soumise aux exigences du regraveglement eIDAS applicables aux

services de confiance

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 624

I5 Le regraveglement eIDAS srsquoapplique-t-il uniquement aux eacutechanges

transfrontaliers

Le critegravere permettant drsquoeacutetablir le caractegravere transfrontalier drsquoun eacutechange est un critegravere

geacuteographique et non un critegravere de nationaliteacute Ainsi une personne de nationaliteacute franccedilaise

reacutesidant dans un Etat membre de lrsquoUnion autre que la France qui souhaite acceacuteder agrave un service

en ligne drsquoun organisme public franccedilais se trouve dans le cadre drsquoun eacutechange transfrontalier

Toutefois le regraveglement eIDAS ne sapplique pas uniquement aux eacutechanges transfrontaliers En

effet si les aspects transnationaux sont au cœur du regraveglement eIDAS notamment via les

meacutecanismes de reconnaissance mutuelle des moyens didentification eacutelectronique et des services

de confiance le regraveglement a la vocation plus globale drsquoinstaurer un climat de confiance dans

lrsquoenvironnement en ligne y compris au niveau national

I6 Que sont les actes deacuteleacutegueacutes et actes drsquoexeacutecution du regraveglement eIDAS

Les actes deacuteleacutegueacutes et actes drsquoexeacutecution constituent la laquo leacutegislation secondaire raquo du regraveglement

eIDAS Ce sont des actes preacutevus par des articles du regraveglement venant preacuteciser les modaliteacutes

drsquoapplication de ces derniers

Ces actes peuvent notamment ecirctre utiliseacutes afin de reacutefeacuterencer des normes permettant drsquoapporter

une preacutesomption de conformiteacute aux exigences du regraveglement et harmoniser ainsi les pratiques au

sein des diffeacuterents Etats membres

Certains de ces actes sont obligatoires pour permettre la mise en application du regraveglement mais

la majoriteacute est optionnelle

A ce jour aucun acte deacuteleacutegueacute nrsquoa eacuteteacute publieacute Seuls les sept actes drsquoexeacutecution obligatoires et un

acte drsquoexeacutecution optionnel ont eacuteteacute publieacutes Ceux-ci sont reacutefeacuterenceacutes dans les chapitres II et III du

preacutesent document

I7 Quels sont les impacts et caracteacuteristiques du regraveglement eIDAS sur le

plan juridique

En dehors de ses effets particuliers concernant lidentification eacutelectronique et les services de

confiance qui sont deacutetailleacutes dans la suite de la preacutesente FAQ le regraveglement a les impacts suivant

il abroge la directive 199993EC sur la signature eacutelectronique

il accorde un effet juridique aux documents eacutelectroniques preacutecisant quils ne peuvent

ecirctre refuseacutes comme preuve en justice au seul motif quils se preacutesentent sous forme

eacutelectronique

De plus srsquoagissant drsquoun regraveglement il est dapplication directe ce qui signifie quil ne neacutecessite

pas de transposition en droit national et que toute disposition nationale allant agrave lencontre des

dispositions du regraveglement est consideacutereacutee comme non applicable

I8 Quel est le rocircle de lANSSI au titre du regraveglement eIDAS

LrsquoANSSI intervient agrave plusieurs titres dans lrsquoapplication du regraveglement eIDAS en tant que

garante de la seacutecuriteacute pour son volet laquo identification eacutelectronique raquo en tant qursquoorgane de controcircle

pour son volet laquo services de confiance raquo en tant qursquoorganisme de certification des dispositifs de

creacuteation de signature ou de cachet qualifieacutes et enfin en tant qursquoorganisme en charge de la liste de

confiance

Ces responsabiliteacutes sont deacutetailleacutees dans les chapitres II et III du preacutesent document

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 724

II Questions relatives agrave lrsquoidentification eacutelectronique

II1 Quel est lrsquoobjectif du volet laquo identification eacutelectronique raquo du regraveglement

eIDAS

Lrsquoobjectif du regraveglement eIDAS pour lidentification eacutelectronique est de mettre en place un cadre

drsquointeropeacuterabiliteacute pour les identiteacutes eacutelectroniques des diffeacuterents Etats membres Le regraveglement

deacutefinit les speacutecifications permettant lrsquointeropeacuterabiliteacute des moyens drsquoidentification

eacutelectronique

deacutefinit les niveaux de garantie et exigences de seacutecuriteacute associeacutees de ces moyens

preacutecise les conditions de reconnaissance mutuelle des moyens drsquoidentification

eacutelectronique deacutelivreacutes dans les Etats membres

II2 Quels sont les principes du volet laquo identification eacutelectronique raquo du

regraveglement eIDAS

Le regraveglement instaure un systegraveme de notification de laquo scheacutemas drsquoidentification eacutelectronique raquo par

les Etats membres Ces derniers sont deacutefinis par le regraveglement comme des laquo systegravemes pour

lrsquoidentification eacutelectronique en vertu desquels des moyens drsquoidentification eacutelectronique sont

deacutelivreacutes agrave des personnes physiques ou morales ou agrave des personnes physiques repreacutesentant des

personnes morales raquo Au sens du regraveglement un moyen drsquoidentification eacutelectronique est laquo un

eacuteleacutement mateacuteriel ou immateacuteriel contenant des donneacutees drsquoidentification personnelle et utiliseacute pour

srsquoauthentifier sur un service en ligne raquo

Le regraveglement preacutevoit trois niveaux de garantie pour les moyens didentification eacutelectronique

deacutelivreacutes dans le cadre dun scheacutema didentification eacutelectronique notifieacute faible substantiel et

eacuteleveacute Le regraveglement drsquoexeacutecution ndeg 20151502 du 8 septembre 2015 fixe les speacutecifications de

seacutecuriteacute minimales pour chacun de ces niveaux

II3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre

laquo identification eacutelectronique raquo du regraveglement

Les actes dexeacutecution relatifs agrave lidentification eacutelectronique publieacutes agrave la date de reacutedaction du

preacutesent document sont les suivants

Deacutecision dexeacutecution ndeg 2015296 du 24 feacutevrier 2015 eacutetablissant les modaliteacutes de

coopeacuteration entre les Eacutetats membres en matiegravere didentification eacutelectronique

conformeacutement agrave larticle 12 paragraphe 7 du regraveglement ndeg 9102014

Regraveglement dexeacutecution ndeg 20151501 du 8 septembre 2015 sur le cadre

dinteropeacuterabiliteacute viseacute agrave larticle 12 paragraphe 8 du regraveglement ndeg 9102014

Regraveglement dexeacutecution ndeg 20151502 du 8 septembre 2015 fixant les speacutecifications

techniques et proceacutedures minimales relatives aux niveaux de garantie des

moyens didentification eacutelectronique viseacutes agrave larticle 8 paragraphe 3 du regraveglement ndeg

9102014

Deacutecision dexeacutecution ndeg 20151984 du 3 novembre 2015 deacutefinissant les

circonstances les formats et les proceacutedures pour les notifications viseacutes agrave larticle

9 paragraphe 5 du regraveglement ndeg 9102014

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 824

II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema

drsquoidentification eacutelectronique par un Etat membre

Le regraveglement eIDAS nrsquooblige pas les Etats membres agrave mettre en œuvre un moyen didentification

eacutelectronique au niveau national ni le cas eacutecheacuteant agrave le notifier agrave la Commission europeacuteenne

Le cas eacutecheacuteant un Etat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique doit

au preacutealable

permettre lrsquoutilisation du moyen drsquoidentification eacutelectronique deacutelivreacute dans le cadre de ce

scheacutema pour acceacuteder agrave au moins un service en ligne fourni par un organisme du

secteur public de lrsquoEacutetat membre notifiant

fournir la description du scheacutema aux autres Eacutetats membres six mois au moins avant la

notification

LrsquoEtat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique transmet agrave la

Commission europeacuteenne par voie eacutelectronique le formulaire preacutevu agrave lrsquoannexe de la deacutecision

drsquoexeacutecution 20151984 de la Commission Ce formulaire doit ecirctre rempli en langue anglaise et

signeacute eacutelectroniquement

II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema

drsquoidentification eacutelectronique

Si un Etat membre choisit de notifier un scheacutema drsquoidentification eacutelectronique cela geacutenegravere pour

lui les obligations suivantes

respecter les speacutecifications de seacutecuriteacute minimales deacutefinies dans le regraveglement

drsquoexeacutecution ndeg20151502 du 8 septembre 2015 ainsi que les speacutecifications

drsquointeropeacuterabiliteacute deacutefinies dans lrsquoacte drsquoexeacutecution ndeg20151501 du 8 septembre 2015

fournir une authentification en ligne afin de permettre agrave toute partie utilisatrice eacutetablie

sur le territoire dun autre Etat membre de confirmer les donneacutees didentification

personnelle reccedilues sous forme eacutelectronique

suspendre ou reacutevoquer lrsquoauthentification transfrontaliegravere en cas drsquoatteinte agrave la

seacutecuriteacute du scheacutema drsquoidentification eacutelectronique et notifier son retrait srsquoil ne peut ecirctre

remeacutedieacute agrave lrsquoatteinte dans un deacutelai de trois mois

LrsquoEtat membre notifiant est responsable du dommage causeacute intentionnellement ou par

neacutegligence agrave toute personne physique ou morale en raison drsquoun manquement agrave ces obligations

dans le cas drsquoune authentification transfrontaliegravere

II6 Qursquoest-ce que le reacuteseau de coopeacuteration

La deacutecision drsquoexeacutecution 2015296 de la Commission europeacuteenne preacutevoit les modaliteacutes de

coopeacuteration entre les Etats membres sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute des scheacutemas

drsquoidentification eacutelectronique

Cette deacutecision eacutetablit notamment le reacuteseau de coopeacuteration qui a pour mission

drsquoinstaurer des meacutethodes efficaces drsquoeacutechange drsquoinformations entre les Eacutetats membres de

lrsquoUnion europeacuteenne sur toutes les questions relatives agrave lrsquoidentification eacutelectronique

drsquoexaminer les eacutevolutions pertinentes dans le secteur de lrsquoidentification eacutelectronique et

drsquoeacutelaborer de bonnes pratiques en matiegravere drsquointeropeacuterabiliteacute et de seacutecuriteacute des scheacutemas

drsquoidentification eacutelectronique

drsquoadopter des avis sur la faccedilon dont un scheacutema drsquoidentification eacutelectronique satisfait aux

exigences contenues dans le regraveglement eIDAS agrave lrsquoissue du processus drsquoexamen par les

pairs

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 924

Les reacuteunions du reacuteseau de coopeacuteration sont preacutesideacutees par la Commission europeacuteenne

II7 Qursquoest-ce que lrsquoexamen par les pairs

Tous les scheacutemas drsquoidentification eacutelectronique dont la description a eacuteteacute fournie aux Eacutetats

membres preacutealablement agrave une notification peuvent faire lrsquoobjet drsquoun examen par les pairs

La participation des Etats membres pairs est volontaire et lrsquoEacutetat membre dont le scheacutema

drsquoidentification eacutelectronique doit faire lrsquoobjet drsquoun examen ne peut refuser la participation drsquoun

Etat membre pair agrave ce processus de coopeacuteration

Les Etats membres participants deacutesignent des experts chargeacutes de proceacuteder agrave lrsquoexamen Au terme

du processus drsquoexamen qui ne peut exceacuteder trois mois les participants disposent drsquoun mois pour

preacutesenter un rapport au reacuteseau de coopeacuteration A lrsquoissue de cette preacutesentation le reacuteseau de

coopeacuteration eacutemet un avis disponible publiquement

Les avis du reacuteseau de coopeacuteration sont accessibles agrave lrsquoadresse suivante

httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOpinions+of+the+Cooperation+

Network

II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes

La Commission publie au Journal officiel de lrsquoUnion europeacuteenne la liste des scheacutemas

drsquoidentification eacutelectronique qui ont eacuteteacute notifieacutes et les informations essentielles agrave leur sujet et

maintient cette liste agrave jour en fonction des notifications des Etats membres (incluant les

modifications et retraits des scheacutemas drsquoidentification eacutelectronique)

Une liste des scheacutemas drsquoidentification eacutelectronique notifieacutes ou soumis agrave lrsquoexamen par les pairs

est eacutegalement disponible agrave lrsquoadresse suivante

httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOverview+of+pre+notified+and

+notified+eID+schemes+under+eIDAS

II9 Les organismes du secteur public sont-ils tenus de recourir agrave des

moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS

Le regraveglement eIDAS nrsquooblige pas les organismes du secteur public des diffeacuterents Etats membres

agrave recourir agrave des moyens didentification eacutelectronique deacutelivreacutes dans le cadre de scheacutemas

drsquoidentification eacutelectroniques notifieacutes

Les organismes du secteur public peuvent toutefois soit en vertu de pratiques administratives

nationales ou en vertu du droit national exiger la mise en œuvre drsquoun moyen drsquoidentification

eacutelectronique pour lrsquoaccegraves agrave leurs teacuteleacuteservices

II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil

exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo

pour lrsquoaccegraves agrave ses services

Si dans un Etat membre un organisme du secteur public exige pour lrsquoaccegraves agrave lrsquoun de ses

services en ligne une identification eacutelectronique de niveau de garantie substantiel ou eacuteleveacute il

devra eacutegalement accepter pour laccegraves agrave ce teacuteleacuteservice lrsquoensemble des moyens didentification

eacutelectronique de niveau eacutequivalent ou supeacuterieur et relevant drsquoun scheacutema drsquoidentification notifieacute agrave

la Commission et publieacute au JOUE Cette obligation est effective depuis le 29 septembre 2018

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1024

Par ailleurs les organismes du secteur public peuvent deacutecider sur une base volontaire de

reconnaicirctre les scheacutemas drsquoidentification eacutelectronique de niveau faible ainsi que les scheacutemas

drsquoidentification eacutelectronique notifieacutes avant le 29 septembre 2018

II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification

eacutelectronique

Les moyens drsquoidentification eacutelectronique peuvent ecirctre demandeacutes par des personnes physiques ou

morales ou par des personnes physiques repreacutesentant des personnes morales

Pour obtenir un moyen drsquoidentification eacutelectronique le demandeur doit pouvoir justifier de son

identiteacute dans les conditions preacutevues par le regraveglement drsquoexeacutecution ndeg 20151502 qui preacutecise en

annexe les exigences minimales relatives agrave la veacuterification didentiteacute des personnes physiques et agrave

la deacutelivrance du moyen didentification

Ces exigences peuvent ecirctre renforceacutees par la reacuteglementation nationale ou les pratiques du

fournisseur drsquoidentiteacute en fonction du niveau de garantie viseacute

II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification

eacutelectronique

Le regraveglement drsquoexeacutecution ndeg20151502 preacutecise uniquement selon le niveau de garantie la nature

des veacuterifications devant ecirctre reacutealiseacutees (authenticiteacute des piegraveces drsquoidentiteacute preacutesenteacutees comparaison

de caracteacuteristiques physiques du demandeurhellip) sans speacutecifier le moyen technique ou

organisationnel

En particulier le face agrave face (crsquoest-agrave-dire une rencontre en personne entre le demandeur de

lrsquoidentification et la personne deacutelivrant le moyen drsquoidentification) nrsquoest pas exigeacute Par

conseacutequent lexistence dun face agrave face dans la proceacutedure de veacuterification didentiteacute etou dans

celle de deacutelivrance du moyen didentification eacutelectronique deacutependra des choix techniques

effectueacutes par lrsquoorganisme deacutelivrant ce moyen

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise ne place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1124

II13 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo identification eacutelectronique raquo du regraveglement eIDAS

La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication

de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point

de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute

demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute

Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au

niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des

fournisseurs de services

La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications

eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le

respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave

FranceConnect

LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS

A ce titre elle

eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des

moyens didentification eacutelectronique

eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens

drsquoidentification eacutelectronique

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1224

III Questions relatives agrave lrsquoensemble des services de confiance

III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement

eIDAS

Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de

confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule

signature eacutelectronique et englobe les services de

creacuteation veacuterification et validation de signatures eacutelectroniques de cachets

eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de

certificats relatifs agrave ces services

creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites

internet

conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats

relatifs agrave ces services

III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement

eIDAS

Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de

confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets

juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services

de confiance qualifieacutes

Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques

qualifieacutees et aux cachets eacutelectroniques qualifieacutes

Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service

de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat

membre

III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services

de confiance raquo du regraveglement

Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette

FAQ sont les suivants

Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications

relatives agrave la forme du label de confiance de lUnion pour les services de confiance

qualifieacutes

Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications

techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22

paragraphe 5 du regraveglement ndeg 9102014

Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications

relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets

eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public

viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg

9102014

Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave

leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature

eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et

agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1324

III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS

Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des

signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois

recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme

eacutelectronique ou qursquoils ne soient pas qualifieacutes

En compleacutement le regraveglement preacutecise les effets juridiques suivants

la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui

dune signature manuscrite

le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees

et dexactitude de lorigine des donneacutees auxquelles il est lieacute

lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la

date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette

date et cette heure

lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave

linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur

reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi

et de la reacuteception indiqueacutees

III5 Quelles sont les exigences applicables aux prestataires de services de

confiance

Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de

confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions

fixeacutees par les Etats membres

effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive

9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees

ndeg2016679)

rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs

services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave

un utilisateur final

prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques

lieacutes agrave la seacutecuriteacute des services quils fournissent

notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter

preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou

toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance

fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees

Les prestataires de services de confiance sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver

lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1424

III6 Quelles sont les obligations induites du volet laquo services de confiance raquo

du regraveglement eIDAS pour les prestataires de services de confiance

qualifieacutes

Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant

au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales

applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des

exigences speacutecifiques agrave chaque service de confiance qualifieacute

Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la

conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle

deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant

de pouvoir commencer agrave fournir des services qualifieacutes

Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de

prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part

III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement

Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants

la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le

cachet eacutelectronique ou lrsquoauthentification de site internet

lrsquohorodatage eacutelectronique

la validation de signatures ou de cachets eacutelectronique

la conservation de signatures ou de cachets eacutelectroniques

lrsquoenvoi recommandeacute eacutelectronique

La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation

de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du

signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement

eIDAS

III8 Quel est le reacutegime de controcircle des prestataires de services de

confiance

Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par

chaque Etat membre ayant pour mission

le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le

territoire franccedilais

la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires

de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre

lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils

fournissent ne satisfont pas aux exigences du regraveglement

Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a

priori

Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle

srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes

conformeacutement au regraveglement europeacuteen ndeg 7652008CE

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1524

III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de

services de confiance qualifieacutes

Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave

leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute

Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements

compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de

lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux

exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification

En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre

un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme

drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux

frais de ce dernier

Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS

Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique

III10 Qursquoest-ce qursquoune liste de confiance

Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les

informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont

responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations

relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur

cette liste

III11 Qursquoest-ce que le label de confiance de lrsquoUnion

Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les

prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de

maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent

Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du

prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee

Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806

III12 Qursquoest-ce que le laquo mandat 460 raquo

Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif

drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen

Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)

et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes

et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les

travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en

œuvre du regraveglement

Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de

conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers

des actes drsquoexeacutecution qursquoil preacutevoit

Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement

les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1624

III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave

des services de confiance qualifieacutes

Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres

drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les

exigences applicables au sein de chaque Etat membre

Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public

exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces

obligations sont preacuteciseacutees au chapitre IV du preacutesent document

III14 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo services de confiance raquo du regraveglement eIDAS

La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement

sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance

A ce titre lANSSI assure notamment les missions suivantes

le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes

le controcircle a posteriori et sur saisie des prestataires de service de confiance non-

qualifieacutes

lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance

qui en font la demande

la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de

services de confiance qualifieacutes par des organismes drsquoeacutevaluation

la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS

lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute

la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis

dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la

Commission sur ses principales activiteacutes

En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge

lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise

la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des

dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes

la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique

qualifieacutes qursquoelle a certifieacute conformes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1724

IV Questions relatives agrave la signature et au cachet eacutelectronique

Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au

cachet eacutelectronique

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique

Il convient de distinguer quatre niveaux de signatures eacutelectroniques

Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit

par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de

controcircle

Ces deux premiers niveaux sont

La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)

Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou

associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire

utilise pour signer

La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)

Cette signature doit

o ecirctre lieacutee au signataire de maniegravere univoque

o permettre drsquoidentifier le signataire

o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le

signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle

exclusif

o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute

modification ulteacuterieure des donneacutees soit deacutetectable

Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par

un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des

certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle

Ces deux niveaux suivants sont

La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux

articles 26 et 28 du regraveglement eIDAS)

Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute

respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS

Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion

du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des

exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est

uniquement deacutelivreacute au signataire leacutegitime

La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement

eIDAS)

La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature

eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature

eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1824

confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce

dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale

Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune

signature manuscrite

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique

qualifieacute

Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave

creacuteer une signature eacutelectronique

Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II

du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees

La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs

deacutesigneacutes par chaque Etat membre agrave la Commission

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle

exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees

pour prononcer la certification de conformiteacute

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de

services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave

distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la

conformiteacute et de le notifier agrave la Commission

IV3 Qui peut demander un certificat qualifieacute

Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats

eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et

respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats

Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute

deacutelivreacute par un prestataire de services de confiance qualifieacute

De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au

regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il

nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un

cachet eacutelectronique qualifieacute

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la

signature qualifieacutee

Le regraveglement eIDAS entraicircne les changements suivants

Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le

compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees

par un prestataire de services de confiance qualifieacute

Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)

Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les

personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1924

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat

qualifieacute de signature eacutelectronique

Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance

lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute

doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait

par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la

personne morale (ce qui implique donc un face agrave face) ou

agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la

deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de

la personne morale) sest preacutesenteacutee en personne ou

au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux

deux points ci-dessus ou

agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant

une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne

Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi

les possibiliteacutes offertes par le regraveglement

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave

distance par quels moyens la personne peut-elle manifester son

consentement

Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de

sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de

la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par

exemple sur une carte agrave puce et un code PIN)

A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute

suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature

eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees

agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la

saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave

lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2024

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave

distance

Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de

confiance qualifieacute

Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant

en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal

Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire

doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services

de confiance qualifieacutes preacutevus par le regraveglement

ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de

sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au

besoin de continuiteacute du service

La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de

conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute

LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des

certificats de conformiteacute

Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute

distincts

Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage

drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi

qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes

Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de

lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le

produit ou le systegraveme composant le QSCD

Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit

composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de

la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de

signature ou de cachet

LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est

disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-

notified-commission-accordance-article303b-and-392-eidas

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de

la signature eacutelectronique

Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques

avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature

eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne

offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les

formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506

Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats

de signature suivants

ETSI TS 103 171 (v211) (XAdES Baseline Profile)

ETSI TS 103 172 (v222) (PAdES Baseline Profile)

ETSI TS 103 173 (v221) (CAdES Baseline Profile)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 2: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 16012019 PUBLIC 224

HISTORIQUE DES VERSIONS

DATE VERSION EVOLUTION DU DOCUMENT REDACTEUR

02062016 10 Version pour publication ANSSI

16012019 11

Mise agrave jour

Ajout de preacutecisions sur

- la proceacutedure de notification de scheacutemas drsquoidentification

eacutelectronique

- les niveaux de signature eacutelectronique

- la deacutelivrance de certificats qualifieacutes

- lrsquoarticulation entre le regraveglement eIDAS et le RGS

- les points de contact au sein de lrsquoANSSI

ANSSI

Les commentaires sur le preacutesent document sont agrave adresser agrave

Agence nationale de la seacutecuriteacute

des systegravemes drsquoinformation

SGDSNANSSI

51 boulevard de La Tour-Maubourg

75700 Paris 07 SP

supervision-eIDASssigouvfr

qualificationssigouvfr

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 324

SOMMAIRE

I QUESTIONS GENERALES SUR LE REGLEMENT EIDAS 5

I1 Qursquoest-ce que le regraveglement eIDAS 5

I2 Quels sont les sujets couverts par le regraveglement eIDAS 5

I3 Quand le regraveglement eIDAS a-t-il eacuteteacute publieacute Quand est-il entreacute en vigueur et quand est-il devenu applicable 5

I4 Qui est concerneacute par le regraveglement eIDAS 5

I5 Le regraveglement eIDAS srsquoapplique-t-il uniquement aux eacutechanges transfrontaliers 6

I6 Que sont les actes deacuteleacutegueacutes et actes drsquoexeacutecution du regraveglement eIDAS 6

I7 Quels sont les impacts et caracteacuteristiques du regraveglement eIDAS sur le plan juridique 6

I8 Quel est le rocircle de lANSSI au titre du regraveglement eIDAS 6

II QUESTIONS RELATIVES A LrsquoIDENTIFICATION ELECTRONIQUE 7

II1 Quel est lrsquoobjectif du volet laquo identification eacutelectronique raquo du regraveglement eIDAS 7

II2 Quels sont les principes du volet laquo identification eacutelectronique raquo du regraveglement eIDAS 7

II3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo identification eacutelectronique raquo du regraveglement 7

II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema drsquoidentification eacutelectronique par un Etat membre 8

II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema drsquoidentification eacutelectronique 8

II6 Qursquoest-ce que le reacuteseau de coopeacuteration 8

II7 Qursquoest-ce que lrsquoexamen par les pairs 9

II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes 9

II9 Les organismes du secteur public sont-ils tenus de recourir agrave des moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS 9

II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo pour lrsquoaccegraves agrave ses services 9

II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification eacutelectronique 10

II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification eacutelectronique 10

II13 Comment se deacuteroule la mise en œuvre au niveau national du volet laquo identification eacutelectronique raquo du regraveglement eIDAS 11

III QUESTIONS RELATIVES A LrsquoENSEMBLE DES SERVICES DE CONFIANCE 12

III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement eIDAS 12

III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement eIDAS 12

III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services de confiance raquo du regraveglement 12

III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS 13

III5 Quelles sont les exigences applicables aux prestataires de services de confiance 13

III6 Quelles sont les obligations induites du volet laquo services de confiance raquo du regraveglement eIDAS pour les prestataires de services de confiance qualifieacutes 14

III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement 14

III8 Quel est le reacutegime de controcircle des prestataires de services de confiance 14

III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de services de confiance qualifieacutes 15

III10 Qursquoest-ce qursquoune liste de confiance 15

III11 Qursquoest-ce que le label de confiance de lrsquoUnion 15

III12 Qursquoest-ce que le laquo mandat 460 raquo 15

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 424

III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave des services de confiance qualifieacutes 16

III14 Comment se deacuteroule la mise en œuvre au niveau national du volet laquo services de confiance raquo du regraveglement eIDAS 16

IV QUESTIONS RELATIVES A LA SIGNATURE ET AU CACHET ELECTRONIQUE 17

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique 17

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique qualifieacute 18

IV3 Qui peut demander un certificat qualifieacute 18

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la signature qualifieacutee 18

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat qualifieacute de signature eacutelectronique 19

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave distance par quels moyens la personne peut-elle manifester son consentement 19

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave distance 20

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de la signature eacutelectronique 20

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur un cadre communautaire pour les signatures eacutelectroniques 21

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS 21

V QUESTIONS RELATIVES AUX IMPACTS NATIONAUX DU VOLET laquo SERVICES DE CONFIANCE raquo 22

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE suite agrave la parution du regraveglement eIDAS 22

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement eIDAS 22

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-272 sont-ils qualifieacutes au titre du regraveglement eIDAS 22

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave lhorodatage eacutelectronique 23

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS sont-ils qualifieacutes au titre du regraveglement eIDAS 23

VI POINTS DE CONTACT DE LrsquoANSSI 24

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 524

I Questions geacuteneacuterales sur le regraveglement eIDAS

I1 Qursquoest-ce que le regraveglement eIDAS

Le regraveglement ndeg 9102014 sur lidentification eacutelectronique et les services de confiance pour les

transactions eacutelectroniques au sein du marcheacute inteacuterieur dit regraveglement laquo eIDAS raquo est un regraveglement

europeacuteen qui a eacuteteacute adopteacute le 23 juillet 2014 par le Parlement europeacuteen et le Conseil de lUnion

Europeacuteenne Lobjectif de ce regraveglement est de mettre en place un cadre juridique propre agrave

susciter une confiance accrue dans les transactions eacutelectroniques au sein du marcheacute inteacuterieur

I2 Quels sont les sujets couverts par le regraveglement eIDAS

Le regraveglement eIDAS sapplique agrave lrsquoidentification eacutelectronique et aux services de confiance

(faisant respectivement lrsquoobjet des chapitres II et III du preacutesent document) Il accorde eacutegalement

un effet juridique aux documents eacutelectroniques

I3 Quand le regraveglement eIDAS a-t-il eacuteteacute publieacute Quand est-il entreacute en

vigueur et quand est-il devenu applicable

Le regraveglement eIDAS a eacuteteacute publieacute au Journal Officiel de lUnion Europeacuteenne (JOUE) le 28 aoucirct

2014 Il est entreacute en vigueur le 17 septembre 2014

Le regraveglement est devenu applicable

le 29 septembre 2015 pour la notification et la reconnaissance volontaire des moyens

didentification eacutelectronique par les Etats membres

le 1er juillet 2016 pour les services de confiance et les documents eacutelectroniques

le 29 septembre 2018 pour la reconnaissance mutuelle obligatoire des moyens

didentification eacutelectronique par les Etats membres

I4 Qui est concerneacute par le regraveglement eIDAS

Le regraveglement concerne les citoyens les entreprises les organismes du secteur public et les

prestataires de services de confiance eacutetablis dans lUnion europeacuteenne Il couvre en particulier les

eacutechanges entre usagers et administrations Les meacutecanismes de reconnaissance mutuelle des

moyens drsquoidentification eacutelectronique et des signatures eacutelectroniques deacutetailleacutes dans les chapitres

II et IV du preacutesent document srsquoappliquent ainsi uniquement aux administrations dans leurs

relations avec les usagers

En revanche le regraveglement ne sapplique pas agrave la fourniture de services de confiance utiliseacutes

exclusivement dans des systegravemes fermeacutes nrsquoayant pas drsquoimpact direct sur des tiers reacutesultant du

droit national ou drsquoaccords au sein dun ensemble deacutefini de participants Par exemple une

autoriteacute administrative mettant en œuvre une infrastructure de gestion de cleacutes pour couvrir ses

besoins internes ne serait pas soumise aux exigences du regraveglement eIDAS applicables aux

services de confiance

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 624

I5 Le regraveglement eIDAS srsquoapplique-t-il uniquement aux eacutechanges

transfrontaliers

Le critegravere permettant drsquoeacutetablir le caractegravere transfrontalier drsquoun eacutechange est un critegravere

geacuteographique et non un critegravere de nationaliteacute Ainsi une personne de nationaliteacute franccedilaise

reacutesidant dans un Etat membre de lrsquoUnion autre que la France qui souhaite acceacuteder agrave un service

en ligne drsquoun organisme public franccedilais se trouve dans le cadre drsquoun eacutechange transfrontalier

Toutefois le regraveglement eIDAS ne sapplique pas uniquement aux eacutechanges transfrontaliers En

effet si les aspects transnationaux sont au cœur du regraveglement eIDAS notamment via les

meacutecanismes de reconnaissance mutuelle des moyens didentification eacutelectronique et des services

de confiance le regraveglement a la vocation plus globale drsquoinstaurer un climat de confiance dans

lrsquoenvironnement en ligne y compris au niveau national

I6 Que sont les actes deacuteleacutegueacutes et actes drsquoexeacutecution du regraveglement eIDAS

Les actes deacuteleacutegueacutes et actes drsquoexeacutecution constituent la laquo leacutegislation secondaire raquo du regraveglement

eIDAS Ce sont des actes preacutevus par des articles du regraveglement venant preacuteciser les modaliteacutes

drsquoapplication de ces derniers

Ces actes peuvent notamment ecirctre utiliseacutes afin de reacutefeacuterencer des normes permettant drsquoapporter

une preacutesomption de conformiteacute aux exigences du regraveglement et harmoniser ainsi les pratiques au

sein des diffeacuterents Etats membres

Certains de ces actes sont obligatoires pour permettre la mise en application du regraveglement mais

la majoriteacute est optionnelle

A ce jour aucun acte deacuteleacutegueacute nrsquoa eacuteteacute publieacute Seuls les sept actes drsquoexeacutecution obligatoires et un

acte drsquoexeacutecution optionnel ont eacuteteacute publieacutes Ceux-ci sont reacutefeacuterenceacutes dans les chapitres II et III du

preacutesent document

I7 Quels sont les impacts et caracteacuteristiques du regraveglement eIDAS sur le

plan juridique

En dehors de ses effets particuliers concernant lidentification eacutelectronique et les services de

confiance qui sont deacutetailleacutes dans la suite de la preacutesente FAQ le regraveglement a les impacts suivant

il abroge la directive 199993EC sur la signature eacutelectronique

il accorde un effet juridique aux documents eacutelectroniques preacutecisant quils ne peuvent

ecirctre refuseacutes comme preuve en justice au seul motif quils se preacutesentent sous forme

eacutelectronique

De plus srsquoagissant drsquoun regraveglement il est dapplication directe ce qui signifie quil ne neacutecessite

pas de transposition en droit national et que toute disposition nationale allant agrave lencontre des

dispositions du regraveglement est consideacutereacutee comme non applicable

I8 Quel est le rocircle de lANSSI au titre du regraveglement eIDAS

LrsquoANSSI intervient agrave plusieurs titres dans lrsquoapplication du regraveglement eIDAS en tant que

garante de la seacutecuriteacute pour son volet laquo identification eacutelectronique raquo en tant qursquoorgane de controcircle

pour son volet laquo services de confiance raquo en tant qursquoorganisme de certification des dispositifs de

creacuteation de signature ou de cachet qualifieacutes et enfin en tant qursquoorganisme en charge de la liste de

confiance

Ces responsabiliteacutes sont deacutetailleacutees dans les chapitres II et III du preacutesent document

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 724

II Questions relatives agrave lrsquoidentification eacutelectronique

II1 Quel est lrsquoobjectif du volet laquo identification eacutelectronique raquo du regraveglement

eIDAS

Lrsquoobjectif du regraveglement eIDAS pour lidentification eacutelectronique est de mettre en place un cadre

drsquointeropeacuterabiliteacute pour les identiteacutes eacutelectroniques des diffeacuterents Etats membres Le regraveglement

deacutefinit les speacutecifications permettant lrsquointeropeacuterabiliteacute des moyens drsquoidentification

eacutelectronique

deacutefinit les niveaux de garantie et exigences de seacutecuriteacute associeacutees de ces moyens

preacutecise les conditions de reconnaissance mutuelle des moyens drsquoidentification

eacutelectronique deacutelivreacutes dans les Etats membres

II2 Quels sont les principes du volet laquo identification eacutelectronique raquo du

regraveglement eIDAS

Le regraveglement instaure un systegraveme de notification de laquo scheacutemas drsquoidentification eacutelectronique raquo par

les Etats membres Ces derniers sont deacutefinis par le regraveglement comme des laquo systegravemes pour

lrsquoidentification eacutelectronique en vertu desquels des moyens drsquoidentification eacutelectronique sont

deacutelivreacutes agrave des personnes physiques ou morales ou agrave des personnes physiques repreacutesentant des

personnes morales raquo Au sens du regraveglement un moyen drsquoidentification eacutelectronique est laquo un

eacuteleacutement mateacuteriel ou immateacuteriel contenant des donneacutees drsquoidentification personnelle et utiliseacute pour

srsquoauthentifier sur un service en ligne raquo

Le regraveglement preacutevoit trois niveaux de garantie pour les moyens didentification eacutelectronique

deacutelivreacutes dans le cadre dun scheacutema didentification eacutelectronique notifieacute faible substantiel et

eacuteleveacute Le regraveglement drsquoexeacutecution ndeg 20151502 du 8 septembre 2015 fixe les speacutecifications de

seacutecuriteacute minimales pour chacun de ces niveaux

II3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre

laquo identification eacutelectronique raquo du regraveglement

Les actes dexeacutecution relatifs agrave lidentification eacutelectronique publieacutes agrave la date de reacutedaction du

preacutesent document sont les suivants

Deacutecision dexeacutecution ndeg 2015296 du 24 feacutevrier 2015 eacutetablissant les modaliteacutes de

coopeacuteration entre les Eacutetats membres en matiegravere didentification eacutelectronique

conformeacutement agrave larticle 12 paragraphe 7 du regraveglement ndeg 9102014

Regraveglement dexeacutecution ndeg 20151501 du 8 septembre 2015 sur le cadre

dinteropeacuterabiliteacute viseacute agrave larticle 12 paragraphe 8 du regraveglement ndeg 9102014

Regraveglement dexeacutecution ndeg 20151502 du 8 septembre 2015 fixant les speacutecifications

techniques et proceacutedures minimales relatives aux niveaux de garantie des

moyens didentification eacutelectronique viseacutes agrave larticle 8 paragraphe 3 du regraveglement ndeg

9102014

Deacutecision dexeacutecution ndeg 20151984 du 3 novembre 2015 deacutefinissant les

circonstances les formats et les proceacutedures pour les notifications viseacutes agrave larticle

9 paragraphe 5 du regraveglement ndeg 9102014

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 824

II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema

drsquoidentification eacutelectronique par un Etat membre

Le regraveglement eIDAS nrsquooblige pas les Etats membres agrave mettre en œuvre un moyen didentification

eacutelectronique au niveau national ni le cas eacutecheacuteant agrave le notifier agrave la Commission europeacuteenne

Le cas eacutecheacuteant un Etat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique doit

au preacutealable

permettre lrsquoutilisation du moyen drsquoidentification eacutelectronique deacutelivreacute dans le cadre de ce

scheacutema pour acceacuteder agrave au moins un service en ligne fourni par un organisme du

secteur public de lrsquoEacutetat membre notifiant

fournir la description du scheacutema aux autres Eacutetats membres six mois au moins avant la

notification

LrsquoEtat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique transmet agrave la

Commission europeacuteenne par voie eacutelectronique le formulaire preacutevu agrave lrsquoannexe de la deacutecision

drsquoexeacutecution 20151984 de la Commission Ce formulaire doit ecirctre rempli en langue anglaise et

signeacute eacutelectroniquement

II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema

drsquoidentification eacutelectronique

Si un Etat membre choisit de notifier un scheacutema drsquoidentification eacutelectronique cela geacutenegravere pour

lui les obligations suivantes

respecter les speacutecifications de seacutecuriteacute minimales deacutefinies dans le regraveglement

drsquoexeacutecution ndeg20151502 du 8 septembre 2015 ainsi que les speacutecifications

drsquointeropeacuterabiliteacute deacutefinies dans lrsquoacte drsquoexeacutecution ndeg20151501 du 8 septembre 2015

fournir une authentification en ligne afin de permettre agrave toute partie utilisatrice eacutetablie

sur le territoire dun autre Etat membre de confirmer les donneacutees didentification

personnelle reccedilues sous forme eacutelectronique

suspendre ou reacutevoquer lrsquoauthentification transfrontaliegravere en cas drsquoatteinte agrave la

seacutecuriteacute du scheacutema drsquoidentification eacutelectronique et notifier son retrait srsquoil ne peut ecirctre

remeacutedieacute agrave lrsquoatteinte dans un deacutelai de trois mois

LrsquoEtat membre notifiant est responsable du dommage causeacute intentionnellement ou par

neacutegligence agrave toute personne physique ou morale en raison drsquoun manquement agrave ces obligations

dans le cas drsquoune authentification transfrontaliegravere

II6 Qursquoest-ce que le reacuteseau de coopeacuteration

La deacutecision drsquoexeacutecution 2015296 de la Commission europeacuteenne preacutevoit les modaliteacutes de

coopeacuteration entre les Etats membres sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute des scheacutemas

drsquoidentification eacutelectronique

Cette deacutecision eacutetablit notamment le reacuteseau de coopeacuteration qui a pour mission

drsquoinstaurer des meacutethodes efficaces drsquoeacutechange drsquoinformations entre les Eacutetats membres de

lrsquoUnion europeacuteenne sur toutes les questions relatives agrave lrsquoidentification eacutelectronique

drsquoexaminer les eacutevolutions pertinentes dans le secteur de lrsquoidentification eacutelectronique et

drsquoeacutelaborer de bonnes pratiques en matiegravere drsquointeropeacuterabiliteacute et de seacutecuriteacute des scheacutemas

drsquoidentification eacutelectronique

drsquoadopter des avis sur la faccedilon dont un scheacutema drsquoidentification eacutelectronique satisfait aux

exigences contenues dans le regraveglement eIDAS agrave lrsquoissue du processus drsquoexamen par les

pairs

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 924

Les reacuteunions du reacuteseau de coopeacuteration sont preacutesideacutees par la Commission europeacuteenne

II7 Qursquoest-ce que lrsquoexamen par les pairs

Tous les scheacutemas drsquoidentification eacutelectronique dont la description a eacuteteacute fournie aux Eacutetats

membres preacutealablement agrave une notification peuvent faire lrsquoobjet drsquoun examen par les pairs

La participation des Etats membres pairs est volontaire et lrsquoEacutetat membre dont le scheacutema

drsquoidentification eacutelectronique doit faire lrsquoobjet drsquoun examen ne peut refuser la participation drsquoun

Etat membre pair agrave ce processus de coopeacuteration

Les Etats membres participants deacutesignent des experts chargeacutes de proceacuteder agrave lrsquoexamen Au terme

du processus drsquoexamen qui ne peut exceacuteder trois mois les participants disposent drsquoun mois pour

preacutesenter un rapport au reacuteseau de coopeacuteration A lrsquoissue de cette preacutesentation le reacuteseau de

coopeacuteration eacutemet un avis disponible publiquement

Les avis du reacuteseau de coopeacuteration sont accessibles agrave lrsquoadresse suivante

httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOpinions+of+the+Cooperation+

Network

II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes

La Commission publie au Journal officiel de lrsquoUnion europeacuteenne la liste des scheacutemas

drsquoidentification eacutelectronique qui ont eacuteteacute notifieacutes et les informations essentielles agrave leur sujet et

maintient cette liste agrave jour en fonction des notifications des Etats membres (incluant les

modifications et retraits des scheacutemas drsquoidentification eacutelectronique)

Une liste des scheacutemas drsquoidentification eacutelectronique notifieacutes ou soumis agrave lrsquoexamen par les pairs

est eacutegalement disponible agrave lrsquoadresse suivante

httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOverview+of+pre+notified+and

+notified+eID+schemes+under+eIDAS

II9 Les organismes du secteur public sont-ils tenus de recourir agrave des

moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS

Le regraveglement eIDAS nrsquooblige pas les organismes du secteur public des diffeacuterents Etats membres

agrave recourir agrave des moyens didentification eacutelectronique deacutelivreacutes dans le cadre de scheacutemas

drsquoidentification eacutelectroniques notifieacutes

Les organismes du secteur public peuvent toutefois soit en vertu de pratiques administratives

nationales ou en vertu du droit national exiger la mise en œuvre drsquoun moyen drsquoidentification

eacutelectronique pour lrsquoaccegraves agrave leurs teacuteleacuteservices

II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil

exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo

pour lrsquoaccegraves agrave ses services

Si dans un Etat membre un organisme du secteur public exige pour lrsquoaccegraves agrave lrsquoun de ses

services en ligne une identification eacutelectronique de niveau de garantie substantiel ou eacuteleveacute il

devra eacutegalement accepter pour laccegraves agrave ce teacuteleacuteservice lrsquoensemble des moyens didentification

eacutelectronique de niveau eacutequivalent ou supeacuterieur et relevant drsquoun scheacutema drsquoidentification notifieacute agrave

la Commission et publieacute au JOUE Cette obligation est effective depuis le 29 septembre 2018

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1024

Par ailleurs les organismes du secteur public peuvent deacutecider sur une base volontaire de

reconnaicirctre les scheacutemas drsquoidentification eacutelectronique de niveau faible ainsi que les scheacutemas

drsquoidentification eacutelectronique notifieacutes avant le 29 septembre 2018

II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification

eacutelectronique

Les moyens drsquoidentification eacutelectronique peuvent ecirctre demandeacutes par des personnes physiques ou

morales ou par des personnes physiques repreacutesentant des personnes morales

Pour obtenir un moyen drsquoidentification eacutelectronique le demandeur doit pouvoir justifier de son

identiteacute dans les conditions preacutevues par le regraveglement drsquoexeacutecution ndeg 20151502 qui preacutecise en

annexe les exigences minimales relatives agrave la veacuterification didentiteacute des personnes physiques et agrave

la deacutelivrance du moyen didentification

Ces exigences peuvent ecirctre renforceacutees par la reacuteglementation nationale ou les pratiques du

fournisseur drsquoidentiteacute en fonction du niveau de garantie viseacute

II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification

eacutelectronique

Le regraveglement drsquoexeacutecution ndeg20151502 preacutecise uniquement selon le niveau de garantie la nature

des veacuterifications devant ecirctre reacutealiseacutees (authenticiteacute des piegraveces drsquoidentiteacute preacutesenteacutees comparaison

de caracteacuteristiques physiques du demandeurhellip) sans speacutecifier le moyen technique ou

organisationnel

En particulier le face agrave face (crsquoest-agrave-dire une rencontre en personne entre le demandeur de

lrsquoidentification et la personne deacutelivrant le moyen drsquoidentification) nrsquoest pas exigeacute Par

conseacutequent lexistence dun face agrave face dans la proceacutedure de veacuterification didentiteacute etou dans

celle de deacutelivrance du moyen didentification eacutelectronique deacutependra des choix techniques

effectueacutes par lrsquoorganisme deacutelivrant ce moyen

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise ne place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1124

II13 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo identification eacutelectronique raquo du regraveglement eIDAS

La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication

de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point

de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute

demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute

Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au

niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des

fournisseurs de services

La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications

eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le

respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave

FranceConnect

LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS

A ce titre elle

eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des

moyens didentification eacutelectronique

eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens

drsquoidentification eacutelectronique

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1224

III Questions relatives agrave lrsquoensemble des services de confiance

III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement

eIDAS

Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de

confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule

signature eacutelectronique et englobe les services de

creacuteation veacuterification et validation de signatures eacutelectroniques de cachets

eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de

certificats relatifs agrave ces services

creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites

internet

conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats

relatifs agrave ces services

III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement

eIDAS

Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de

confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets

juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services

de confiance qualifieacutes

Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques

qualifieacutees et aux cachets eacutelectroniques qualifieacutes

Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service

de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat

membre

III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services

de confiance raquo du regraveglement

Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette

FAQ sont les suivants

Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications

relatives agrave la forme du label de confiance de lUnion pour les services de confiance

qualifieacutes

Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications

techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22

paragraphe 5 du regraveglement ndeg 9102014

Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications

relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets

eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public

viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg

9102014

Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave

leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature

eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et

agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1324

III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS

Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des

signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois

recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme

eacutelectronique ou qursquoils ne soient pas qualifieacutes

En compleacutement le regraveglement preacutecise les effets juridiques suivants

la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui

dune signature manuscrite

le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees

et dexactitude de lorigine des donneacutees auxquelles il est lieacute

lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la

date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette

date et cette heure

lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave

linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur

reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi

et de la reacuteception indiqueacutees

III5 Quelles sont les exigences applicables aux prestataires de services de

confiance

Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de

confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions

fixeacutees par les Etats membres

effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive

9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees

ndeg2016679)

rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs

services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave

un utilisateur final

prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques

lieacutes agrave la seacutecuriteacute des services quils fournissent

notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter

preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou

toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance

fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees

Les prestataires de services de confiance sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver

lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1424

III6 Quelles sont les obligations induites du volet laquo services de confiance raquo

du regraveglement eIDAS pour les prestataires de services de confiance

qualifieacutes

Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant

au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales

applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des

exigences speacutecifiques agrave chaque service de confiance qualifieacute

Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la

conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle

deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant

de pouvoir commencer agrave fournir des services qualifieacutes

Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de

prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part

III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement

Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants

la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le

cachet eacutelectronique ou lrsquoauthentification de site internet

lrsquohorodatage eacutelectronique

la validation de signatures ou de cachets eacutelectronique

la conservation de signatures ou de cachets eacutelectroniques

lrsquoenvoi recommandeacute eacutelectronique

La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation

de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du

signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement

eIDAS

III8 Quel est le reacutegime de controcircle des prestataires de services de

confiance

Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par

chaque Etat membre ayant pour mission

le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le

territoire franccedilais

la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires

de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre

lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils

fournissent ne satisfont pas aux exigences du regraveglement

Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a

priori

Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle

srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes

conformeacutement au regraveglement europeacuteen ndeg 7652008CE

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1524

III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de

services de confiance qualifieacutes

Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave

leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute

Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements

compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de

lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux

exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification

En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre

un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme

drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux

frais de ce dernier

Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS

Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique

III10 Qursquoest-ce qursquoune liste de confiance

Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les

informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont

responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations

relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur

cette liste

III11 Qursquoest-ce que le label de confiance de lrsquoUnion

Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les

prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de

maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent

Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du

prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee

Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806

III12 Qursquoest-ce que le laquo mandat 460 raquo

Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif

drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen

Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)

et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes

et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les

travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en

œuvre du regraveglement

Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de

conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers

des actes drsquoexeacutecution qursquoil preacutevoit

Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement

les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1624

III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave

des services de confiance qualifieacutes

Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres

drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les

exigences applicables au sein de chaque Etat membre

Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public

exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces

obligations sont preacuteciseacutees au chapitre IV du preacutesent document

III14 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo services de confiance raquo du regraveglement eIDAS

La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement

sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance

A ce titre lANSSI assure notamment les missions suivantes

le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes

le controcircle a posteriori et sur saisie des prestataires de service de confiance non-

qualifieacutes

lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance

qui en font la demande

la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de

services de confiance qualifieacutes par des organismes drsquoeacutevaluation

la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS

lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute

la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis

dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la

Commission sur ses principales activiteacutes

En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge

lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise

la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des

dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes

la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique

qualifieacutes qursquoelle a certifieacute conformes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1724

IV Questions relatives agrave la signature et au cachet eacutelectronique

Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au

cachet eacutelectronique

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique

Il convient de distinguer quatre niveaux de signatures eacutelectroniques

Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit

par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de

controcircle

Ces deux premiers niveaux sont

La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)

Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou

associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire

utilise pour signer

La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)

Cette signature doit

o ecirctre lieacutee au signataire de maniegravere univoque

o permettre drsquoidentifier le signataire

o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le

signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle

exclusif

o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute

modification ulteacuterieure des donneacutees soit deacutetectable

Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par

un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des

certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle

Ces deux niveaux suivants sont

La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux

articles 26 et 28 du regraveglement eIDAS)

Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute

respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS

Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion

du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des

exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est

uniquement deacutelivreacute au signataire leacutegitime

La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement

eIDAS)

La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature

eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature

eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1824

confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce

dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale

Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune

signature manuscrite

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique

qualifieacute

Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave

creacuteer une signature eacutelectronique

Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II

du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees

La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs

deacutesigneacutes par chaque Etat membre agrave la Commission

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle

exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees

pour prononcer la certification de conformiteacute

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de

services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave

distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la

conformiteacute et de le notifier agrave la Commission

IV3 Qui peut demander un certificat qualifieacute

Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats

eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et

respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats

Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute

deacutelivreacute par un prestataire de services de confiance qualifieacute

De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au

regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il

nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un

cachet eacutelectronique qualifieacute

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la

signature qualifieacutee

Le regraveglement eIDAS entraicircne les changements suivants

Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le

compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees

par un prestataire de services de confiance qualifieacute

Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)

Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les

personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1924

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat

qualifieacute de signature eacutelectronique

Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance

lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute

doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait

par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la

personne morale (ce qui implique donc un face agrave face) ou

agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la

deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de

la personne morale) sest preacutesenteacutee en personne ou

au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux

deux points ci-dessus ou

agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant

une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne

Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi

les possibiliteacutes offertes par le regraveglement

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave

distance par quels moyens la personne peut-elle manifester son

consentement

Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de

sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de

la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par

exemple sur une carte agrave puce et un code PIN)

A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute

suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature

eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees

agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la

saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave

lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2024

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave

distance

Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de

confiance qualifieacute

Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant

en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal

Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire

doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services

de confiance qualifieacutes preacutevus par le regraveglement

ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de

sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au

besoin de continuiteacute du service

La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de

conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute

LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des

certificats de conformiteacute

Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute

distincts

Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage

drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi

qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes

Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de

lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le

produit ou le systegraveme composant le QSCD

Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit

composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de

la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de

signature ou de cachet

LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est

disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-

notified-commission-accordance-article303b-and-392-eidas

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de

la signature eacutelectronique

Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques

avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature

eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne

offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les

formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506

Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats

de signature suivants

ETSI TS 103 171 (v211) (XAdES Baseline Profile)

ETSI TS 103 172 (v222) (PAdES Baseline Profile)

ETSI TS 103 173 (v221) (CAdES Baseline Profile)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 3: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 324

SOMMAIRE

I QUESTIONS GENERALES SUR LE REGLEMENT EIDAS 5

I1 Qursquoest-ce que le regraveglement eIDAS 5

I2 Quels sont les sujets couverts par le regraveglement eIDAS 5

I3 Quand le regraveglement eIDAS a-t-il eacuteteacute publieacute Quand est-il entreacute en vigueur et quand est-il devenu applicable 5

I4 Qui est concerneacute par le regraveglement eIDAS 5

I5 Le regraveglement eIDAS srsquoapplique-t-il uniquement aux eacutechanges transfrontaliers 6

I6 Que sont les actes deacuteleacutegueacutes et actes drsquoexeacutecution du regraveglement eIDAS 6

I7 Quels sont les impacts et caracteacuteristiques du regraveglement eIDAS sur le plan juridique 6

I8 Quel est le rocircle de lANSSI au titre du regraveglement eIDAS 6

II QUESTIONS RELATIVES A LrsquoIDENTIFICATION ELECTRONIQUE 7

II1 Quel est lrsquoobjectif du volet laquo identification eacutelectronique raquo du regraveglement eIDAS 7

II2 Quels sont les principes du volet laquo identification eacutelectronique raquo du regraveglement eIDAS 7

II3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo identification eacutelectronique raquo du regraveglement 7

II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema drsquoidentification eacutelectronique par un Etat membre 8

II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema drsquoidentification eacutelectronique 8

II6 Qursquoest-ce que le reacuteseau de coopeacuteration 8

II7 Qursquoest-ce que lrsquoexamen par les pairs 9

II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes 9

II9 Les organismes du secteur public sont-ils tenus de recourir agrave des moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS 9

II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo pour lrsquoaccegraves agrave ses services 9

II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification eacutelectronique 10

II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification eacutelectronique 10

II13 Comment se deacuteroule la mise en œuvre au niveau national du volet laquo identification eacutelectronique raquo du regraveglement eIDAS 11

III QUESTIONS RELATIVES A LrsquoENSEMBLE DES SERVICES DE CONFIANCE 12

III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement eIDAS 12

III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement eIDAS 12

III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services de confiance raquo du regraveglement 12

III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS 13

III5 Quelles sont les exigences applicables aux prestataires de services de confiance 13

III6 Quelles sont les obligations induites du volet laquo services de confiance raquo du regraveglement eIDAS pour les prestataires de services de confiance qualifieacutes 14

III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement 14

III8 Quel est le reacutegime de controcircle des prestataires de services de confiance 14

III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de services de confiance qualifieacutes 15

III10 Qursquoest-ce qursquoune liste de confiance 15

III11 Qursquoest-ce que le label de confiance de lrsquoUnion 15

III12 Qursquoest-ce que le laquo mandat 460 raquo 15

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 424

III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave des services de confiance qualifieacutes 16

III14 Comment se deacuteroule la mise en œuvre au niveau national du volet laquo services de confiance raquo du regraveglement eIDAS 16

IV QUESTIONS RELATIVES A LA SIGNATURE ET AU CACHET ELECTRONIQUE 17

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique 17

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique qualifieacute 18

IV3 Qui peut demander un certificat qualifieacute 18

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la signature qualifieacutee 18

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat qualifieacute de signature eacutelectronique 19

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave distance par quels moyens la personne peut-elle manifester son consentement 19

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave distance 20

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de la signature eacutelectronique 20

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur un cadre communautaire pour les signatures eacutelectroniques 21

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS 21

V QUESTIONS RELATIVES AUX IMPACTS NATIONAUX DU VOLET laquo SERVICES DE CONFIANCE raquo 22

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE suite agrave la parution du regraveglement eIDAS 22

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement eIDAS 22

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-272 sont-ils qualifieacutes au titre du regraveglement eIDAS 22

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave lhorodatage eacutelectronique 23

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS sont-ils qualifieacutes au titre du regraveglement eIDAS 23

VI POINTS DE CONTACT DE LrsquoANSSI 24

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 524

I Questions geacuteneacuterales sur le regraveglement eIDAS

I1 Qursquoest-ce que le regraveglement eIDAS

Le regraveglement ndeg 9102014 sur lidentification eacutelectronique et les services de confiance pour les

transactions eacutelectroniques au sein du marcheacute inteacuterieur dit regraveglement laquo eIDAS raquo est un regraveglement

europeacuteen qui a eacuteteacute adopteacute le 23 juillet 2014 par le Parlement europeacuteen et le Conseil de lUnion

Europeacuteenne Lobjectif de ce regraveglement est de mettre en place un cadre juridique propre agrave

susciter une confiance accrue dans les transactions eacutelectroniques au sein du marcheacute inteacuterieur

I2 Quels sont les sujets couverts par le regraveglement eIDAS

Le regraveglement eIDAS sapplique agrave lrsquoidentification eacutelectronique et aux services de confiance

(faisant respectivement lrsquoobjet des chapitres II et III du preacutesent document) Il accorde eacutegalement

un effet juridique aux documents eacutelectroniques

I3 Quand le regraveglement eIDAS a-t-il eacuteteacute publieacute Quand est-il entreacute en

vigueur et quand est-il devenu applicable

Le regraveglement eIDAS a eacuteteacute publieacute au Journal Officiel de lUnion Europeacuteenne (JOUE) le 28 aoucirct

2014 Il est entreacute en vigueur le 17 septembre 2014

Le regraveglement est devenu applicable

le 29 septembre 2015 pour la notification et la reconnaissance volontaire des moyens

didentification eacutelectronique par les Etats membres

le 1er juillet 2016 pour les services de confiance et les documents eacutelectroniques

le 29 septembre 2018 pour la reconnaissance mutuelle obligatoire des moyens

didentification eacutelectronique par les Etats membres

I4 Qui est concerneacute par le regraveglement eIDAS

Le regraveglement concerne les citoyens les entreprises les organismes du secteur public et les

prestataires de services de confiance eacutetablis dans lUnion europeacuteenne Il couvre en particulier les

eacutechanges entre usagers et administrations Les meacutecanismes de reconnaissance mutuelle des

moyens drsquoidentification eacutelectronique et des signatures eacutelectroniques deacutetailleacutes dans les chapitres

II et IV du preacutesent document srsquoappliquent ainsi uniquement aux administrations dans leurs

relations avec les usagers

En revanche le regraveglement ne sapplique pas agrave la fourniture de services de confiance utiliseacutes

exclusivement dans des systegravemes fermeacutes nrsquoayant pas drsquoimpact direct sur des tiers reacutesultant du

droit national ou drsquoaccords au sein dun ensemble deacutefini de participants Par exemple une

autoriteacute administrative mettant en œuvre une infrastructure de gestion de cleacutes pour couvrir ses

besoins internes ne serait pas soumise aux exigences du regraveglement eIDAS applicables aux

services de confiance

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 624

I5 Le regraveglement eIDAS srsquoapplique-t-il uniquement aux eacutechanges

transfrontaliers

Le critegravere permettant drsquoeacutetablir le caractegravere transfrontalier drsquoun eacutechange est un critegravere

geacuteographique et non un critegravere de nationaliteacute Ainsi une personne de nationaliteacute franccedilaise

reacutesidant dans un Etat membre de lrsquoUnion autre que la France qui souhaite acceacuteder agrave un service

en ligne drsquoun organisme public franccedilais se trouve dans le cadre drsquoun eacutechange transfrontalier

Toutefois le regraveglement eIDAS ne sapplique pas uniquement aux eacutechanges transfrontaliers En

effet si les aspects transnationaux sont au cœur du regraveglement eIDAS notamment via les

meacutecanismes de reconnaissance mutuelle des moyens didentification eacutelectronique et des services

de confiance le regraveglement a la vocation plus globale drsquoinstaurer un climat de confiance dans

lrsquoenvironnement en ligne y compris au niveau national

I6 Que sont les actes deacuteleacutegueacutes et actes drsquoexeacutecution du regraveglement eIDAS

Les actes deacuteleacutegueacutes et actes drsquoexeacutecution constituent la laquo leacutegislation secondaire raquo du regraveglement

eIDAS Ce sont des actes preacutevus par des articles du regraveglement venant preacuteciser les modaliteacutes

drsquoapplication de ces derniers

Ces actes peuvent notamment ecirctre utiliseacutes afin de reacutefeacuterencer des normes permettant drsquoapporter

une preacutesomption de conformiteacute aux exigences du regraveglement et harmoniser ainsi les pratiques au

sein des diffeacuterents Etats membres

Certains de ces actes sont obligatoires pour permettre la mise en application du regraveglement mais

la majoriteacute est optionnelle

A ce jour aucun acte deacuteleacutegueacute nrsquoa eacuteteacute publieacute Seuls les sept actes drsquoexeacutecution obligatoires et un

acte drsquoexeacutecution optionnel ont eacuteteacute publieacutes Ceux-ci sont reacutefeacuterenceacutes dans les chapitres II et III du

preacutesent document

I7 Quels sont les impacts et caracteacuteristiques du regraveglement eIDAS sur le

plan juridique

En dehors de ses effets particuliers concernant lidentification eacutelectronique et les services de

confiance qui sont deacutetailleacutes dans la suite de la preacutesente FAQ le regraveglement a les impacts suivant

il abroge la directive 199993EC sur la signature eacutelectronique

il accorde un effet juridique aux documents eacutelectroniques preacutecisant quils ne peuvent

ecirctre refuseacutes comme preuve en justice au seul motif quils se preacutesentent sous forme

eacutelectronique

De plus srsquoagissant drsquoun regraveglement il est dapplication directe ce qui signifie quil ne neacutecessite

pas de transposition en droit national et que toute disposition nationale allant agrave lencontre des

dispositions du regraveglement est consideacutereacutee comme non applicable

I8 Quel est le rocircle de lANSSI au titre du regraveglement eIDAS

LrsquoANSSI intervient agrave plusieurs titres dans lrsquoapplication du regraveglement eIDAS en tant que

garante de la seacutecuriteacute pour son volet laquo identification eacutelectronique raquo en tant qursquoorgane de controcircle

pour son volet laquo services de confiance raquo en tant qursquoorganisme de certification des dispositifs de

creacuteation de signature ou de cachet qualifieacutes et enfin en tant qursquoorganisme en charge de la liste de

confiance

Ces responsabiliteacutes sont deacutetailleacutees dans les chapitres II et III du preacutesent document

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 724

II Questions relatives agrave lrsquoidentification eacutelectronique

II1 Quel est lrsquoobjectif du volet laquo identification eacutelectronique raquo du regraveglement

eIDAS

Lrsquoobjectif du regraveglement eIDAS pour lidentification eacutelectronique est de mettre en place un cadre

drsquointeropeacuterabiliteacute pour les identiteacutes eacutelectroniques des diffeacuterents Etats membres Le regraveglement

deacutefinit les speacutecifications permettant lrsquointeropeacuterabiliteacute des moyens drsquoidentification

eacutelectronique

deacutefinit les niveaux de garantie et exigences de seacutecuriteacute associeacutees de ces moyens

preacutecise les conditions de reconnaissance mutuelle des moyens drsquoidentification

eacutelectronique deacutelivreacutes dans les Etats membres

II2 Quels sont les principes du volet laquo identification eacutelectronique raquo du

regraveglement eIDAS

Le regraveglement instaure un systegraveme de notification de laquo scheacutemas drsquoidentification eacutelectronique raquo par

les Etats membres Ces derniers sont deacutefinis par le regraveglement comme des laquo systegravemes pour

lrsquoidentification eacutelectronique en vertu desquels des moyens drsquoidentification eacutelectronique sont

deacutelivreacutes agrave des personnes physiques ou morales ou agrave des personnes physiques repreacutesentant des

personnes morales raquo Au sens du regraveglement un moyen drsquoidentification eacutelectronique est laquo un

eacuteleacutement mateacuteriel ou immateacuteriel contenant des donneacutees drsquoidentification personnelle et utiliseacute pour

srsquoauthentifier sur un service en ligne raquo

Le regraveglement preacutevoit trois niveaux de garantie pour les moyens didentification eacutelectronique

deacutelivreacutes dans le cadre dun scheacutema didentification eacutelectronique notifieacute faible substantiel et

eacuteleveacute Le regraveglement drsquoexeacutecution ndeg 20151502 du 8 septembre 2015 fixe les speacutecifications de

seacutecuriteacute minimales pour chacun de ces niveaux

II3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre

laquo identification eacutelectronique raquo du regraveglement

Les actes dexeacutecution relatifs agrave lidentification eacutelectronique publieacutes agrave la date de reacutedaction du

preacutesent document sont les suivants

Deacutecision dexeacutecution ndeg 2015296 du 24 feacutevrier 2015 eacutetablissant les modaliteacutes de

coopeacuteration entre les Eacutetats membres en matiegravere didentification eacutelectronique

conformeacutement agrave larticle 12 paragraphe 7 du regraveglement ndeg 9102014

Regraveglement dexeacutecution ndeg 20151501 du 8 septembre 2015 sur le cadre

dinteropeacuterabiliteacute viseacute agrave larticle 12 paragraphe 8 du regraveglement ndeg 9102014

Regraveglement dexeacutecution ndeg 20151502 du 8 septembre 2015 fixant les speacutecifications

techniques et proceacutedures minimales relatives aux niveaux de garantie des

moyens didentification eacutelectronique viseacutes agrave larticle 8 paragraphe 3 du regraveglement ndeg

9102014

Deacutecision dexeacutecution ndeg 20151984 du 3 novembre 2015 deacutefinissant les

circonstances les formats et les proceacutedures pour les notifications viseacutes agrave larticle

9 paragraphe 5 du regraveglement ndeg 9102014

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 824

II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema

drsquoidentification eacutelectronique par un Etat membre

Le regraveglement eIDAS nrsquooblige pas les Etats membres agrave mettre en œuvre un moyen didentification

eacutelectronique au niveau national ni le cas eacutecheacuteant agrave le notifier agrave la Commission europeacuteenne

Le cas eacutecheacuteant un Etat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique doit

au preacutealable

permettre lrsquoutilisation du moyen drsquoidentification eacutelectronique deacutelivreacute dans le cadre de ce

scheacutema pour acceacuteder agrave au moins un service en ligne fourni par un organisme du

secteur public de lrsquoEacutetat membre notifiant

fournir la description du scheacutema aux autres Eacutetats membres six mois au moins avant la

notification

LrsquoEtat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique transmet agrave la

Commission europeacuteenne par voie eacutelectronique le formulaire preacutevu agrave lrsquoannexe de la deacutecision

drsquoexeacutecution 20151984 de la Commission Ce formulaire doit ecirctre rempli en langue anglaise et

signeacute eacutelectroniquement

II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema

drsquoidentification eacutelectronique

Si un Etat membre choisit de notifier un scheacutema drsquoidentification eacutelectronique cela geacutenegravere pour

lui les obligations suivantes

respecter les speacutecifications de seacutecuriteacute minimales deacutefinies dans le regraveglement

drsquoexeacutecution ndeg20151502 du 8 septembre 2015 ainsi que les speacutecifications

drsquointeropeacuterabiliteacute deacutefinies dans lrsquoacte drsquoexeacutecution ndeg20151501 du 8 septembre 2015

fournir une authentification en ligne afin de permettre agrave toute partie utilisatrice eacutetablie

sur le territoire dun autre Etat membre de confirmer les donneacutees didentification

personnelle reccedilues sous forme eacutelectronique

suspendre ou reacutevoquer lrsquoauthentification transfrontaliegravere en cas drsquoatteinte agrave la

seacutecuriteacute du scheacutema drsquoidentification eacutelectronique et notifier son retrait srsquoil ne peut ecirctre

remeacutedieacute agrave lrsquoatteinte dans un deacutelai de trois mois

LrsquoEtat membre notifiant est responsable du dommage causeacute intentionnellement ou par

neacutegligence agrave toute personne physique ou morale en raison drsquoun manquement agrave ces obligations

dans le cas drsquoune authentification transfrontaliegravere

II6 Qursquoest-ce que le reacuteseau de coopeacuteration

La deacutecision drsquoexeacutecution 2015296 de la Commission europeacuteenne preacutevoit les modaliteacutes de

coopeacuteration entre les Etats membres sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute des scheacutemas

drsquoidentification eacutelectronique

Cette deacutecision eacutetablit notamment le reacuteseau de coopeacuteration qui a pour mission

drsquoinstaurer des meacutethodes efficaces drsquoeacutechange drsquoinformations entre les Eacutetats membres de

lrsquoUnion europeacuteenne sur toutes les questions relatives agrave lrsquoidentification eacutelectronique

drsquoexaminer les eacutevolutions pertinentes dans le secteur de lrsquoidentification eacutelectronique et

drsquoeacutelaborer de bonnes pratiques en matiegravere drsquointeropeacuterabiliteacute et de seacutecuriteacute des scheacutemas

drsquoidentification eacutelectronique

drsquoadopter des avis sur la faccedilon dont un scheacutema drsquoidentification eacutelectronique satisfait aux

exigences contenues dans le regraveglement eIDAS agrave lrsquoissue du processus drsquoexamen par les

pairs

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 924

Les reacuteunions du reacuteseau de coopeacuteration sont preacutesideacutees par la Commission europeacuteenne

II7 Qursquoest-ce que lrsquoexamen par les pairs

Tous les scheacutemas drsquoidentification eacutelectronique dont la description a eacuteteacute fournie aux Eacutetats

membres preacutealablement agrave une notification peuvent faire lrsquoobjet drsquoun examen par les pairs

La participation des Etats membres pairs est volontaire et lrsquoEacutetat membre dont le scheacutema

drsquoidentification eacutelectronique doit faire lrsquoobjet drsquoun examen ne peut refuser la participation drsquoun

Etat membre pair agrave ce processus de coopeacuteration

Les Etats membres participants deacutesignent des experts chargeacutes de proceacuteder agrave lrsquoexamen Au terme

du processus drsquoexamen qui ne peut exceacuteder trois mois les participants disposent drsquoun mois pour

preacutesenter un rapport au reacuteseau de coopeacuteration A lrsquoissue de cette preacutesentation le reacuteseau de

coopeacuteration eacutemet un avis disponible publiquement

Les avis du reacuteseau de coopeacuteration sont accessibles agrave lrsquoadresse suivante

httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOpinions+of+the+Cooperation+

Network

II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes

La Commission publie au Journal officiel de lrsquoUnion europeacuteenne la liste des scheacutemas

drsquoidentification eacutelectronique qui ont eacuteteacute notifieacutes et les informations essentielles agrave leur sujet et

maintient cette liste agrave jour en fonction des notifications des Etats membres (incluant les

modifications et retraits des scheacutemas drsquoidentification eacutelectronique)

Une liste des scheacutemas drsquoidentification eacutelectronique notifieacutes ou soumis agrave lrsquoexamen par les pairs

est eacutegalement disponible agrave lrsquoadresse suivante

httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOverview+of+pre+notified+and

+notified+eID+schemes+under+eIDAS

II9 Les organismes du secteur public sont-ils tenus de recourir agrave des

moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS

Le regraveglement eIDAS nrsquooblige pas les organismes du secteur public des diffeacuterents Etats membres

agrave recourir agrave des moyens didentification eacutelectronique deacutelivreacutes dans le cadre de scheacutemas

drsquoidentification eacutelectroniques notifieacutes

Les organismes du secteur public peuvent toutefois soit en vertu de pratiques administratives

nationales ou en vertu du droit national exiger la mise en œuvre drsquoun moyen drsquoidentification

eacutelectronique pour lrsquoaccegraves agrave leurs teacuteleacuteservices

II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil

exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo

pour lrsquoaccegraves agrave ses services

Si dans un Etat membre un organisme du secteur public exige pour lrsquoaccegraves agrave lrsquoun de ses

services en ligne une identification eacutelectronique de niveau de garantie substantiel ou eacuteleveacute il

devra eacutegalement accepter pour laccegraves agrave ce teacuteleacuteservice lrsquoensemble des moyens didentification

eacutelectronique de niveau eacutequivalent ou supeacuterieur et relevant drsquoun scheacutema drsquoidentification notifieacute agrave

la Commission et publieacute au JOUE Cette obligation est effective depuis le 29 septembre 2018

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1024

Par ailleurs les organismes du secteur public peuvent deacutecider sur une base volontaire de

reconnaicirctre les scheacutemas drsquoidentification eacutelectronique de niveau faible ainsi que les scheacutemas

drsquoidentification eacutelectronique notifieacutes avant le 29 septembre 2018

II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification

eacutelectronique

Les moyens drsquoidentification eacutelectronique peuvent ecirctre demandeacutes par des personnes physiques ou

morales ou par des personnes physiques repreacutesentant des personnes morales

Pour obtenir un moyen drsquoidentification eacutelectronique le demandeur doit pouvoir justifier de son

identiteacute dans les conditions preacutevues par le regraveglement drsquoexeacutecution ndeg 20151502 qui preacutecise en

annexe les exigences minimales relatives agrave la veacuterification didentiteacute des personnes physiques et agrave

la deacutelivrance du moyen didentification

Ces exigences peuvent ecirctre renforceacutees par la reacuteglementation nationale ou les pratiques du

fournisseur drsquoidentiteacute en fonction du niveau de garantie viseacute

II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification

eacutelectronique

Le regraveglement drsquoexeacutecution ndeg20151502 preacutecise uniquement selon le niveau de garantie la nature

des veacuterifications devant ecirctre reacutealiseacutees (authenticiteacute des piegraveces drsquoidentiteacute preacutesenteacutees comparaison

de caracteacuteristiques physiques du demandeurhellip) sans speacutecifier le moyen technique ou

organisationnel

En particulier le face agrave face (crsquoest-agrave-dire une rencontre en personne entre le demandeur de

lrsquoidentification et la personne deacutelivrant le moyen drsquoidentification) nrsquoest pas exigeacute Par

conseacutequent lexistence dun face agrave face dans la proceacutedure de veacuterification didentiteacute etou dans

celle de deacutelivrance du moyen didentification eacutelectronique deacutependra des choix techniques

effectueacutes par lrsquoorganisme deacutelivrant ce moyen

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise ne place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1124

II13 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo identification eacutelectronique raquo du regraveglement eIDAS

La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication

de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point

de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute

demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute

Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au

niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des

fournisseurs de services

La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications

eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le

respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave

FranceConnect

LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS

A ce titre elle

eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des

moyens didentification eacutelectronique

eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens

drsquoidentification eacutelectronique

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1224

III Questions relatives agrave lrsquoensemble des services de confiance

III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement

eIDAS

Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de

confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule

signature eacutelectronique et englobe les services de

creacuteation veacuterification et validation de signatures eacutelectroniques de cachets

eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de

certificats relatifs agrave ces services

creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites

internet

conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats

relatifs agrave ces services

III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement

eIDAS

Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de

confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets

juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services

de confiance qualifieacutes

Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques

qualifieacutees et aux cachets eacutelectroniques qualifieacutes

Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service

de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat

membre

III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services

de confiance raquo du regraveglement

Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette

FAQ sont les suivants

Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications

relatives agrave la forme du label de confiance de lUnion pour les services de confiance

qualifieacutes

Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications

techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22

paragraphe 5 du regraveglement ndeg 9102014

Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications

relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets

eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public

viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg

9102014

Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave

leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature

eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et

agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1324

III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS

Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des

signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois

recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme

eacutelectronique ou qursquoils ne soient pas qualifieacutes

En compleacutement le regraveglement preacutecise les effets juridiques suivants

la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui

dune signature manuscrite

le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees

et dexactitude de lorigine des donneacutees auxquelles il est lieacute

lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la

date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette

date et cette heure

lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave

linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur

reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi

et de la reacuteception indiqueacutees

III5 Quelles sont les exigences applicables aux prestataires de services de

confiance

Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de

confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions

fixeacutees par les Etats membres

effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive

9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees

ndeg2016679)

rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs

services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave

un utilisateur final

prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques

lieacutes agrave la seacutecuriteacute des services quils fournissent

notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter

preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou

toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance

fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees

Les prestataires de services de confiance sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver

lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1424

III6 Quelles sont les obligations induites du volet laquo services de confiance raquo

du regraveglement eIDAS pour les prestataires de services de confiance

qualifieacutes

Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant

au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales

applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des

exigences speacutecifiques agrave chaque service de confiance qualifieacute

Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la

conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle

deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant

de pouvoir commencer agrave fournir des services qualifieacutes

Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de

prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part

III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement

Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants

la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le

cachet eacutelectronique ou lrsquoauthentification de site internet

lrsquohorodatage eacutelectronique

la validation de signatures ou de cachets eacutelectronique

la conservation de signatures ou de cachets eacutelectroniques

lrsquoenvoi recommandeacute eacutelectronique

La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation

de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du

signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement

eIDAS

III8 Quel est le reacutegime de controcircle des prestataires de services de

confiance

Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par

chaque Etat membre ayant pour mission

le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le

territoire franccedilais

la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires

de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre

lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils

fournissent ne satisfont pas aux exigences du regraveglement

Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a

priori

Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle

srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes

conformeacutement au regraveglement europeacuteen ndeg 7652008CE

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1524

III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de

services de confiance qualifieacutes

Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave

leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute

Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements

compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de

lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux

exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification

En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre

un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme

drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux

frais de ce dernier

Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS

Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique

III10 Qursquoest-ce qursquoune liste de confiance

Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les

informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont

responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations

relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur

cette liste

III11 Qursquoest-ce que le label de confiance de lrsquoUnion

Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les

prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de

maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent

Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du

prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee

Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806

III12 Qursquoest-ce que le laquo mandat 460 raquo

Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif

drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen

Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)

et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes

et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les

travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en

œuvre du regraveglement

Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de

conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers

des actes drsquoexeacutecution qursquoil preacutevoit

Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement

les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1624

III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave

des services de confiance qualifieacutes

Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres

drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les

exigences applicables au sein de chaque Etat membre

Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public

exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces

obligations sont preacuteciseacutees au chapitre IV du preacutesent document

III14 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo services de confiance raquo du regraveglement eIDAS

La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement

sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance

A ce titre lANSSI assure notamment les missions suivantes

le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes

le controcircle a posteriori et sur saisie des prestataires de service de confiance non-

qualifieacutes

lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance

qui en font la demande

la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de

services de confiance qualifieacutes par des organismes drsquoeacutevaluation

la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS

lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute

la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis

dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la

Commission sur ses principales activiteacutes

En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge

lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise

la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des

dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes

la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique

qualifieacutes qursquoelle a certifieacute conformes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1724

IV Questions relatives agrave la signature et au cachet eacutelectronique

Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au

cachet eacutelectronique

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique

Il convient de distinguer quatre niveaux de signatures eacutelectroniques

Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit

par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de

controcircle

Ces deux premiers niveaux sont

La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)

Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou

associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire

utilise pour signer

La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)

Cette signature doit

o ecirctre lieacutee au signataire de maniegravere univoque

o permettre drsquoidentifier le signataire

o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le

signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle

exclusif

o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute

modification ulteacuterieure des donneacutees soit deacutetectable

Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par

un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des

certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle

Ces deux niveaux suivants sont

La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux

articles 26 et 28 du regraveglement eIDAS)

Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute

respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS

Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion

du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des

exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est

uniquement deacutelivreacute au signataire leacutegitime

La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement

eIDAS)

La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature

eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature

eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1824

confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce

dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale

Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune

signature manuscrite

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique

qualifieacute

Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave

creacuteer une signature eacutelectronique

Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II

du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees

La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs

deacutesigneacutes par chaque Etat membre agrave la Commission

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle

exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees

pour prononcer la certification de conformiteacute

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de

services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave

distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la

conformiteacute et de le notifier agrave la Commission

IV3 Qui peut demander un certificat qualifieacute

Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats

eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et

respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats

Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute

deacutelivreacute par un prestataire de services de confiance qualifieacute

De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au

regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il

nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un

cachet eacutelectronique qualifieacute

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la

signature qualifieacutee

Le regraveglement eIDAS entraicircne les changements suivants

Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le

compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees

par un prestataire de services de confiance qualifieacute

Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)

Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les

personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1924

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat

qualifieacute de signature eacutelectronique

Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance

lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute

doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait

par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la

personne morale (ce qui implique donc un face agrave face) ou

agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la

deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de

la personne morale) sest preacutesenteacutee en personne ou

au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux

deux points ci-dessus ou

agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant

une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne

Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi

les possibiliteacutes offertes par le regraveglement

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave

distance par quels moyens la personne peut-elle manifester son

consentement

Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de

sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de

la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par

exemple sur une carte agrave puce et un code PIN)

A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute

suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature

eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees

agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la

saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave

lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2024

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave

distance

Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de

confiance qualifieacute

Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant

en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal

Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire

doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services

de confiance qualifieacutes preacutevus par le regraveglement

ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de

sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au

besoin de continuiteacute du service

La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de

conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute

LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des

certificats de conformiteacute

Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute

distincts

Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage

drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi

qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes

Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de

lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le

produit ou le systegraveme composant le QSCD

Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit

composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de

la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de

signature ou de cachet

LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est

disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-

notified-commission-accordance-article303b-and-392-eidas

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de

la signature eacutelectronique

Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques

avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature

eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne

offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les

formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506

Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats

de signature suivants

ETSI TS 103 171 (v211) (XAdES Baseline Profile)

ETSI TS 103 172 (v222) (PAdES Baseline Profile)

ETSI TS 103 173 (v221) (CAdES Baseline Profile)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 4: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 424

III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave des services de confiance qualifieacutes 16

III14 Comment se deacuteroule la mise en œuvre au niveau national du volet laquo services de confiance raquo du regraveglement eIDAS 16

IV QUESTIONS RELATIVES A LA SIGNATURE ET AU CACHET ELECTRONIQUE 17

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique 17

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique qualifieacute 18

IV3 Qui peut demander un certificat qualifieacute 18

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la signature qualifieacutee 18

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat qualifieacute de signature eacutelectronique 19

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave distance par quels moyens la personne peut-elle manifester son consentement 19

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave distance 20

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de la signature eacutelectronique 20

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur un cadre communautaire pour les signatures eacutelectroniques 21

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS 21

V QUESTIONS RELATIVES AUX IMPACTS NATIONAUX DU VOLET laquo SERVICES DE CONFIANCE raquo 22

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE suite agrave la parution du regraveglement eIDAS 22

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement eIDAS 22

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-272 sont-ils qualifieacutes au titre du regraveglement eIDAS 22

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave lhorodatage eacutelectronique 23

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS sont-ils qualifieacutes au titre du regraveglement eIDAS 23

VI POINTS DE CONTACT DE LrsquoANSSI 24

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 524

I Questions geacuteneacuterales sur le regraveglement eIDAS

I1 Qursquoest-ce que le regraveglement eIDAS

Le regraveglement ndeg 9102014 sur lidentification eacutelectronique et les services de confiance pour les

transactions eacutelectroniques au sein du marcheacute inteacuterieur dit regraveglement laquo eIDAS raquo est un regraveglement

europeacuteen qui a eacuteteacute adopteacute le 23 juillet 2014 par le Parlement europeacuteen et le Conseil de lUnion

Europeacuteenne Lobjectif de ce regraveglement est de mettre en place un cadre juridique propre agrave

susciter une confiance accrue dans les transactions eacutelectroniques au sein du marcheacute inteacuterieur

I2 Quels sont les sujets couverts par le regraveglement eIDAS

Le regraveglement eIDAS sapplique agrave lrsquoidentification eacutelectronique et aux services de confiance

(faisant respectivement lrsquoobjet des chapitres II et III du preacutesent document) Il accorde eacutegalement

un effet juridique aux documents eacutelectroniques

I3 Quand le regraveglement eIDAS a-t-il eacuteteacute publieacute Quand est-il entreacute en

vigueur et quand est-il devenu applicable

Le regraveglement eIDAS a eacuteteacute publieacute au Journal Officiel de lUnion Europeacuteenne (JOUE) le 28 aoucirct

2014 Il est entreacute en vigueur le 17 septembre 2014

Le regraveglement est devenu applicable

le 29 septembre 2015 pour la notification et la reconnaissance volontaire des moyens

didentification eacutelectronique par les Etats membres

le 1er juillet 2016 pour les services de confiance et les documents eacutelectroniques

le 29 septembre 2018 pour la reconnaissance mutuelle obligatoire des moyens

didentification eacutelectronique par les Etats membres

I4 Qui est concerneacute par le regraveglement eIDAS

Le regraveglement concerne les citoyens les entreprises les organismes du secteur public et les

prestataires de services de confiance eacutetablis dans lUnion europeacuteenne Il couvre en particulier les

eacutechanges entre usagers et administrations Les meacutecanismes de reconnaissance mutuelle des

moyens drsquoidentification eacutelectronique et des signatures eacutelectroniques deacutetailleacutes dans les chapitres

II et IV du preacutesent document srsquoappliquent ainsi uniquement aux administrations dans leurs

relations avec les usagers

En revanche le regraveglement ne sapplique pas agrave la fourniture de services de confiance utiliseacutes

exclusivement dans des systegravemes fermeacutes nrsquoayant pas drsquoimpact direct sur des tiers reacutesultant du

droit national ou drsquoaccords au sein dun ensemble deacutefini de participants Par exemple une

autoriteacute administrative mettant en œuvre une infrastructure de gestion de cleacutes pour couvrir ses

besoins internes ne serait pas soumise aux exigences du regraveglement eIDAS applicables aux

services de confiance

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 624

I5 Le regraveglement eIDAS srsquoapplique-t-il uniquement aux eacutechanges

transfrontaliers

Le critegravere permettant drsquoeacutetablir le caractegravere transfrontalier drsquoun eacutechange est un critegravere

geacuteographique et non un critegravere de nationaliteacute Ainsi une personne de nationaliteacute franccedilaise

reacutesidant dans un Etat membre de lrsquoUnion autre que la France qui souhaite acceacuteder agrave un service

en ligne drsquoun organisme public franccedilais se trouve dans le cadre drsquoun eacutechange transfrontalier

Toutefois le regraveglement eIDAS ne sapplique pas uniquement aux eacutechanges transfrontaliers En

effet si les aspects transnationaux sont au cœur du regraveglement eIDAS notamment via les

meacutecanismes de reconnaissance mutuelle des moyens didentification eacutelectronique et des services

de confiance le regraveglement a la vocation plus globale drsquoinstaurer un climat de confiance dans

lrsquoenvironnement en ligne y compris au niveau national

I6 Que sont les actes deacuteleacutegueacutes et actes drsquoexeacutecution du regraveglement eIDAS

Les actes deacuteleacutegueacutes et actes drsquoexeacutecution constituent la laquo leacutegislation secondaire raquo du regraveglement

eIDAS Ce sont des actes preacutevus par des articles du regraveglement venant preacuteciser les modaliteacutes

drsquoapplication de ces derniers

Ces actes peuvent notamment ecirctre utiliseacutes afin de reacutefeacuterencer des normes permettant drsquoapporter

une preacutesomption de conformiteacute aux exigences du regraveglement et harmoniser ainsi les pratiques au

sein des diffeacuterents Etats membres

Certains de ces actes sont obligatoires pour permettre la mise en application du regraveglement mais

la majoriteacute est optionnelle

A ce jour aucun acte deacuteleacutegueacute nrsquoa eacuteteacute publieacute Seuls les sept actes drsquoexeacutecution obligatoires et un

acte drsquoexeacutecution optionnel ont eacuteteacute publieacutes Ceux-ci sont reacutefeacuterenceacutes dans les chapitres II et III du

preacutesent document

I7 Quels sont les impacts et caracteacuteristiques du regraveglement eIDAS sur le

plan juridique

En dehors de ses effets particuliers concernant lidentification eacutelectronique et les services de

confiance qui sont deacutetailleacutes dans la suite de la preacutesente FAQ le regraveglement a les impacts suivant

il abroge la directive 199993EC sur la signature eacutelectronique

il accorde un effet juridique aux documents eacutelectroniques preacutecisant quils ne peuvent

ecirctre refuseacutes comme preuve en justice au seul motif quils se preacutesentent sous forme

eacutelectronique

De plus srsquoagissant drsquoun regraveglement il est dapplication directe ce qui signifie quil ne neacutecessite

pas de transposition en droit national et que toute disposition nationale allant agrave lencontre des

dispositions du regraveglement est consideacutereacutee comme non applicable

I8 Quel est le rocircle de lANSSI au titre du regraveglement eIDAS

LrsquoANSSI intervient agrave plusieurs titres dans lrsquoapplication du regraveglement eIDAS en tant que

garante de la seacutecuriteacute pour son volet laquo identification eacutelectronique raquo en tant qursquoorgane de controcircle

pour son volet laquo services de confiance raquo en tant qursquoorganisme de certification des dispositifs de

creacuteation de signature ou de cachet qualifieacutes et enfin en tant qursquoorganisme en charge de la liste de

confiance

Ces responsabiliteacutes sont deacutetailleacutees dans les chapitres II et III du preacutesent document

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 724

II Questions relatives agrave lrsquoidentification eacutelectronique

II1 Quel est lrsquoobjectif du volet laquo identification eacutelectronique raquo du regraveglement

eIDAS

Lrsquoobjectif du regraveglement eIDAS pour lidentification eacutelectronique est de mettre en place un cadre

drsquointeropeacuterabiliteacute pour les identiteacutes eacutelectroniques des diffeacuterents Etats membres Le regraveglement

deacutefinit les speacutecifications permettant lrsquointeropeacuterabiliteacute des moyens drsquoidentification

eacutelectronique

deacutefinit les niveaux de garantie et exigences de seacutecuriteacute associeacutees de ces moyens

preacutecise les conditions de reconnaissance mutuelle des moyens drsquoidentification

eacutelectronique deacutelivreacutes dans les Etats membres

II2 Quels sont les principes du volet laquo identification eacutelectronique raquo du

regraveglement eIDAS

Le regraveglement instaure un systegraveme de notification de laquo scheacutemas drsquoidentification eacutelectronique raquo par

les Etats membres Ces derniers sont deacutefinis par le regraveglement comme des laquo systegravemes pour

lrsquoidentification eacutelectronique en vertu desquels des moyens drsquoidentification eacutelectronique sont

deacutelivreacutes agrave des personnes physiques ou morales ou agrave des personnes physiques repreacutesentant des

personnes morales raquo Au sens du regraveglement un moyen drsquoidentification eacutelectronique est laquo un

eacuteleacutement mateacuteriel ou immateacuteriel contenant des donneacutees drsquoidentification personnelle et utiliseacute pour

srsquoauthentifier sur un service en ligne raquo

Le regraveglement preacutevoit trois niveaux de garantie pour les moyens didentification eacutelectronique

deacutelivreacutes dans le cadre dun scheacutema didentification eacutelectronique notifieacute faible substantiel et

eacuteleveacute Le regraveglement drsquoexeacutecution ndeg 20151502 du 8 septembre 2015 fixe les speacutecifications de

seacutecuriteacute minimales pour chacun de ces niveaux

II3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre

laquo identification eacutelectronique raquo du regraveglement

Les actes dexeacutecution relatifs agrave lidentification eacutelectronique publieacutes agrave la date de reacutedaction du

preacutesent document sont les suivants

Deacutecision dexeacutecution ndeg 2015296 du 24 feacutevrier 2015 eacutetablissant les modaliteacutes de

coopeacuteration entre les Eacutetats membres en matiegravere didentification eacutelectronique

conformeacutement agrave larticle 12 paragraphe 7 du regraveglement ndeg 9102014

Regraveglement dexeacutecution ndeg 20151501 du 8 septembre 2015 sur le cadre

dinteropeacuterabiliteacute viseacute agrave larticle 12 paragraphe 8 du regraveglement ndeg 9102014

Regraveglement dexeacutecution ndeg 20151502 du 8 septembre 2015 fixant les speacutecifications

techniques et proceacutedures minimales relatives aux niveaux de garantie des

moyens didentification eacutelectronique viseacutes agrave larticle 8 paragraphe 3 du regraveglement ndeg

9102014

Deacutecision dexeacutecution ndeg 20151984 du 3 novembre 2015 deacutefinissant les

circonstances les formats et les proceacutedures pour les notifications viseacutes agrave larticle

9 paragraphe 5 du regraveglement ndeg 9102014

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 824

II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema

drsquoidentification eacutelectronique par un Etat membre

Le regraveglement eIDAS nrsquooblige pas les Etats membres agrave mettre en œuvre un moyen didentification

eacutelectronique au niveau national ni le cas eacutecheacuteant agrave le notifier agrave la Commission europeacuteenne

Le cas eacutecheacuteant un Etat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique doit

au preacutealable

permettre lrsquoutilisation du moyen drsquoidentification eacutelectronique deacutelivreacute dans le cadre de ce

scheacutema pour acceacuteder agrave au moins un service en ligne fourni par un organisme du

secteur public de lrsquoEacutetat membre notifiant

fournir la description du scheacutema aux autres Eacutetats membres six mois au moins avant la

notification

LrsquoEtat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique transmet agrave la

Commission europeacuteenne par voie eacutelectronique le formulaire preacutevu agrave lrsquoannexe de la deacutecision

drsquoexeacutecution 20151984 de la Commission Ce formulaire doit ecirctre rempli en langue anglaise et

signeacute eacutelectroniquement

II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema

drsquoidentification eacutelectronique

Si un Etat membre choisit de notifier un scheacutema drsquoidentification eacutelectronique cela geacutenegravere pour

lui les obligations suivantes

respecter les speacutecifications de seacutecuriteacute minimales deacutefinies dans le regraveglement

drsquoexeacutecution ndeg20151502 du 8 septembre 2015 ainsi que les speacutecifications

drsquointeropeacuterabiliteacute deacutefinies dans lrsquoacte drsquoexeacutecution ndeg20151501 du 8 septembre 2015

fournir une authentification en ligne afin de permettre agrave toute partie utilisatrice eacutetablie

sur le territoire dun autre Etat membre de confirmer les donneacutees didentification

personnelle reccedilues sous forme eacutelectronique

suspendre ou reacutevoquer lrsquoauthentification transfrontaliegravere en cas drsquoatteinte agrave la

seacutecuriteacute du scheacutema drsquoidentification eacutelectronique et notifier son retrait srsquoil ne peut ecirctre

remeacutedieacute agrave lrsquoatteinte dans un deacutelai de trois mois

LrsquoEtat membre notifiant est responsable du dommage causeacute intentionnellement ou par

neacutegligence agrave toute personne physique ou morale en raison drsquoun manquement agrave ces obligations

dans le cas drsquoune authentification transfrontaliegravere

II6 Qursquoest-ce que le reacuteseau de coopeacuteration

La deacutecision drsquoexeacutecution 2015296 de la Commission europeacuteenne preacutevoit les modaliteacutes de

coopeacuteration entre les Etats membres sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute des scheacutemas

drsquoidentification eacutelectronique

Cette deacutecision eacutetablit notamment le reacuteseau de coopeacuteration qui a pour mission

drsquoinstaurer des meacutethodes efficaces drsquoeacutechange drsquoinformations entre les Eacutetats membres de

lrsquoUnion europeacuteenne sur toutes les questions relatives agrave lrsquoidentification eacutelectronique

drsquoexaminer les eacutevolutions pertinentes dans le secteur de lrsquoidentification eacutelectronique et

drsquoeacutelaborer de bonnes pratiques en matiegravere drsquointeropeacuterabiliteacute et de seacutecuriteacute des scheacutemas

drsquoidentification eacutelectronique

drsquoadopter des avis sur la faccedilon dont un scheacutema drsquoidentification eacutelectronique satisfait aux

exigences contenues dans le regraveglement eIDAS agrave lrsquoissue du processus drsquoexamen par les

pairs

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 924

Les reacuteunions du reacuteseau de coopeacuteration sont preacutesideacutees par la Commission europeacuteenne

II7 Qursquoest-ce que lrsquoexamen par les pairs

Tous les scheacutemas drsquoidentification eacutelectronique dont la description a eacuteteacute fournie aux Eacutetats

membres preacutealablement agrave une notification peuvent faire lrsquoobjet drsquoun examen par les pairs

La participation des Etats membres pairs est volontaire et lrsquoEacutetat membre dont le scheacutema

drsquoidentification eacutelectronique doit faire lrsquoobjet drsquoun examen ne peut refuser la participation drsquoun

Etat membre pair agrave ce processus de coopeacuteration

Les Etats membres participants deacutesignent des experts chargeacutes de proceacuteder agrave lrsquoexamen Au terme

du processus drsquoexamen qui ne peut exceacuteder trois mois les participants disposent drsquoun mois pour

preacutesenter un rapport au reacuteseau de coopeacuteration A lrsquoissue de cette preacutesentation le reacuteseau de

coopeacuteration eacutemet un avis disponible publiquement

Les avis du reacuteseau de coopeacuteration sont accessibles agrave lrsquoadresse suivante

httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOpinions+of+the+Cooperation+

Network

II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes

La Commission publie au Journal officiel de lrsquoUnion europeacuteenne la liste des scheacutemas

drsquoidentification eacutelectronique qui ont eacuteteacute notifieacutes et les informations essentielles agrave leur sujet et

maintient cette liste agrave jour en fonction des notifications des Etats membres (incluant les

modifications et retraits des scheacutemas drsquoidentification eacutelectronique)

Une liste des scheacutemas drsquoidentification eacutelectronique notifieacutes ou soumis agrave lrsquoexamen par les pairs

est eacutegalement disponible agrave lrsquoadresse suivante

httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOverview+of+pre+notified+and

+notified+eID+schemes+under+eIDAS

II9 Les organismes du secteur public sont-ils tenus de recourir agrave des

moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS

Le regraveglement eIDAS nrsquooblige pas les organismes du secteur public des diffeacuterents Etats membres

agrave recourir agrave des moyens didentification eacutelectronique deacutelivreacutes dans le cadre de scheacutemas

drsquoidentification eacutelectroniques notifieacutes

Les organismes du secteur public peuvent toutefois soit en vertu de pratiques administratives

nationales ou en vertu du droit national exiger la mise en œuvre drsquoun moyen drsquoidentification

eacutelectronique pour lrsquoaccegraves agrave leurs teacuteleacuteservices

II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil

exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo

pour lrsquoaccegraves agrave ses services

Si dans un Etat membre un organisme du secteur public exige pour lrsquoaccegraves agrave lrsquoun de ses

services en ligne une identification eacutelectronique de niveau de garantie substantiel ou eacuteleveacute il

devra eacutegalement accepter pour laccegraves agrave ce teacuteleacuteservice lrsquoensemble des moyens didentification

eacutelectronique de niveau eacutequivalent ou supeacuterieur et relevant drsquoun scheacutema drsquoidentification notifieacute agrave

la Commission et publieacute au JOUE Cette obligation est effective depuis le 29 septembre 2018

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1024

Par ailleurs les organismes du secteur public peuvent deacutecider sur une base volontaire de

reconnaicirctre les scheacutemas drsquoidentification eacutelectronique de niveau faible ainsi que les scheacutemas

drsquoidentification eacutelectronique notifieacutes avant le 29 septembre 2018

II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification

eacutelectronique

Les moyens drsquoidentification eacutelectronique peuvent ecirctre demandeacutes par des personnes physiques ou

morales ou par des personnes physiques repreacutesentant des personnes morales

Pour obtenir un moyen drsquoidentification eacutelectronique le demandeur doit pouvoir justifier de son

identiteacute dans les conditions preacutevues par le regraveglement drsquoexeacutecution ndeg 20151502 qui preacutecise en

annexe les exigences minimales relatives agrave la veacuterification didentiteacute des personnes physiques et agrave

la deacutelivrance du moyen didentification

Ces exigences peuvent ecirctre renforceacutees par la reacuteglementation nationale ou les pratiques du

fournisseur drsquoidentiteacute en fonction du niveau de garantie viseacute

II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification

eacutelectronique

Le regraveglement drsquoexeacutecution ndeg20151502 preacutecise uniquement selon le niveau de garantie la nature

des veacuterifications devant ecirctre reacutealiseacutees (authenticiteacute des piegraveces drsquoidentiteacute preacutesenteacutees comparaison

de caracteacuteristiques physiques du demandeurhellip) sans speacutecifier le moyen technique ou

organisationnel

En particulier le face agrave face (crsquoest-agrave-dire une rencontre en personne entre le demandeur de

lrsquoidentification et la personne deacutelivrant le moyen drsquoidentification) nrsquoest pas exigeacute Par

conseacutequent lexistence dun face agrave face dans la proceacutedure de veacuterification didentiteacute etou dans

celle de deacutelivrance du moyen didentification eacutelectronique deacutependra des choix techniques

effectueacutes par lrsquoorganisme deacutelivrant ce moyen

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise ne place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1124

II13 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo identification eacutelectronique raquo du regraveglement eIDAS

La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication

de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point

de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute

demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute

Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au

niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des

fournisseurs de services

La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications

eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le

respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave

FranceConnect

LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS

A ce titre elle

eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des

moyens didentification eacutelectronique

eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens

drsquoidentification eacutelectronique

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1224

III Questions relatives agrave lrsquoensemble des services de confiance

III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement

eIDAS

Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de

confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule

signature eacutelectronique et englobe les services de

creacuteation veacuterification et validation de signatures eacutelectroniques de cachets

eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de

certificats relatifs agrave ces services

creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites

internet

conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats

relatifs agrave ces services

III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement

eIDAS

Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de

confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets

juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services

de confiance qualifieacutes

Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques

qualifieacutees et aux cachets eacutelectroniques qualifieacutes

Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service

de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat

membre

III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services

de confiance raquo du regraveglement

Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette

FAQ sont les suivants

Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications

relatives agrave la forme du label de confiance de lUnion pour les services de confiance

qualifieacutes

Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications

techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22

paragraphe 5 du regraveglement ndeg 9102014

Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications

relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets

eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public

viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg

9102014

Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave

leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature

eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et

agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1324

III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS

Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des

signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois

recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme

eacutelectronique ou qursquoils ne soient pas qualifieacutes

En compleacutement le regraveglement preacutecise les effets juridiques suivants

la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui

dune signature manuscrite

le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees

et dexactitude de lorigine des donneacutees auxquelles il est lieacute

lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la

date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette

date et cette heure

lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave

linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur

reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi

et de la reacuteception indiqueacutees

III5 Quelles sont les exigences applicables aux prestataires de services de

confiance

Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de

confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions

fixeacutees par les Etats membres

effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive

9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees

ndeg2016679)

rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs

services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave

un utilisateur final

prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques

lieacutes agrave la seacutecuriteacute des services quils fournissent

notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter

preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou

toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance

fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees

Les prestataires de services de confiance sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver

lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1424

III6 Quelles sont les obligations induites du volet laquo services de confiance raquo

du regraveglement eIDAS pour les prestataires de services de confiance

qualifieacutes

Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant

au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales

applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des

exigences speacutecifiques agrave chaque service de confiance qualifieacute

Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la

conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle

deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant

de pouvoir commencer agrave fournir des services qualifieacutes

Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de

prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part

III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement

Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants

la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le

cachet eacutelectronique ou lrsquoauthentification de site internet

lrsquohorodatage eacutelectronique

la validation de signatures ou de cachets eacutelectronique

la conservation de signatures ou de cachets eacutelectroniques

lrsquoenvoi recommandeacute eacutelectronique

La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation

de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du

signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement

eIDAS

III8 Quel est le reacutegime de controcircle des prestataires de services de

confiance

Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par

chaque Etat membre ayant pour mission

le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le

territoire franccedilais

la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires

de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre

lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils

fournissent ne satisfont pas aux exigences du regraveglement

Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a

priori

Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle

srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes

conformeacutement au regraveglement europeacuteen ndeg 7652008CE

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1524

III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de

services de confiance qualifieacutes

Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave

leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute

Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements

compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de

lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux

exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification

En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre

un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme

drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux

frais de ce dernier

Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS

Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique

III10 Qursquoest-ce qursquoune liste de confiance

Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les

informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont

responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations

relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur

cette liste

III11 Qursquoest-ce que le label de confiance de lrsquoUnion

Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les

prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de

maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent

Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du

prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee

Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806

III12 Qursquoest-ce que le laquo mandat 460 raquo

Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif

drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen

Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)

et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes

et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les

travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en

œuvre du regraveglement

Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de

conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers

des actes drsquoexeacutecution qursquoil preacutevoit

Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement

les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1624

III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave

des services de confiance qualifieacutes

Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres

drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les

exigences applicables au sein de chaque Etat membre

Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public

exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces

obligations sont preacuteciseacutees au chapitre IV du preacutesent document

III14 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo services de confiance raquo du regraveglement eIDAS

La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement

sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance

A ce titre lANSSI assure notamment les missions suivantes

le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes

le controcircle a posteriori et sur saisie des prestataires de service de confiance non-

qualifieacutes

lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance

qui en font la demande

la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de

services de confiance qualifieacutes par des organismes drsquoeacutevaluation

la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS

lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute

la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis

dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la

Commission sur ses principales activiteacutes

En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge

lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise

la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des

dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes

la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique

qualifieacutes qursquoelle a certifieacute conformes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1724

IV Questions relatives agrave la signature et au cachet eacutelectronique

Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au

cachet eacutelectronique

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique

Il convient de distinguer quatre niveaux de signatures eacutelectroniques

Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit

par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de

controcircle

Ces deux premiers niveaux sont

La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)

Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou

associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire

utilise pour signer

La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)

Cette signature doit

o ecirctre lieacutee au signataire de maniegravere univoque

o permettre drsquoidentifier le signataire

o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le

signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle

exclusif

o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute

modification ulteacuterieure des donneacutees soit deacutetectable

Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par

un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des

certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle

Ces deux niveaux suivants sont

La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux

articles 26 et 28 du regraveglement eIDAS)

Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute

respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS

Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion

du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des

exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est

uniquement deacutelivreacute au signataire leacutegitime

La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement

eIDAS)

La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature

eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature

eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1824

confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce

dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale

Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune

signature manuscrite

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique

qualifieacute

Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave

creacuteer une signature eacutelectronique

Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II

du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees

La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs

deacutesigneacutes par chaque Etat membre agrave la Commission

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle

exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees

pour prononcer la certification de conformiteacute

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de

services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave

distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la

conformiteacute et de le notifier agrave la Commission

IV3 Qui peut demander un certificat qualifieacute

Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats

eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et

respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats

Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute

deacutelivreacute par un prestataire de services de confiance qualifieacute

De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au

regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il

nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un

cachet eacutelectronique qualifieacute

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la

signature qualifieacutee

Le regraveglement eIDAS entraicircne les changements suivants

Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le

compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees

par un prestataire de services de confiance qualifieacute

Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)

Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les

personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1924

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat

qualifieacute de signature eacutelectronique

Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance

lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute

doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait

par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la

personne morale (ce qui implique donc un face agrave face) ou

agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la

deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de

la personne morale) sest preacutesenteacutee en personne ou

au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux

deux points ci-dessus ou

agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant

une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne

Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi

les possibiliteacutes offertes par le regraveglement

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave

distance par quels moyens la personne peut-elle manifester son

consentement

Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de

sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de

la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par

exemple sur une carte agrave puce et un code PIN)

A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute

suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature

eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees

agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la

saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave

lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2024

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave

distance

Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de

confiance qualifieacute

Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant

en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal

Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire

doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services

de confiance qualifieacutes preacutevus par le regraveglement

ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de

sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au

besoin de continuiteacute du service

La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de

conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute

LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des

certificats de conformiteacute

Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute

distincts

Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage

drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi

qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes

Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de

lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le

produit ou le systegraveme composant le QSCD

Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit

composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de

la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de

signature ou de cachet

LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est

disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-

notified-commission-accordance-article303b-and-392-eidas

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de

la signature eacutelectronique

Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques

avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature

eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne

offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les

formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506

Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats

de signature suivants

ETSI TS 103 171 (v211) (XAdES Baseline Profile)

ETSI TS 103 172 (v222) (PAdES Baseline Profile)

ETSI TS 103 173 (v221) (CAdES Baseline Profile)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 5: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 524

I Questions geacuteneacuterales sur le regraveglement eIDAS

I1 Qursquoest-ce que le regraveglement eIDAS

Le regraveglement ndeg 9102014 sur lidentification eacutelectronique et les services de confiance pour les

transactions eacutelectroniques au sein du marcheacute inteacuterieur dit regraveglement laquo eIDAS raquo est un regraveglement

europeacuteen qui a eacuteteacute adopteacute le 23 juillet 2014 par le Parlement europeacuteen et le Conseil de lUnion

Europeacuteenne Lobjectif de ce regraveglement est de mettre en place un cadre juridique propre agrave

susciter une confiance accrue dans les transactions eacutelectroniques au sein du marcheacute inteacuterieur

I2 Quels sont les sujets couverts par le regraveglement eIDAS

Le regraveglement eIDAS sapplique agrave lrsquoidentification eacutelectronique et aux services de confiance

(faisant respectivement lrsquoobjet des chapitres II et III du preacutesent document) Il accorde eacutegalement

un effet juridique aux documents eacutelectroniques

I3 Quand le regraveglement eIDAS a-t-il eacuteteacute publieacute Quand est-il entreacute en

vigueur et quand est-il devenu applicable

Le regraveglement eIDAS a eacuteteacute publieacute au Journal Officiel de lUnion Europeacuteenne (JOUE) le 28 aoucirct

2014 Il est entreacute en vigueur le 17 septembre 2014

Le regraveglement est devenu applicable

le 29 septembre 2015 pour la notification et la reconnaissance volontaire des moyens

didentification eacutelectronique par les Etats membres

le 1er juillet 2016 pour les services de confiance et les documents eacutelectroniques

le 29 septembre 2018 pour la reconnaissance mutuelle obligatoire des moyens

didentification eacutelectronique par les Etats membres

I4 Qui est concerneacute par le regraveglement eIDAS

Le regraveglement concerne les citoyens les entreprises les organismes du secteur public et les

prestataires de services de confiance eacutetablis dans lUnion europeacuteenne Il couvre en particulier les

eacutechanges entre usagers et administrations Les meacutecanismes de reconnaissance mutuelle des

moyens drsquoidentification eacutelectronique et des signatures eacutelectroniques deacutetailleacutes dans les chapitres

II et IV du preacutesent document srsquoappliquent ainsi uniquement aux administrations dans leurs

relations avec les usagers

En revanche le regraveglement ne sapplique pas agrave la fourniture de services de confiance utiliseacutes

exclusivement dans des systegravemes fermeacutes nrsquoayant pas drsquoimpact direct sur des tiers reacutesultant du

droit national ou drsquoaccords au sein dun ensemble deacutefini de participants Par exemple une

autoriteacute administrative mettant en œuvre une infrastructure de gestion de cleacutes pour couvrir ses

besoins internes ne serait pas soumise aux exigences du regraveglement eIDAS applicables aux

services de confiance

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 624

I5 Le regraveglement eIDAS srsquoapplique-t-il uniquement aux eacutechanges

transfrontaliers

Le critegravere permettant drsquoeacutetablir le caractegravere transfrontalier drsquoun eacutechange est un critegravere

geacuteographique et non un critegravere de nationaliteacute Ainsi une personne de nationaliteacute franccedilaise

reacutesidant dans un Etat membre de lrsquoUnion autre que la France qui souhaite acceacuteder agrave un service

en ligne drsquoun organisme public franccedilais se trouve dans le cadre drsquoun eacutechange transfrontalier

Toutefois le regraveglement eIDAS ne sapplique pas uniquement aux eacutechanges transfrontaliers En

effet si les aspects transnationaux sont au cœur du regraveglement eIDAS notamment via les

meacutecanismes de reconnaissance mutuelle des moyens didentification eacutelectronique et des services

de confiance le regraveglement a la vocation plus globale drsquoinstaurer un climat de confiance dans

lrsquoenvironnement en ligne y compris au niveau national

I6 Que sont les actes deacuteleacutegueacutes et actes drsquoexeacutecution du regraveglement eIDAS

Les actes deacuteleacutegueacutes et actes drsquoexeacutecution constituent la laquo leacutegislation secondaire raquo du regraveglement

eIDAS Ce sont des actes preacutevus par des articles du regraveglement venant preacuteciser les modaliteacutes

drsquoapplication de ces derniers

Ces actes peuvent notamment ecirctre utiliseacutes afin de reacutefeacuterencer des normes permettant drsquoapporter

une preacutesomption de conformiteacute aux exigences du regraveglement et harmoniser ainsi les pratiques au

sein des diffeacuterents Etats membres

Certains de ces actes sont obligatoires pour permettre la mise en application du regraveglement mais

la majoriteacute est optionnelle

A ce jour aucun acte deacuteleacutegueacute nrsquoa eacuteteacute publieacute Seuls les sept actes drsquoexeacutecution obligatoires et un

acte drsquoexeacutecution optionnel ont eacuteteacute publieacutes Ceux-ci sont reacutefeacuterenceacutes dans les chapitres II et III du

preacutesent document

I7 Quels sont les impacts et caracteacuteristiques du regraveglement eIDAS sur le

plan juridique

En dehors de ses effets particuliers concernant lidentification eacutelectronique et les services de

confiance qui sont deacutetailleacutes dans la suite de la preacutesente FAQ le regraveglement a les impacts suivant

il abroge la directive 199993EC sur la signature eacutelectronique

il accorde un effet juridique aux documents eacutelectroniques preacutecisant quils ne peuvent

ecirctre refuseacutes comme preuve en justice au seul motif quils se preacutesentent sous forme

eacutelectronique

De plus srsquoagissant drsquoun regraveglement il est dapplication directe ce qui signifie quil ne neacutecessite

pas de transposition en droit national et que toute disposition nationale allant agrave lencontre des

dispositions du regraveglement est consideacutereacutee comme non applicable

I8 Quel est le rocircle de lANSSI au titre du regraveglement eIDAS

LrsquoANSSI intervient agrave plusieurs titres dans lrsquoapplication du regraveglement eIDAS en tant que

garante de la seacutecuriteacute pour son volet laquo identification eacutelectronique raquo en tant qursquoorgane de controcircle

pour son volet laquo services de confiance raquo en tant qursquoorganisme de certification des dispositifs de

creacuteation de signature ou de cachet qualifieacutes et enfin en tant qursquoorganisme en charge de la liste de

confiance

Ces responsabiliteacutes sont deacutetailleacutees dans les chapitres II et III du preacutesent document

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 724

II Questions relatives agrave lrsquoidentification eacutelectronique

II1 Quel est lrsquoobjectif du volet laquo identification eacutelectronique raquo du regraveglement

eIDAS

Lrsquoobjectif du regraveglement eIDAS pour lidentification eacutelectronique est de mettre en place un cadre

drsquointeropeacuterabiliteacute pour les identiteacutes eacutelectroniques des diffeacuterents Etats membres Le regraveglement

deacutefinit les speacutecifications permettant lrsquointeropeacuterabiliteacute des moyens drsquoidentification

eacutelectronique

deacutefinit les niveaux de garantie et exigences de seacutecuriteacute associeacutees de ces moyens

preacutecise les conditions de reconnaissance mutuelle des moyens drsquoidentification

eacutelectronique deacutelivreacutes dans les Etats membres

II2 Quels sont les principes du volet laquo identification eacutelectronique raquo du

regraveglement eIDAS

Le regraveglement instaure un systegraveme de notification de laquo scheacutemas drsquoidentification eacutelectronique raquo par

les Etats membres Ces derniers sont deacutefinis par le regraveglement comme des laquo systegravemes pour

lrsquoidentification eacutelectronique en vertu desquels des moyens drsquoidentification eacutelectronique sont

deacutelivreacutes agrave des personnes physiques ou morales ou agrave des personnes physiques repreacutesentant des

personnes morales raquo Au sens du regraveglement un moyen drsquoidentification eacutelectronique est laquo un

eacuteleacutement mateacuteriel ou immateacuteriel contenant des donneacutees drsquoidentification personnelle et utiliseacute pour

srsquoauthentifier sur un service en ligne raquo

Le regraveglement preacutevoit trois niveaux de garantie pour les moyens didentification eacutelectronique

deacutelivreacutes dans le cadre dun scheacutema didentification eacutelectronique notifieacute faible substantiel et

eacuteleveacute Le regraveglement drsquoexeacutecution ndeg 20151502 du 8 septembre 2015 fixe les speacutecifications de

seacutecuriteacute minimales pour chacun de ces niveaux

II3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre

laquo identification eacutelectronique raquo du regraveglement

Les actes dexeacutecution relatifs agrave lidentification eacutelectronique publieacutes agrave la date de reacutedaction du

preacutesent document sont les suivants

Deacutecision dexeacutecution ndeg 2015296 du 24 feacutevrier 2015 eacutetablissant les modaliteacutes de

coopeacuteration entre les Eacutetats membres en matiegravere didentification eacutelectronique

conformeacutement agrave larticle 12 paragraphe 7 du regraveglement ndeg 9102014

Regraveglement dexeacutecution ndeg 20151501 du 8 septembre 2015 sur le cadre

dinteropeacuterabiliteacute viseacute agrave larticle 12 paragraphe 8 du regraveglement ndeg 9102014

Regraveglement dexeacutecution ndeg 20151502 du 8 septembre 2015 fixant les speacutecifications

techniques et proceacutedures minimales relatives aux niveaux de garantie des

moyens didentification eacutelectronique viseacutes agrave larticle 8 paragraphe 3 du regraveglement ndeg

9102014

Deacutecision dexeacutecution ndeg 20151984 du 3 novembre 2015 deacutefinissant les

circonstances les formats et les proceacutedures pour les notifications viseacutes agrave larticle

9 paragraphe 5 du regraveglement ndeg 9102014

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 824

II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema

drsquoidentification eacutelectronique par un Etat membre

Le regraveglement eIDAS nrsquooblige pas les Etats membres agrave mettre en œuvre un moyen didentification

eacutelectronique au niveau national ni le cas eacutecheacuteant agrave le notifier agrave la Commission europeacuteenne

Le cas eacutecheacuteant un Etat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique doit

au preacutealable

permettre lrsquoutilisation du moyen drsquoidentification eacutelectronique deacutelivreacute dans le cadre de ce

scheacutema pour acceacuteder agrave au moins un service en ligne fourni par un organisme du

secteur public de lrsquoEacutetat membre notifiant

fournir la description du scheacutema aux autres Eacutetats membres six mois au moins avant la

notification

LrsquoEtat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique transmet agrave la

Commission europeacuteenne par voie eacutelectronique le formulaire preacutevu agrave lrsquoannexe de la deacutecision

drsquoexeacutecution 20151984 de la Commission Ce formulaire doit ecirctre rempli en langue anglaise et

signeacute eacutelectroniquement

II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema

drsquoidentification eacutelectronique

Si un Etat membre choisit de notifier un scheacutema drsquoidentification eacutelectronique cela geacutenegravere pour

lui les obligations suivantes

respecter les speacutecifications de seacutecuriteacute minimales deacutefinies dans le regraveglement

drsquoexeacutecution ndeg20151502 du 8 septembre 2015 ainsi que les speacutecifications

drsquointeropeacuterabiliteacute deacutefinies dans lrsquoacte drsquoexeacutecution ndeg20151501 du 8 septembre 2015

fournir une authentification en ligne afin de permettre agrave toute partie utilisatrice eacutetablie

sur le territoire dun autre Etat membre de confirmer les donneacutees didentification

personnelle reccedilues sous forme eacutelectronique

suspendre ou reacutevoquer lrsquoauthentification transfrontaliegravere en cas drsquoatteinte agrave la

seacutecuriteacute du scheacutema drsquoidentification eacutelectronique et notifier son retrait srsquoil ne peut ecirctre

remeacutedieacute agrave lrsquoatteinte dans un deacutelai de trois mois

LrsquoEtat membre notifiant est responsable du dommage causeacute intentionnellement ou par

neacutegligence agrave toute personne physique ou morale en raison drsquoun manquement agrave ces obligations

dans le cas drsquoune authentification transfrontaliegravere

II6 Qursquoest-ce que le reacuteseau de coopeacuteration

La deacutecision drsquoexeacutecution 2015296 de la Commission europeacuteenne preacutevoit les modaliteacutes de

coopeacuteration entre les Etats membres sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute des scheacutemas

drsquoidentification eacutelectronique

Cette deacutecision eacutetablit notamment le reacuteseau de coopeacuteration qui a pour mission

drsquoinstaurer des meacutethodes efficaces drsquoeacutechange drsquoinformations entre les Eacutetats membres de

lrsquoUnion europeacuteenne sur toutes les questions relatives agrave lrsquoidentification eacutelectronique

drsquoexaminer les eacutevolutions pertinentes dans le secteur de lrsquoidentification eacutelectronique et

drsquoeacutelaborer de bonnes pratiques en matiegravere drsquointeropeacuterabiliteacute et de seacutecuriteacute des scheacutemas

drsquoidentification eacutelectronique

drsquoadopter des avis sur la faccedilon dont un scheacutema drsquoidentification eacutelectronique satisfait aux

exigences contenues dans le regraveglement eIDAS agrave lrsquoissue du processus drsquoexamen par les

pairs

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 924

Les reacuteunions du reacuteseau de coopeacuteration sont preacutesideacutees par la Commission europeacuteenne

II7 Qursquoest-ce que lrsquoexamen par les pairs

Tous les scheacutemas drsquoidentification eacutelectronique dont la description a eacuteteacute fournie aux Eacutetats

membres preacutealablement agrave une notification peuvent faire lrsquoobjet drsquoun examen par les pairs

La participation des Etats membres pairs est volontaire et lrsquoEacutetat membre dont le scheacutema

drsquoidentification eacutelectronique doit faire lrsquoobjet drsquoun examen ne peut refuser la participation drsquoun

Etat membre pair agrave ce processus de coopeacuteration

Les Etats membres participants deacutesignent des experts chargeacutes de proceacuteder agrave lrsquoexamen Au terme

du processus drsquoexamen qui ne peut exceacuteder trois mois les participants disposent drsquoun mois pour

preacutesenter un rapport au reacuteseau de coopeacuteration A lrsquoissue de cette preacutesentation le reacuteseau de

coopeacuteration eacutemet un avis disponible publiquement

Les avis du reacuteseau de coopeacuteration sont accessibles agrave lrsquoadresse suivante

httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOpinions+of+the+Cooperation+

Network

II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes

La Commission publie au Journal officiel de lrsquoUnion europeacuteenne la liste des scheacutemas

drsquoidentification eacutelectronique qui ont eacuteteacute notifieacutes et les informations essentielles agrave leur sujet et

maintient cette liste agrave jour en fonction des notifications des Etats membres (incluant les

modifications et retraits des scheacutemas drsquoidentification eacutelectronique)

Une liste des scheacutemas drsquoidentification eacutelectronique notifieacutes ou soumis agrave lrsquoexamen par les pairs

est eacutegalement disponible agrave lrsquoadresse suivante

httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOverview+of+pre+notified+and

+notified+eID+schemes+under+eIDAS

II9 Les organismes du secteur public sont-ils tenus de recourir agrave des

moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS

Le regraveglement eIDAS nrsquooblige pas les organismes du secteur public des diffeacuterents Etats membres

agrave recourir agrave des moyens didentification eacutelectronique deacutelivreacutes dans le cadre de scheacutemas

drsquoidentification eacutelectroniques notifieacutes

Les organismes du secteur public peuvent toutefois soit en vertu de pratiques administratives

nationales ou en vertu du droit national exiger la mise en œuvre drsquoun moyen drsquoidentification

eacutelectronique pour lrsquoaccegraves agrave leurs teacuteleacuteservices

II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil

exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo

pour lrsquoaccegraves agrave ses services

Si dans un Etat membre un organisme du secteur public exige pour lrsquoaccegraves agrave lrsquoun de ses

services en ligne une identification eacutelectronique de niveau de garantie substantiel ou eacuteleveacute il

devra eacutegalement accepter pour laccegraves agrave ce teacuteleacuteservice lrsquoensemble des moyens didentification

eacutelectronique de niveau eacutequivalent ou supeacuterieur et relevant drsquoun scheacutema drsquoidentification notifieacute agrave

la Commission et publieacute au JOUE Cette obligation est effective depuis le 29 septembre 2018

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1024

Par ailleurs les organismes du secteur public peuvent deacutecider sur une base volontaire de

reconnaicirctre les scheacutemas drsquoidentification eacutelectronique de niveau faible ainsi que les scheacutemas

drsquoidentification eacutelectronique notifieacutes avant le 29 septembre 2018

II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification

eacutelectronique

Les moyens drsquoidentification eacutelectronique peuvent ecirctre demandeacutes par des personnes physiques ou

morales ou par des personnes physiques repreacutesentant des personnes morales

Pour obtenir un moyen drsquoidentification eacutelectronique le demandeur doit pouvoir justifier de son

identiteacute dans les conditions preacutevues par le regraveglement drsquoexeacutecution ndeg 20151502 qui preacutecise en

annexe les exigences minimales relatives agrave la veacuterification didentiteacute des personnes physiques et agrave

la deacutelivrance du moyen didentification

Ces exigences peuvent ecirctre renforceacutees par la reacuteglementation nationale ou les pratiques du

fournisseur drsquoidentiteacute en fonction du niveau de garantie viseacute

II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification

eacutelectronique

Le regraveglement drsquoexeacutecution ndeg20151502 preacutecise uniquement selon le niveau de garantie la nature

des veacuterifications devant ecirctre reacutealiseacutees (authenticiteacute des piegraveces drsquoidentiteacute preacutesenteacutees comparaison

de caracteacuteristiques physiques du demandeurhellip) sans speacutecifier le moyen technique ou

organisationnel

En particulier le face agrave face (crsquoest-agrave-dire une rencontre en personne entre le demandeur de

lrsquoidentification et la personne deacutelivrant le moyen drsquoidentification) nrsquoest pas exigeacute Par

conseacutequent lexistence dun face agrave face dans la proceacutedure de veacuterification didentiteacute etou dans

celle de deacutelivrance du moyen didentification eacutelectronique deacutependra des choix techniques

effectueacutes par lrsquoorganisme deacutelivrant ce moyen

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise ne place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1124

II13 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo identification eacutelectronique raquo du regraveglement eIDAS

La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication

de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point

de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute

demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute

Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au

niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des

fournisseurs de services

La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications

eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le

respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave

FranceConnect

LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS

A ce titre elle

eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des

moyens didentification eacutelectronique

eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens

drsquoidentification eacutelectronique

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1224

III Questions relatives agrave lrsquoensemble des services de confiance

III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement

eIDAS

Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de

confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule

signature eacutelectronique et englobe les services de

creacuteation veacuterification et validation de signatures eacutelectroniques de cachets

eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de

certificats relatifs agrave ces services

creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites

internet

conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats

relatifs agrave ces services

III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement

eIDAS

Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de

confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets

juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services

de confiance qualifieacutes

Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques

qualifieacutees et aux cachets eacutelectroniques qualifieacutes

Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service

de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat

membre

III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services

de confiance raquo du regraveglement

Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette

FAQ sont les suivants

Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications

relatives agrave la forme du label de confiance de lUnion pour les services de confiance

qualifieacutes

Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications

techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22

paragraphe 5 du regraveglement ndeg 9102014

Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications

relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets

eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public

viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg

9102014

Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave

leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature

eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et

agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1324

III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS

Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des

signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois

recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme

eacutelectronique ou qursquoils ne soient pas qualifieacutes

En compleacutement le regraveglement preacutecise les effets juridiques suivants

la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui

dune signature manuscrite

le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees

et dexactitude de lorigine des donneacutees auxquelles il est lieacute

lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la

date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette

date et cette heure

lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave

linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur

reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi

et de la reacuteception indiqueacutees

III5 Quelles sont les exigences applicables aux prestataires de services de

confiance

Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de

confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions

fixeacutees par les Etats membres

effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive

9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees

ndeg2016679)

rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs

services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave

un utilisateur final

prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques

lieacutes agrave la seacutecuriteacute des services quils fournissent

notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter

preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou

toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance

fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees

Les prestataires de services de confiance sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver

lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1424

III6 Quelles sont les obligations induites du volet laquo services de confiance raquo

du regraveglement eIDAS pour les prestataires de services de confiance

qualifieacutes

Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant

au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales

applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des

exigences speacutecifiques agrave chaque service de confiance qualifieacute

Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la

conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle

deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant

de pouvoir commencer agrave fournir des services qualifieacutes

Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de

prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part

III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement

Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants

la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le

cachet eacutelectronique ou lrsquoauthentification de site internet

lrsquohorodatage eacutelectronique

la validation de signatures ou de cachets eacutelectronique

la conservation de signatures ou de cachets eacutelectroniques

lrsquoenvoi recommandeacute eacutelectronique

La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation

de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du

signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement

eIDAS

III8 Quel est le reacutegime de controcircle des prestataires de services de

confiance

Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par

chaque Etat membre ayant pour mission

le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le

territoire franccedilais

la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires

de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre

lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils

fournissent ne satisfont pas aux exigences du regraveglement

Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a

priori

Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle

srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes

conformeacutement au regraveglement europeacuteen ndeg 7652008CE

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1524

III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de

services de confiance qualifieacutes

Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave

leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute

Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements

compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de

lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux

exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification

En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre

un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme

drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux

frais de ce dernier

Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS

Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique

III10 Qursquoest-ce qursquoune liste de confiance

Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les

informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont

responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations

relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur

cette liste

III11 Qursquoest-ce que le label de confiance de lrsquoUnion

Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les

prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de

maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent

Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du

prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee

Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806

III12 Qursquoest-ce que le laquo mandat 460 raquo

Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif

drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen

Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)

et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes

et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les

travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en

œuvre du regraveglement

Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de

conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers

des actes drsquoexeacutecution qursquoil preacutevoit

Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement

les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1624

III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave

des services de confiance qualifieacutes

Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres

drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les

exigences applicables au sein de chaque Etat membre

Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public

exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces

obligations sont preacuteciseacutees au chapitre IV du preacutesent document

III14 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo services de confiance raquo du regraveglement eIDAS

La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement

sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance

A ce titre lANSSI assure notamment les missions suivantes

le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes

le controcircle a posteriori et sur saisie des prestataires de service de confiance non-

qualifieacutes

lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance

qui en font la demande

la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de

services de confiance qualifieacutes par des organismes drsquoeacutevaluation

la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS

lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute

la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis

dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la

Commission sur ses principales activiteacutes

En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge

lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise

la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des

dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes

la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique

qualifieacutes qursquoelle a certifieacute conformes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1724

IV Questions relatives agrave la signature et au cachet eacutelectronique

Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au

cachet eacutelectronique

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique

Il convient de distinguer quatre niveaux de signatures eacutelectroniques

Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit

par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de

controcircle

Ces deux premiers niveaux sont

La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)

Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou

associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire

utilise pour signer

La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)

Cette signature doit

o ecirctre lieacutee au signataire de maniegravere univoque

o permettre drsquoidentifier le signataire

o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le

signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle

exclusif

o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute

modification ulteacuterieure des donneacutees soit deacutetectable

Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par

un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des

certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle

Ces deux niveaux suivants sont

La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux

articles 26 et 28 du regraveglement eIDAS)

Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute

respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS

Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion

du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des

exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est

uniquement deacutelivreacute au signataire leacutegitime

La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement

eIDAS)

La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature

eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature

eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1824

confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce

dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale

Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune

signature manuscrite

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique

qualifieacute

Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave

creacuteer une signature eacutelectronique

Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II

du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees

La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs

deacutesigneacutes par chaque Etat membre agrave la Commission

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle

exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees

pour prononcer la certification de conformiteacute

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de

services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave

distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la

conformiteacute et de le notifier agrave la Commission

IV3 Qui peut demander un certificat qualifieacute

Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats

eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et

respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats

Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute

deacutelivreacute par un prestataire de services de confiance qualifieacute

De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au

regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il

nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un

cachet eacutelectronique qualifieacute

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la

signature qualifieacutee

Le regraveglement eIDAS entraicircne les changements suivants

Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le

compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees

par un prestataire de services de confiance qualifieacute

Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)

Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les

personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1924

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat

qualifieacute de signature eacutelectronique

Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance

lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute

doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait

par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la

personne morale (ce qui implique donc un face agrave face) ou

agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la

deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de

la personne morale) sest preacutesenteacutee en personne ou

au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux

deux points ci-dessus ou

agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant

une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne

Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi

les possibiliteacutes offertes par le regraveglement

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave

distance par quels moyens la personne peut-elle manifester son

consentement

Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de

sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de

la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par

exemple sur une carte agrave puce et un code PIN)

A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute

suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature

eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees

agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la

saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave

lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2024

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave

distance

Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de

confiance qualifieacute

Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant

en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal

Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire

doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services

de confiance qualifieacutes preacutevus par le regraveglement

ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de

sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au

besoin de continuiteacute du service

La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de

conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute

LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des

certificats de conformiteacute

Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute

distincts

Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage

drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi

qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes

Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de

lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le

produit ou le systegraveme composant le QSCD

Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit

composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de

la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de

signature ou de cachet

LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est

disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-

notified-commission-accordance-article303b-and-392-eidas

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de

la signature eacutelectronique

Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques

avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature

eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne

offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les

formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506

Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats

de signature suivants

ETSI TS 103 171 (v211) (XAdES Baseline Profile)

ETSI TS 103 172 (v222) (PAdES Baseline Profile)

ETSI TS 103 173 (v221) (CAdES Baseline Profile)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 6: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 624

I5 Le regraveglement eIDAS srsquoapplique-t-il uniquement aux eacutechanges

transfrontaliers

Le critegravere permettant drsquoeacutetablir le caractegravere transfrontalier drsquoun eacutechange est un critegravere

geacuteographique et non un critegravere de nationaliteacute Ainsi une personne de nationaliteacute franccedilaise

reacutesidant dans un Etat membre de lrsquoUnion autre que la France qui souhaite acceacuteder agrave un service

en ligne drsquoun organisme public franccedilais se trouve dans le cadre drsquoun eacutechange transfrontalier

Toutefois le regraveglement eIDAS ne sapplique pas uniquement aux eacutechanges transfrontaliers En

effet si les aspects transnationaux sont au cœur du regraveglement eIDAS notamment via les

meacutecanismes de reconnaissance mutuelle des moyens didentification eacutelectronique et des services

de confiance le regraveglement a la vocation plus globale drsquoinstaurer un climat de confiance dans

lrsquoenvironnement en ligne y compris au niveau national

I6 Que sont les actes deacuteleacutegueacutes et actes drsquoexeacutecution du regraveglement eIDAS

Les actes deacuteleacutegueacutes et actes drsquoexeacutecution constituent la laquo leacutegislation secondaire raquo du regraveglement

eIDAS Ce sont des actes preacutevus par des articles du regraveglement venant preacuteciser les modaliteacutes

drsquoapplication de ces derniers

Ces actes peuvent notamment ecirctre utiliseacutes afin de reacutefeacuterencer des normes permettant drsquoapporter

une preacutesomption de conformiteacute aux exigences du regraveglement et harmoniser ainsi les pratiques au

sein des diffeacuterents Etats membres

Certains de ces actes sont obligatoires pour permettre la mise en application du regraveglement mais

la majoriteacute est optionnelle

A ce jour aucun acte deacuteleacutegueacute nrsquoa eacuteteacute publieacute Seuls les sept actes drsquoexeacutecution obligatoires et un

acte drsquoexeacutecution optionnel ont eacuteteacute publieacutes Ceux-ci sont reacutefeacuterenceacutes dans les chapitres II et III du

preacutesent document

I7 Quels sont les impacts et caracteacuteristiques du regraveglement eIDAS sur le

plan juridique

En dehors de ses effets particuliers concernant lidentification eacutelectronique et les services de

confiance qui sont deacutetailleacutes dans la suite de la preacutesente FAQ le regraveglement a les impacts suivant

il abroge la directive 199993EC sur la signature eacutelectronique

il accorde un effet juridique aux documents eacutelectroniques preacutecisant quils ne peuvent

ecirctre refuseacutes comme preuve en justice au seul motif quils se preacutesentent sous forme

eacutelectronique

De plus srsquoagissant drsquoun regraveglement il est dapplication directe ce qui signifie quil ne neacutecessite

pas de transposition en droit national et que toute disposition nationale allant agrave lencontre des

dispositions du regraveglement est consideacutereacutee comme non applicable

I8 Quel est le rocircle de lANSSI au titre du regraveglement eIDAS

LrsquoANSSI intervient agrave plusieurs titres dans lrsquoapplication du regraveglement eIDAS en tant que

garante de la seacutecuriteacute pour son volet laquo identification eacutelectronique raquo en tant qursquoorgane de controcircle

pour son volet laquo services de confiance raquo en tant qursquoorganisme de certification des dispositifs de

creacuteation de signature ou de cachet qualifieacutes et enfin en tant qursquoorganisme en charge de la liste de

confiance

Ces responsabiliteacutes sont deacutetailleacutees dans les chapitres II et III du preacutesent document

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 724

II Questions relatives agrave lrsquoidentification eacutelectronique

II1 Quel est lrsquoobjectif du volet laquo identification eacutelectronique raquo du regraveglement

eIDAS

Lrsquoobjectif du regraveglement eIDAS pour lidentification eacutelectronique est de mettre en place un cadre

drsquointeropeacuterabiliteacute pour les identiteacutes eacutelectroniques des diffeacuterents Etats membres Le regraveglement

deacutefinit les speacutecifications permettant lrsquointeropeacuterabiliteacute des moyens drsquoidentification

eacutelectronique

deacutefinit les niveaux de garantie et exigences de seacutecuriteacute associeacutees de ces moyens

preacutecise les conditions de reconnaissance mutuelle des moyens drsquoidentification

eacutelectronique deacutelivreacutes dans les Etats membres

II2 Quels sont les principes du volet laquo identification eacutelectronique raquo du

regraveglement eIDAS

Le regraveglement instaure un systegraveme de notification de laquo scheacutemas drsquoidentification eacutelectronique raquo par

les Etats membres Ces derniers sont deacutefinis par le regraveglement comme des laquo systegravemes pour

lrsquoidentification eacutelectronique en vertu desquels des moyens drsquoidentification eacutelectronique sont

deacutelivreacutes agrave des personnes physiques ou morales ou agrave des personnes physiques repreacutesentant des

personnes morales raquo Au sens du regraveglement un moyen drsquoidentification eacutelectronique est laquo un

eacuteleacutement mateacuteriel ou immateacuteriel contenant des donneacutees drsquoidentification personnelle et utiliseacute pour

srsquoauthentifier sur un service en ligne raquo

Le regraveglement preacutevoit trois niveaux de garantie pour les moyens didentification eacutelectronique

deacutelivreacutes dans le cadre dun scheacutema didentification eacutelectronique notifieacute faible substantiel et

eacuteleveacute Le regraveglement drsquoexeacutecution ndeg 20151502 du 8 septembre 2015 fixe les speacutecifications de

seacutecuriteacute minimales pour chacun de ces niveaux

II3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre

laquo identification eacutelectronique raquo du regraveglement

Les actes dexeacutecution relatifs agrave lidentification eacutelectronique publieacutes agrave la date de reacutedaction du

preacutesent document sont les suivants

Deacutecision dexeacutecution ndeg 2015296 du 24 feacutevrier 2015 eacutetablissant les modaliteacutes de

coopeacuteration entre les Eacutetats membres en matiegravere didentification eacutelectronique

conformeacutement agrave larticle 12 paragraphe 7 du regraveglement ndeg 9102014

Regraveglement dexeacutecution ndeg 20151501 du 8 septembre 2015 sur le cadre

dinteropeacuterabiliteacute viseacute agrave larticle 12 paragraphe 8 du regraveglement ndeg 9102014

Regraveglement dexeacutecution ndeg 20151502 du 8 septembre 2015 fixant les speacutecifications

techniques et proceacutedures minimales relatives aux niveaux de garantie des

moyens didentification eacutelectronique viseacutes agrave larticle 8 paragraphe 3 du regraveglement ndeg

9102014

Deacutecision dexeacutecution ndeg 20151984 du 3 novembre 2015 deacutefinissant les

circonstances les formats et les proceacutedures pour les notifications viseacutes agrave larticle

9 paragraphe 5 du regraveglement ndeg 9102014

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 824

II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema

drsquoidentification eacutelectronique par un Etat membre

Le regraveglement eIDAS nrsquooblige pas les Etats membres agrave mettre en œuvre un moyen didentification

eacutelectronique au niveau national ni le cas eacutecheacuteant agrave le notifier agrave la Commission europeacuteenne

Le cas eacutecheacuteant un Etat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique doit

au preacutealable

permettre lrsquoutilisation du moyen drsquoidentification eacutelectronique deacutelivreacute dans le cadre de ce

scheacutema pour acceacuteder agrave au moins un service en ligne fourni par un organisme du

secteur public de lrsquoEacutetat membre notifiant

fournir la description du scheacutema aux autres Eacutetats membres six mois au moins avant la

notification

LrsquoEtat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique transmet agrave la

Commission europeacuteenne par voie eacutelectronique le formulaire preacutevu agrave lrsquoannexe de la deacutecision

drsquoexeacutecution 20151984 de la Commission Ce formulaire doit ecirctre rempli en langue anglaise et

signeacute eacutelectroniquement

II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema

drsquoidentification eacutelectronique

Si un Etat membre choisit de notifier un scheacutema drsquoidentification eacutelectronique cela geacutenegravere pour

lui les obligations suivantes

respecter les speacutecifications de seacutecuriteacute minimales deacutefinies dans le regraveglement

drsquoexeacutecution ndeg20151502 du 8 septembre 2015 ainsi que les speacutecifications

drsquointeropeacuterabiliteacute deacutefinies dans lrsquoacte drsquoexeacutecution ndeg20151501 du 8 septembre 2015

fournir une authentification en ligne afin de permettre agrave toute partie utilisatrice eacutetablie

sur le territoire dun autre Etat membre de confirmer les donneacutees didentification

personnelle reccedilues sous forme eacutelectronique

suspendre ou reacutevoquer lrsquoauthentification transfrontaliegravere en cas drsquoatteinte agrave la

seacutecuriteacute du scheacutema drsquoidentification eacutelectronique et notifier son retrait srsquoil ne peut ecirctre

remeacutedieacute agrave lrsquoatteinte dans un deacutelai de trois mois

LrsquoEtat membre notifiant est responsable du dommage causeacute intentionnellement ou par

neacutegligence agrave toute personne physique ou morale en raison drsquoun manquement agrave ces obligations

dans le cas drsquoune authentification transfrontaliegravere

II6 Qursquoest-ce que le reacuteseau de coopeacuteration

La deacutecision drsquoexeacutecution 2015296 de la Commission europeacuteenne preacutevoit les modaliteacutes de

coopeacuteration entre les Etats membres sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute des scheacutemas

drsquoidentification eacutelectronique

Cette deacutecision eacutetablit notamment le reacuteseau de coopeacuteration qui a pour mission

drsquoinstaurer des meacutethodes efficaces drsquoeacutechange drsquoinformations entre les Eacutetats membres de

lrsquoUnion europeacuteenne sur toutes les questions relatives agrave lrsquoidentification eacutelectronique

drsquoexaminer les eacutevolutions pertinentes dans le secteur de lrsquoidentification eacutelectronique et

drsquoeacutelaborer de bonnes pratiques en matiegravere drsquointeropeacuterabiliteacute et de seacutecuriteacute des scheacutemas

drsquoidentification eacutelectronique

drsquoadopter des avis sur la faccedilon dont un scheacutema drsquoidentification eacutelectronique satisfait aux

exigences contenues dans le regraveglement eIDAS agrave lrsquoissue du processus drsquoexamen par les

pairs

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 924

Les reacuteunions du reacuteseau de coopeacuteration sont preacutesideacutees par la Commission europeacuteenne

II7 Qursquoest-ce que lrsquoexamen par les pairs

Tous les scheacutemas drsquoidentification eacutelectronique dont la description a eacuteteacute fournie aux Eacutetats

membres preacutealablement agrave une notification peuvent faire lrsquoobjet drsquoun examen par les pairs

La participation des Etats membres pairs est volontaire et lrsquoEacutetat membre dont le scheacutema

drsquoidentification eacutelectronique doit faire lrsquoobjet drsquoun examen ne peut refuser la participation drsquoun

Etat membre pair agrave ce processus de coopeacuteration

Les Etats membres participants deacutesignent des experts chargeacutes de proceacuteder agrave lrsquoexamen Au terme

du processus drsquoexamen qui ne peut exceacuteder trois mois les participants disposent drsquoun mois pour

preacutesenter un rapport au reacuteseau de coopeacuteration A lrsquoissue de cette preacutesentation le reacuteseau de

coopeacuteration eacutemet un avis disponible publiquement

Les avis du reacuteseau de coopeacuteration sont accessibles agrave lrsquoadresse suivante

httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOpinions+of+the+Cooperation+

Network

II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes

La Commission publie au Journal officiel de lrsquoUnion europeacuteenne la liste des scheacutemas

drsquoidentification eacutelectronique qui ont eacuteteacute notifieacutes et les informations essentielles agrave leur sujet et

maintient cette liste agrave jour en fonction des notifications des Etats membres (incluant les

modifications et retraits des scheacutemas drsquoidentification eacutelectronique)

Une liste des scheacutemas drsquoidentification eacutelectronique notifieacutes ou soumis agrave lrsquoexamen par les pairs

est eacutegalement disponible agrave lrsquoadresse suivante

httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOverview+of+pre+notified+and

+notified+eID+schemes+under+eIDAS

II9 Les organismes du secteur public sont-ils tenus de recourir agrave des

moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS

Le regraveglement eIDAS nrsquooblige pas les organismes du secteur public des diffeacuterents Etats membres

agrave recourir agrave des moyens didentification eacutelectronique deacutelivreacutes dans le cadre de scheacutemas

drsquoidentification eacutelectroniques notifieacutes

Les organismes du secteur public peuvent toutefois soit en vertu de pratiques administratives

nationales ou en vertu du droit national exiger la mise en œuvre drsquoun moyen drsquoidentification

eacutelectronique pour lrsquoaccegraves agrave leurs teacuteleacuteservices

II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil

exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo

pour lrsquoaccegraves agrave ses services

Si dans un Etat membre un organisme du secteur public exige pour lrsquoaccegraves agrave lrsquoun de ses

services en ligne une identification eacutelectronique de niveau de garantie substantiel ou eacuteleveacute il

devra eacutegalement accepter pour laccegraves agrave ce teacuteleacuteservice lrsquoensemble des moyens didentification

eacutelectronique de niveau eacutequivalent ou supeacuterieur et relevant drsquoun scheacutema drsquoidentification notifieacute agrave

la Commission et publieacute au JOUE Cette obligation est effective depuis le 29 septembre 2018

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1024

Par ailleurs les organismes du secteur public peuvent deacutecider sur une base volontaire de

reconnaicirctre les scheacutemas drsquoidentification eacutelectronique de niveau faible ainsi que les scheacutemas

drsquoidentification eacutelectronique notifieacutes avant le 29 septembre 2018

II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification

eacutelectronique

Les moyens drsquoidentification eacutelectronique peuvent ecirctre demandeacutes par des personnes physiques ou

morales ou par des personnes physiques repreacutesentant des personnes morales

Pour obtenir un moyen drsquoidentification eacutelectronique le demandeur doit pouvoir justifier de son

identiteacute dans les conditions preacutevues par le regraveglement drsquoexeacutecution ndeg 20151502 qui preacutecise en

annexe les exigences minimales relatives agrave la veacuterification didentiteacute des personnes physiques et agrave

la deacutelivrance du moyen didentification

Ces exigences peuvent ecirctre renforceacutees par la reacuteglementation nationale ou les pratiques du

fournisseur drsquoidentiteacute en fonction du niveau de garantie viseacute

II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification

eacutelectronique

Le regraveglement drsquoexeacutecution ndeg20151502 preacutecise uniquement selon le niveau de garantie la nature

des veacuterifications devant ecirctre reacutealiseacutees (authenticiteacute des piegraveces drsquoidentiteacute preacutesenteacutees comparaison

de caracteacuteristiques physiques du demandeurhellip) sans speacutecifier le moyen technique ou

organisationnel

En particulier le face agrave face (crsquoest-agrave-dire une rencontre en personne entre le demandeur de

lrsquoidentification et la personne deacutelivrant le moyen drsquoidentification) nrsquoest pas exigeacute Par

conseacutequent lexistence dun face agrave face dans la proceacutedure de veacuterification didentiteacute etou dans

celle de deacutelivrance du moyen didentification eacutelectronique deacutependra des choix techniques

effectueacutes par lrsquoorganisme deacutelivrant ce moyen

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise ne place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1124

II13 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo identification eacutelectronique raquo du regraveglement eIDAS

La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication

de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point

de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute

demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute

Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au

niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des

fournisseurs de services

La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications

eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le

respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave

FranceConnect

LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS

A ce titre elle

eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des

moyens didentification eacutelectronique

eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens

drsquoidentification eacutelectronique

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1224

III Questions relatives agrave lrsquoensemble des services de confiance

III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement

eIDAS

Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de

confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule

signature eacutelectronique et englobe les services de

creacuteation veacuterification et validation de signatures eacutelectroniques de cachets

eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de

certificats relatifs agrave ces services

creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites

internet

conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats

relatifs agrave ces services

III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement

eIDAS

Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de

confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets

juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services

de confiance qualifieacutes

Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques

qualifieacutees et aux cachets eacutelectroniques qualifieacutes

Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service

de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat

membre

III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services

de confiance raquo du regraveglement

Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette

FAQ sont les suivants

Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications

relatives agrave la forme du label de confiance de lUnion pour les services de confiance

qualifieacutes

Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications

techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22

paragraphe 5 du regraveglement ndeg 9102014

Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications

relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets

eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public

viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg

9102014

Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave

leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature

eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et

agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1324

III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS

Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des

signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois

recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme

eacutelectronique ou qursquoils ne soient pas qualifieacutes

En compleacutement le regraveglement preacutecise les effets juridiques suivants

la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui

dune signature manuscrite

le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees

et dexactitude de lorigine des donneacutees auxquelles il est lieacute

lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la

date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette

date et cette heure

lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave

linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur

reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi

et de la reacuteception indiqueacutees

III5 Quelles sont les exigences applicables aux prestataires de services de

confiance

Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de

confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions

fixeacutees par les Etats membres

effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive

9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees

ndeg2016679)

rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs

services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave

un utilisateur final

prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques

lieacutes agrave la seacutecuriteacute des services quils fournissent

notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter

preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou

toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance

fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees

Les prestataires de services de confiance sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver

lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1424

III6 Quelles sont les obligations induites du volet laquo services de confiance raquo

du regraveglement eIDAS pour les prestataires de services de confiance

qualifieacutes

Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant

au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales

applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des

exigences speacutecifiques agrave chaque service de confiance qualifieacute

Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la

conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle

deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant

de pouvoir commencer agrave fournir des services qualifieacutes

Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de

prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part

III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement

Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants

la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le

cachet eacutelectronique ou lrsquoauthentification de site internet

lrsquohorodatage eacutelectronique

la validation de signatures ou de cachets eacutelectronique

la conservation de signatures ou de cachets eacutelectroniques

lrsquoenvoi recommandeacute eacutelectronique

La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation

de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du

signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement

eIDAS

III8 Quel est le reacutegime de controcircle des prestataires de services de

confiance

Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par

chaque Etat membre ayant pour mission

le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le

territoire franccedilais

la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires

de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre

lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils

fournissent ne satisfont pas aux exigences du regraveglement

Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a

priori

Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle

srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes

conformeacutement au regraveglement europeacuteen ndeg 7652008CE

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1524

III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de

services de confiance qualifieacutes

Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave

leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute

Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements

compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de

lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux

exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification

En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre

un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme

drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux

frais de ce dernier

Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS

Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique

III10 Qursquoest-ce qursquoune liste de confiance

Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les

informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont

responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations

relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur

cette liste

III11 Qursquoest-ce que le label de confiance de lrsquoUnion

Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les

prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de

maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent

Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du

prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee

Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806

III12 Qursquoest-ce que le laquo mandat 460 raquo

Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif

drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen

Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)

et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes

et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les

travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en

œuvre du regraveglement

Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de

conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers

des actes drsquoexeacutecution qursquoil preacutevoit

Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement

les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1624

III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave

des services de confiance qualifieacutes

Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres

drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les

exigences applicables au sein de chaque Etat membre

Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public

exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces

obligations sont preacuteciseacutees au chapitre IV du preacutesent document

III14 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo services de confiance raquo du regraveglement eIDAS

La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement

sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance

A ce titre lANSSI assure notamment les missions suivantes

le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes

le controcircle a posteriori et sur saisie des prestataires de service de confiance non-

qualifieacutes

lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance

qui en font la demande

la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de

services de confiance qualifieacutes par des organismes drsquoeacutevaluation

la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS

lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute

la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis

dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la

Commission sur ses principales activiteacutes

En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge

lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise

la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des

dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes

la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique

qualifieacutes qursquoelle a certifieacute conformes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1724

IV Questions relatives agrave la signature et au cachet eacutelectronique

Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au

cachet eacutelectronique

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique

Il convient de distinguer quatre niveaux de signatures eacutelectroniques

Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit

par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de

controcircle

Ces deux premiers niveaux sont

La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)

Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou

associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire

utilise pour signer

La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)

Cette signature doit

o ecirctre lieacutee au signataire de maniegravere univoque

o permettre drsquoidentifier le signataire

o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le

signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle

exclusif

o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute

modification ulteacuterieure des donneacutees soit deacutetectable

Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par

un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des

certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle

Ces deux niveaux suivants sont

La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux

articles 26 et 28 du regraveglement eIDAS)

Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute

respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS

Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion

du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des

exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est

uniquement deacutelivreacute au signataire leacutegitime

La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement

eIDAS)

La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature

eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature

eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1824

confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce

dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale

Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune

signature manuscrite

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique

qualifieacute

Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave

creacuteer une signature eacutelectronique

Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II

du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees

La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs

deacutesigneacutes par chaque Etat membre agrave la Commission

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle

exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees

pour prononcer la certification de conformiteacute

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de

services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave

distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la

conformiteacute et de le notifier agrave la Commission

IV3 Qui peut demander un certificat qualifieacute

Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats

eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et

respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats

Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute

deacutelivreacute par un prestataire de services de confiance qualifieacute

De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au

regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il

nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un

cachet eacutelectronique qualifieacute

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la

signature qualifieacutee

Le regraveglement eIDAS entraicircne les changements suivants

Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le

compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees

par un prestataire de services de confiance qualifieacute

Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)

Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les

personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1924

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat

qualifieacute de signature eacutelectronique

Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance

lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute

doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait

par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la

personne morale (ce qui implique donc un face agrave face) ou

agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la

deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de

la personne morale) sest preacutesenteacutee en personne ou

au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux

deux points ci-dessus ou

agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant

une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne

Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi

les possibiliteacutes offertes par le regraveglement

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave

distance par quels moyens la personne peut-elle manifester son

consentement

Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de

sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de

la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par

exemple sur une carte agrave puce et un code PIN)

A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute

suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature

eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees

agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la

saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave

lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2024

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave

distance

Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de

confiance qualifieacute

Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant

en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal

Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire

doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services

de confiance qualifieacutes preacutevus par le regraveglement

ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de

sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au

besoin de continuiteacute du service

La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de

conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute

LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des

certificats de conformiteacute

Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute

distincts

Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage

drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi

qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes

Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de

lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le

produit ou le systegraveme composant le QSCD

Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit

composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de

la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de

signature ou de cachet

LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est

disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-

notified-commission-accordance-article303b-and-392-eidas

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de

la signature eacutelectronique

Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques

avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature

eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne

offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les

formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506

Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats

de signature suivants

ETSI TS 103 171 (v211) (XAdES Baseline Profile)

ETSI TS 103 172 (v222) (PAdES Baseline Profile)

ETSI TS 103 173 (v221) (CAdES Baseline Profile)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 7: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 724

II Questions relatives agrave lrsquoidentification eacutelectronique

II1 Quel est lrsquoobjectif du volet laquo identification eacutelectronique raquo du regraveglement

eIDAS

Lrsquoobjectif du regraveglement eIDAS pour lidentification eacutelectronique est de mettre en place un cadre

drsquointeropeacuterabiliteacute pour les identiteacutes eacutelectroniques des diffeacuterents Etats membres Le regraveglement

deacutefinit les speacutecifications permettant lrsquointeropeacuterabiliteacute des moyens drsquoidentification

eacutelectronique

deacutefinit les niveaux de garantie et exigences de seacutecuriteacute associeacutees de ces moyens

preacutecise les conditions de reconnaissance mutuelle des moyens drsquoidentification

eacutelectronique deacutelivreacutes dans les Etats membres

II2 Quels sont les principes du volet laquo identification eacutelectronique raquo du

regraveglement eIDAS

Le regraveglement instaure un systegraveme de notification de laquo scheacutemas drsquoidentification eacutelectronique raquo par

les Etats membres Ces derniers sont deacutefinis par le regraveglement comme des laquo systegravemes pour

lrsquoidentification eacutelectronique en vertu desquels des moyens drsquoidentification eacutelectronique sont

deacutelivreacutes agrave des personnes physiques ou morales ou agrave des personnes physiques repreacutesentant des

personnes morales raquo Au sens du regraveglement un moyen drsquoidentification eacutelectronique est laquo un

eacuteleacutement mateacuteriel ou immateacuteriel contenant des donneacutees drsquoidentification personnelle et utiliseacute pour

srsquoauthentifier sur un service en ligne raquo

Le regraveglement preacutevoit trois niveaux de garantie pour les moyens didentification eacutelectronique

deacutelivreacutes dans le cadre dun scheacutema didentification eacutelectronique notifieacute faible substantiel et

eacuteleveacute Le regraveglement drsquoexeacutecution ndeg 20151502 du 8 septembre 2015 fixe les speacutecifications de

seacutecuriteacute minimales pour chacun de ces niveaux

II3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre

laquo identification eacutelectronique raquo du regraveglement

Les actes dexeacutecution relatifs agrave lidentification eacutelectronique publieacutes agrave la date de reacutedaction du

preacutesent document sont les suivants

Deacutecision dexeacutecution ndeg 2015296 du 24 feacutevrier 2015 eacutetablissant les modaliteacutes de

coopeacuteration entre les Eacutetats membres en matiegravere didentification eacutelectronique

conformeacutement agrave larticle 12 paragraphe 7 du regraveglement ndeg 9102014

Regraveglement dexeacutecution ndeg 20151501 du 8 septembre 2015 sur le cadre

dinteropeacuterabiliteacute viseacute agrave larticle 12 paragraphe 8 du regraveglement ndeg 9102014

Regraveglement dexeacutecution ndeg 20151502 du 8 septembre 2015 fixant les speacutecifications

techniques et proceacutedures minimales relatives aux niveaux de garantie des

moyens didentification eacutelectronique viseacutes agrave larticle 8 paragraphe 3 du regraveglement ndeg

9102014

Deacutecision dexeacutecution ndeg 20151984 du 3 novembre 2015 deacutefinissant les

circonstances les formats et les proceacutedures pour les notifications viseacutes agrave larticle

9 paragraphe 5 du regraveglement ndeg 9102014

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 824

II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema

drsquoidentification eacutelectronique par un Etat membre

Le regraveglement eIDAS nrsquooblige pas les Etats membres agrave mettre en œuvre un moyen didentification

eacutelectronique au niveau national ni le cas eacutecheacuteant agrave le notifier agrave la Commission europeacuteenne

Le cas eacutecheacuteant un Etat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique doit

au preacutealable

permettre lrsquoutilisation du moyen drsquoidentification eacutelectronique deacutelivreacute dans le cadre de ce

scheacutema pour acceacuteder agrave au moins un service en ligne fourni par un organisme du

secteur public de lrsquoEacutetat membre notifiant

fournir la description du scheacutema aux autres Eacutetats membres six mois au moins avant la

notification

LrsquoEtat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique transmet agrave la

Commission europeacuteenne par voie eacutelectronique le formulaire preacutevu agrave lrsquoannexe de la deacutecision

drsquoexeacutecution 20151984 de la Commission Ce formulaire doit ecirctre rempli en langue anglaise et

signeacute eacutelectroniquement

II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema

drsquoidentification eacutelectronique

Si un Etat membre choisit de notifier un scheacutema drsquoidentification eacutelectronique cela geacutenegravere pour

lui les obligations suivantes

respecter les speacutecifications de seacutecuriteacute minimales deacutefinies dans le regraveglement

drsquoexeacutecution ndeg20151502 du 8 septembre 2015 ainsi que les speacutecifications

drsquointeropeacuterabiliteacute deacutefinies dans lrsquoacte drsquoexeacutecution ndeg20151501 du 8 septembre 2015

fournir une authentification en ligne afin de permettre agrave toute partie utilisatrice eacutetablie

sur le territoire dun autre Etat membre de confirmer les donneacutees didentification

personnelle reccedilues sous forme eacutelectronique

suspendre ou reacutevoquer lrsquoauthentification transfrontaliegravere en cas drsquoatteinte agrave la

seacutecuriteacute du scheacutema drsquoidentification eacutelectronique et notifier son retrait srsquoil ne peut ecirctre

remeacutedieacute agrave lrsquoatteinte dans un deacutelai de trois mois

LrsquoEtat membre notifiant est responsable du dommage causeacute intentionnellement ou par

neacutegligence agrave toute personne physique ou morale en raison drsquoun manquement agrave ces obligations

dans le cas drsquoune authentification transfrontaliegravere

II6 Qursquoest-ce que le reacuteseau de coopeacuteration

La deacutecision drsquoexeacutecution 2015296 de la Commission europeacuteenne preacutevoit les modaliteacutes de

coopeacuteration entre les Etats membres sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute des scheacutemas

drsquoidentification eacutelectronique

Cette deacutecision eacutetablit notamment le reacuteseau de coopeacuteration qui a pour mission

drsquoinstaurer des meacutethodes efficaces drsquoeacutechange drsquoinformations entre les Eacutetats membres de

lrsquoUnion europeacuteenne sur toutes les questions relatives agrave lrsquoidentification eacutelectronique

drsquoexaminer les eacutevolutions pertinentes dans le secteur de lrsquoidentification eacutelectronique et

drsquoeacutelaborer de bonnes pratiques en matiegravere drsquointeropeacuterabiliteacute et de seacutecuriteacute des scheacutemas

drsquoidentification eacutelectronique

drsquoadopter des avis sur la faccedilon dont un scheacutema drsquoidentification eacutelectronique satisfait aux

exigences contenues dans le regraveglement eIDAS agrave lrsquoissue du processus drsquoexamen par les

pairs

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 924

Les reacuteunions du reacuteseau de coopeacuteration sont preacutesideacutees par la Commission europeacuteenne

II7 Qursquoest-ce que lrsquoexamen par les pairs

Tous les scheacutemas drsquoidentification eacutelectronique dont la description a eacuteteacute fournie aux Eacutetats

membres preacutealablement agrave une notification peuvent faire lrsquoobjet drsquoun examen par les pairs

La participation des Etats membres pairs est volontaire et lrsquoEacutetat membre dont le scheacutema

drsquoidentification eacutelectronique doit faire lrsquoobjet drsquoun examen ne peut refuser la participation drsquoun

Etat membre pair agrave ce processus de coopeacuteration

Les Etats membres participants deacutesignent des experts chargeacutes de proceacuteder agrave lrsquoexamen Au terme

du processus drsquoexamen qui ne peut exceacuteder trois mois les participants disposent drsquoun mois pour

preacutesenter un rapport au reacuteseau de coopeacuteration A lrsquoissue de cette preacutesentation le reacuteseau de

coopeacuteration eacutemet un avis disponible publiquement

Les avis du reacuteseau de coopeacuteration sont accessibles agrave lrsquoadresse suivante

httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOpinions+of+the+Cooperation+

Network

II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes

La Commission publie au Journal officiel de lrsquoUnion europeacuteenne la liste des scheacutemas

drsquoidentification eacutelectronique qui ont eacuteteacute notifieacutes et les informations essentielles agrave leur sujet et

maintient cette liste agrave jour en fonction des notifications des Etats membres (incluant les

modifications et retraits des scheacutemas drsquoidentification eacutelectronique)

Une liste des scheacutemas drsquoidentification eacutelectronique notifieacutes ou soumis agrave lrsquoexamen par les pairs

est eacutegalement disponible agrave lrsquoadresse suivante

httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOverview+of+pre+notified+and

+notified+eID+schemes+under+eIDAS

II9 Les organismes du secteur public sont-ils tenus de recourir agrave des

moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS

Le regraveglement eIDAS nrsquooblige pas les organismes du secteur public des diffeacuterents Etats membres

agrave recourir agrave des moyens didentification eacutelectronique deacutelivreacutes dans le cadre de scheacutemas

drsquoidentification eacutelectroniques notifieacutes

Les organismes du secteur public peuvent toutefois soit en vertu de pratiques administratives

nationales ou en vertu du droit national exiger la mise en œuvre drsquoun moyen drsquoidentification

eacutelectronique pour lrsquoaccegraves agrave leurs teacuteleacuteservices

II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil

exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo

pour lrsquoaccegraves agrave ses services

Si dans un Etat membre un organisme du secteur public exige pour lrsquoaccegraves agrave lrsquoun de ses

services en ligne une identification eacutelectronique de niveau de garantie substantiel ou eacuteleveacute il

devra eacutegalement accepter pour laccegraves agrave ce teacuteleacuteservice lrsquoensemble des moyens didentification

eacutelectronique de niveau eacutequivalent ou supeacuterieur et relevant drsquoun scheacutema drsquoidentification notifieacute agrave

la Commission et publieacute au JOUE Cette obligation est effective depuis le 29 septembre 2018

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1024

Par ailleurs les organismes du secteur public peuvent deacutecider sur une base volontaire de

reconnaicirctre les scheacutemas drsquoidentification eacutelectronique de niveau faible ainsi que les scheacutemas

drsquoidentification eacutelectronique notifieacutes avant le 29 septembre 2018

II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification

eacutelectronique

Les moyens drsquoidentification eacutelectronique peuvent ecirctre demandeacutes par des personnes physiques ou

morales ou par des personnes physiques repreacutesentant des personnes morales

Pour obtenir un moyen drsquoidentification eacutelectronique le demandeur doit pouvoir justifier de son

identiteacute dans les conditions preacutevues par le regraveglement drsquoexeacutecution ndeg 20151502 qui preacutecise en

annexe les exigences minimales relatives agrave la veacuterification didentiteacute des personnes physiques et agrave

la deacutelivrance du moyen didentification

Ces exigences peuvent ecirctre renforceacutees par la reacuteglementation nationale ou les pratiques du

fournisseur drsquoidentiteacute en fonction du niveau de garantie viseacute

II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification

eacutelectronique

Le regraveglement drsquoexeacutecution ndeg20151502 preacutecise uniquement selon le niveau de garantie la nature

des veacuterifications devant ecirctre reacutealiseacutees (authenticiteacute des piegraveces drsquoidentiteacute preacutesenteacutees comparaison

de caracteacuteristiques physiques du demandeurhellip) sans speacutecifier le moyen technique ou

organisationnel

En particulier le face agrave face (crsquoest-agrave-dire une rencontre en personne entre le demandeur de

lrsquoidentification et la personne deacutelivrant le moyen drsquoidentification) nrsquoest pas exigeacute Par

conseacutequent lexistence dun face agrave face dans la proceacutedure de veacuterification didentiteacute etou dans

celle de deacutelivrance du moyen didentification eacutelectronique deacutependra des choix techniques

effectueacutes par lrsquoorganisme deacutelivrant ce moyen

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise ne place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1124

II13 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo identification eacutelectronique raquo du regraveglement eIDAS

La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication

de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point

de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute

demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute

Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au

niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des

fournisseurs de services

La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications

eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le

respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave

FranceConnect

LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS

A ce titre elle

eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des

moyens didentification eacutelectronique

eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens

drsquoidentification eacutelectronique

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1224

III Questions relatives agrave lrsquoensemble des services de confiance

III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement

eIDAS

Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de

confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule

signature eacutelectronique et englobe les services de

creacuteation veacuterification et validation de signatures eacutelectroniques de cachets

eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de

certificats relatifs agrave ces services

creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites

internet

conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats

relatifs agrave ces services

III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement

eIDAS

Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de

confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets

juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services

de confiance qualifieacutes

Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques

qualifieacutees et aux cachets eacutelectroniques qualifieacutes

Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service

de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat

membre

III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services

de confiance raquo du regraveglement

Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette

FAQ sont les suivants

Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications

relatives agrave la forme du label de confiance de lUnion pour les services de confiance

qualifieacutes

Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications

techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22

paragraphe 5 du regraveglement ndeg 9102014

Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications

relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets

eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public

viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg

9102014

Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave

leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature

eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et

agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1324

III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS

Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des

signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois

recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme

eacutelectronique ou qursquoils ne soient pas qualifieacutes

En compleacutement le regraveglement preacutecise les effets juridiques suivants

la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui

dune signature manuscrite

le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees

et dexactitude de lorigine des donneacutees auxquelles il est lieacute

lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la

date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette

date et cette heure

lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave

linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur

reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi

et de la reacuteception indiqueacutees

III5 Quelles sont les exigences applicables aux prestataires de services de

confiance

Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de

confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions

fixeacutees par les Etats membres

effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive

9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees

ndeg2016679)

rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs

services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave

un utilisateur final

prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques

lieacutes agrave la seacutecuriteacute des services quils fournissent

notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter

preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou

toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance

fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees

Les prestataires de services de confiance sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver

lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1424

III6 Quelles sont les obligations induites du volet laquo services de confiance raquo

du regraveglement eIDAS pour les prestataires de services de confiance

qualifieacutes

Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant

au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales

applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des

exigences speacutecifiques agrave chaque service de confiance qualifieacute

Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la

conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle

deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant

de pouvoir commencer agrave fournir des services qualifieacutes

Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de

prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part

III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement

Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants

la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le

cachet eacutelectronique ou lrsquoauthentification de site internet

lrsquohorodatage eacutelectronique

la validation de signatures ou de cachets eacutelectronique

la conservation de signatures ou de cachets eacutelectroniques

lrsquoenvoi recommandeacute eacutelectronique

La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation

de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du

signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement

eIDAS

III8 Quel est le reacutegime de controcircle des prestataires de services de

confiance

Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par

chaque Etat membre ayant pour mission

le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le

territoire franccedilais

la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires

de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre

lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils

fournissent ne satisfont pas aux exigences du regraveglement

Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a

priori

Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle

srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes

conformeacutement au regraveglement europeacuteen ndeg 7652008CE

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1524

III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de

services de confiance qualifieacutes

Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave

leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute

Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements

compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de

lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux

exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification

En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre

un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme

drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux

frais de ce dernier

Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS

Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique

III10 Qursquoest-ce qursquoune liste de confiance

Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les

informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont

responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations

relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur

cette liste

III11 Qursquoest-ce que le label de confiance de lrsquoUnion

Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les

prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de

maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent

Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du

prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee

Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806

III12 Qursquoest-ce que le laquo mandat 460 raquo

Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif

drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen

Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)

et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes

et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les

travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en

œuvre du regraveglement

Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de

conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers

des actes drsquoexeacutecution qursquoil preacutevoit

Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement

les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1624

III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave

des services de confiance qualifieacutes

Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres

drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les

exigences applicables au sein de chaque Etat membre

Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public

exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces

obligations sont preacuteciseacutees au chapitre IV du preacutesent document

III14 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo services de confiance raquo du regraveglement eIDAS

La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement

sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance

A ce titre lANSSI assure notamment les missions suivantes

le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes

le controcircle a posteriori et sur saisie des prestataires de service de confiance non-

qualifieacutes

lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance

qui en font la demande

la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de

services de confiance qualifieacutes par des organismes drsquoeacutevaluation

la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS

lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute

la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis

dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la

Commission sur ses principales activiteacutes

En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge

lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise

la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des

dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes

la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique

qualifieacutes qursquoelle a certifieacute conformes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1724

IV Questions relatives agrave la signature et au cachet eacutelectronique

Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au

cachet eacutelectronique

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique

Il convient de distinguer quatre niveaux de signatures eacutelectroniques

Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit

par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de

controcircle

Ces deux premiers niveaux sont

La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)

Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou

associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire

utilise pour signer

La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)

Cette signature doit

o ecirctre lieacutee au signataire de maniegravere univoque

o permettre drsquoidentifier le signataire

o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le

signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle

exclusif

o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute

modification ulteacuterieure des donneacutees soit deacutetectable

Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par

un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des

certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle

Ces deux niveaux suivants sont

La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux

articles 26 et 28 du regraveglement eIDAS)

Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute

respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS

Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion

du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des

exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est

uniquement deacutelivreacute au signataire leacutegitime

La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement

eIDAS)

La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature

eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature

eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1824

confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce

dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale

Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune

signature manuscrite

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique

qualifieacute

Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave

creacuteer une signature eacutelectronique

Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II

du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees

La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs

deacutesigneacutes par chaque Etat membre agrave la Commission

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle

exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees

pour prononcer la certification de conformiteacute

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de

services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave

distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la

conformiteacute et de le notifier agrave la Commission

IV3 Qui peut demander un certificat qualifieacute

Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats

eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et

respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats

Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute

deacutelivreacute par un prestataire de services de confiance qualifieacute

De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au

regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il

nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un

cachet eacutelectronique qualifieacute

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la

signature qualifieacutee

Le regraveglement eIDAS entraicircne les changements suivants

Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le

compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees

par un prestataire de services de confiance qualifieacute

Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)

Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les

personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1924

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat

qualifieacute de signature eacutelectronique

Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance

lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute

doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait

par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la

personne morale (ce qui implique donc un face agrave face) ou

agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la

deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de

la personne morale) sest preacutesenteacutee en personne ou

au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux

deux points ci-dessus ou

agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant

une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne

Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi

les possibiliteacutes offertes par le regraveglement

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave

distance par quels moyens la personne peut-elle manifester son

consentement

Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de

sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de

la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par

exemple sur une carte agrave puce et un code PIN)

A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute

suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature

eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees

agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la

saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave

lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2024

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave

distance

Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de

confiance qualifieacute

Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant

en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal

Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire

doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services

de confiance qualifieacutes preacutevus par le regraveglement

ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de

sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au

besoin de continuiteacute du service

La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de

conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute

LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des

certificats de conformiteacute

Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute

distincts

Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage

drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi

qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes

Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de

lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le

produit ou le systegraveme composant le QSCD

Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit

composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de

la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de

signature ou de cachet

LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est

disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-

notified-commission-accordance-article303b-and-392-eidas

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de

la signature eacutelectronique

Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques

avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature

eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne

offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les

formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506

Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats

de signature suivants

ETSI TS 103 171 (v211) (XAdES Baseline Profile)

ETSI TS 103 172 (v222) (PAdES Baseline Profile)

ETSI TS 103 173 (v221) (CAdES Baseline Profile)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 8: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 824

II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema

drsquoidentification eacutelectronique par un Etat membre

Le regraveglement eIDAS nrsquooblige pas les Etats membres agrave mettre en œuvre un moyen didentification

eacutelectronique au niveau national ni le cas eacutecheacuteant agrave le notifier agrave la Commission europeacuteenne

Le cas eacutecheacuteant un Etat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique doit

au preacutealable

permettre lrsquoutilisation du moyen drsquoidentification eacutelectronique deacutelivreacute dans le cadre de ce

scheacutema pour acceacuteder agrave au moins un service en ligne fourni par un organisme du

secteur public de lrsquoEacutetat membre notifiant

fournir la description du scheacutema aux autres Eacutetats membres six mois au moins avant la

notification

LrsquoEtat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique transmet agrave la

Commission europeacuteenne par voie eacutelectronique le formulaire preacutevu agrave lrsquoannexe de la deacutecision

drsquoexeacutecution 20151984 de la Commission Ce formulaire doit ecirctre rempli en langue anglaise et

signeacute eacutelectroniquement

II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema

drsquoidentification eacutelectronique

Si un Etat membre choisit de notifier un scheacutema drsquoidentification eacutelectronique cela geacutenegravere pour

lui les obligations suivantes

respecter les speacutecifications de seacutecuriteacute minimales deacutefinies dans le regraveglement

drsquoexeacutecution ndeg20151502 du 8 septembre 2015 ainsi que les speacutecifications

drsquointeropeacuterabiliteacute deacutefinies dans lrsquoacte drsquoexeacutecution ndeg20151501 du 8 septembre 2015

fournir une authentification en ligne afin de permettre agrave toute partie utilisatrice eacutetablie

sur le territoire dun autre Etat membre de confirmer les donneacutees didentification

personnelle reccedilues sous forme eacutelectronique

suspendre ou reacutevoquer lrsquoauthentification transfrontaliegravere en cas drsquoatteinte agrave la

seacutecuriteacute du scheacutema drsquoidentification eacutelectronique et notifier son retrait srsquoil ne peut ecirctre

remeacutedieacute agrave lrsquoatteinte dans un deacutelai de trois mois

LrsquoEtat membre notifiant est responsable du dommage causeacute intentionnellement ou par

neacutegligence agrave toute personne physique ou morale en raison drsquoun manquement agrave ces obligations

dans le cas drsquoune authentification transfrontaliegravere

II6 Qursquoest-ce que le reacuteseau de coopeacuteration

La deacutecision drsquoexeacutecution 2015296 de la Commission europeacuteenne preacutevoit les modaliteacutes de

coopeacuteration entre les Etats membres sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute des scheacutemas

drsquoidentification eacutelectronique

Cette deacutecision eacutetablit notamment le reacuteseau de coopeacuteration qui a pour mission

drsquoinstaurer des meacutethodes efficaces drsquoeacutechange drsquoinformations entre les Eacutetats membres de

lrsquoUnion europeacuteenne sur toutes les questions relatives agrave lrsquoidentification eacutelectronique

drsquoexaminer les eacutevolutions pertinentes dans le secteur de lrsquoidentification eacutelectronique et

drsquoeacutelaborer de bonnes pratiques en matiegravere drsquointeropeacuterabiliteacute et de seacutecuriteacute des scheacutemas

drsquoidentification eacutelectronique

drsquoadopter des avis sur la faccedilon dont un scheacutema drsquoidentification eacutelectronique satisfait aux

exigences contenues dans le regraveglement eIDAS agrave lrsquoissue du processus drsquoexamen par les

pairs

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 924

Les reacuteunions du reacuteseau de coopeacuteration sont preacutesideacutees par la Commission europeacuteenne

II7 Qursquoest-ce que lrsquoexamen par les pairs

Tous les scheacutemas drsquoidentification eacutelectronique dont la description a eacuteteacute fournie aux Eacutetats

membres preacutealablement agrave une notification peuvent faire lrsquoobjet drsquoun examen par les pairs

La participation des Etats membres pairs est volontaire et lrsquoEacutetat membre dont le scheacutema

drsquoidentification eacutelectronique doit faire lrsquoobjet drsquoun examen ne peut refuser la participation drsquoun

Etat membre pair agrave ce processus de coopeacuteration

Les Etats membres participants deacutesignent des experts chargeacutes de proceacuteder agrave lrsquoexamen Au terme

du processus drsquoexamen qui ne peut exceacuteder trois mois les participants disposent drsquoun mois pour

preacutesenter un rapport au reacuteseau de coopeacuteration A lrsquoissue de cette preacutesentation le reacuteseau de

coopeacuteration eacutemet un avis disponible publiquement

Les avis du reacuteseau de coopeacuteration sont accessibles agrave lrsquoadresse suivante

httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOpinions+of+the+Cooperation+

Network

II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes

La Commission publie au Journal officiel de lrsquoUnion europeacuteenne la liste des scheacutemas

drsquoidentification eacutelectronique qui ont eacuteteacute notifieacutes et les informations essentielles agrave leur sujet et

maintient cette liste agrave jour en fonction des notifications des Etats membres (incluant les

modifications et retraits des scheacutemas drsquoidentification eacutelectronique)

Une liste des scheacutemas drsquoidentification eacutelectronique notifieacutes ou soumis agrave lrsquoexamen par les pairs

est eacutegalement disponible agrave lrsquoadresse suivante

httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOverview+of+pre+notified+and

+notified+eID+schemes+under+eIDAS

II9 Les organismes du secteur public sont-ils tenus de recourir agrave des

moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS

Le regraveglement eIDAS nrsquooblige pas les organismes du secteur public des diffeacuterents Etats membres

agrave recourir agrave des moyens didentification eacutelectronique deacutelivreacutes dans le cadre de scheacutemas

drsquoidentification eacutelectroniques notifieacutes

Les organismes du secteur public peuvent toutefois soit en vertu de pratiques administratives

nationales ou en vertu du droit national exiger la mise en œuvre drsquoun moyen drsquoidentification

eacutelectronique pour lrsquoaccegraves agrave leurs teacuteleacuteservices

II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil

exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo

pour lrsquoaccegraves agrave ses services

Si dans un Etat membre un organisme du secteur public exige pour lrsquoaccegraves agrave lrsquoun de ses

services en ligne une identification eacutelectronique de niveau de garantie substantiel ou eacuteleveacute il

devra eacutegalement accepter pour laccegraves agrave ce teacuteleacuteservice lrsquoensemble des moyens didentification

eacutelectronique de niveau eacutequivalent ou supeacuterieur et relevant drsquoun scheacutema drsquoidentification notifieacute agrave

la Commission et publieacute au JOUE Cette obligation est effective depuis le 29 septembre 2018

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1024

Par ailleurs les organismes du secteur public peuvent deacutecider sur une base volontaire de

reconnaicirctre les scheacutemas drsquoidentification eacutelectronique de niveau faible ainsi que les scheacutemas

drsquoidentification eacutelectronique notifieacutes avant le 29 septembre 2018

II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification

eacutelectronique

Les moyens drsquoidentification eacutelectronique peuvent ecirctre demandeacutes par des personnes physiques ou

morales ou par des personnes physiques repreacutesentant des personnes morales

Pour obtenir un moyen drsquoidentification eacutelectronique le demandeur doit pouvoir justifier de son

identiteacute dans les conditions preacutevues par le regraveglement drsquoexeacutecution ndeg 20151502 qui preacutecise en

annexe les exigences minimales relatives agrave la veacuterification didentiteacute des personnes physiques et agrave

la deacutelivrance du moyen didentification

Ces exigences peuvent ecirctre renforceacutees par la reacuteglementation nationale ou les pratiques du

fournisseur drsquoidentiteacute en fonction du niveau de garantie viseacute

II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification

eacutelectronique

Le regraveglement drsquoexeacutecution ndeg20151502 preacutecise uniquement selon le niveau de garantie la nature

des veacuterifications devant ecirctre reacutealiseacutees (authenticiteacute des piegraveces drsquoidentiteacute preacutesenteacutees comparaison

de caracteacuteristiques physiques du demandeurhellip) sans speacutecifier le moyen technique ou

organisationnel

En particulier le face agrave face (crsquoest-agrave-dire une rencontre en personne entre le demandeur de

lrsquoidentification et la personne deacutelivrant le moyen drsquoidentification) nrsquoest pas exigeacute Par

conseacutequent lexistence dun face agrave face dans la proceacutedure de veacuterification didentiteacute etou dans

celle de deacutelivrance du moyen didentification eacutelectronique deacutependra des choix techniques

effectueacutes par lrsquoorganisme deacutelivrant ce moyen

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise ne place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1124

II13 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo identification eacutelectronique raquo du regraveglement eIDAS

La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication

de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point

de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute

demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute

Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au

niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des

fournisseurs de services

La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications

eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le

respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave

FranceConnect

LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS

A ce titre elle

eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des

moyens didentification eacutelectronique

eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens

drsquoidentification eacutelectronique

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1224

III Questions relatives agrave lrsquoensemble des services de confiance

III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement

eIDAS

Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de

confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule

signature eacutelectronique et englobe les services de

creacuteation veacuterification et validation de signatures eacutelectroniques de cachets

eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de

certificats relatifs agrave ces services

creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites

internet

conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats

relatifs agrave ces services

III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement

eIDAS

Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de

confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets

juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services

de confiance qualifieacutes

Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques

qualifieacutees et aux cachets eacutelectroniques qualifieacutes

Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service

de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat

membre

III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services

de confiance raquo du regraveglement

Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette

FAQ sont les suivants

Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications

relatives agrave la forme du label de confiance de lUnion pour les services de confiance

qualifieacutes

Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications

techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22

paragraphe 5 du regraveglement ndeg 9102014

Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications

relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets

eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public

viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg

9102014

Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave

leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature

eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et

agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1324

III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS

Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des

signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois

recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme

eacutelectronique ou qursquoils ne soient pas qualifieacutes

En compleacutement le regraveglement preacutecise les effets juridiques suivants

la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui

dune signature manuscrite

le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees

et dexactitude de lorigine des donneacutees auxquelles il est lieacute

lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la

date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette

date et cette heure

lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave

linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur

reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi

et de la reacuteception indiqueacutees

III5 Quelles sont les exigences applicables aux prestataires de services de

confiance

Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de

confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions

fixeacutees par les Etats membres

effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive

9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees

ndeg2016679)

rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs

services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave

un utilisateur final

prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques

lieacutes agrave la seacutecuriteacute des services quils fournissent

notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter

preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou

toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance

fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees

Les prestataires de services de confiance sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver

lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1424

III6 Quelles sont les obligations induites du volet laquo services de confiance raquo

du regraveglement eIDAS pour les prestataires de services de confiance

qualifieacutes

Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant

au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales

applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des

exigences speacutecifiques agrave chaque service de confiance qualifieacute

Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la

conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle

deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant

de pouvoir commencer agrave fournir des services qualifieacutes

Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de

prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part

III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement

Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants

la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le

cachet eacutelectronique ou lrsquoauthentification de site internet

lrsquohorodatage eacutelectronique

la validation de signatures ou de cachets eacutelectronique

la conservation de signatures ou de cachets eacutelectroniques

lrsquoenvoi recommandeacute eacutelectronique

La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation

de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du

signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement

eIDAS

III8 Quel est le reacutegime de controcircle des prestataires de services de

confiance

Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par

chaque Etat membre ayant pour mission

le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le

territoire franccedilais

la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires

de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre

lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils

fournissent ne satisfont pas aux exigences du regraveglement

Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a

priori

Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle

srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes

conformeacutement au regraveglement europeacuteen ndeg 7652008CE

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1524

III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de

services de confiance qualifieacutes

Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave

leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute

Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements

compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de

lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux

exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification

En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre

un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme

drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux

frais de ce dernier

Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS

Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique

III10 Qursquoest-ce qursquoune liste de confiance

Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les

informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont

responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations

relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur

cette liste

III11 Qursquoest-ce que le label de confiance de lrsquoUnion

Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les

prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de

maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent

Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du

prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee

Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806

III12 Qursquoest-ce que le laquo mandat 460 raquo

Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif

drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen

Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)

et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes

et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les

travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en

œuvre du regraveglement

Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de

conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers

des actes drsquoexeacutecution qursquoil preacutevoit

Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement

les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1624

III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave

des services de confiance qualifieacutes

Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres

drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les

exigences applicables au sein de chaque Etat membre

Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public

exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces

obligations sont preacuteciseacutees au chapitre IV du preacutesent document

III14 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo services de confiance raquo du regraveglement eIDAS

La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement

sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance

A ce titre lANSSI assure notamment les missions suivantes

le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes

le controcircle a posteriori et sur saisie des prestataires de service de confiance non-

qualifieacutes

lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance

qui en font la demande

la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de

services de confiance qualifieacutes par des organismes drsquoeacutevaluation

la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS

lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute

la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis

dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la

Commission sur ses principales activiteacutes

En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge

lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise

la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des

dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes

la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique

qualifieacutes qursquoelle a certifieacute conformes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1724

IV Questions relatives agrave la signature et au cachet eacutelectronique

Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au

cachet eacutelectronique

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique

Il convient de distinguer quatre niveaux de signatures eacutelectroniques

Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit

par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de

controcircle

Ces deux premiers niveaux sont

La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)

Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou

associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire

utilise pour signer

La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)

Cette signature doit

o ecirctre lieacutee au signataire de maniegravere univoque

o permettre drsquoidentifier le signataire

o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le

signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle

exclusif

o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute

modification ulteacuterieure des donneacutees soit deacutetectable

Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par

un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des

certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle

Ces deux niveaux suivants sont

La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux

articles 26 et 28 du regraveglement eIDAS)

Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute

respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS

Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion

du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des

exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est

uniquement deacutelivreacute au signataire leacutegitime

La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement

eIDAS)

La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature

eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature

eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1824

confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce

dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale

Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune

signature manuscrite

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique

qualifieacute

Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave

creacuteer une signature eacutelectronique

Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II

du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees

La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs

deacutesigneacutes par chaque Etat membre agrave la Commission

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle

exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees

pour prononcer la certification de conformiteacute

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de

services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave

distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la

conformiteacute et de le notifier agrave la Commission

IV3 Qui peut demander un certificat qualifieacute

Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats

eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et

respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats

Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute

deacutelivreacute par un prestataire de services de confiance qualifieacute

De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au

regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il

nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un

cachet eacutelectronique qualifieacute

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la

signature qualifieacutee

Le regraveglement eIDAS entraicircne les changements suivants

Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le

compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees

par un prestataire de services de confiance qualifieacute

Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)

Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les

personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1924

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat

qualifieacute de signature eacutelectronique

Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance

lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute

doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait

par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la

personne morale (ce qui implique donc un face agrave face) ou

agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la

deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de

la personne morale) sest preacutesenteacutee en personne ou

au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux

deux points ci-dessus ou

agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant

une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne

Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi

les possibiliteacutes offertes par le regraveglement

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave

distance par quels moyens la personne peut-elle manifester son

consentement

Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de

sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de

la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par

exemple sur une carte agrave puce et un code PIN)

A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute

suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature

eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees

agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la

saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave

lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2024

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave

distance

Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de

confiance qualifieacute

Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant

en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal

Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire

doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services

de confiance qualifieacutes preacutevus par le regraveglement

ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de

sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au

besoin de continuiteacute du service

La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de

conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute

LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des

certificats de conformiteacute

Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute

distincts

Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage

drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi

qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes

Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de

lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le

produit ou le systegraveme composant le QSCD

Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit

composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de

la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de

signature ou de cachet

LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est

disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-

notified-commission-accordance-article303b-and-392-eidas

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de

la signature eacutelectronique

Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques

avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature

eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne

offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les

formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506

Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats

de signature suivants

ETSI TS 103 171 (v211) (XAdES Baseline Profile)

ETSI TS 103 172 (v222) (PAdES Baseline Profile)

ETSI TS 103 173 (v221) (CAdES Baseline Profile)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 9: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 924

Les reacuteunions du reacuteseau de coopeacuteration sont preacutesideacutees par la Commission europeacuteenne

II7 Qursquoest-ce que lrsquoexamen par les pairs

Tous les scheacutemas drsquoidentification eacutelectronique dont la description a eacuteteacute fournie aux Eacutetats

membres preacutealablement agrave une notification peuvent faire lrsquoobjet drsquoun examen par les pairs

La participation des Etats membres pairs est volontaire et lrsquoEacutetat membre dont le scheacutema

drsquoidentification eacutelectronique doit faire lrsquoobjet drsquoun examen ne peut refuser la participation drsquoun

Etat membre pair agrave ce processus de coopeacuteration

Les Etats membres participants deacutesignent des experts chargeacutes de proceacuteder agrave lrsquoexamen Au terme

du processus drsquoexamen qui ne peut exceacuteder trois mois les participants disposent drsquoun mois pour

preacutesenter un rapport au reacuteseau de coopeacuteration A lrsquoissue de cette preacutesentation le reacuteseau de

coopeacuteration eacutemet un avis disponible publiquement

Les avis du reacuteseau de coopeacuteration sont accessibles agrave lrsquoadresse suivante

httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOpinions+of+the+Cooperation+

Network

II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes

La Commission publie au Journal officiel de lrsquoUnion europeacuteenne la liste des scheacutemas

drsquoidentification eacutelectronique qui ont eacuteteacute notifieacutes et les informations essentielles agrave leur sujet et

maintient cette liste agrave jour en fonction des notifications des Etats membres (incluant les

modifications et retraits des scheacutemas drsquoidentification eacutelectronique)

Une liste des scheacutemas drsquoidentification eacutelectronique notifieacutes ou soumis agrave lrsquoexamen par les pairs

est eacutegalement disponible agrave lrsquoadresse suivante

httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOverview+of+pre+notified+and

+notified+eID+schemes+under+eIDAS

II9 Les organismes du secteur public sont-ils tenus de recourir agrave des

moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS

Le regraveglement eIDAS nrsquooblige pas les organismes du secteur public des diffeacuterents Etats membres

agrave recourir agrave des moyens didentification eacutelectronique deacutelivreacutes dans le cadre de scheacutemas

drsquoidentification eacutelectroniques notifieacutes

Les organismes du secteur public peuvent toutefois soit en vertu de pratiques administratives

nationales ou en vertu du droit national exiger la mise en œuvre drsquoun moyen drsquoidentification

eacutelectronique pour lrsquoaccegraves agrave leurs teacuteleacuteservices

II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil

exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo

pour lrsquoaccegraves agrave ses services

Si dans un Etat membre un organisme du secteur public exige pour lrsquoaccegraves agrave lrsquoun de ses

services en ligne une identification eacutelectronique de niveau de garantie substantiel ou eacuteleveacute il

devra eacutegalement accepter pour laccegraves agrave ce teacuteleacuteservice lrsquoensemble des moyens didentification

eacutelectronique de niveau eacutequivalent ou supeacuterieur et relevant drsquoun scheacutema drsquoidentification notifieacute agrave

la Commission et publieacute au JOUE Cette obligation est effective depuis le 29 septembre 2018

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1024

Par ailleurs les organismes du secteur public peuvent deacutecider sur une base volontaire de

reconnaicirctre les scheacutemas drsquoidentification eacutelectronique de niveau faible ainsi que les scheacutemas

drsquoidentification eacutelectronique notifieacutes avant le 29 septembre 2018

II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification

eacutelectronique

Les moyens drsquoidentification eacutelectronique peuvent ecirctre demandeacutes par des personnes physiques ou

morales ou par des personnes physiques repreacutesentant des personnes morales

Pour obtenir un moyen drsquoidentification eacutelectronique le demandeur doit pouvoir justifier de son

identiteacute dans les conditions preacutevues par le regraveglement drsquoexeacutecution ndeg 20151502 qui preacutecise en

annexe les exigences minimales relatives agrave la veacuterification didentiteacute des personnes physiques et agrave

la deacutelivrance du moyen didentification

Ces exigences peuvent ecirctre renforceacutees par la reacuteglementation nationale ou les pratiques du

fournisseur drsquoidentiteacute en fonction du niveau de garantie viseacute

II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification

eacutelectronique

Le regraveglement drsquoexeacutecution ndeg20151502 preacutecise uniquement selon le niveau de garantie la nature

des veacuterifications devant ecirctre reacutealiseacutees (authenticiteacute des piegraveces drsquoidentiteacute preacutesenteacutees comparaison

de caracteacuteristiques physiques du demandeurhellip) sans speacutecifier le moyen technique ou

organisationnel

En particulier le face agrave face (crsquoest-agrave-dire une rencontre en personne entre le demandeur de

lrsquoidentification et la personne deacutelivrant le moyen drsquoidentification) nrsquoest pas exigeacute Par

conseacutequent lexistence dun face agrave face dans la proceacutedure de veacuterification didentiteacute etou dans

celle de deacutelivrance du moyen didentification eacutelectronique deacutependra des choix techniques

effectueacutes par lrsquoorganisme deacutelivrant ce moyen

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise ne place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1124

II13 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo identification eacutelectronique raquo du regraveglement eIDAS

La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication

de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point

de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute

demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute

Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au

niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des

fournisseurs de services

La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications

eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le

respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave

FranceConnect

LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS

A ce titre elle

eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des

moyens didentification eacutelectronique

eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens

drsquoidentification eacutelectronique

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1224

III Questions relatives agrave lrsquoensemble des services de confiance

III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement

eIDAS

Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de

confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule

signature eacutelectronique et englobe les services de

creacuteation veacuterification et validation de signatures eacutelectroniques de cachets

eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de

certificats relatifs agrave ces services

creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites

internet

conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats

relatifs agrave ces services

III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement

eIDAS

Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de

confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets

juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services

de confiance qualifieacutes

Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques

qualifieacutees et aux cachets eacutelectroniques qualifieacutes

Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service

de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat

membre

III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services

de confiance raquo du regraveglement

Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette

FAQ sont les suivants

Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications

relatives agrave la forme du label de confiance de lUnion pour les services de confiance

qualifieacutes

Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications

techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22

paragraphe 5 du regraveglement ndeg 9102014

Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications

relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets

eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public

viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg

9102014

Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave

leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature

eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et

agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1324

III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS

Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des

signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois

recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme

eacutelectronique ou qursquoils ne soient pas qualifieacutes

En compleacutement le regraveglement preacutecise les effets juridiques suivants

la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui

dune signature manuscrite

le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees

et dexactitude de lorigine des donneacutees auxquelles il est lieacute

lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la

date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette

date et cette heure

lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave

linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur

reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi

et de la reacuteception indiqueacutees

III5 Quelles sont les exigences applicables aux prestataires de services de

confiance

Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de

confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions

fixeacutees par les Etats membres

effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive

9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees

ndeg2016679)

rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs

services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave

un utilisateur final

prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques

lieacutes agrave la seacutecuriteacute des services quils fournissent

notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter

preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou

toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance

fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees

Les prestataires de services de confiance sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver

lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1424

III6 Quelles sont les obligations induites du volet laquo services de confiance raquo

du regraveglement eIDAS pour les prestataires de services de confiance

qualifieacutes

Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant

au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales

applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des

exigences speacutecifiques agrave chaque service de confiance qualifieacute

Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la

conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle

deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant

de pouvoir commencer agrave fournir des services qualifieacutes

Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de

prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part

III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement

Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants

la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le

cachet eacutelectronique ou lrsquoauthentification de site internet

lrsquohorodatage eacutelectronique

la validation de signatures ou de cachets eacutelectronique

la conservation de signatures ou de cachets eacutelectroniques

lrsquoenvoi recommandeacute eacutelectronique

La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation

de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du

signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement

eIDAS

III8 Quel est le reacutegime de controcircle des prestataires de services de

confiance

Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par

chaque Etat membre ayant pour mission

le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le

territoire franccedilais

la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires

de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre

lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils

fournissent ne satisfont pas aux exigences du regraveglement

Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a

priori

Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle

srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes

conformeacutement au regraveglement europeacuteen ndeg 7652008CE

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1524

III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de

services de confiance qualifieacutes

Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave

leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute

Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements

compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de

lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux

exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification

En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre

un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme

drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux

frais de ce dernier

Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS

Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique

III10 Qursquoest-ce qursquoune liste de confiance

Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les

informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont

responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations

relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur

cette liste

III11 Qursquoest-ce que le label de confiance de lrsquoUnion

Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les

prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de

maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent

Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du

prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee

Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806

III12 Qursquoest-ce que le laquo mandat 460 raquo

Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif

drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen

Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)

et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes

et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les

travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en

œuvre du regraveglement

Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de

conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers

des actes drsquoexeacutecution qursquoil preacutevoit

Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement

les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1624

III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave

des services de confiance qualifieacutes

Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres

drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les

exigences applicables au sein de chaque Etat membre

Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public

exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces

obligations sont preacuteciseacutees au chapitre IV du preacutesent document

III14 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo services de confiance raquo du regraveglement eIDAS

La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement

sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance

A ce titre lANSSI assure notamment les missions suivantes

le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes

le controcircle a posteriori et sur saisie des prestataires de service de confiance non-

qualifieacutes

lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance

qui en font la demande

la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de

services de confiance qualifieacutes par des organismes drsquoeacutevaluation

la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS

lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute

la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis

dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la

Commission sur ses principales activiteacutes

En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge

lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise

la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des

dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes

la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique

qualifieacutes qursquoelle a certifieacute conformes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1724

IV Questions relatives agrave la signature et au cachet eacutelectronique

Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au

cachet eacutelectronique

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique

Il convient de distinguer quatre niveaux de signatures eacutelectroniques

Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit

par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de

controcircle

Ces deux premiers niveaux sont

La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)

Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou

associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire

utilise pour signer

La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)

Cette signature doit

o ecirctre lieacutee au signataire de maniegravere univoque

o permettre drsquoidentifier le signataire

o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le

signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle

exclusif

o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute

modification ulteacuterieure des donneacutees soit deacutetectable

Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par

un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des

certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle

Ces deux niveaux suivants sont

La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux

articles 26 et 28 du regraveglement eIDAS)

Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute

respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS

Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion

du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des

exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est

uniquement deacutelivreacute au signataire leacutegitime

La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement

eIDAS)

La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature

eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature

eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1824

confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce

dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale

Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune

signature manuscrite

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique

qualifieacute

Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave

creacuteer une signature eacutelectronique

Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II

du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees

La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs

deacutesigneacutes par chaque Etat membre agrave la Commission

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle

exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees

pour prononcer la certification de conformiteacute

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de

services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave

distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la

conformiteacute et de le notifier agrave la Commission

IV3 Qui peut demander un certificat qualifieacute

Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats

eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et

respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats

Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute

deacutelivreacute par un prestataire de services de confiance qualifieacute

De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au

regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il

nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un

cachet eacutelectronique qualifieacute

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la

signature qualifieacutee

Le regraveglement eIDAS entraicircne les changements suivants

Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le

compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees

par un prestataire de services de confiance qualifieacute

Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)

Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les

personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1924

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat

qualifieacute de signature eacutelectronique

Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance

lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute

doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait

par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la

personne morale (ce qui implique donc un face agrave face) ou

agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la

deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de

la personne morale) sest preacutesenteacutee en personne ou

au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux

deux points ci-dessus ou

agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant

une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne

Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi

les possibiliteacutes offertes par le regraveglement

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave

distance par quels moyens la personne peut-elle manifester son

consentement

Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de

sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de

la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par

exemple sur une carte agrave puce et un code PIN)

A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute

suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature

eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees

agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la

saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave

lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2024

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave

distance

Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de

confiance qualifieacute

Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant

en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal

Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire

doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services

de confiance qualifieacutes preacutevus par le regraveglement

ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de

sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au

besoin de continuiteacute du service

La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de

conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute

LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des

certificats de conformiteacute

Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute

distincts

Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage

drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi

qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes

Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de

lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le

produit ou le systegraveme composant le QSCD

Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit

composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de

la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de

signature ou de cachet

LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est

disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-

notified-commission-accordance-article303b-and-392-eidas

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de

la signature eacutelectronique

Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques

avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature

eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne

offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les

formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506

Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats

de signature suivants

ETSI TS 103 171 (v211) (XAdES Baseline Profile)

ETSI TS 103 172 (v222) (PAdES Baseline Profile)

ETSI TS 103 173 (v221) (CAdES Baseline Profile)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 10: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1024

Par ailleurs les organismes du secteur public peuvent deacutecider sur une base volontaire de

reconnaicirctre les scheacutemas drsquoidentification eacutelectronique de niveau faible ainsi que les scheacutemas

drsquoidentification eacutelectronique notifieacutes avant le 29 septembre 2018

II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification

eacutelectronique

Les moyens drsquoidentification eacutelectronique peuvent ecirctre demandeacutes par des personnes physiques ou

morales ou par des personnes physiques repreacutesentant des personnes morales

Pour obtenir un moyen drsquoidentification eacutelectronique le demandeur doit pouvoir justifier de son

identiteacute dans les conditions preacutevues par le regraveglement drsquoexeacutecution ndeg 20151502 qui preacutecise en

annexe les exigences minimales relatives agrave la veacuterification didentiteacute des personnes physiques et agrave

la deacutelivrance du moyen didentification

Ces exigences peuvent ecirctre renforceacutees par la reacuteglementation nationale ou les pratiques du

fournisseur drsquoidentiteacute en fonction du niveau de garantie viseacute

II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification

eacutelectronique

Le regraveglement drsquoexeacutecution ndeg20151502 preacutecise uniquement selon le niveau de garantie la nature

des veacuterifications devant ecirctre reacutealiseacutees (authenticiteacute des piegraveces drsquoidentiteacute preacutesenteacutees comparaison

de caracteacuteristiques physiques du demandeurhellip) sans speacutecifier le moyen technique ou

organisationnel

En particulier le face agrave face (crsquoest-agrave-dire une rencontre en personne entre le demandeur de

lrsquoidentification et la personne deacutelivrant le moyen drsquoidentification) nrsquoest pas exigeacute Par

conseacutequent lexistence dun face agrave face dans la proceacutedure de veacuterification didentiteacute etou dans

celle de deacutelivrance du moyen didentification eacutelectronique deacutependra des choix techniques

effectueacutes par lrsquoorganisme deacutelivrant ce moyen

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise ne place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1124

II13 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo identification eacutelectronique raquo du regraveglement eIDAS

La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication

de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point

de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute

demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute

Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au

niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des

fournisseurs de services

La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications

eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le

respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave

FranceConnect

LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS

A ce titre elle

eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des

moyens didentification eacutelectronique

eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens

drsquoidentification eacutelectronique

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1224

III Questions relatives agrave lrsquoensemble des services de confiance

III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement

eIDAS

Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de

confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule

signature eacutelectronique et englobe les services de

creacuteation veacuterification et validation de signatures eacutelectroniques de cachets

eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de

certificats relatifs agrave ces services

creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites

internet

conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats

relatifs agrave ces services

III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement

eIDAS

Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de

confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets

juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services

de confiance qualifieacutes

Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques

qualifieacutees et aux cachets eacutelectroniques qualifieacutes

Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service

de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat

membre

III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services

de confiance raquo du regraveglement

Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette

FAQ sont les suivants

Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications

relatives agrave la forme du label de confiance de lUnion pour les services de confiance

qualifieacutes

Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications

techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22

paragraphe 5 du regraveglement ndeg 9102014

Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications

relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets

eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public

viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg

9102014

Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave

leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature

eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et

agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1324

III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS

Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des

signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois

recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme

eacutelectronique ou qursquoils ne soient pas qualifieacutes

En compleacutement le regraveglement preacutecise les effets juridiques suivants

la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui

dune signature manuscrite

le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees

et dexactitude de lorigine des donneacutees auxquelles il est lieacute

lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la

date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette

date et cette heure

lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave

linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur

reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi

et de la reacuteception indiqueacutees

III5 Quelles sont les exigences applicables aux prestataires de services de

confiance

Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de

confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions

fixeacutees par les Etats membres

effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive

9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees

ndeg2016679)

rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs

services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave

un utilisateur final

prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques

lieacutes agrave la seacutecuriteacute des services quils fournissent

notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter

preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou

toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance

fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees

Les prestataires de services de confiance sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver

lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1424

III6 Quelles sont les obligations induites du volet laquo services de confiance raquo

du regraveglement eIDAS pour les prestataires de services de confiance

qualifieacutes

Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant

au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales

applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des

exigences speacutecifiques agrave chaque service de confiance qualifieacute

Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la

conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle

deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant

de pouvoir commencer agrave fournir des services qualifieacutes

Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de

prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part

III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement

Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants

la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le

cachet eacutelectronique ou lrsquoauthentification de site internet

lrsquohorodatage eacutelectronique

la validation de signatures ou de cachets eacutelectronique

la conservation de signatures ou de cachets eacutelectroniques

lrsquoenvoi recommandeacute eacutelectronique

La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation

de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du

signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement

eIDAS

III8 Quel est le reacutegime de controcircle des prestataires de services de

confiance

Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par

chaque Etat membre ayant pour mission

le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le

territoire franccedilais

la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires

de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre

lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils

fournissent ne satisfont pas aux exigences du regraveglement

Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a

priori

Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle

srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes

conformeacutement au regraveglement europeacuteen ndeg 7652008CE

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1524

III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de

services de confiance qualifieacutes

Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave

leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute

Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements

compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de

lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux

exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification

En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre

un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme

drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux

frais de ce dernier

Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS

Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique

III10 Qursquoest-ce qursquoune liste de confiance

Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les

informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont

responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations

relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur

cette liste

III11 Qursquoest-ce que le label de confiance de lrsquoUnion

Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les

prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de

maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent

Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du

prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee

Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806

III12 Qursquoest-ce que le laquo mandat 460 raquo

Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif

drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen

Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)

et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes

et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les

travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en

œuvre du regraveglement

Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de

conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers

des actes drsquoexeacutecution qursquoil preacutevoit

Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement

les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1624

III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave

des services de confiance qualifieacutes

Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres

drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les

exigences applicables au sein de chaque Etat membre

Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public

exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces

obligations sont preacuteciseacutees au chapitre IV du preacutesent document

III14 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo services de confiance raquo du regraveglement eIDAS

La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement

sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance

A ce titre lANSSI assure notamment les missions suivantes

le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes

le controcircle a posteriori et sur saisie des prestataires de service de confiance non-

qualifieacutes

lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance

qui en font la demande

la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de

services de confiance qualifieacutes par des organismes drsquoeacutevaluation

la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS

lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute

la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis

dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la

Commission sur ses principales activiteacutes

En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge

lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise

la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des

dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes

la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique

qualifieacutes qursquoelle a certifieacute conformes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1724

IV Questions relatives agrave la signature et au cachet eacutelectronique

Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au

cachet eacutelectronique

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique

Il convient de distinguer quatre niveaux de signatures eacutelectroniques

Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit

par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de

controcircle

Ces deux premiers niveaux sont

La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)

Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou

associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire

utilise pour signer

La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)

Cette signature doit

o ecirctre lieacutee au signataire de maniegravere univoque

o permettre drsquoidentifier le signataire

o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le

signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle

exclusif

o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute

modification ulteacuterieure des donneacutees soit deacutetectable

Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par

un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des

certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle

Ces deux niveaux suivants sont

La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux

articles 26 et 28 du regraveglement eIDAS)

Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute

respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS

Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion

du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des

exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est

uniquement deacutelivreacute au signataire leacutegitime

La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement

eIDAS)

La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature

eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature

eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1824

confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce

dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale

Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune

signature manuscrite

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique

qualifieacute

Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave

creacuteer une signature eacutelectronique

Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II

du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees

La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs

deacutesigneacutes par chaque Etat membre agrave la Commission

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle

exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees

pour prononcer la certification de conformiteacute

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de

services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave

distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la

conformiteacute et de le notifier agrave la Commission

IV3 Qui peut demander un certificat qualifieacute

Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats

eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et

respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats

Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute

deacutelivreacute par un prestataire de services de confiance qualifieacute

De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au

regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il

nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un

cachet eacutelectronique qualifieacute

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la

signature qualifieacutee

Le regraveglement eIDAS entraicircne les changements suivants

Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le

compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees

par un prestataire de services de confiance qualifieacute

Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)

Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les

personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1924

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat

qualifieacute de signature eacutelectronique

Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance

lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute

doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait

par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la

personne morale (ce qui implique donc un face agrave face) ou

agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la

deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de

la personne morale) sest preacutesenteacutee en personne ou

au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux

deux points ci-dessus ou

agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant

une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne

Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi

les possibiliteacutes offertes par le regraveglement

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave

distance par quels moyens la personne peut-elle manifester son

consentement

Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de

sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de

la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par

exemple sur une carte agrave puce et un code PIN)

A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute

suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature

eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees

agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la

saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave

lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2024

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave

distance

Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de

confiance qualifieacute

Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant

en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal

Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire

doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services

de confiance qualifieacutes preacutevus par le regraveglement

ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de

sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au

besoin de continuiteacute du service

La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de

conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute

LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des

certificats de conformiteacute

Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute

distincts

Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage

drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi

qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes

Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de

lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le

produit ou le systegraveme composant le QSCD

Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit

composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de

la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de

signature ou de cachet

LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est

disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-

notified-commission-accordance-article303b-and-392-eidas

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de

la signature eacutelectronique

Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques

avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature

eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne

offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les

formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506

Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats

de signature suivants

ETSI TS 103 171 (v211) (XAdES Baseline Profile)

ETSI TS 103 172 (v222) (PAdES Baseline Profile)

ETSI TS 103 173 (v221) (CAdES Baseline Profile)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 11: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1124

II13 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo identification eacutelectronique raquo du regraveglement eIDAS

La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication

de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point

de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute

demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute

Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au

niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des

fournisseurs de services

La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications

eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le

respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave

FranceConnect

LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS

A ce titre elle

eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des

moyens didentification eacutelectronique

eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens

drsquoidentification eacutelectronique

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1224

III Questions relatives agrave lrsquoensemble des services de confiance

III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement

eIDAS

Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de

confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule

signature eacutelectronique et englobe les services de

creacuteation veacuterification et validation de signatures eacutelectroniques de cachets

eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de

certificats relatifs agrave ces services

creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites

internet

conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats

relatifs agrave ces services

III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement

eIDAS

Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de

confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets

juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services

de confiance qualifieacutes

Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques

qualifieacutees et aux cachets eacutelectroniques qualifieacutes

Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service

de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat

membre

III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services

de confiance raquo du regraveglement

Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette

FAQ sont les suivants

Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications

relatives agrave la forme du label de confiance de lUnion pour les services de confiance

qualifieacutes

Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications

techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22

paragraphe 5 du regraveglement ndeg 9102014

Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications

relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets

eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public

viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg

9102014

Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave

leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature

eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et

agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1324

III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS

Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des

signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois

recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme

eacutelectronique ou qursquoils ne soient pas qualifieacutes

En compleacutement le regraveglement preacutecise les effets juridiques suivants

la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui

dune signature manuscrite

le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees

et dexactitude de lorigine des donneacutees auxquelles il est lieacute

lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la

date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette

date et cette heure

lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave

linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur

reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi

et de la reacuteception indiqueacutees

III5 Quelles sont les exigences applicables aux prestataires de services de

confiance

Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de

confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions

fixeacutees par les Etats membres

effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive

9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees

ndeg2016679)

rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs

services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave

un utilisateur final

prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques

lieacutes agrave la seacutecuriteacute des services quils fournissent

notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter

preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou

toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance

fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees

Les prestataires de services de confiance sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver

lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1424

III6 Quelles sont les obligations induites du volet laquo services de confiance raquo

du regraveglement eIDAS pour les prestataires de services de confiance

qualifieacutes

Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant

au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales

applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des

exigences speacutecifiques agrave chaque service de confiance qualifieacute

Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la

conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle

deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant

de pouvoir commencer agrave fournir des services qualifieacutes

Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de

prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part

III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement

Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants

la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le

cachet eacutelectronique ou lrsquoauthentification de site internet

lrsquohorodatage eacutelectronique

la validation de signatures ou de cachets eacutelectronique

la conservation de signatures ou de cachets eacutelectroniques

lrsquoenvoi recommandeacute eacutelectronique

La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation

de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du

signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement

eIDAS

III8 Quel est le reacutegime de controcircle des prestataires de services de

confiance

Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par

chaque Etat membre ayant pour mission

le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le

territoire franccedilais

la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires

de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre

lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils

fournissent ne satisfont pas aux exigences du regraveglement

Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a

priori

Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle

srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes

conformeacutement au regraveglement europeacuteen ndeg 7652008CE

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1524

III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de

services de confiance qualifieacutes

Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave

leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute

Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements

compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de

lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux

exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification

En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre

un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme

drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux

frais de ce dernier

Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS

Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique

III10 Qursquoest-ce qursquoune liste de confiance

Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les

informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont

responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations

relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur

cette liste

III11 Qursquoest-ce que le label de confiance de lrsquoUnion

Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les

prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de

maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent

Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du

prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee

Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806

III12 Qursquoest-ce que le laquo mandat 460 raquo

Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif

drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen

Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)

et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes

et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les

travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en

œuvre du regraveglement

Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de

conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers

des actes drsquoexeacutecution qursquoil preacutevoit

Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement

les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1624

III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave

des services de confiance qualifieacutes

Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres

drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les

exigences applicables au sein de chaque Etat membre

Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public

exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces

obligations sont preacuteciseacutees au chapitre IV du preacutesent document

III14 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo services de confiance raquo du regraveglement eIDAS

La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement

sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance

A ce titre lANSSI assure notamment les missions suivantes

le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes

le controcircle a posteriori et sur saisie des prestataires de service de confiance non-

qualifieacutes

lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance

qui en font la demande

la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de

services de confiance qualifieacutes par des organismes drsquoeacutevaluation

la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS

lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute

la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis

dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la

Commission sur ses principales activiteacutes

En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge

lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise

la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des

dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes

la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique

qualifieacutes qursquoelle a certifieacute conformes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1724

IV Questions relatives agrave la signature et au cachet eacutelectronique

Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au

cachet eacutelectronique

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique

Il convient de distinguer quatre niveaux de signatures eacutelectroniques

Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit

par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de

controcircle

Ces deux premiers niveaux sont

La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)

Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou

associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire

utilise pour signer

La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)

Cette signature doit

o ecirctre lieacutee au signataire de maniegravere univoque

o permettre drsquoidentifier le signataire

o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le

signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle

exclusif

o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute

modification ulteacuterieure des donneacutees soit deacutetectable

Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par

un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des

certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle

Ces deux niveaux suivants sont

La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux

articles 26 et 28 du regraveglement eIDAS)

Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute

respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS

Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion

du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des

exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est

uniquement deacutelivreacute au signataire leacutegitime

La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement

eIDAS)

La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature

eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature

eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1824

confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce

dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale

Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune

signature manuscrite

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique

qualifieacute

Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave

creacuteer une signature eacutelectronique

Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II

du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees

La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs

deacutesigneacutes par chaque Etat membre agrave la Commission

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle

exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees

pour prononcer la certification de conformiteacute

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de

services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave

distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la

conformiteacute et de le notifier agrave la Commission

IV3 Qui peut demander un certificat qualifieacute

Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats

eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et

respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats

Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute

deacutelivreacute par un prestataire de services de confiance qualifieacute

De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au

regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il

nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un

cachet eacutelectronique qualifieacute

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la

signature qualifieacutee

Le regraveglement eIDAS entraicircne les changements suivants

Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le

compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees

par un prestataire de services de confiance qualifieacute

Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)

Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les

personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1924

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat

qualifieacute de signature eacutelectronique

Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance

lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute

doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait

par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la

personne morale (ce qui implique donc un face agrave face) ou

agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la

deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de

la personne morale) sest preacutesenteacutee en personne ou

au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux

deux points ci-dessus ou

agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant

une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne

Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi

les possibiliteacutes offertes par le regraveglement

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave

distance par quels moyens la personne peut-elle manifester son

consentement

Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de

sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de

la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par

exemple sur une carte agrave puce et un code PIN)

A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute

suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature

eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees

agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la

saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave

lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2024

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave

distance

Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de

confiance qualifieacute

Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant

en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal

Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire

doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services

de confiance qualifieacutes preacutevus par le regraveglement

ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de

sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au

besoin de continuiteacute du service

La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de

conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute

LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des

certificats de conformiteacute

Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute

distincts

Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage

drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi

qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes

Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de

lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le

produit ou le systegraveme composant le QSCD

Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit

composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de

la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de

signature ou de cachet

LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est

disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-

notified-commission-accordance-article303b-and-392-eidas

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de

la signature eacutelectronique

Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques

avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature

eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne

offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les

formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506

Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats

de signature suivants

ETSI TS 103 171 (v211) (XAdES Baseline Profile)

ETSI TS 103 172 (v222) (PAdES Baseline Profile)

ETSI TS 103 173 (v221) (CAdES Baseline Profile)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 12: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1224

III Questions relatives agrave lrsquoensemble des services de confiance

III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement

eIDAS

Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de

confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule

signature eacutelectronique et englobe les services de

creacuteation veacuterification et validation de signatures eacutelectroniques de cachets

eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de

certificats relatifs agrave ces services

creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites

internet

conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats

relatifs agrave ces services

III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement

eIDAS

Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de

confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets

juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services

de confiance qualifieacutes

Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques

qualifieacutees et aux cachets eacutelectroniques qualifieacutes

Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service

de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat

membre

III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services

de confiance raquo du regraveglement

Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette

FAQ sont les suivants

Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications

relatives agrave la forme du label de confiance de lUnion pour les services de confiance

qualifieacutes

Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications

techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22

paragraphe 5 du regraveglement ndeg 9102014

Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications

relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets

eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public

viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg

9102014

Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave

leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature

eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et

agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1324

III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS

Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des

signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois

recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme

eacutelectronique ou qursquoils ne soient pas qualifieacutes

En compleacutement le regraveglement preacutecise les effets juridiques suivants

la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui

dune signature manuscrite

le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees

et dexactitude de lorigine des donneacutees auxquelles il est lieacute

lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la

date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette

date et cette heure

lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave

linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur

reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi

et de la reacuteception indiqueacutees

III5 Quelles sont les exigences applicables aux prestataires de services de

confiance

Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de

confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions

fixeacutees par les Etats membres

effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive

9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees

ndeg2016679)

rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs

services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave

un utilisateur final

prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques

lieacutes agrave la seacutecuriteacute des services quils fournissent

notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter

preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou

toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance

fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees

Les prestataires de services de confiance sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver

lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1424

III6 Quelles sont les obligations induites du volet laquo services de confiance raquo

du regraveglement eIDAS pour les prestataires de services de confiance

qualifieacutes

Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant

au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales

applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des

exigences speacutecifiques agrave chaque service de confiance qualifieacute

Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la

conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle

deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant

de pouvoir commencer agrave fournir des services qualifieacutes

Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de

prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part

III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement

Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants

la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le

cachet eacutelectronique ou lrsquoauthentification de site internet

lrsquohorodatage eacutelectronique

la validation de signatures ou de cachets eacutelectronique

la conservation de signatures ou de cachets eacutelectroniques

lrsquoenvoi recommandeacute eacutelectronique

La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation

de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du

signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement

eIDAS

III8 Quel est le reacutegime de controcircle des prestataires de services de

confiance

Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par

chaque Etat membre ayant pour mission

le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le

territoire franccedilais

la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires

de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre

lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils

fournissent ne satisfont pas aux exigences du regraveglement

Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a

priori

Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle

srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes

conformeacutement au regraveglement europeacuteen ndeg 7652008CE

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1524

III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de

services de confiance qualifieacutes

Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave

leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute

Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements

compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de

lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux

exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification

En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre

un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme

drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux

frais de ce dernier

Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS

Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique

III10 Qursquoest-ce qursquoune liste de confiance

Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les

informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont

responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations

relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur

cette liste

III11 Qursquoest-ce que le label de confiance de lrsquoUnion

Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les

prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de

maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent

Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du

prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee

Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806

III12 Qursquoest-ce que le laquo mandat 460 raquo

Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif

drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen

Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)

et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes

et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les

travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en

œuvre du regraveglement

Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de

conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers

des actes drsquoexeacutecution qursquoil preacutevoit

Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement

les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1624

III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave

des services de confiance qualifieacutes

Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres

drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les

exigences applicables au sein de chaque Etat membre

Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public

exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces

obligations sont preacuteciseacutees au chapitre IV du preacutesent document

III14 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo services de confiance raquo du regraveglement eIDAS

La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement

sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance

A ce titre lANSSI assure notamment les missions suivantes

le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes

le controcircle a posteriori et sur saisie des prestataires de service de confiance non-

qualifieacutes

lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance

qui en font la demande

la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de

services de confiance qualifieacutes par des organismes drsquoeacutevaluation

la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS

lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute

la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis

dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la

Commission sur ses principales activiteacutes

En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge

lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise

la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des

dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes

la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique

qualifieacutes qursquoelle a certifieacute conformes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1724

IV Questions relatives agrave la signature et au cachet eacutelectronique

Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au

cachet eacutelectronique

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique

Il convient de distinguer quatre niveaux de signatures eacutelectroniques

Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit

par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de

controcircle

Ces deux premiers niveaux sont

La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)

Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou

associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire

utilise pour signer

La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)

Cette signature doit

o ecirctre lieacutee au signataire de maniegravere univoque

o permettre drsquoidentifier le signataire

o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le

signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle

exclusif

o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute

modification ulteacuterieure des donneacutees soit deacutetectable

Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par

un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des

certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle

Ces deux niveaux suivants sont

La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux

articles 26 et 28 du regraveglement eIDAS)

Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute

respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS

Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion

du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des

exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est

uniquement deacutelivreacute au signataire leacutegitime

La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement

eIDAS)

La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature

eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature

eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1824

confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce

dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale

Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune

signature manuscrite

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique

qualifieacute

Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave

creacuteer une signature eacutelectronique

Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II

du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees

La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs

deacutesigneacutes par chaque Etat membre agrave la Commission

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle

exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees

pour prononcer la certification de conformiteacute

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de

services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave

distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la

conformiteacute et de le notifier agrave la Commission

IV3 Qui peut demander un certificat qualifieacute

Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats

eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et

respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats

Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute

deacutelivreacute par un prestataire de services de confiance qualifieacute

De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au

regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il

nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un

cachet eacutelectronique qualifieacute

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la

signature qualifieacutee

Le regraveglement eIDAS entraicircne les changements suivants

Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le

compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees

par un prestataire de services de confiance qualifieacute

Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)

Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les

personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1924

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat

qualifieacute de signature eacutelectronique

Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance

lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute

doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait

par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la

personne morale (ce qui implique donc un face agrave face) ou

agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la

deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de

la personne morale) sest preacutesenteacutee en personne ou

au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux

deux points ci-dessus ou

agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant

une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne

Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi

les possibiliteacutes offertes par le regraveglement

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave

distance par quels moyens la personne peut-elle manifester son

consentement

Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de

sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de

la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par

exemple sur une carte agrave puce et un code PIN)

A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute

suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature

eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees

agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la

saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave

lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2024

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave

distance

Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de

confiance qualifieacute

Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant

en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal

Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire

doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services

de confiance qualifieacutes preacutevus par le regraveglement

ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de

sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au

besoin de continuiteacute du service

La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de

conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute

LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des

certificats de conformiteacute

Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute

distincts

Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage

drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi

qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes

Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de

lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le

produit ou le systegraveme composant le QSCD

Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit

composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de

la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de

signature ou de cachet

LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est

disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-

notified-commission-accordance-article303b-and-392-eidas

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de

la signature eacutelectronique

Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques

avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature

eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne

offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les

formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506

Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats

de signature suivants

ETSI TS 103 171 (v211) (XAdES Baseline Profile)

ETSI TS 103 172 (v222) (PAdES Baseline Profile)

ETSI TS 103 173 (v221) (CAdES Baseline Profile)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 13: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1324

III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS

Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des

signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois

recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme

eacutelectronique ou qursquoils ne soient pas qualifieacutes

En compleacutement le regraveglement preacutecise les effets juridiques suivants

la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui

dune signature manuscrite

le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees

et dexactitude de lorigine des donneacutees auxquelles il est lieacute

lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la

date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette

date et cette heure

lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave

linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur

reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi

et de la reacuteception indiqueacutees

III5 Quelles sont les exigences applicables aux prestataires de services de

confiance

Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de

confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions

fixeacutees par les Etats membres

effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive

9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees

ndeg2016679)

rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs

services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave

un utilisateur final

prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques

lieacutes agrave la seacutecuriteacute des services quils fournissent

notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter

preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou

toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance

fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees

Les prestataires de services de confiance sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver

lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1424

III6 Quelles sont les obligations induites du volet laquo services de confiance raquo

du regraveglement eIDAS pour les prestataires de services de confiance

qualifieacutes

Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant

au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales

applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des

exigences speacutecifiques agrave chaque service de confiance qualifieacute

Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la

conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle

deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant

de pouvoir commencer agrave fournir des services qualifieacutes

Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de

prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part

III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement

Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants

la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le

cachet eacutelectronique ou lrsquoauthentification de site internet

lrsquohorodatage eacutelectronique

la validation de signatures ou de cachets eacutelectronique

la conservation de signatures ou de cachets eacutelectroniques

lrsquoenvoi recommandeacute eacutelectronique

La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation

de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du

signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement

eIDAS

III8 Quel est le reacutegime de controcircle des prestataires de services de

confiance

Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par

chaque Etat membre ayant pour mission

le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le

territoire franccedilais

la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires

de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre

lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils

fournissent ne satisfont pas aux exigences du regraveglement

Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a

priori

Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle

srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes

conformeacutement au regraveglement europeacuteen ndeg 7652008CE

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1524

III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de

services de confiance qualifieacutes

Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave

leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute

Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements

compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de

lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux

exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification

En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre

un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme

drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux

frais de ce dernier

Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS

Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique

III10 Qursquoest-ce qursquoune liste de confiance

Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les

informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont

responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations

relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur

cette liste

III11 Qursquoest-ce que le label de confiance de lrsquoUnion

Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les

prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de

maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent

Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du

prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee

Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806

III12 Qursquoest-ce que le laquo mandat 460 raquo

Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif

drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen

Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)

et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes

et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les

travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en

œuvre du regraveglement

Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de

conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers

des actes drsquoexeacutecution qursquoil preacutevoit

Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement

les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1624

III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave

des services de confiance qualifieacutes

Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres

drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les

exigences applicables au sein de chaque Etat membre

Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public

exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces

obligations sont preacuteciseacutees au chapitre IV du preacutesent document

III14 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo services de confiance raquo du regraveglement eIDAS

La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement

sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance

A ce titre lANSSI assure notamment les missions suivantes

le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes

le controcircle a posteriori et sur saisie des prestataires de service de confiance non-

qualifieacutes

lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance

qui en font la demande

la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de

services de confiance qualifieacutes par des organismes drsquoeacutevaluation

la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS

lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute

la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis

dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la

Commission sur ses principales activiteacutes

En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge

lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise

la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des

dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes

la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique

qualifieacutes qursquoelle a certifieacute conformes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1724

IV Questions relatives agrave la signature et au cachet eacutelectronique

Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au

cachet eacutelectronique

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique

Il convient de distinguer quatre niveaux de signatures eacutelectroniques

Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit

par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de

controcircle

Ces deux premiers niveaux sont

La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)

Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou

associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire

utilise pour signer

La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)

Cette signature doit

o ecirctre lieacutee au signataire de maniegravere univoque

o permettre drsquoidentifier le signataire

o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le

signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle

exclusif

o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute

modification ulteacuterieure des donneacutees soit deacutetectable

Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par

un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des

certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle

Ces deux niveaux suivants sont

La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux

articles 26 et 28 du regraveglement eIDAS)

Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute

respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS

Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion

du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des

exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est

uniquement deacutelivreacute au signataire leacutegitime

La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement

eIDAS)

La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature

eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature

eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1824

confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce

dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale

Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune

signature manuscrite

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique

qualifieacute

Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave

creacuteer une signature eacutelectronique

Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II

du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees

La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs

deacutesigneacutes par chaque Etat membre agrave la Commission

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle

exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees

pour prononcer la certification de conformiteacute

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de

services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave

distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la

conformiteacute et de le notifier agrave la Commission

IV3 Qui peut demander un certificat qualifieacute

Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats

eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et

respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats

Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute

deacutelivreacute par un prestataire de services de confiance qualifieacute

De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au

regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il

nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un

cachet eacutelectronique qualifieacute

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la

signature qualifieacutee

Le regraveglement eIDAS entraicircne les changements suivants

Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le

compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees

par un prestataire de services de confiance qualifieacute

Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)

Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les

personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1924

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat

qualifieacute de signature eacutelectronique

Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance

lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute

doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait

par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la

personne morale (ce qui implique donc un face agrave face) ou

agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la

deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de

la personne morale) sest preacutesenteacutee en personne ou

au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux

deux points ci-dessus ou

agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant

une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne

Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi

les possibiliteacutes offertes par le regraveglement

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave

distance par quels moyens la personne peut-elle manifester son

consentement

Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de

sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de

la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par

exemple sur une carte agrave puce et un code PIN)

A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute

suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature

eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees

agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la

saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave

lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2024

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave

distance

Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de

confiance qualifieacute

Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant

en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal

Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire

doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services

de confiance qualifieacutes preacutevus par le regraveglement

ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de

sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au

besoin de continuiteacute du service

La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de

conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute

LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des

certificats de conformiteacute

Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute

distincts

Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage

drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi

qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes

Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de

lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le

produit ou le systegraveme composant le QSCD

Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit

composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de

la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de

signature ou de cachet

LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est

disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-

notified-commission-accordance-article303b-and-392-eidas

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de

la signature eacutelectronique

Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques

avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature

eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne

offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les

formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506

Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats

de signature suivants

ETSI TS 103 171 (v211) (XAdES Baseline Profile)

ETSI TS 103 172 (v222) (PAdES Baseline Profile)

ETSI TS 103 173 (v221) (CAdES Baseline Profile)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 14: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1424

III6 Quelles sont les obligations induites du volet laquo services de confiance raquo

du regraveglement eIDAS pour les prestataires de services de confiance

qualifieacutes

Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant

au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales

applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des

exigences speacutecifiques agrave chaque service de confiance qualifieacute

Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la

conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle

deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant

de pouvoir commencer agrave fournir des services qualifieacutes

Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes

intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun

manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de

prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part

III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement

Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants

la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le

cachet eacutelectronique ou lrsquoauthentification de site internet

lrsquohorodatage eacutelectronique

la validation de signatures ou de cachets eacutelectronique

la conservation de signatures ou de cachets eacutelectroniques

lrsquoenvoi recommandeacute eacutelectronique

La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation

de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du

signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement

eIDAS

III8 Quel est le reacutegime de controcircle des prestataires de services de

confiance

Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par

chaque Etat membre ayant pour mission

le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le

territoire franccedilais

la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires

de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre

lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils

fournissent ne satisfont pas aux exigences du regraveglement

Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a

priori

Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle

srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes

conformeacutement au regraveglement europeacuteen ndeg 7652008CE

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1524

III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de

services de confiance qualifieacutes

Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave

leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute

Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements

compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de

lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux

exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification

En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre

un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme

drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux

frais de ce dernier

Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS

Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique

III10 Qursquoest-ce qursquoune liste de confiance

Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les

informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont

responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations

relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur

cette liste

III11 Qursquoest-ce que le label de confiance de lrsquoUnion

Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les

prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de

maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent

Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du

prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee

Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806

III12 Qursquoest-ce que le laquo mandat 460 raquo

Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif

drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen

Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)

et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes

et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les

travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en

œuvre du regraveglement

Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de

conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers

des actes drsquoexeacutecution qursquoil preacutevoit

Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement

les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1624

III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave

des services de confiance qualifieacutes

Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres

drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les

exigences applicables au sein de chaque Etat membre

Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public

exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces

obligations sont preacuteciseacutees au chapitre IV du preacutesent document

III14 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo services de confiance raquo du regraveglement eIDAS

La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement

sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance

A ce titre lANSSI assure notamment les missions suivantes

le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes

le controcircle a posteriori et sur saisie des prestataires de service de confiance non-

qualifieacutes

lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance

qui en font la demande

la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de

services de confiance qualifieacutes par des organismes drsquoeacutevaluation

la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS

lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute

la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis

dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la

Commission sur ses principales activiteacutes

En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge

lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise

la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des

dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes

la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique

qualifieacutes qursquoelle a certifieacute conformes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1724

IV Questions relatives agrave la signature et au cachet eacutelectronique

Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au

cachet eacutelectronique

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique

Il convient de distinguer quatre niveaux de signatures eacutelectroniques

Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit

par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de

controcircle

Ces deux premiers niveaux sont

La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)

Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou

associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire

utilise pour signer

La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)

Cette signature doit

o ecirctre lieacutee au signataire de maniegravere univoque

o permettre drsquoidentifier le signataire

o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le

signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle

exclusif

o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute

modification ulteacuterieure des donneacutees soit deacutetectable

Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par

un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des

certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle

Ces deux niveaux suivants sont

La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux

articles 26 et 28 du regraveglement eIDAS)

Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute

respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS

Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion

du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des

exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est

uniquement deacutelivreacute au signataire leacutegitime

La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement

eIDAS)

La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature

eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature

eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1824

confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce

dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale

Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune

signature manuscrite

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique

qualifieacute

Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave

creacuteer une signature eacutelectronique

Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II

du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees

La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs

deacutesigneacutes par chaque Etat membre agrave la Commission

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle

exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees

pour prononcer la certification de conformiteacute

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de

services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave

distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la

conformiteacute et de le notifier agrave la Commission

IV3 Qui peut demander un certificat qualifieacute

Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats

eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et

respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats

Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute

deacutelivreacute par un prestataire de services de confiance qualifieacute

De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au

regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il

nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un

cachet eacutelectronique qualifieacute

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la

signature qualifieacutee

Le regraveglement eIDAS entraicircne les changements suivants

Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le

compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees

par un prestataire de services de confiance qualifieacute

Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)

Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les

personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1924

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat

qualifieacute de signature eacutelectronique

Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance

lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute

doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait

par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la

personne morale (ce qui implique donc un face agrave face) ou

agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la

deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de

la personne morale) sest preacutesenteacutee en personne ou

au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux

deux points ci-dessus ou

agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant

une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne

Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi

les possibiliteacutes offertes par le regraveglement

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave

distance par quels moyens la personne peut-elle manifester son

consentement

Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de

sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de

la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par

exemple sur une carte agrave puce et un code PIN)

A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute

suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature

eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees

agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la

saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave

lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2024

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave

distance

Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de

confiance qualifieacute

Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant

en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal

Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire

doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services

de confiance qualifieacutes preacutevus par le regraveglement

ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de

sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au

besoin de continuiteacute du service

La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de

conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute

LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des

certificats de conformiteacute

Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute

distincts

Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage

drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi

qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes

Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de

lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le

produit ou le systegraveme composant le QSCD

Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit

composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de

la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de

signature ou de cachet

LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est

disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-

notified-commission-accordance-article303b-and-392-eidas

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de

la signature eacutelectronique

Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques

avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature

eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne

offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les

formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506

Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats

de signature suivants

ETSI TS 103 171 (v211) (XAdES Baseline Profile)

ETSI TS 103 172 (v222) (PAdES Baseline Profile)

ETSI TS 103 173 (v221) (CAdES Baseline Profile)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 15: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1524

III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de

services de confiance qualifieacutes

Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave

leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute

Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements

compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de

lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux

exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification

En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre

un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme

drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux

frais de ce dernier

Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS

Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique

III10 Qursquoest-ce qursquoune liste de confiance

Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les

informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont

responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations

relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur

cette liste

III11 Qursquoest-ce que le label de confiance de lrsquoUnion

Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les

prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de

maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent

Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du

prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee

Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806

III12 Qursquoest-ce que le laquo mandat 460 raquo

Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif

drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen

Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)

et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes

et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les

travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en

œuvre du regraveglement

Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de

conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers

des actes drsquoexeacutecution qursquoil preacutevoit

Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement

les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1624

III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave

des services de confiance qualifieacutes

Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres

drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les

exigences applicables au sein de chaque Etat membre

Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public

exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces

obligations sont preacuteciseacutees au chapitre IV du preacutesent document

III14 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo services de confiance raquo du regraveglement eIDAS

La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement

sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance

A ce titre lANSSI assure notamment les missions suivantes

le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes

le controcircle a posteriori et sur saisie des prestataires de service de confiance non-

qualifieacutes

lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance

qui en font la demande

la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de

services de confiance qualifieacutes par des organismes drsquoeacutevaluation

la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS

lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute

la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis

dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la

Commission sur ses principales activiteacutes

En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge

lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise

la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des

dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes

la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique

qualifieacutes qursquoelle a certifieacute conformes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1724

IV Questions relatives agrave la signature et au cachet eacutelectronique

Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au

cachet eacutelectronique

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique

Il convient de distinguer quatre niveaux de signatures eacutelectroniques

Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit

par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de

controcircle

Ces deux premiers niveaux sont

La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)

Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou

associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire

utilise pour signer

La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)

Cette signature doit

o ecirctre lieacutee au signataire de maniegravere univoque

o permettre drsquoidentifier le signataire

o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le

signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle

exclusif

o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute

modification ulteacuterieure des donneacutees soit deacutetectable

Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par

un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des

certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle

Ces deux niveaux suivants sont

La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux

articles 26 et 28 du regraveglement eIDAS)

Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute

respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS

Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion

du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des

exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est

uniquement deacutelivreacute au signataire leacutegitime

La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement

eIDAS)

La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature

eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature

eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1824

confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce

dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale

Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune

signature manuscrite

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique

qualifieacute

Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave

creacuteer une signature eacutelectronique

Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II

du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees

La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs

deacutesigneacutes par chaque Etat membre agrave la Commission

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle

exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees

pour prononcer la certification de conformiteacute

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de

services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave

distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la

conformiteacute et de le notifier agrave la Commission

IV3 Qui peut demander un certificat qualifieacute

Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats

eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et

respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats

Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute

deacutelivreacute par un prestataire de services de confiance qualifieacute

De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au

regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il

nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un

cachet eacutelectronique qualifieacute

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la

signature qualifieacutee

Le regraveglement eIDAS entraicircne les changements suivants

Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le

compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees

par un prestataire de services de confiance qualifieacute

Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)

Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les

personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1924

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat

qualifieacute de signature eacutelectronique

Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance

lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute

doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait

par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la

personne morale (ce qui implique donc un face agrave face) ou

agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la

deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de

la personne morale) sest preacutesenteacutee en personne ou

au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux

deux points ci-dessus ou

agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant

une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne

Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi

les possibiliteacutes offertes par le regraveglement

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave

distance par quels moyens la personne peut-elle manifester son

consentement

Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de

sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de

la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par

exemple sur une carte agrave puce et un code PIN)

A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute

suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature

eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees

agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la

saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave

lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2024

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave

distance

Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de

confiance qualifieacute

Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant

en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal

Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire

doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services

de confiance qualifieacutes preacutevus par le regraveglement

ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de

sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au

besoin de continuiteacute du service

La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de

conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute

LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des

certificats de conformiteacute

Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute

distincts

Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage

drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi

qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes

Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de

lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le

produit ou le systegraveme composant le QSCD

Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit

composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de

la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de

signature ou de cachet

LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est

disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-

notified-commission-accordance-article303b-and-392-eidas

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de

la signature eacutelectronique

Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques

avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature

eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne

offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les

formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506

Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats

de signature suivants

ETSI TS 103 171 (v211) (XAdES Baseline Profile)

ETSI TS 103 172 (v222) (PAdES Baseline Profile)

ETSI TS 103 173 (v221) (CAdES Baseline Profile)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 16: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1624

III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave

des services de confiance qualifieacutes

Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres

drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les

exigences applicables au sein de chaque Etat membre

Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public

exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces

obligations sont preacuteciseacutees au chapitre IV du preacutesent document

III14 Comment se deacuteroule la mise en œuvre au niveau national du volet

laquo services de confiance raquo du regraveglement eIDAS

La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement

sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance

A ce titre lANSSI assure notamment les missions suivantes

le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes

le controcircle a posteriori et sur saisie des prestataires de service de confiance non-

qualifieacutes

lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance

qui en font la demande

la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de

services de confiance qualifieacutes par des organismes drsquoeacutevaluation

la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS

lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute

la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis

dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la

Commission sur ses principales activiteacutes

En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge

lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise

la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des

dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes

la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique

qualifieacutes qursquoelle a certifieacute conformes

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1724

IV Questions relatives agrave la signature et au cachet eacutelectronique

Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au

cachet eacutelectronique

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique

Il convient de distinguer quatre niveaux de signatures eacutelectroniques

Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit

par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de

controcircle

Ces deux premiers niveaux sont

La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)

Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou

associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire

utilise pour signer

La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)

Cette signature doit

o ecirctre lieacutee au signataire de maniegravere univoque

o permettre drsquoidentifier le signataire

o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le

signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle

exclusif

o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute

modification ulteacuterieure des donneacutees soit deacutetectable

Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par

un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des

certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle

Ces deux niveaux suivants sont

La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux

articles 26 et 28 du regraveglement eIDAS)

Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute

respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS

Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion

du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des

exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est

uniquement deacutelivreacute au signataire leacutegitime

La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement

eIDAS)

La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature

eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature

eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1824

confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce

dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale

Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune

signature manuscrite

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique

qualifieacute

Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave

creacuteer une signature eacutelectronique

Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II

du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees

La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs

deacutesigneacutes par chaque Etat membre agrave la Commission

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle

exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees

pour prononcer la certification de conformiteacute

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de

services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave

distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la

conformiteacute et de le notifier agrave la Commission

IV3 Qui peut demander un certificat qualifieacute

Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats

eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et

respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats

Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute

deacutelivreacute par un prestataire de services de confiance qualifieacute

De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au

regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il

nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un

cachet eacutelectronique qualifieacute

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la

signature qualifieacutee

Le regraveglement eIDAS entraicircne les changements suivants

Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le

compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees

par un prestataire de services de confiance qualifieacute

Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)

Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les

personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1924

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat

qualifieacute de signature eacutelectronique

Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance

lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute

doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait

par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la

personne morale (ce qui implique donc un face agrave face) ou

agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la

deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de

la personne morale) sest preacutesenteacutee en personne ou

au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux

deux points ci-dessus ou

agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant

une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne

Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi

les possibiliteacutes offertes par le regraveglement

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave

distance par quels moyens la personne peut-elle manifester son

consentement

Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de

sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de

la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par

exemple sur une carte agrave puce et un code PIN)

A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute

suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature

eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees

agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la

saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave

lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2024

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave

distance

Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de

confiance qualifieacute

Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant

en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal

Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire

doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services

de confiance qualifieacutes preacutevus par le regraveglement

ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de

sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au

besoin de continuiteacute du service

La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de

conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute

LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des

certificats de conformiteacute

Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute

distincts

Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage

drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi

qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes

Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de

lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le

produit ou le systegraveme composant le QSCD

Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit

composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de

la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de

signature ou de cachet

LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est

disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-

notified-commission-accordance-article303b-and-392-eidas

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de

la signature eacutelectronique

Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques

avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature

eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne

offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les

formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506

Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats

de signature suivants

ETSI TS 103 171 (v211) (XAdES Baseline Profile)

ETSI TS 103 172 (v222) (PAdES Baseline Profile)

ETSI TS 103 173 (v221) (CAdES Baseline Profile)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 17: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1724

IV Questions relatives agrave la signature et au cachet eacutelectronique

Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au

cachet eacutelectronique

IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique

Il convient de distinguer quatre niveaux de signatures eacutelectroniques

Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit

par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de

controcircle

Ces deux premiers niveaux sont

La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)

Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou

associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire

utilise pour signer

La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)

Cette signature doit

o ecirctre lieacutee au signataire de maniegravere univoque

o permettre drsquoidentifier le signataire

o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le

signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle

exclusif

o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute

modification ulteacuterieure des donneacutees soit deacutetectable

Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par

un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des

certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle

Ces deux niveaux suivants sont

La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux

articles 26 et 28 du regraveglement eIDAS)

Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute

respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS

Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion

du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des

exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est

uniquement deacutelivreacute au signataire leacutegitime

La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement

eIDAS)

La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature

eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature

eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1824

confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce

dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale

Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune

signature manuscrite

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique

qualifieacute

Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave

creacuteer une signature eacutelectronique

Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II

du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees

La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs

deacutesigneacutes par chaque Etat membre agrave la Commission

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle

exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees

pour prononcer la certification de conformiteacute

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de

services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave

distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la

conformiteacute et de le notifier agrave la Commission

IV3 Qui peut demander un certificat qualifieacute

Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats

eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et

respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats

Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute

deacutelivreacute par un prestataire de services de confiance qualifieacute

De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au

regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il

nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un

cachet eacutelectronique qualifieacute

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la

signature qualifieacutee

Le regraveglement eIDAS entraicircne les changements suivants

Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le

compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees

par un prestataire de services de confiance qualifieacute

Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)

Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les

personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1924

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat

qualifieacute de signature eacutelectronique

Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance

lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute

doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait

par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la

personne morale (ce qui implique donc un face agrave face) ou

agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la

deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de

la personne morale) sest preacutesenteacutee en personne ou

au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux

deux points ci-dessus ou

agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant

une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne

Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi

les possibiliteacutes offertes par le regraveglement

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave

distance par quels moyens la personne peut-elle manifester son

consentement

Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de

sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de

la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par

exemple sur une carte agrave puce et un code PIN)

A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute

suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature

eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees

agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la

saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave

lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2024

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave

distance

Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de

confiance qualifieacute

Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant

en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal

Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire

doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services

de confiance qualifieacutes preacutevus par le regraveglement

ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de

sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au

besoin de continuiteacute du service

La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de

conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute

LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des

certificats de conformiteacute

Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute

distincts

Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage

drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi

qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes

Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de

lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le

produit ou le systegraveme composant le QSCD

Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit

composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de

la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de

signature ou de cachet

LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est

disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-

notified-commission-accordance-article303b-and-392-eidas

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de

la signature eacutelectronique

Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques

avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature

eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne

offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les

formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506

Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats

de signature suivants

ETSI TS 103 171 (v211) (XAdES Baseline Profile)

ETSI TS 103 172 (v222) (PAdES Baseline Profile)

ETSI TS 103 173 (v221) (CAdES Baseline Profile)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 18: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1824

confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce

dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale

Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune

signature manuscrite

IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique

qualifieacute

Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave

creacuteer une signature eacutelectronique

Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II

du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees

La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs

deacutesigneacutes par chaque Etat membre agrave la Commission

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle

exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees

pour prononcer la certification de conformiteacute

Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de

services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave

distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la

conformiteacute et de le notifier agrave la Commission

IV3 Qui peut demander un certificat qualifieacute

Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats

eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et

respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats

Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute

deacutelivreacute par un prestataire de services de confiance qualifieacute

De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au

regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il

nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un

cachet eacutelectronique qualifieacute

IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la

signature qualifieacutee

Le regraveglement eIDAS entraicircne les changements suivants

Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le

compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees

par un prestataire de services de confiance qualifieacute

Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)

Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les

personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1924

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat

qualifieacute de signature eacutelectronique

Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance

lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute

doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait

par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la

personne morale (ce qui implique donc un face agrave face) ou

agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la

deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de

la personne morale) sest preacutesenteacutee en personne ou

au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux

deux points ci-dessus ou

agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant

une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne

Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi

les possibiliteacutes offertes par le regraveglement

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave

distance par quels moyens la personne peut-elle manifester son

consentement

Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de

sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de

la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par

exemple sur une carte agrave puce et un code PIN)

A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute

suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature

eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees

agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la

saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave

lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2024

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave

distance

Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de

confiance qualifieacute

Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant

en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal

Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire

doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services

de confiance qualifieacutes preacutevus par le regraveglement

ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de

sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au

besoin de continuiteacute du service

La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de

conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute

LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des

certificats de conformiteacute

Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute

distincts

Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage

drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi

qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes

Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de

lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le

produit ou le systegraveme composant le QSCD

Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit

composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de

la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de

signature ou de cachet

LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est

disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-

notified-commission-accordance-article303b-and-392-eidas

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de

la signature eacutelectronique

Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques

avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature

eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne

offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les

formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506

Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats

de signature suivants

ETSI TS 103 171 (v211) (XAdES Baseline Profile)

ETSI TS 103 172 (v222) (PAdES Baseline Profile)

ETSI TS 103 173 (v221) (CAdES Baseline Profile)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 19: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 1924

IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat

qualifieacute de signature eacutelectronique

Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance

lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute

doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait

par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la

personne morale (ce qui implique donc un face agrave face) ou

agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la

deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de

la personne morale) sest preacutesenteacutee en personne ou

au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux

deux points ci-dessus ou

agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant

une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne

Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi

les possibiliteacutes offertes par le regraveglement

Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son

identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-

confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne

sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles

permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la

preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les

risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les

risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de

communication

Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une

garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre

valideacutee par lrsquoANSSI

IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave

distance par quels moyens la personne peut-elle manifester son

consentement

Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de

sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de

la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par

exemple sur une carte agrave puce et un code PIN)

A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute

suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature

eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees

agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la

saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave

lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2024

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave

distance

Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de

confiance qualifieacute

Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant

en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal

Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire

doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services

de confiance qualifieacutes preacutevus par le regraveglement

ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de

sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au

besoin de continuiteacute du service

La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de

conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute

LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des

certificats de conformiteacute

Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute

distincts

Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage

drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi

qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes

Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de

lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le

produit ou le systegraveme composant le QSCD

Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit

composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de

la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de

signature ou de cachet

LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est

disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-

notified-commission-accordance-article303b-and-392-eidas

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de

la signature eacutelectronique

Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques

avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature

eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne

offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les

formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506

Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats

de signature suivants

ETSI TS 103 171 (v211) (XAdES Baseline Profile)

ETSI TS 103 172 (v222) (PAdES Baseline Profile)

ETSI TS 103 173 (v221) (CAdES Baseline Profile)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 20: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2024

IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave

distance

Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de

confiance qualifieacute

Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant

en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal

Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire

doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services

de confiance qualifieacutes preacutevus par le regraveglement

ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de

sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au

besoin de continuiteacute du service

La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de

conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute

LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des

certificats de conformiteacute

Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute

distincts

Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage

drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi

qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes

Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de

lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le

produit ou le systegraveme composant le QSCD

Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit

composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de

la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de

signature ou de cachet

LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est

disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-

notified-commission-accordance-article303b-and-392-eidas

IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de

la signature eacutelectronique

Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques

avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature

eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne

offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les

formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506

Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats

de signature suivants

ETSI TS 103 171 (v211) (XAdES Baseline Profile)

ETSI TS 103 172 (v222) (PAdES Baseline Profile)

ETSI TS 103 173 (v221) (CAdES Baseline Profile)

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 21: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2124

ETSI TS 103 174 (v221) (ASiC Baseline Profile)

Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service

en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il

reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui

reposent sur un certificat qualifieacute de signature eacutelectronique

Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute

pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au

nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un

certificat qualifieacute

De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour

une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute

supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee

IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur

un cadre communautaire pour les signatures eacutelectroniques

Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique

Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de

la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous

IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et

le regraveglement eIDAS

Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les

suivantes

les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions

de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des

dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS

les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au

titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de

signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration

les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au

titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du

regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification

nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave

lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 22: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2224

V Questions relatives aux impacts nationaux du volet laquo services

de confiance raquo

V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la

directive 199993CE suite agrave la parution du regraveglement eIDAS

Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE

continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions

du regraveglement eIDAS Pour meacutemoire ces textes sont

Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans

le Code civil avec lintroduction de larticle 1316-4)

Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du

Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du

28 septembre 2017)

Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des

prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes

qui procegravedent agrave leur eacutevaluation)

V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement

eIDAS

Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives

Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux

exceptions pregraves

Les autoriteacutes administratives doivent accepter les moyens drsquoidentification

eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par

lrsquoarticle 6 du regraveglement eIDAS

Les autoriteacutes administratives doivent accepter les signatures (respectivement les

cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees

par lrsquoarticle 27 du regraveglement eIDAS

Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de

certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il

lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement

eIDAS

Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes

sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement

eIDAS

Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de

ces deux cadres regraveglementaires

V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-

272 sont-ils qualifieacutes au titre du regraveglement eIDAS

Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits

Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de

signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des

dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 23: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2324

V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave

lhorodatage eacutelectronique

En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du

20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute

Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et

seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates

V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS

sont-ils qualifieacutes au titre du regraveglement eIDAS

Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le

RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3

eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de

qualification faciliteacutees au titre du regraveglement eIDAS

Les autres services preacutevus par le regraveglement (validation de signature conservation de signature

envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il

nexiste donc pas de faciliteacute de qualification particuliegravere les concernant

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr

Page 24: Premier ministre - ANSSI · électronique ; - les niveaux de signature électronique ; - la délivrance de certificats qualifiés ; - l’articulation entre le règlement eIDAS et

Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page

11 15012019 PUBLIC 2424

VI Points de contact de lrsquoANSSI

Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le

point de contact agrave privileacutegier est supervision-eIDASssigouvfr

Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est

industriesssigouvfr

Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement

drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est

qualificationssigouvfr