Les transactions électroniques sont devenues si fréquentes qu’il est apparu urgent de trouver un moyen de les sécuriser. Ainsi, les opérations qui se déroulent en ligne doivent avoir la même force juridique que celles qui ont lieu dans le monde physique. Tel est là l’un des enjeux du règlement eIDAS : accorder à une transaction électronique la même valeur qu’une opération s’effectuant en face à face. Pour ce faire, il est important de mettre en place un système de gestion de l’identité électronique de chaque citoyen de l’Union. En effet, chaque individu est susceptible de recourir aux transactions en ligne à un moment ou à un autre. Pour sécuriser ces transactions, il est nécessaire de mettre en place deux types de services mis en œuvre de manière extrêmement fiable : un service d’identification et un service d‘authentification.
Plus de détails ci-dessous.

L’identification électronique :  un service de confiance stratégique dans le règlement eIDAS

Les services d’identification électronique font partie des services les plus régulés par le règlement eIDAS. Pour pouvoir effectuer une signature électronique et ainsi sceller une transaction, les parties doivent d’abord avoir été enregistrées et dotées d’une identité électronique qui fonctionne comme une carte d’identité. Cette identité doit être complète et détaillée, de façon à permettre de reconnaître chaque personne de façon non équivoque. Il faudra alors fournir un certain nombre d’informations qui garantiront la reconnaissance sans faille de la personne enregistrée.

Au sein de l’Union, chaque pays a sa propre politique de mise en œuvre des services d’identification. Ces derniers doivent pouvoir,  dans tous les cas, attribuer une identité à une entité qui en fait la demande pour une durée de validité donnée, exactement comme pour une carte d’identité ou un passeport.

Selon le niveau de risque qu’entraîne la transaction électronique, le service d’identification sollicité doit être d’un degré proportionnel. Ainsi, le règlement eIDAS établit 3 niveaux de confiance :

  • Faible pour les transactions à moindre risque,
  • Substantiel pour les transactions à niveau de risque moyen,
  • Élevé pour les transactions les plus importantes ayant donc un niveau de risque plus probable.

Cependant, le processus d’identification électronique ne s’arrête pas là. Il est en effet suivi d’une étape de validation, appelée authentification électronique.

Les services d’authentification pour un niveau de sécurité élevé dans les transactions électroniques

Le règlement eIDAS  est conçu de façon à permettre de garantir la sécurité dans les transactions électroniques à plusieurs niveaux. Ainsi, après avoir sollicité les services d’identification électronique, un service d’authentification est à son tour interrogé dès lors qu’il faut vérifier l’identité d’une personne voulant se connecter à un service en ligne n’étant pas libre d’accès.

Le service vérifie que la personne qui essaie de se connecter est bien celle enregistrée dans les bases de données des services de confiance. C’est également l’occasion de vérifier si son identité électronique est toujours valide. Pour le règlement eIDAS, le respect de ces deux étapes, avant toute transaction électronique, est primordial pour favoriser la sécurité dans les opérations en ligne.

Cependant, on peut se demander s’il existe encore une place pour la confidentialité des données personnelles avec ce double processus. En effet, comme indiqué dans le Livre Blanc sur la Valeur Probante de la Signature Électronique, les services chargés de l’authentification procèdent à un véritable contrôle de l’identité numérique de toutes personnes demandant l’accès à un service en ligne. Cela peut non seulement ralentir le processus de la signature électronique, mais implique surtout une nouvelle manipulation des informations personnelles. La solution ne serait-elle pas alors de combiner ces deux processus pour plus de facilité et de sécurité ?

Besoin d’en savoir plus ? Téléchargez notre livre blanc « Valeur probante de la signature électronique ».