Droit des services de confiance

Emmanuel Netter

Université de Strasbourg

Chronologie

La directive de 1999

Objectifs : Sécurité juridique et libre circulation des certificats.
Principe d’équivalence : Signature avancée + certificat = signature manuscrite.
Principe de non-discrimination : Valable en justice même si format électronique.
Limites : Uniquement pour les personnes physiques ; forte fragmentation nationale (transpositions divergentes).

Loi du 13 mars 2000
(actuel) Art. 1365 : Définition de l’écrit indépendamment de son support.
(actuel) Art. 1366 : Équivalence papier/numérique.
(actuel) Art. 1367 : Consacre la signature électronique. Présomption de fiabilité si les exigences du décret sont respectées.

Le règlement eIDAS 1

Le marché se structure autour des Tiers de Confiance.
PSC non qualifiés : En cas de litige, c’est à la victime de prouver la faute.
PSC Qualifiés (PSCQ) : Audits stricts, autorisation préalable, label européen.
Effet juridique : Les PSCQ bénéficient d’une présomption simple de faute.

1. Simple : Faible force probante mais non-discrimination.
2. Avancée (SEA) : Lien univoque, identification, contrôle exclusif, détection de modif.
3. Qualifiée (SEQ) : Utilisation d’un certificat qualifié. Équivaut à la manuscrite.

Cachet Électronique : Réservé aux personnes morales (origine et intégrité, ex: factures).
Horodatage : Scelle des données à un instant précis.
Envoi Recommandé Électronique (ERE) : Équivalent LRAR.
Authentification de site web : Lutter contre les phishing.

Le règlement eIDAS 2

Constat : Échec de l’identification facultative et dépendance aux GAFAM.
Solution eIDAS 2.0 : Offrir une identité souveraine sous contrôle exclusif de l’utilisateur.
Obligation : L’État devient plateforme (fourniture obligatoire du Portefeuille d’ici 2026).

Attestations d’Attributs (AEA) : Prouver une caractéristique (diplôme, âge) via une source authentique (ex: INSEE).
Archivage électronique : Garantir la lisibilité à très long terme (ré-enveloppement cryptographique).
Registre électronique : Preuve d’antériorité et d’intégrité séquentielle.
Cybersécurité : Soumission stricte à la directive NIS 2 (amendes jusqu’à 5M€).

Présentations : Finlande, DigitalEU
S’identifier au plus haut niveau de fiabilité (en ligne/hors ligne).
Stocker et partager des attestations (AEA).
Signer électroniquement (fonction 100% gratuite pour les citoyens).
Privacy by design : Tableau de bord, code open source, interdiction stricte de profilage.

Acceptation obligatoire : Secteur public, banques et très grandes plateformes (VLOPs) devront l’accepter.
Projets pilotes : POTENTIAL (France/Allemagne), DC4EU, NOBID.
En France : L’application France Identité est le fer de lance de ce déploiement.

Citoyens : Gratuité absolue (droit fondamental).
Parties utilisatrices (Banques, etc.) : B2B. Paient pour accéder aux attestations qualifiées (API) pour réduire les coûts KYC / anti-fraude.
Prestataires (PSC) : Monétisent la certification de documents.
Portefeuilles privés : Modèle freemium (fonctions régaliennes gratuites, services bancaires payants).

Kelly Sikkema, licence gratuite Unsplash (lien) — vu dans : Introduction
Signature Pro (lien) — vu dans : Les principes de la directive 1999/93/CE
Code civil 1816 (lien) — vu dans : La transposition française
Docusign, licence gratuite Unsplash (lien) — vu dans : eIDAS 1 (2014)
Farhat Altaf, licence gratuite Unsplash (lien) — vu dans : Les Prestataires de Services (PSC)
FlyD (lien) — vu dans : La hiérarchie des signatures
Daniel Diesenreither (lien) — vu dans : Les nouveaux services eIDAS 1
Logo France Connect (lien) — vu dans : Objectifs de la révision
C M (lien) — vu dans : Services de confiance
Clay Banks (lien) — vu dans : Le Portefeuille Européen d’Identité Numérique (PEIN)
France Identité — France Identité (lien) — vu dans : Déploiement et acceptation
micheile henderson (lien) — vu dans : Le modèle d’affaires