Le règlement eIDAS : grands principes et enjeux pour les organisations

04/24/2025

Le développement du numérique a fait naître un besoin de confiance dans les transactions en ligne à travers l’Europe. Pour y répondre, l’Union européenne a adopté le règlement eIDAS (electronic IDentification, Authentication and Trust Services) n° 910/2014 du 23 juillet 2014.

Ce texte, applicable directement dans tous les États membres, établit un cadre commun pour l’identification électronique et les services de confiance (comme la signature électronique) au sein du marché unique numérique européen.

En d’autres termes, eIDAS vise à assurer que l’on puisse s’identifier et signer des documents en ligne avec la même validité juridique dans toute l’Europe.

Quels sont les grands principes de ce règlement ? Quelles sont les différentes signatures électroniques qu’il définit ? Et que change l’arrivée d’eIDAS 2, la version révisée incluant le portefeuille d’identité numérique européen ?

Cet article propose un décryptage clair et pédagogique à destination des DSI, chefs de projet et dirigeants d’entreprise non juristes, pour comprendre les implications concrètes d’eIDAS.

Les grands principes du règlement eIDAS

🌍 Confiance et reconnaissance mutuelle à l’échelle européenne

Le règlement eIDAS poursuit deux objectifs principaux.

D’une part, fixer les conditions dans lesquelles un État membre reconnaît les moyens d’identification électronique délivrés par un autre État membre.

D’autre part, établir des règles uniformes pour les services de confiance utilisés dans les transactions électroniques. Autrement dit, eIDAS organise l’interopérabilité et la reconnaissance mutuelle des systèmes d’identité numérique (eID) entre pays de l’UE. Par exemple, si une administration en France propose un accès en ligne nécessitant une authentification, un citoyen européen disposant d’une eID délivrée par son pays (par ex. la carte d’identité électronique belge) doit pouvoir l’utiliser pour se connecter, dans les mêmes conditions qu’un utilisateur français.

Cette reconnaissance mutuelle est toutefois limitée aux eID « notifiées » par les États et satisfaisant certains niveaux de sécurité. Notons qu’eIDAS n’oblige pas un pays à se doter d’un système d’eID, ni les entreprises privées à accepter une eID européenne : il crée en revanche un cadre incitatif pour qu’ils le fassent sur base volontaire.

🔐 Services de confiance

Au-delà de l’identification des personnes, eIDAS encadre un ensemble de services de confiance qui garantissent la sécurité et la validité des transactions numériques. Le règlement définit cinq types de services de confiance principaux : la signature électronique, le cachet électronique, l’horodatage électronique, le service d’envoi recommandé électronique et l’authentification de sites web.

Ces services couvrent divers besoins :

• La signature électronique permet à une personne physique de signer un document numérique ;
• Le cachet électronique est l’équivalent, pour une personne morale (organisation), de la signature et sert à sceller des documents en garantissant leur origine ;
• L’horodatage électronique fournit une date et heure certifiées à un document (pour prouver qu’il existait à un instant T) ;
• L’envoi recommandé électronique assure la preuve de l’envoi et de la réception d’un message électronique, à l’image d’un courrier postal recommandé ;
• Enfin, l’authentification de site internet correspond aux certificats qui sécurisent les sites web (le cadenas dans le navigateur attestant de l’identité du site).

Chaque service peut exister en version « simple » ou « qualifiée » selon son niveau de sécurité et de conformité aux exigences du règlement.

📋 Prestataires qualifiés et liste de confiance

Le règlement eIDAS instaure un mécanisme de qualification des prestataires de services de confiance. Un prestataire de services de confiance qualifié est un organisme (public ou privé) qui fournit des services de confiance conformes aux exigences strictes d’eIDAS et qui a obtenu une qualification officielle de la part de l’autorité de supervision de son pays (en France, l’ANSSI).

Par exemple, un fournisseur de solutions de signature électronique ou de certificats numériques peut demander cette qualification.

Les prestataires qualifiés sont inscrits dans des listes de confiance nationales consultables par le public et agrégées au niveau européen. Ils peuvent apposer un label de confiance (EU Trust Mark) attestant de leur statut. Pour les utilisateurs (entreprises, citoyens), faire appel à un prestataire qualifié offre une garantie supplémentaire que le service respecte un haut niveau de sécurité et sera reconnu partout en Europe.

Valeur juridique et effet transfrontière

eIDAS renforce la sécurité juridique des transactions numériques en Europe. D’abord, il garantit que toute signature électronique ne peut pas être refusée comme preuve en justice au seul motif qu’elle est sous forme électronique ou qu’elle n’est pas « qualifiée ».

En d’autres termes, même une signature électronique simple a une valeur probante minimale : un juge ne peut l’écarter d’office du fait qu’elle est électronique.

Ensuite, eIDAS confère aux signatures électroniques qualifiées – c’est-à-dire répondant aux exigences les plus élevées du règlement – une valeur juridique renforcée. Une signature électronique qualifiée, reposant sur un certificat qualifié délivré dans un État membre, est reconnue comme équivalente à une signature manuscrite dans toute l’Union européenne.

Elle bénéficie d’une présomption de fiabilité : en cas de litige, c’est à la partie qui conteste la signature de prouver qu’elle est invalide, et non à celui qui l’a utilisée de prouver qu’elle est fiable. Cette force probante équivalente à celle d’une signature papier donne aux signatures qualifiées un statut privilégié pour les documents engageants.

À l’inverse, une signature électronique dite « avancée » (voir plus loin) ou simple pourra tout à fait être valable juridiquement, mais son efficacité probatoire dépendra de la capacité à démontrer son lien avec le signataire et son intégrité en cas de contestation. Le choix du niveau de signature approprié devient donc un point clé pour les organisations.

Les différents types de signatures électroniques (simple, avancée, qualifiée)

Le règlement eIDAS définit trois niveaux de signature électronique, correspondant à des degrés croissants de sécurité et de fiabilité d’identification du signataire. Il est important de comprendre ces catégories pour adapter le type de signature aux enjeux de chaque document à signer.

📝 Signature électronique simple

Il s’agit de toute signature électronique qui ne répond pas à des exigences spécifiques de sécurité. La définition est très large : « des données sous forme électronique qui sont jointes à d’autres données électroniques et que le signataire utilise pour signer ».

En pratique, cela peut être par exemple le fait de taper son nom à la fin d’un e-mail, de cocher une case « J’accepte » sur un site web, ou encore d’insérer l’image scannée d’une signature manuscrite dans un document PDF.

Ce niveau est très facile à utiliser et rapide à mettre en œuvre, mais offre le plus faible niveau d’assurance sur l’identité du signataire. En effet, rien ne garantit avec certitude que la personne est bien qui elle prétend être – l’adresse e-mail ou la case cochée peuvent être le fait de n’importe qui.

Une signature simple convient pour des engagements à faible risque (petites commandes, acceptation de CGU, validations internes), car en cas de litige, elle pourra plus aisément être contestée.

🔑 Signature électronique avancée

La signature avancée (en anglais Advanced Electronic Signature, AES) répond à des critères stricts définis à l’article 26 du règlement eIDAS.

Elle doit être uniquement liée au signataire, permettre son identification, être créée avec des données que le signataire contrôle exclusivement (par ex. un code secret, un certificat numérique personnel) et être liée au document de sorte que toute modification ultérieure soit détectable.

Concrètement, une signature avancée implique généralement l’utilisation d’un certificat électronique associé à la personne qui signe, et d’un procédé d’authentification durant la signature (mot de passe à usage unique SMS, signature manuscrite électronique capturée, etc.).

Par exemple, une plateforme de signature en ligne qui envoie un code OTP par SMS au signataire pour confirmer son identité ou qui utilise un certificat stocké sur son ordinateur réalise une signature avancée. Ce niveau assure une meilleure traçabilité et fiabilité : on peut relier le document signé à une identité vérifiée et garantir l’intégrité du document. En cas de contentieux, la signature avancée fournit déjà des éléments de preuve solides sur l’identité du signataire (journal de signature, adresses IP, certificats…).

La mise en place reste relativement simple pour l’utilisateur final (quelques étapes de vérification d’identité), tout en renforçant la confiance. La plupart des documents commerciaux ou administratifs courants peuvent être signés de manière avancée.

🛡️ Signature électronique qualifiée

C’est le niveau le plus élevé défini par eIDAS, souvent abrégé SEQ (Signature Électronique Qualifiée). Techniquement, il s’agit d’une signature avancée qui est en plus créée à l’aide d’un dispositif qualifié et reposant sur un certificat qualifié délivré par unprestataire de confiance qualifié.

En termes simples, la signature qualifiée combine une vérification d’identité rigoureuse du signataire en amont (par exemple présentation d’une pièce d’identité vérifiée, éventuellement en face-à-face ou via un processus de vérification d’identité vidéo certifié) et l’utilisation d’un outil sécurisé certifié pour signer (par exemple une carte à puce ou un token USB agréé, ou une solution de signature à distance certifiée).

Une autorité de confiance (prestataire qualifié) délivre au signataire un certificat électronique qualifié après avoir validé son identité selon des procédures formelles. Lors de la signature, ce certificat est utilisé via un module sécurisé (par ex. un appareil ou un module cryptographique homologué) pour créer la signature numérique. Le résultat est une signature électronique dotée de la plus forte garantie d’authenticité et d’intégrité.

Juridiquement, comme on l’a vu, une signature qualifiée est présumée équivalente à une signature manuscrite originale. C’est donc le choix à privilégier pour les documents à très fort enjeu (contrats importants, transactions transfrontalières sensibles, documents exigés par la loi avec signature formelle, etc.).

Son inconvénient réside dans une mise en œuvre plus contraignante : il faut obtenir le certificat qualifié au préalable, et suivre une procédure de signature souvent un peu plus lourde (appareil dédié, authentification forte).

Néanmoins, depuis l’entrée en vigueur d’eIDAS, des solutions innovantes permettent de réaliser des signatures qualifiées de façon simplifiée, notamment à distance (sans nécessairement brancher une carte à puce) : par exemple via une application mobile sécurisée fournie par un prestataire qualifié. Ainsi, même les particuliers peuvent aujourd’hui accéder à la signature qualifiée pour des usages ponctuels, ce qui démocratise ce niveau de confiance autrefois réservé à de rares cas.

eIDAS 2 : la version révisée et le portefeuille d’identité numérique européen

Le cadre eIDAS évolue pour accompagner les nouveaux usages du numérique. L’eIDAS 2.0 désigne la révision du règlement adoptée en 2024, qui apporte d’importantes nouveautés en matière d’identification numérique et de services de confiance.

La mesure phare d’eIDAS 2 est la création du portefeuille européen d’identité numérique, également appelé EU Digital Identity Wallet ou EUDI Wallet.

Il s’agit d’une application numérique (fournie par chaque État membre ou par des entités privées reconnues) qui permettra à chaque citoyen européen qui le souhaite de disposer d’une identité numérique européenne reconnue.

Concrètement, ce portefeuille numérique sera un coffre-fort électronique personnel : il stockera des données d’identité et des documents officiels au format numérique (carte d’identité, passeport, permis de conduire, diplômes, attestations, etc.).

L’utilisateur pourra s’en servir pour prouver son identité ou certaines informations le concernant en ligne, de manière sécurisée et sélective. Par exemple, via le wallet, on pourra justifier son âge auprès d’un service (sans révéler d’autres données), présenter son permis de conduire numérique lors d’une location de voiture, prouver son numéro de sécurité sociale, s’authentifier sur un portail administratif dans un autre pays, ou encore signer électroniquement des documents.

Ce portefeuille européen vise à harmoniser et simplifier l’identité numérique à travers l’UE. Aujourd’hui, les systèmes d’eID nationaux ne sont pas tous reconnus au-delà des frontières. Avec eIDAS 2, chaque État devra offrir un wallet d’identité numérique à ses citoyens et résidents (sur une base volontaire), et celui-ci sera valable dans toute l’Europe pour accéder à de nombreux services publics et privés.

L’ambition est qu’à l’horizon 2025-2026, un individu puisse utiliser son identité numérique via le wallet aussi facilement que sa carte d’identité physique, pour des usages courants (ouvrir un compte bancaire, s’inscrire à l’université, faire des démarches administratives, etc.).

Le wallet offrira également à l’utilisateur un meilleur contrôle sur ses données personnelles : il pourra choisir précisément quelles informations partager (par ex. prouver qu’il a plus de 18 ans sans divulguer sa date de naissance complète). Ce modèle décentralisé limite la dépendance à des fournisseurs d’identité privés et renforce la confidentialité des échanges.

En plus du wallet, eIDAS 2 introduit de nouveaux services de confiance ou renforce certains existants.

Parmi les évolutions notables figurent la reconnaissance de l’attestation électronique d’attributs (un service permettant de certifier des attributs ou qualifications – par ex. une attestation de diplôme ou un certificat d’appartenance à une organisation, pour pouvoir les présenter via le wallet), la gestion et certification des dispositifs de création de signature à distance (pour faciliter la signature qualifiée sans outil physique chez l’utilisateur), ou encore l’archivage électronique qualifié (un service de conservation sécurisée de documents numériques sur le long terme) désormais formellement défini par le règlement.

L’objectif global d’eIDAS 2 est de renforcer la confiance, la sécurité et l’interopérabilité des outils d’identité numérique en Europe, pour soutenir davantage de cas d’usage en ligne (y compris des technologies émergentes comme la blockchain ou des solutions mobiles innovantes).

Le règlement révisé met également l’accent sur la gratuité de l’identité numérique de base pour les citoyens : chaque personne pourra obtenir et utiliser son wallet et, par son intermédiaire, disposer au moins d’une signature électronique qualifiée gratuite pour ses usages non professionnels.

À quelle échéance tout cela va-t-il se déployer ?

Le règlement eIDAS 2 est entré en vigueur le 20 mai 2024. Toutefois, son application concrète nécessite l’adoption de divers actes techniques et la mise en place des wallets par chaque État.

Des projets pilotes sont en cours depuis fin 2022 début 2023, et les spécifications communes se précisent. Chaque pays de l’UE devra ensuite implémenter son portefeuille national sous 2 ans environ après la finalisation des standards.

En France, par exemple, on peut s’attendre à l’arrivée d’un « wallet d’identité numérique » français compatible eIDAS 2 dans les prochaines années, possiblement connecté à des outils comme FranceConnect.

Les entreprises ont donc tout intérêt à suivre ces évolutions de près, car elles ouvriront la voie à de nouveaux services (ex : identification instantanée de clients étrangers, simplification du onboarding utilisateur, etc.) dans un contexte toujours plus numérique.

Implications concrètes pour les organisations

Le cadre juridique posé par eIDAS et son évolution apporte des opportunités mais aussi des obligations pour les organisations souhaitant dématérialiser leurs processus en toute confiance.

Voici quelques implications et conseils pratiques pour les entreprises (notamment françaises) en quête de solutions de signature électronique et de gestion d’identité numérique :

📊 Choisir le bon niveau de signature électronique

Identifiez vos cas d’usage et le niveau de risque juridique associé à chaque type de document signé.

Pour des échanges internes courants ou des opérations à faible enjeu, une signature électronique simple peut suffire (par ex. valider un compte-rendu, accepter des CGU).

Pour des contrats commerciaux importants, des commandes clients, des documents RH engageants (comme un contrat de travail), il est généralement recommandé d’utiliser au minimum la signature avancée, qui assure une identification fiable du signataire.

Enfin, pour des actes à forte valeur juridique ou requis par la loi avec une forme authentique (acte notarié, contrats nécessitant un acte sous seing privé fiable, etc.), privilégiez la signature qualifiée, éventuellement via un prestataire proposant une solution à distance pour ne pas compliquer l’expérience utilisateur.

Adapter le niveau de signature au contexte vous permettra d’optimiser le rapport entre sécurité juridique et facilité d’usage.

🔍 S’assurer de la conformité des solutions de signature

Lorsque vous évaluez des solutions de signature électronique sur le marché, vérifiez qu’elles respectent bien le règlement eIDAS.

Concrètement, le prestataire doit être idéalement un prestataire de confiance qualifié ou travailler avec un partenaire qualifié pour la délivrance des certificats et horodatages.

Vous pouvez consulter la liste de confiance (disponible sur le site de la Commission européenne ou de l’ANSSI) pour voir si le prestataire figure parmi les entités qualifiées.

Opter pour un acteur qualifié n’est pas obligatoirement requis pour tous les usages, mais c’est un gage de sérieux et de reconnaissance européenne.

Assurez-vous également que la solution fournit un journal de signature et un fichier de preuves (contenant les empreintes, certificats et horodatages) pour chaque document signé, de façon à pouvoir démontrer l’intégrité du document et l’identité du signataire en cas de contestation.

Ces éléments techniques sont la clé de la valeur probante : un PDF signé digitalement avec un certificat, horodaté et vérifiable, se défendra bien mieux en justice qu’un simple scan de signature inséré dans un document.

⚠️ Points de vigilance juridiques (contexte français)

Le règlement eIDAS s’applique directement en France, mais il coexiste avec le Code civil et d’autres dispositions nationales.

La France reconnaît la validité des signatures électroniques depuis la loi du 13 mars 2000, et a intégré dans son droit interne les notions de fiabilité de l’identification du signataire (article 1367 du Code civil). En pratique, en utilisant une signature avancée conforme eIDAS, vous respectez les exigences françaises de « signature électronique fiable ».

Veillez toutefois à certains points : tous les documents ne peuvent pas être signés électroniquement (par ex. les actes notariés authentiques exigent l’intervention d’un notaire, même si celui-ci peut utiliser une signature électronique qualifiée notariale).

De même, en matière de protection des données, l’utilisation de solutions de signature ou d’eID implique de traiter des données personnelles (noms, emails, pièces d’identité…) : choisissez des solutions conformes au RGPD, idéalement hébergées dans l’UE, et informez les signataires de l’usage de leurs données.

Enfin, gardez à l’esprit que la signature électronique n’est qu’un maillon de la chaîne contractuelle : il convient d’avoir des procédures internes claires (qui est autorisé à signer ? quel processus en cas de refus de signature électronique par un partenaire ?) et d’accompagner le changement auprès des utilisateurs pour qu’ils adoptent ces nouveaux outils en confiance.

Anticiper l’arrivée de l’identité numérique européenne

Avec eIDAS 2 et le futur portefeuille d’identité numérique, de nouvelles opportunités apparaîtront pour les entreprises. Par exemple, il sera possible d’offrir à vos clients ou usagers la possibilité de s’authentifier ou de signer un contrat en utilisant leur wallet européen, ce qui facilitera les transactions transfrontalières (plus besoin de multiples méthodes de vérification d’identité selon le pays).

Il peut être judicieux, dès à présent, de suivre les projets pilotes et les offres qui émergent autour de l’identité numérique européenne. Certaines entreprises pourront même envisager de devenir fournisseurs d’attributs ou d’intégrer la vérification d’attributs (diplômes, certifications) via le wallet dans leurs processus de recrutement ou d’inscription, par exemple.

Sur un plan plus immédiat, restez informés des évolutions réglementaires : eIDAS 2 impose de nouvelles normes (par ex. pour l’archivage électronique) qui pourraient impacter vos pratiques de conservation des documents numériques. Faire un audit de conformité de vos processus de signature et d’identification numérique avec l’aide d’experts peut être une démarche payante pour identifier les améliorations à apporter et assurer une transition en douceur vers ce nouveau cadre.

En conclusion, le règlement eIDAS apporte un socle de confiance numérique commun en Europe, qui facilite la transformation digitale des organisations tout en garantissant la validité légale des transactions dématérialisées.

Les principes d’interopérabilité et de reconnaissance mutuelle d’eIDAS permettent à une PME française de faire signer un contrat à un partenaire allemand ou espagnol en ayant l’assurance que la signature sera valable, et à un citoyen de s’identifier en ligne au-delà de son pays d’origine. La version 2 d’eIDAS viendra encore renforcer ce socle en offrant à chacun un moyen d’identité numérique européen et en élargissant les services disponibles.

Autres articles susceptibles de vous intéresser :

🔗 NIS2 et DORA : quelles différences, quels enjeux, quelles obligations ?

🔗 Comprendre la cryptographie : technologies, réglementations et enjeux de sécurité numérique

🔗 Renforcement de la cybersécurité en France : Tout savoir sur le vote du Sénat du projet de loi pour la résilience des infrastructures critiques

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus