Le règlement UE 2024/1183 établit un cadre complet pour l’identité numérique européenne. Il permet aux citoyens de l’UE de vérifier leur identité en ligne dans tous les États membres de manière sécurisée et pratique. Le règlement définit des normes et des procédures pour la création, la gestion et la reconnaissance des identités numériques. Il favorise l’interopérabilité et la confiance dans les transactions numériques au sein de l’UE. Ce règlement est entré en vigueur le 20 mai 2024. Il modifie le règlement UE 910/2014 sur l’identification électronique et les services de confiance (abrégé : eIDAS).
L’un des aspects essentiels de ce règlement est la création et la mise en œuvre de normes et de procédures détaillées par le biais d’une série d’actes de mise en œuvre. Voici une répartition des objectifs de ces actes de mise en œuvre et de la logique de leur mise en œuvre progressive.
Objectifs des actes de mise en œuvre
Les actes de mise en œuvre du règlement UE 2024/1183 visent à atteindre plusieurs objectifs cruciaux :
Établir des normes de référence : Ces actes définissent les normes et procédures nécessaires pour mettre en œuvre divers aspects du règlement. Cela inclut la garantie de la conformité avec les exigences du portefeuille d’identité numérique européen et les schémas de certification en cybersécurité associés. En établissant des normes claires, le règlement vise à maintenir un niveau élevé de sécurité et d’interopérabilité dans l’ensemble de l’UE.
Procédures de certification : Les actes de mise en œuvre définissent les processus de certification pour la conformité des portefeuilles d’identité numérique européens et autres services associés. Ces processus couvrent les exigences pertinentes et non pertinentes pour la cybersécurité, garantissant que les schémas de certification nationaux sont conformes à ces normes à l’échelle de l’UE. Cette approche uniforme contribue à maintenir la confiance et la sécurité entre les différents États membres.
Conformité opérationnelle : Ils garantissent que la livraison et la gestion de l’attestation électronique des attributs, des services d’archivage électronique et d’autres services de confiance sont conformes au cadre réglementaire. Cette conformité est essentielle pour le bon fonctionnement des services d’identité numérique, renforçant la fiabilité et la confiance dans les transactions électroniques au sein de l’UE.
Responsabilité des actes de mise en œuvre
La responsabilité de l’élaboration des actes de mise en œuvre incombe principalement à la Commission européenne. Plus précisément, la Commission est chargée de :
Établir des normes et des spécifications : D’ici le 21 novembre 2024, la Commission doit établir une liste des normes de référence et des spécifications nécessaires pour le catalogue des attributs, des schémas d’attestation et des procédures de vérification des attestations électroniques qualifiées des attributs.
Surveillance continue et perfectionnement : La Commission continuera de superviser le processus de mise en œuvre, en apportant les ajustements nécessaires et en adoptant d’autres actes de mise en œuvre d’ici le 21 mai 2025. Cela garantit que le règlement reste efficace et réactif face à l’évolution du paysage de l’identité numérique.
Collaboration avec les États membres : La Commission travaillera en étroite collaboration avec les États membres pour s’assurer que les organismes du secteur public délivrant des attestations électroniques des attributs respectent les normes et procédures établies, garantissant un niveau de fiabilité et de confiance équivalent à celui des prestataires de services de confiance qualifiés.
Pourquoi il y aura deux vagues d’actes de mise en œuvre
La mise en œuvre des actes est prévue en deux vagues afin d’assurer une approche progressive et approfondie :
Établissement initial (d’ici le 21 novembre 2024) : La première vague se concentre sur l’établissement des normes, spécifications et procédures initiales nécessaires à la mise en place du portefeuille d’identité numérique européen et des services associés. Cela inclut la garantie que les normes et processus fondamentaux sont en place pour mettre en œuvre le cadre de l’identité numérique. Cette phase initiale est cruciale pour poser les bases du cadre réglementaire plus large.
Affinement et intégration ultérieurs (d’ici le 21 mai 2025) : La deuxième vague vise à affiner et à développer les normes et procédures initiales. Cette phase implique des spécifications et des procédures détaillées pour divers services avancés tels que la validation des signatures électroniques, des sceaux électroniques et d’autres services de confiance associés. Cette approche par phases permet de résoudre les problèmes ou lacunes identifiés lors de la phase initiale de mise en œuvre et garantit une conformité réglementaire complète.
Les actes de mise en œuvre précédents restent contraignants jusqu’à nouvel ordre
En juillet 2024, nous nous trouvons actuellement dans une phase transitoire.
Les actes de mise en œuvre précédents relatifs au règlement UE 910/2014 restent valides – notamment en ce qui concerne l’inscription des services de confiance dans les listes nationales de confiance et l’entrée correspondante dans le navigateur des listes de confiance UE/EEE – car :
Il n’existe actuellement aucune nouvelle norme contraignante pour le marché pour laquelle les organismes d’évaluation de la conformité pourraient avoir été accrédités.
La mise en œuvre de la NIS-2 n’est pas encore en vigueur.
En parallèle des travaux sur les actes de mise en œuvre du côté juridique :
Travaux sur les normes techniques
Les travaux sur les normes de marché sont en cours. ETSI et CEN collaborent pour développer plusieurs normes afin de soutenir ce nouveau cadre réglementaire, en s’appuyant sur les dernières normes mondialement reconnues pour l’authentification des sites web, les identités ouvertes et les portefeuilles mobiles.
En septembre 2024, l’atelier ETSI/CEN sur les normes du cadre de l’identité numérique européenne présentera l’état actuel de ces normes et visera à inclure des démonstrations de projets pilotes à grande échelle appliquant le portefeuille d’identité numérique européen. Des experts de Namirial participeront à cet événement et à d’autres événements à venir qui influenceront le développement de ces normes.
Travaux sur les pilotes à grande échelle
Les travaux sur les pilotes à grande échelle sont intrinsèquement liés au développement et à la mise en œuvre des actes dans le cadre du règlement UE 2024/1183. Les pilotes à grande échelle servent de terrain d’essai pratique pour les normes, spécifications et procédures définies dans les actes de mise en œuvre, permettant une validation et un perfectionnement dans le monde réel.
Les pilotes à grande échelle (Digital Credentials For Europe (DC4EU), EU Digital Wallet Consortium (EWC) NOBID Consortium, Potential) offrent une opportunité de tester les normes de référence et les procédures dans un environnement contrôlé mais réaliste. Cela permet de s’assurer que les mesures proposées sont réalisables, efficaces et peuvent être intégrées de manière fluide dans les différents États membres.
Leurs objectifs sont de :
- Identifier les défis pratiques ou les lacunes dans les actes de mise en œuvre.
- Favoriser l’engagement des parties prenantes, y compris les organismes du secteur public, les entreprises privées et les utilisateurs finaux.
- Permettre des améliorations itératives des actes de mise en œuvre.
Lecture recommandée :