premier ministre - anssi · électronique ; - les niveaux de signature électronique ; - la...
Post on 14-Jul-2020
0 Views
Preview:
TRANSCRIPT
Premier ministre
Agence nationale de la seacutecuriteacute
des systegravemes drsquoinformation
Regraveglement eIDAS
Foire aux questions
Version 11 du 16 janvier 2019
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 16012019 PUBLIC 224
HISTORIQUE DES VERSIONS
DATE VERSION EVOLUTION DU DOCUMENT REDACTEUR
02062016 10 Version pour publication ANSSI
16012019 11
Mise agrave jour
Ajout de preacutecisions sur
- la proceacutedure de notification de scheacutemas drsquoidentification
eacutelectronique
- les niveaux de signature eacutelectronique
- la deacutelivrance de certificats qualifieacutes
- lrsquoarticulation entre le regraveglement eIDAS et le RGS
- les points de contact au sein de lrsquoANSSI
ANSSI
Les commentaires sur le preacutesent document sont agrave adresser agrave
Agence nationale de la seacutecuriteacute
des systegravemes drsquoinformation
SGDSNANSSI
51 boulevard de La Tour-Maubourg
75700 Paris 07 SP
supervision-eIDASssigouvfr
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 324
SOMMAIRE
I QUESTIONS GENERALES SUR LE REGLEMENT EIDAS 5
I1 Qursquoest-ce que le regraveglement eIDAS 5
I2 Quels sont les sujets couverts par le regraveglement eIDAS 5
I3 Quand le regraveglement eIDAS a-t-il eacuteteacute publieacute Quand est-il entreacute en vigueur et quand est-il devenu applicable 5
I4 Qui est concerneacute par le regraveglement eIDAS 5
I5 Le regraveglement eIDAS srsquoapplique-t-il uniquement aux eacutechanges transfrontaliers 6
I6 Que sont les actes deacuteleacutegueacutes et actes drsquoexeacutecution du regraveglement eIDAS 6
I7 Quels sont les impacts et caracteacuteristiques du regraveglement eIDAS sur le plan juridique 6
I8 Quel est le rocircle de lANSSI au titre du regraveglement eIDAS 6
II QUESTIONS RELATIVES A LrsquoIDENTIFICATION ELECTRONIQUE 7
II1 Quel est lrsquoobjectif du volet laquo identification eacutelectronique raquo du regraveglement eIDAS 7
II2 Quels sont les principes du volet laquo identification eacutelectronique raquo du regraveglement eIDAS 7
II3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo identification eacutelectronique raquo du regraveglement 7
II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema drsquoidentification eacutelectronique par un Etat membre 8
II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema drsquoidentification eacutelectronique 8
II6 Qursquoest-ce que le reacuteseau de coopeacuteration 8
II7 Qursquoest-ce que lrsquoexamen par les pairs 9
II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes 9
II9 Les organismes du secteur public sont-ils tenus de recourir agrave des moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS 9
II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo pour lrsquoaccegraves agrave ses services 9
II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification eacutelectronique 10
II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification eacutelectronique 10
II13 Comment se deacuteroule la mise en œuvre au niveau national du volet laquo identification eacutelectronique raquo du regraveglement eIDAS 11
III QUESTIONS RELATIVES A LrsquoENSEMBLE DES SERVICES DE CONFIANCE 12
III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement eIDAS 12
III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement eIDAS 12
III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services de confiance raquo du regraveglement 12
III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS 13
III5 Quelles sont les exigences applicables aux prestataires de services de confiance 13
III6 Quelles sont les obligations induites du volet laquo services de confiance raquo du regraveglement eIDAS pour les prestataires de services de confiance qualifieacutes 14
III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement 14
III8 Quel est le reacutegime de controcircle des prestataires de services de confiance 14
III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de services de confiance qualifieacutes 15
III10 Qursquoest-ce qursquoune liste de confiance 15
III11 Qursquoest-ce que le label de confiance de lrsquoUnion 15
III12 Qursquoest-ce que le laquo mandat 460 raquo 15
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 424
III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave des services de confiance qualifieacutes 16
III14 Comment se deacuteroule la mise en œuvre au niveau national du volet laquo services de confiance raquo du regraveglement eIDAS 16
IV QUESTIONS RELATIVES A LA SIGNATURE ET AU CACHET ELECTRONIQUE 17
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique 17
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique qualifieacute 18
IV3 Qui peut demander un certificat qualifieacute 18
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la signature qualifieacutee 18
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat qualifieacute de signature eacutelectronique 19
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave distance par quels moyens la personne peut-elle manifester son consentement 19
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave distance 20
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de la signature eacutelectronique 20
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur un cadre communautaire pour les signatures eacutelectroniques 21
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS 21
V QUESTIONS RELATIVES AUX IMPACTS NATIONAUX DU VOLET laquo SERVICES DE CONFIANCE raquo 22
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE suite agrave la parution du regraveglement eIDAS 22
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement eIDAS 22
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-272 sont-ils qualifieacutes au titre du regraveglement eIDAS 22
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave lhorodatage eacutelectronique 23
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS sont-ils qualifieacutes au titre du regraveglement eIDAS 23
VI POINTS DE CONTACT DE LrsquoANSSI 24
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 524
I Questions geacuteneacuterales sur le regraveglement eIDAS
I1 Qursquoest-ce que le regraveglement eIDAS
Le regraveglement ndeg 9102014 sur lidentification eacutelectronique et les services de confiance pour les
transactions eacutelectroniques au sein du marcheacute inteacuterieur dit regraveglement laquo eIDAS raquo est un regraveglement
europeacuteen qui a eacuteteacute adopteacute le 23 juillet 2014 par le Parlement europeacuteen et le Conseil de lUnion
Europeacuteenne Lobjectif de ce regraveglement est de mettre en place un cadre juridique propre agrave
susciter une confiance accrue dans les transactions eacutelectroniques au sein du marcheacute inteacuterieur
I2 Quels sont les sujets couverts par le regraveglement eIDAS
Le regraveglement eIDAS sapplique agrave lrsquoidentification eacutelectronique et aux services de confiance
(faisant respectivement lrsquoobjet des chapitres II et III du preacutesent document) Il accorde eacutegalement
un effet juridique aux documents eacutelectroniques
I3 Quand le regraveglement eIDAS a-t-il eacuteteacute publieacute Quand est-il entreacute en
vigueur et quand est-il devenu applicable
Le regraveglement eIDAS a eacuteteacute publieacute au Journal Officiel de lUnion Europeacuteenne (JOUE) le 28 aoucirct
2014 Il est entreacute en vigueur le 17 septembre 2014
Le regraveglement est devenu applicable
le 29 septembre 2015 pour la notification et la reconnaissance volontaire des moyens
didentification eacutelectronique par les Etats membres
le 1er juillet 2016 pour les services de confiance et les documents eacutelectroniques
le 29 septembre 2018 pour la reconnaissance mutuelle obligatoire des moyens
didentification eacutelectronique par les Etats membres
I4 Qui est concerneacute par le regraveglement eIDAS
Le regraveglement concerne les citoyens les entreprises les organismes du secteur public et les
prestataires de services de confiance eacutetablis dans lUnion europeacuteenne Il couvre en particulier les
eacutechanges entre usagers et administrations Les meacutecanismes de reconnaissance mutuelle des
moyens drsquoidentification eacutelectronique et des signatures eacutelectroniques deacutetailleacutes dans les chapitres
II et IV du preacutesent document srsquoappliquent ainsi uniquement aux administrations dans leurs
relations avec les usagers
En revanche le regraveglement ne sapplique pas agrave la fourniture de services de confiance utiliseacutes
exclusivement dans des systegravemes fermeacutes nrsquoayant pas drsquoimpact direct sur des tiers reacutesultant du
droit national ou drsquoaccords au sein dun ensemble deacutefini de participants Par exemple une
autoriteacute administrative mettant en œuvre une infrastructure de gestion de cleacutes pour couvrir ses
besoins internes ne serait pas soumise aux exigences du regraveglement eIDAS applicables aux
services de confiance
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 624
I5 Le regraveglement eIDAS srsquoapplique-t-il uniquement aux eacutechanges
transfrontaliers
Le critegravere permettant drsquoeacutetablir le caractegravere transfrontalier drsquoun eacutechange est un critegravere
geacuteographique et non un critegravere de nationaliteacute Ainsi une personne de nationaliteacute franccedilaise
reacutesidant dans un Etat membre de lrsquoUnion autre que la France qui souhaite acceacuteder agrave un service
en ligne drsquoun organisme public franccedilais se trouve dans le cadre drsquoun eacutechange transfrontalier
Toutefois le regraveglement eIDAS ne sapplique pas uniquement aux eacutechanges transfrontaliers En
effet si les aspects transnationaux sont au cœur du regraveglement eIDAS notamment via les
meacutecanismes de reconnaissance mutuelle des moyens didentification eacutelectronique et des services
de confiance le regraveglement a la vocation plus globale drsquoinstaurer un climat de confiance dans
lrsquoenvironnement en ligne y compris au niveau national
I6 Que sont les actes deacuteleacutegueacutes et actes drsquoexeacutecution du regraveglement eIDAS
Les actes deacuteleacutegueacutes et actes drsquoexeacutecution constituent la laquo leacutegislation secondaire raquo du regraveglement
eIDAS Ce sont des actes preacutevus par des articles du regraveglement venant preacuteciser les modaliteacutes
drsquoapplication de ces derniers
Ces actes peuvent notamment ecirctre utiliseacutes afin de reacutefeacuterencer des normes permettant drsquoapporter
une preacutesomption de conformiteacute aux exigences du regraveglement et harmoniser ainsi les pratiques au
sein des diffeacuterents Etats membres
Certains de ces actes sont obligatoires pour permettre la mise en application du regraveglement mais
la majoriteacute est optionnelle
A ce jour aucun acte deacuteleacutegueacute nrsquoa eacuteteacute publieacute Seuls les sept actes drsquoexeacutecution obligatoires et un
acte drsquoexeacutecution optionnel ont eacuteteacute publieacutes Ceux-ci sont reacutefeacuterenceacutes dans les chapitres II et III du
preacutesent document
I7 Quels sont les impacts et caracteacuteristiques du regraveglement eIDAS sur le
plan juridique
En dehors de ses effets particuliers concernant lidentification eacutelectronique et les services de
confiance qui sont deacutetailleacutes dans la suite de la preacutesente FAQ le regraveglement a les impacts suivant
il abroge la directive 199993EC sur la signature eacutelectronique
il accorde un effet juridique aux documents eacutelectroniques preacutecisant quils ne peuvent
ecirctre refuseacutes comme preuve en justice au seul motif quils se preacutesentent sous forme
eacutelectronique
De plus srsquoagissant drsquoun regraveglement il est dapplication directe ce qui signifie quil ne neacutecessite
pas de transposition en droit national et que toute disposition nationale allant agrave lencontre des
dispositions du regraveglement est consideacutereacutee comme non applicable
I8 Quel est le rocircle de lANSSI au titre du regraveglement eIDAS
LrsquoANSSI intervient agrave plusieurs titres dans lrsquoapplication du regraveglement eIDAS en tant que
garante de la seacutecuriteacute pour son volet laquo identification eacutelectronique raquo en tant qursquoorgane de controcircle
pour son volet laquo services de confiance raquo en tant qursquoorganisme de certification des dispositifs de
creacuteation de signature ou de cachet qualifieacutes et enfin en tant qursquoorganisme en charge de la liste de
confiance
Ces responsabiliteacutes sont deacutetailleacutees dans les chapitres II et III du preacutesent document
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 724
II Questions relatives agrave lrsquoidentification eacutelectronique
II1 Quel est lrsquoobjectif du volet laquo identification eacutelectronique raquo du regraveglement
eIDAS
Lrsquoobjectif du regraveglement eIDAS pour lidentification eacutelectronique est de mettre en place un cadre
drsquointeropeacuterabiliteacute pour les identiteacutes eacutelectroniques des diffeacuterents Etats membres Le regraveglement
deacutefinit les speacutecifications permettant lrsquointeropeacuterabiliteacute des moyens drsquoidentification
eacutelectronique
deacutefinit les niveaux de garantie et exigences de seacutecuriteacute associeacutees de ces moyens
preacutecise les conditions de reconnaissance mutuelle des moyens drsquoidentification
eacutelectronique deacutelivreacutes dans les Etats membres
II2 Quels sont les principes du volet laquo identification eacutelectronique raquo du
regraveglement eIDAS
Le regraveglement instaure un systegraveme de notification de laquo scheacutemas drsquoidentification eacutelectronique raquo par
les Etats membres Ces derniers sont deacutefinis par le regraveglement comme des laquo systegravemes pour
lrsquoidentification eacutelectronique en vertu desquels des moyens drsquoidentification eacutelectronique sont
deacutelivreacutes agrave des personnes physiques ou morales ou agrave des personnes physiques repreacutesentant des
personnes morales raquo Au sens du regraveglement un moyen drsquoidentification eacutelectronique est laquo un
eacuteleacutement mateacuteriel ou immateacuteriel contenant des donneacutees drsquoidentification personnelle et utiliseacute pour
srsquoauthentifier sur un service en ligne raquo
Le regraveglement preacutevoit trois niveaux de garantie pour les moyens didentification eacutelectronique
deacutelivreacutes dans le cadre dun scheacutema didentification eacutelectronique notifieacute faible substantiel et
eacuteleveacute Le regraveglement drsquoexeacutecution ndeg 20151502 du 8 septembre 2015 fixe les speacutecifications de
seacutecuriteacute minimales pour chacun de ces niveaux
II3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre
laquo identification eacutelectronique raquo du regraveglement
Les actes dexeacutecution relatifs agrave lidentification eacutelectronique publieacutes agrave la date de reacutedaction du
preacutesent document sont les suivants
Deacutecision dexeacutecution ndeg 2015296 du 24 feacutevrier 2015 eacutetablissant les modaliteacutes de
coopeacuteration entre les Eacutetats membres en matiegravere didentification eacutelectronique
conformeacutement agrave larticle 12 paragraphe 7 du regraveglement ndeg 9102014
Regraveglement dexeacutecution ndeg 20151501 du 8 septembre 2015 sur le cadre
dinteropeacuterabiliteacute viseacute agrave larticle 12 paragraphe 8 du regraveglement ndeg 9102014
Regraveglement dexeacutecution ndeg 20151502 du 8 septembre 2015 fixant les speacutecifications
techniques et proceacutedures minimales relatives aux niveaux de garantie des
moyens didentification eacutelectronique viseacutes agrave larticle 8 paragraphe 3 du regraveglement ndeg
9102014
Deacutecision dexeacutecution ndeg 20151984 du 3 novembre 2015 deacutefinissant les
circonstances les formats et les proceacutedures pour les notifications viseacutes agrave larticle
9 paragraphe 5 du regraveglement ndeg 9102014
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 824
II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema
drsquoidentification eacutelectronique par un Etat membre
Le regraveglement eIDAS nrsquooblige pas les Etats membres agrave mettre en œuvre un moyen didentification
eacutelectronique au niveau national ni le cas eacutecheacuteant agrave le notifier agrave la Commission europeacuteenne
Le cas eacutecheacuteant un Etat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique doit
au preacutealable
permettre lrsquoutilisation du moyen drsquoidentification eacutelectronique deacutelivreacute dans le cadre de ce
scheacutema pour acceacuteder agrave au moins un service en ligne fourni par un organisme du
secteur public de lrsquoEacutetat membre notifiant
fournir la description du scheacutema aux autres Eacutetats membres six mois au moins avant la
notification
LrsquoEtat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique transmet agrave la
Commission europeacuteenne par voie eacutelectronique le formulaire preacutevu agrave lrsquoannexe de la deacutecision
drsquoexeacutecution 20151984 de la Commission Ce formulaire doit ecirctre rempli en langue anglaise et
signeacute eacutelectroniquement
II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema
drsquoidentification eacutelectronique
Si un Etat membre choisit de notifier un scheacutema drsquoidentification eacutelectronique cela geacutenegravere pour
lui les obligations suivantes
respecter les speacutecifications de seacutecuriteacute minimales deacutefinies dans le regraveglement
drsquoexeacutecution ndeg20151502 du 8 septembre 2015 ainsi que les speacutecifications
drsquointeropeacuterabiliteacute deacutefinies dans lrsquoacte drsquoexeacutecution ndeg20151501 du 8 septembre 2015
fournir une authentification en ligne afin de permettre agrave toute partie utilisatrice eacutetablie
sur le territoire dun autre Etat membre de confirmer les donneacutees didentification
personnelle reccedilues sous forme eacutelectronique
suspendre ou reacutevoquer lrsquoauthentification transfrontaliegravere en cas drsquoatteinte agrave la
seacutecuriteacute du scheacutema drsquoidentification eacutelectronique et notifier son retrait srsquoil ne peut ecirctre
remeacutedieacute agrave lrsquoatteinte dans un deacutelai de trois mois
LrsquoEtat membre notifiant est responsable du dommage causeacute intentionnellement ou par
neacutegligence agrave toute personne physique ou morale en raison drsquoun manquement agrave ces obligations
dans le cas drsquoune authentification transfrontaliegravere
II6 Qursquoest-ce que le reacuteseau de coopeacuteration
La deacutecision drsquoexeacutecution 2015296 de la Commission europeacuteenne preacutevoit les modaliteacutes de
coopeacuteration entre les Etats membres sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute des scheacutemas
drsquoidentification eacutelectronique
Cette deacutecision eacutetablit notamment le reacuteseau de coopeacuteration qui a pour mission
drsquoinstaurer des meacutethodes efficaces drsquoeacutechange drsquoinformations entre les Eacutetats membres de
lrsquoUnion europeacuteenne sur toutes les questions relatives agrave lrsquoidentification eacutelectronique
drsquoexaminer les eacutevolutions pertinentes dans le secteur de lrsquoidentification eacutelectronique et
drsquoeacutelaborer de bonnes pratiques en matiegravere drsquointeropeacuterabiliteacute et de seacutecuriteacute des scheacutemas
drsquoidentification eacutelectronique
drsquoadopter des avis sur la faccedilon dont un scheacutema drsquoidentification eacutelectronique satisfait aux
exigences contenues dans le regraveglement eIDAS agrave lrsquoissue du processus drsquoexamen par les
pairs
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 924
Les reacuteunions du reacuteseau de coopeacuteration sont preacutesideacutees par la Commission europeacuteenne
II7 Qursquoest-ce que lrsquoexamen par les pairs
Tous les scheacutemas drsquoidentification eacutelectronique dont la description a eacuteteacute fournie aux Eacutetats
membres preacutealablement agrave une notification peuvent faire lrsquoobjet drsquoun examen par les pairs
La participation des Etats membres pairs est volontaire et lrsquoEacutetat membre dont le scheacutema
drsquoidentification eacutelectronique doit faire lrsquoobjet drsquoun examen ne peut refuser la participation drsquoun
Etat membre pair agrave ce processus de coopeacuteration
Les Etats membres participants deacutesignent des experts chargeacutes de proceacuteder agrave lrsquoexamen Au terme
du processus drsquoexamen qui ne peut exceacuteder trois mois les participants disposent drsquoun mois pour
preacutesenter un rapport au reacuteseau de coopeacuteration A lrsquoissue de cette preacutesentation le reacuteseau de
coopeacuteration eacutemet un avis disponible publiquement
Les avis du reacuteseau de coopeacuteration sont accessibles agrave lrsquoadresse suivante
httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOpinions+of+the+Cooperation+
Network
II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes
La Commission publie au Journal officiel de lrsquoUnion europeacuteenne la liste des scheacutemas
drsquoidentification eacutelectronique qui ont eacuteteacute notifieacutes et les informations essentielles agrave leur sujet et
maintient cette liste agrave jour en fonction des notifications des Etats membres (incluant les
modifications et retraits des scheacutemas drsquoidentification eacutelectronique)
Une liste des scheacutemas drsquoidentification eacutelectronique notifieacutes ou soumis agrave lrsquoexamen par les pairs
est eacutegalement disponible agrave lrsquoadresse suivante
httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOverview+of+pre+notified+and
+notified+eID+schemes+under+eIDAS
II9 Les organismes du secteur public sont-ils tenus de recourir agrave des
moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS
Le regraveglement eIDAS nrsquooblige pas les organismes du secteur public des diffeacuterents Etats membres
agrave recourir agrave des moyens didentification eacutelectronique deacutelivreacutes dans le cadre de scheacutemas
drsquoidentification eacutelectroniques notifieacutes
Les organismes du secteur public peuvent toutefois soit en vertu de pratiques administratives
nationales ou en vertu du droit national exiger la mise en œuvre drsquoun moyen drsquoidentification
eacutelectronique pour lrsquoaccegraves agrave leurs teacuteleacuteservices
II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil
exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo
pour lrsquoaccegraves agrave ses services
Si dans un Etat membre un organisme du secteur public exige pour lrsquoaccegraves agrave lrsquoun de ses
services en ligne une identification eacutelectronique de niveau de garantie substantiel ou eacuteleveacute il
devra eacutegalement accepter pour laccegraves agrave ce teacuteleacuteservice lrsquoensemble des moyens didentification
eacutelectronique de niveau eacutequivalent ou supeacuterieur et relevant drsquoun scheacutema drsquoidentification notifieacute agrave
la Commission et publieacute au JOUE Cette obligation est effective depuis le 29 septembre 2018
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1024
Par ailleurs les organismes du secteur public peuvent deacutecider sur une base volontaire de
reconnaicirctre les scheacutemas drsquoidentification eacutelectronique de niveau faible ainsi que les scheacutemas
drsquoidentification eacutelectronique notifieacutes avant le 29 septembre 2018
II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification
eacutelectronique
Les moyens drsquoidentification eacutelectronique peuvent ecirctre demandeacutes par des personnes physiques ou
morales ou par des personnes physiques repreacutesentant des personnes morales
Pour obtenir un moyen drsquoidentification eacutelectronique le demandeur doit pouvoir justifier de son
identiteacute dans les conditions preacutevues par le regraveglement drsquoexeacutecution ndeg 20151502 qui preacutecise en
annexe les exigences minimales relatives agrave la veacuterification didentiteacute des personnes physiques et agrave
la deacutelivrance du moyen didentification
Ces exigences peuvent ecirctre renforceacutees par la reacuteglementation nationale ou les pratiques du
fournisseur drsquoidentiteacute en fonction du niveau de garantie viseacute
II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification
eacutelectronique
Le regraveglement drsquoexeacutecution ndeg20151502 preacutecise uniquement selon le niveau de garantie la nature
des veacuterifications devant ecirctre reacutealiseacutees (authenticiteacute des piegraveces drsquoidentiteacute preacutesenteacutees comparaison
de caracteacuteristiques physiques du demandeurhellip) sans speacutecifier le moyen technique ou
organisationnel
En particulier le face agrave face (crsquoest-agrave-dire une rencontre en personne entre le demandeur de
lrsquoidentification et la personne deacutelivrant le moyen drsquoidentification) nrsquoest pas exigeacute Par
conseacutequent lexistence dun face agrave face dans la proceacutedure de veacuterification didentiteacute etou dans
celle de deacutelivrance du moyen didentification eacutelectronique deacutependra des choix techniques
effectueacutes par lrsquoorganisme deacutelivrant ce moyen
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise ne place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1124
II13 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo identification eacutelectronique raquo du regraveglement eIDAS
La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication
de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point
de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute
demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute
Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au
niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des
fournisseurs de services
La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications
eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le
respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave
FranceConnect
LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS
A ce titre elle
eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des
moyens didentification eacutelectronique
eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens
drsquoidentification eacutelectronique
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1224
III Questions relatives agrave lrsquoensemble des services de confiance
III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement
eIDAS
Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de
confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule
signature eacutelectronique et englobe les services de
creacuteation veacuterification et validation de signatures eacutelectroniques de cachets
eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de
certificats relatifs agrave ces services
creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites
internet
conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats
relatifs agrave ces services
III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement
eIDAS
Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de
confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets
juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services
de confiance qualifieacutes
Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques
qualifieacutees et aux cachets eacutelectroniques qualifieacutes
Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service
de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat
membre
III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services
de confiance raquo du regraveglement
Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette
FAQ sont les suivants
Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications
relatives agrave la forme du label de confiance de lUnion pour les services de confiance
qualifieacutes
Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications
techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22
paragraphe 5 du regraveglement ndeg 9102014
Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications
relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets
eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public
viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg
9102014
Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave
leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature
eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et
agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1324
III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS
Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des
signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois
recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme
eacutelectronique ou qursquoils ne soient pas qualifieacutes
En compleacutement le regraveglement preacutecise les effets juridiques suivants
la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui
dune signature manuscrite
le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees
et dexactitude de lorigine des donneacutees auxquelles il est lieacute
lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la
date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette
date et cette heure
lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave
linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur
reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi
et de la reacuteception indiqueacutees
III5 Quelles sont les exigences applicables aux prestataires de services de
confiance
Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de
confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions
fixeacutees par les Etats membres
effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive
9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees
ndeg2016679)
rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs
services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave
un utilisateur final
prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques
lieacutes agrave la seacutecuriteacute des services quils fournissent
notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter
preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou
toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance
fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees
Les prestataires de services de confiance sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver
lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1424
III6 Quelles sont les obligations induites du volet laquo services de confiance raquo
du regraveglement eIDAS pour les prestataires de services de confiance
qualifieacutes
Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant
au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales
applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des
exigences speacutecifiques agrave chaque service de confiance qualifieacute
Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la
conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle
deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant
de pouvoir commencer agrave fournir des services qualifieacutes
Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de
prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part
III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement
Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants
la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le
cachet eacutelectronique ou lrsquoauthentification de site internet
lrsquohorodatage eacutelectronique
la validation de signatures ou de cachets eacutelectronique
la conservation de signatures ou de cachets eacutelectroniques
lrsquoenvoi recommandeacute eacutelectronique
La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation
de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du
signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement
eIDAS
III8 Quel est le reacutegime de controcircle des prestataires de services de
confiance
Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par
chaque Etat membre ayant pour mission
le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le
territoire franccedilais
la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires
de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre
lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils
fournissent ne satisfont pas aux exigences du regraveglement
Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a
priori
Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle
srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes
conformeacutement au regraveglement europeacuteen ndeg 7652008CE
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1524
III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de
services de confiance qualifieacutes
Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave
leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute
Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements
compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de
lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux
exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification
En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre
un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme
drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux
frais de ce dernier
Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS
Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique
III10 Qursquoest-ce qursquoune liste de confiance
Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les
informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont
responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations
relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur
cette liste
III11 Qursquoest-ce que le label de confiance de lrsquoUnion
Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les
prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de
maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent
Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du
prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee
Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806
III12 Qursquoest-ce que le laquo mandat 460 raquo
Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif
drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen
Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)
et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes
et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les
travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en
œuvre du regraveglement
Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de
conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers
des actes drsquoexeacutecution qursquoil preacutevoit
Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement
les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1624
III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave
des services de confiance qualifieacutes
Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres
drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les
exigences applicables au sein de chaque Etat membre
Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public
exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces
obligations sont preacuteciseacutees au chapitre IV du preacutesent document
III14 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo services de confiance raquo du regraveglement eIDAS
La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement
sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance
A ce titre lANSSI assure notamment les missions suivantes
le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes
le controcircle a posteriori et sur saisie des prestataires de service de confiance non-
qualifieacutes
lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance
qui en font la demande
la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de
services de confiance qualifieacutes par des organismes drsquoeacutevaluation
la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS
lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute
la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis
dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la
Commission sur ses principales activiteacutes
En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge
lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise
la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des
dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes
la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique
qualifieacutes qursquoelle a certifieacute conformes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1724
IV Questions relatives agrave la signature et au cachet eacutelectronique
Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au
cachet eacutelectronique
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique
Il convient de distinguer quatre niveaux de signatures eacutelectroniques
Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit
par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de
controcircle
Ces deux premiers niveaux sont
La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)
Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou
associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire
utilise pour signer
La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)
Cette signature doit
o ecirctre lieacutee au signataire de maniegravere univoque
o permettre drsquoidentifier le signataire
o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le
signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle
exclusif
o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute
modification ulteacuterieure des donneacutees soit deacutetectable
Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par
un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des
certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle
Ces deux niveaux suivants sont
La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux
articles 26 et 28 du regraveglement eIDAS)
Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute
respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS
Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion
du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des
exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est
uniquement deacutelivreacute au signataire leacutegitime
La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement
eIDAS)
La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature
eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature
eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1824
confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce
dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale
Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune
signature manuscrite
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique
qualifieacute
Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave
creacuteer une signature eacutelectronique
Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II
du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees
La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs
deacutesigneacutes par chaque Etat membre agrave la Commission
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle
exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees
pour prononcer la certification de conformiteacute
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de
services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave
distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la
conformiteacute et de le notifier agrave la Commission
IV3 Qui peut demander un certificat qualifieacute
Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats
eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et
respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats
Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute
deacutelivreacute par un prestataire de services de confiance qualifieacute
De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au
regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il
nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un
cachet eacutelectronique qualifieacute
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la
signature qualifieacutee
Le regraveglement eIDAS entraicircne les changements suivants
Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le
compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees
par un prestataire de services de confiance qualifieacute
Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)
Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les
personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1924
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat
qualifieacute de signature eacutelectronique
Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance
lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute
doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait
par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la
personne morale (ce qui implique donc un face agrave face) ou
agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la
deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de
la personne morale) sest preacutesenteacutee en personne ou
au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux
deux points ci-dessus ou
agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant
une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne
Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi
les possibiliteacutes offertes par le regraveglement
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave
distance par quels moyens la personne peut-elle manifester son
consentement
Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de
sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de
la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par
exemple sur une carte agrave puce et un code PIN)
A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute
suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature
eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees
agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la
saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave
lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2024
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave
distance
Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de
confiance qualifieacute
Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant
en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal
Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire
doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services
de confiance qualifieacutes preacutevus par le regraveglement
ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de
sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au
besoin de continuiteacute du service
La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de
conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute
LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des
certificats de conformiteacute
Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute
distincts
Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage
drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi
qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes
Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de
lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le
produit ou le systegraveme composant le QSCD
Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit
composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de
la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de
signature ou de cachet
LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est
disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-
notified-commission-accordance-article303b-and-392-eidas
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de
la signature eacutelectronique
Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques
avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature
eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne
offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les
formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506
Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats
de signature suivants
ETSI TS 103 171 (v211) (XAdES Baseline Profile)
ETSI TS 103 172 (v222) (PAdES Baseline Profile)
ETSI TS 103 173 (v221) (CAdES Baseline Profile)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 16012019 PUBLIC 224
HISTORIQUE DES VERSIONS
DATE VERSION EVOLUTION DU DOCUMENT REDACTEUR
02062016 10 Version pour publication ANSSI
16012019 11
Mise agrave jour
Ajout de preacutecisions sur
- la proceacutedure de notification de scheacutemas drsquoidentification
eacutelectronique
- les niveaux de signature eacutelectronique
- la deacutelivrance de certificats qualifieacutes
- lrsquoarticulation entre le regraveglement eIDAS et le RGS
- les points de contact au sein de lrsquoANSSI
ANSSI
Les commentaires sur le preacutesent document sont agrave adresser agrave
Agence nationale de la seacutecuriteacute
des systegravemes drsquoinformation
SGDSNANSSI
51 boulevard de La Tour-Maubourg
75700 Paris 07 SP
supervision-eIDASssigouvfr
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 324
SOMMAIRE
I QUESTIONS GENERALES SUR LE REGLEMENT EIDAS 5
I1 Qursquoest-ce que le regraveglement eIDAS 5
I2 Quels sont les sujets couverts par le regraveglement eIDAS 5
I3 Quand le regraveglement eIDAS a-t-il eacuteteacute publieacute Quand est-il entreacute en vigueur et quand est-il devenu applicable 5
I4 Qui est concerneacute par le regraveglement eIDAS 5
I5 Le regraveglement eIDAS srsquoapplique-t-il uniquement aux eacutechanges transfrontaliers 6
I6 Que sont les actes deacuteleacutegueacutes et actes drsquoexeacutecution du regraveglement eIDAS 6
I7 Quels sont les impacts et caracteacuteristiques du regraveglement eIDAS sur le plan juridique 6
I8 Quel est le rocircle de lANSSI au titre du regraveglement eIDAS 6
II QUESTIONS RELATIVES A LrsquoIDENTIFICATION ELECTRONIQUE 7
II1 Quel est lrsquoobjectif du volet laquo identification eacutelectronique raquo du regraveglement eIDAS 7
II2 Quels sont les principes du volet laquo identification eacutelectronique raquo du regraveglement eIDAS 7
II3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo identification eacutelectronique raquo du regraveglement 7
II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema drsquoidentification eacutelectronique par un Etat membre 8
II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema drsquoidentification eacutelectronique 8
II6 Qursquoest-ce que le reacuteseau de coopeacuteration 8
II7 Qursquoest-ce que lrsquoexamen par les pairs 9
II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes 9
II9 Les organismes du secteur public sont-ils tenus de recourir agrave des moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS 9
II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo pour lrsquoaccegraves agrave ses services 9
II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification eacutelectronique 10
II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification eacutelectronique 10
II13 Comment se deacuteroule la mise en œuvre au niveau national du volet laquo identification eacutelectronique raquo du regraveglement eIDAS 11
III QUESTIONS RELATIVES A LrsquoENSEMBLE DES SERVICES DE CONFIANCE 12
III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement eIDAS 12
III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement eIDAS 12
III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services de confiance raquo du regraveglement 12
III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS 13
III5 Quelles sont les exigences applicables aux prestataires de services de confiance 13
III6 Quelles sont les obligations induites du volet laquo services de confiance raquo du regraveglement eIDAS pour les prestataires de services de confiance qualifieacutes 14
III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement 14
III8 Quel est le reacutegime de controcircle des prestataires de services de confiance 14
III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de services de confiance qualifieacutes 15
III10 Qursquoest-ce qursquoune liste de confiance 15
III11 Qursquoest-ce que le label de confiance de lrsquoUnion 15
III12 Qursquoest-ce que le laquo mandat 460 raquo 15
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 424
III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave des services de confiance qualifieacutes 16
III14 Comment se deacuteroule la mise en œuvre au niveau national du volet laquo services de confiance raquo du regraveglement eIDAS 16
IV QUESTIONS RELATIVES A LA SIGNATURE ET AU CACHET ELECTRONIQUE 17
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique 17
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique qualifieacute 18
IV3 Qui peut demander un certificat qualifieacute 18
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la signature qualifieacutee 18
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat qualifieacute de signature eacutelectronique 19
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave distance par quels moyens la personne peut-elle manifester son consentement 19
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave distance 20
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de la signature eacutelectronique 20
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur un cadre communautaire pour les signatures eacutelectroniques 21
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS 21
V QUESTIONS RELATIVES AUX IMPACTS NATIONAUX DU VOLET laquo SERVICES DE CONFIANCE raquo 22
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE suite agrave la parution du regraveglement eIDAS 22
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement eIDAS 22
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-272 sont-ils qualifieacutes au titre du regraveglement eIDAS 22
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave lhorodatage eacutelectronique 23
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS sont-ils qualifieacutes au titre du regraveglement eIDAS 23
VI POINTS DE CONTACT DE LrsquoANSSI 24
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 524
I Questions geacuteneacuterales sur le regraveglement eIDAS
I1 Qursquoest-ce que le regraveglement eIDAS
Le regraveglement ndeg 9102014 sur lidentification eacutelectronique et les services de confiance pour les
transactions eacutelectroniques au sein du marcheacute inteacuterieur dit regraveglement laquo eIDAS raquo est un regraveglement
europeacuteen qui a eacuteteacute adopteacute le 23 juillet 2014 par le Parlement europeacuteen et le Conseil de lUnion
Europeacuteenne Lobjectif de ce regraveglement est de mettre en place un cadre juridique propre agrave
susciter une confiance accrue dans les transactions eacutelectroniques au sein du marcheacute inteacuterieur
I2 Quels sont les sujets couverts par le regraveglement eIDAS
Le regraveglement eIDAS sapplique agrave lrsquoidentification eacutelectronique et aux services de confiance
(faisant respectivement lrsquoobjet des chapitres II et III du preacutesent document) Il accorde eacutegalement
un effet juridique aux documents eacutelectroniques
I3 Quand le regraveglement eIDAS a-t-il eacuteteacute publieacute Quand est-il entreacute en
vigueur et quand est-il devenu applicable
Le regraveglement eIDAS a eacuteteacute publieacute au Journal Officiel de lUnion Europeacuteenne (JOUE) le 28 aoucirct
2014 Il est entreacute en vigueur le 17 septembre 2014
Le regraveglement est devenu applicable
le 29 septembre 2015 pour la notification et la reconnaissance volontaire des moyens
didentification eacutelectronique par les Etats membres
le 1er juillet 2016 pour les services de confiance et les documents eacutelectroniques
le 29 septembre 2018 pour la reconnaissance mutuelle obligatoire des moyens
didentification eacutelectronique par les Etats membres
I4 Qui est concerneacute par le regraveglement eIDAS
Le regraveglement concerne les citoyens les entreprises les organismes du secteur public et les
prestataires de services de confiance eacutetablis dans lUnion europeacuteenne Il couvre en particulier les
eacutechanges entre usagers et administrations Les meacutecanismes de reconnaissance mutuelle des
moyens drsquoidentification eacutelectronique et des signatures eacutelectroniques deacutetailleacutes dans les chapitres
II et IV du preacutesent document srsquoappliquent ainsi uniquement aux administrations dans leurs
relations avec les usagers
En revanche le regraveglement ne sapplique pas agrave la fourniture de services de confiance utiliseacutes
exclusivement dans des systegravemes fermeacutes nrsquoayant pas drsquoimpact direct sur des tiers reacutesultant du
droit national ou drsquoaccords au sein dun ensemble deacutefini de participants Par exemple une
autoriteacute administrative mettant en œuvre une infrastructure de gestion de cleacutes pour couvrir ses
besoins internes ne serait pas soumise aux exigences du regraveglement eIDAS applicables aux
services de confiance
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 624
I5 Le regraveglement eIDAS srsquoapplique-t-il uniquement aux eacutechanges
transfrontaliers
Le critegravere permettant drsquoeacutetablir le caractegravere transfrontalier drsquoun eacutechange est un critegravere
geacuteographique et non un critegravere de nationaliteacute Ainsi une personne de nationaliteacute franccedilaise
reacutesidant dans un Etat membre de lrsquoUnion autre que la France qui souhaite acceacuteder agrave un service
en ligne drsquoun organisme public franccedilais se trouve dans le cadre drsquoun eacutechange transfrontalier
Toutefois le regraveglement eIDAS ne sapplique pas uniquement aux eacutechanges transfrontaliers En
effet si les aspects transnationaux sont au cœur du regraveglement eIDAS notamment via les
meacutecanismes de reconnaissance mutuelle des moyens didentification eacutelectronique et des services
de confiance le regraveglement a la vocation plus globale drsquoinstaurer un climat de confiance dans
lrsquoenvironnement en ligne y compris au niveau national
I6 Que sont les actes deacuteleacutegueacutes et actes drsquoexeacutecution du regraveglement eIDAS
Les actes deacuteleacutegueacutes et actes drsquoexeacutecution constituent la laquo leacutegislation secondaire raquo du regraveglement
eIDAS Ce sont des actes preacutevus par des articles du regraveglement venant preacuteciser les modaliteacutes
drsquoapplication de ces derniers
Ces actes peuvent notamment ecirctre utiliseacutes afin de reacutefeacuterencer des normes permettant drsquoapporter
une preacutesomption de conformiteacute aux exigences du regraveglement et harmoniser ainsi les pratiques au
sein des diffeacuterents Etats membres
Certains de ces actes sont obligatoires pour permettre la mise en application du regraveglement mais
la majoriteacute est optionnelle
A ce jour aucun acte deacuteleacutegueacute nrsquoa eacuteteacute publieacute Seuls les sept actes drsquoexeacutecution obligatoires et un
acte drsquoexeacutecution optionnel ont eacuteteacute publieacutes Ceux-ci sont reacutefeacuterenceacutes dans les chapitres II et III du
preacutesent document
I7 Quels sont les impacts et caracteacuteristiques du regraveglement eIDAS sur le
plan juridique
En dehors de ses effets particuliers concernant lidentification eacutelectronique et les services de
confiance qui sont deacutetailleacutes dans la suite de la preacutesente FAQ le regraveglement a les impacts suivant
il abroge la directive 199993EC sur la signature eacutelectronique
il accorde un effet juridique aux documents eacutelectroniques preacutecisant quils ne peuvent
ecirctre refuseacutes comme preuve en justice au seul motif quils se preacutesentent sous forme
eacutelectronique
De plus srsquoagissant drsquoun regraveglement il est dapplication directe ce qui signifie quil ne neacutecessite
pas de transposition en droit national et que toute disposition nationale allant agrave lencontre des
dispositions du regraveglement est consideacutereacutee comme non applicable
I8 Quel est le rocircle de lANSSI au titre du regraveglement eIDAS
LrsquoANSSI intervient agrave plusieurs titres dans lrsquoapplication du regraveglement eIDAS en tant que
garante de la seacutecuriteacute pour son volet laquo identification eacutelectronique raquo en tant qursquoorgane de controcircle
pour son volet laquo services de confiance raquo en tant qursquoorganisme de certification des dispositifs de
creacuteation de signature ou de cachet qualifieacutes et enfin en tant qursquoorganisme en charge de la liste de
confiance
Ces responsabiliteacutes sont deacutetailleacutees dans les chapitres II et III du preacutesent document
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 724
II Questions relatives agrave lrsquoidentification eacutelectronique
II1 Quel est lrsquoobjectif du volet laquo identification eacutelectronique raquo du regraveglement
eIDAS
Lrsquoobjectif du regraveglement eIDAS pour lidentification eacutelectronique est de mettre en place un cadre
drsquointeropeacuterabiliteacute pour les identiteacutes eacutelectroniques des diffeacuterents Etats membres Le regraveglement
deacutefinit les speacutecifications permettant lrsquointeropeacuterabiliteacute des moyens drsquoidentification
eacutelectronique
deacutefinit les niveaux de garantie et exigences de seacutecuriteacute associeacutees de ces moyens
preacutecise les conditions de reconnaissance mutuelle des moyens drsquoidentification
eacutelectronique deacutelivreacutes dans les Etats membres
II2 Quels sont les principes du volet laquo identification eacutelectronique raquo du
regraveglement eIDAS
Le regraveglement instaure un systegraveme de notification de laquo scheacutemas drsquoidentification eacutelectronique raquo par
les Etats membres Ces derniers sont deacutefinis par le regraveglement comme des laquo systegravemes pour
lrsquoidentification eacutelectronique en vertu desquels des moyens drsquoidentification eacutelectronique sont
deacutelivreacutes agrave des personnes physiques ou morales ou agrave des personnes physiques repreacutesentant des
personnes morales raquo Au sens du regraveglement un moyen drsquoidentification eacutelectronique est laquo un
eacuteleacutement mateacuteriel ou immateacuteriel contenant des donneacutees drsquoidentification personnelle et utiliseacute pour
srsquoauthentifier sur un service en ligne raquo
Le regraveglement preacutevoit trois niveaux de garantie pour les moyens didentification eacutelectronique
deacutelivreacutes dans le cadre dun scheacutema didentification eacutelectronique notifieacute faible substantiel et
eacuteleveacute Le regraveglement drsquoexeacutecution ndeg 20151502 du 8 septembre 2015 fixe les speacutecifications de
seacutecuriteacute minimales pour chacun de ces niveaux
II3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre
laquo identification eacutelectronique raquo du regraveglement
Les actes dexeacutecution relatifs agrave lidentification eacutelectronique publieacutes agrave la date de reacutedaction du
preacutesent document sont les suivants
Deacutecision dexeacutecution ndeg 2015296 du 24 feacutevrier 2015 eacutetablissant les modaliteacutes de
coopeacuteration entre les Eacutetats membres en matiegravere didentification eacutelectronique
conformeacutement agrave larticle 12 paragraphe 7 du regraveglement ndeg 9102014
Regraveglement dexeacutecution ndeg 20151501 du 8 septembre 2015 sur le cadre
dinteropeacuterabiliteacute viseacute agrave larticle 12 paragraphe 8 du regraveglement ndeg 9102014
Regraveglement dexeacutecution ndeg 20151502 du 8 septembre 2015 fixant les speacutecifications
techniques et proceacutedures minimales relatives aux niveaux de garantie des
moyens didentification eacutelectronique viseacutes agrave larticle 8 paragraphe 3 du regraveglement ndeg
9102014
Deacutecision dexeacutecution ndeg 20151984 du 3 novembre 2015 deacutefinissant les
circonstances les formats et les proceacutedures pour les notifications viseacutes agrave larticle
9 paragraphe 5 du regraveglement ndeg 9102014
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 824
II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema
drsquoidentification eacutelectronique par un Etat membre
Le regraveglement eIDAS nrsquooblige pas les Etats membres agrave mettre en œuvre un moyen didentification
eacutelectronique au niveau national ni le cas eacutecheacuteant agrave le notifier agrave la Commission europeacuteenne
Le cas eacutecheacuteant un Etat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique doit
au preacutealable
permettre lrsquoutilisation du moyen drsquoidentification eacutelectronique deacutelivreacute dans le cadre de ce
scheacutema pour acceacuteder agrave au moins un service en ligne fourni par un organisme du
secteur public de lrsquoEacutetat membre notifiant
fournir la description du scheacutema aux autres Eacutetats membres six mois au moins avant la
notification
LrsquoEtat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique transmet agrave la
Commission europeacuteenne par voie eacutelectronique le formulaire preacutevu agrave lrsquoannexe de la deacutecision
drsquoexeacutecution 20151984 de la Commission Ce formulaire doit ecirctre rempli en langue anglaise et
signeacute eacutelectroniquement
II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema
drsquoidentification eacutelectronique
Si un Etat membre choisit de notifier un scheacutema drsquoidentification eacutelectronique cela geacutenegravere pour
lui les obligations suivantes
respecter les speacutecifications de seacutecuriteacute minimales deacutefinies dans le regraveglement
drsquoexeacutecution ndeg20151502 du 8 septembre 2015 ainsi que les speacutecifications
drsquointeropeacuterabiliteacute deacutefinies dans lrsquoacte drsquoexeacutecution ndeg20151501 du 8 septembre 2015
fournir une authentification en ligne afin de permettre agrave toute partie utilisatrice eacutetablie
sur le territoire dun autre Etat membre de confirmer les donneacutees didentification
personnelle reccedilues sous forme eacutelectronique
suspendre ou reacutevoquer lrsquoauthentification transfrontaliegravere en cas drsquoatteinte agrave la
seacutecuriteacute du scheacutema drsquoidentification eacutelectronique et notifier son retrait srsquoil ne peut ecirctre
remeacutedieacute agrave lrsquoatteinte dans un deacutelai de trois mois
LrsquoEtat membre notifiant est responsable du dommage causeacute intentionnellement ou par
neacutegligence agrave toute personne physique ou morale en raison drsquoun manquement agrave ces obligations
dans le cas drsquoune authentification transfrontaliegravere
II6 Qursquoest-ce que le reacuteseau de coopeacuteration
La deacutecision drsquoexeacutecution 2015296 de la Commission europeacuteenne preacutevoit les modaliteacutes de
coopeacuteration entre les Etats membres sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute des scheacutemas
drsquoidentification eacutelectronique
Cette deacutecision eacutetablit notamment le reacuteseau de coopeacuteration qui a pour mission
drsquoinstaurer des meacutethodes efficaces drsquoeacutechange drsquoinformations entre les Eacutetats membres de
lrsquoUnion europeacuteenne sur toutes les questions relatives agrave lrsquoidentification eacutelectronique
drsquoexaminer les eacutevolutions pertinentes dans le secteur de lrsquoidentification eacutelectronique et
drsquoeacutelaborer de bonnes pratiques en matiegravere drsquointeropeacuterabiliteacute et de seacutecuriteacute des scheacutemas
drsquoidentification eacutelectronique
drsquoadopter des avis sur la faccedilon dont un scheacutema drsquoidentification eacutelectronique satisfait aux
exigences contenues dans le regraveglement eIDAS agrave lrsquoissue du processus drsquoexamen par les
pairs
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 924
Les reacuteunions du reacuteseau de coopeacuteration sont preacutesideacutees par la Commission europeacuteenne
II7 Qursquoest-ce que lrsquoexamen par les pairs
Tous les scheacutemas drsquoidentification eacutelectronique dont la description a eacuteteacute fournie aux Eacutetats
membres preacutealablement agrave une notification peuvent faire lrsquoobjet drsquoun examen par les pairs
La participation des Etats membres pairs est volontaire et lrsquoEacutetat membre dont le scheacutema
drsquoidentification eacutelectronique doit faire lrsquoobjet drsquoun examen ne peut refuser la participation drsquoun
Etat membre pair agrave ce processus de coopeacuteration
Les Etats membres participants deacutesignent des experts chargeacutes de proceacuteder agrave lrsquoexamen Au terme
du processus drsquoexamen qui ne peut exceacuteder trois mois les participants disposent drsquoun mois pour
preacutesenter un rapport au reacuteseau de coopeacuteration A lrsquoissue de cette preacutesentation le reacuteseau de
coopeacuteration eacutemet un avis disponible publiquement
Les avis du reacuteseau de coopeacuteration sont accessibles agrave lrsquoadresse suivante
httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOpinions+of+the+Cooperation+
Network
II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes
La Commission publie au Journal officiel de lrsquoUnion europeacuteenne la liste des scheacutemas
drsquoidentification eacutelectronique qui ont eacuteteacute notifieacutes et les informations essentielles agrave leur sujet et
maintient cette liste agrave jour en fonction des notifications des Etats membres (incluant les
modifications et retraits des scheacutemas drsquoidentification eacutelectronique)
Une liste des scheacutemas drsquoidentification eacutelectronique notifieacutes ou soumis agrave lrsquoexamen par les pairs
est eacutegalement disponible agrave lrsquoadresse suivante
httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOverview+of+pre+notified+and
+notified+eID+schemes+under+eIDAS
II9 Les organismes du secteur public sont-ils tenus de recourir agrave des
moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS
Le regraveglement eIDAS nrsquooblige pas les organismes du secteur public des diffeacuterents Etats membres
agrave recourir agrave des moyens didentification eacutelectronique deacutelivreacutes dans le cadre de scheacutemas
drsquoidentification eacutelectroniques notifieacutes
Les organismes du secteur public peuvent toutefois soit en vertu de pratiques administratives
nationales ou en vertu du droit national exiger la mise en œuvre drsquoun moyen drsquoidentification
eacutelectronique pour lrsquoaccegraves agrave leurs teacuteleacuteservices
II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil
exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo
pour lrsquoaccegraves agrave ses services
Si dans un Etat membre un organisme du secteur public exige pour lrsquoaccegraves agrave lrsquoun de ses
services en ligne une identification eacutelectronique de niveau de garantie substantiel ou eacuteleveacute il
devra eacutegalement accepter pour laccegraves agrave ce teacuteleacuteservice lrsquoensemble des moyens didentification
eacutelectronique de niveau eacutequivalent ou supeacuterieur et relevant drsquoun scheacutema drsquoidentification notifieacute agrave
la Commission et publieacute au JOUE Cette obligation est effective depuis le 29 septembre 2018
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1024
Par ailleurs les organismes du secteur public peuvent deacutecider sur une base volontaire de
reconnaicirctre les scheacutemas drsquoidentification eacutelectronique de niveau faible ainsi que les scheacutemas
drsquoidentification eacutelectronique notifieacutes avant le 29 septembre 2018
II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification
eacutelectronique
Les moyens drsquoidentification eacutelectronique peuvent ecirctre demandeacutes par des personnes physiques ou
morales ou par des personnes physiques repreacutesentant des personnes morales
Pour obtenir un moyen drsquoidentification eacutelectronique le demandeur doit pouvoir justifier de son
identiteacute dans les conditions preacutevues par le regraveglement drsquoexeacutecution ndeg 20151502 qui preacutecise en
annexe les exigences minimales relatives agrave la veacuterification didentiteacute des personnes physiques et agrave
la deacutelivrance du moyen didentification
Ces exigences peuvent ecirctre renforceacutees par la reacuteglementation nationale ou les pratiques du
fournisseur drsquoidentiteacute en fonction du niveau de garantie viseacute
II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification
eacutelectronique
Le regraveglement drsquoexeacutecution ndeg20151502 preacutecise uniquement selon le niveau de garantie la nature
des veacuterifications devant ecirctre reacutealiseacutees (authenticiteacute des piegraveces drsquoidentiteacute preacutesenteacutees comparaison
de caracteacuteristiques physiques du demandeurhellip) sans speacutecifier le moyen technique ou
organisationnel
En particulier le face agrave face (crsquoest-agrave-dire une rencontre en personne entre le demandeur de
lrsquoidentification et la personne deacutelivrant le moyen drsquoidentification) nrsquoest pas exigeacute Par
conseacutequent lexistence dun face agrave face dans la proceacutedure de veacuterification didentiteacute etou dans
celle de deacutelivrance du moyen didentification eacutelectronique deacutependra des choix techniques
effectueacutes par lrsquoorganisme deacutelivrant ce moyen
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise ne place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1124
II13 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo identification eacutelectronique raquo du regraveglement eIDAS
La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication
de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point
de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute
demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute
Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au
niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des
fournisseurs de services
La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications
eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le
respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave
FranceConnect
LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS
A ce titre elle
eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des
moyens didentification eacutelectronique
eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens
drsquoidentification eacutelectronique
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1224
III Questions relatives agrave lrsquoensemble des services de confiance
III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement
eIDAS
Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de
confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule
signature eacutelectronique et englobe les services de
creacuteation veacuterification et validation de signatures eacutelectroniques de cachets
eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de
certificats relatifs agrave ces services
creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites
internet
conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats
relatifs agrave ces services
III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement
eIDAS
Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de
confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets
juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services
de confiance qualifieacutes
Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques
qualifieacutees et aux cachets eacutelectroniques qualifieacutes
Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service
de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat
membre
III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services
de confiance raquo du regraveglement
Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette
FAQ sont les suivants
Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications
relatives agrave la forme du label de confiance de lUnion pour les services de confiance
qualifieacutes
Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications
techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22
paragraphe 5 du regraveglement ndeg 9102014
Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications
relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets
eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public
viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg
9102014
Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave
leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature
eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et
agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1324
III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS
Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des
signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois
recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme
eacutelectronique ou qursquoils ne soient pas qualifieacutes
En compleacutement le regraveglement preacutecise les effets juridiques suivants
la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui
dune signature manuscrite
le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees
et dexactitude de lorigine des donneacutees auxquelles il est lieacute
lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la
date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette
date et cette heure
lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave
linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur
reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi
et de la reacuteception indiqueacutees
III5 Quelles sont les exigences applicables aux prestataires de services de
confiance
Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de
confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions
fixeacutees par les Etats membres
effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive
9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees
ndeg2016679)
rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs
services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave
un utilisateur final
prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques
lieacutes agrave la seacutecuriteacute des services quils fournissent
notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter
preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou
toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance
fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees
Les prestataires de services de confiance sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver
lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1424
III6 Quelles sont les obligations induites du volet laquo services de confiance raquo
du regraveglement eIDAS pour les prestataires de services de confiance
qualifieacutes
Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant
au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales
applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des
exigences speacutecifiques agrave chaque service de confiance qualifieacute
Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la
conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle
deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant
de pouvoir commencer agrave fournir des services qualifieacutes
Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de
prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part
III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement
Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants
la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le
cachet eacutelectronique ou lrsquoauthentification de site internet
lrsquohorodatage eacutelectronique
la validation de signatures ou de cachets eacutelectronique
la conservation de signatures ou de cachets eacutelectroniques
lrsquoenvoi recommandeacute eacutelectronique
La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation
de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du
signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement
eIDAS
III8 Quel est le reacutegime de controcircle des prestataires de services de
confiance
Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par
chaque Etat membre ayant pour mission
le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le
territoire franccedilais
la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires
de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre
lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils
fournissent ne satisfont pas aux exigences du regraveglement
Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a
priori
Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle
srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes
conformeacutement au regraveglement europeacuteen ndeg 7652008CE
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1524
III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de
services de confiance qualifieacutes
Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave
leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute
Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements
compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de
lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux
exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification
En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre
un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme
drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux
frais de ce dernier
Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS
Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique
III10 Qursquoest-ce qursquoune liste de confiance
Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les
informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont
responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations
relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur
cette liste
III11 Qursquoest-ce que le label de confiance de lrsquoUnion
Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les
prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de
maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent
Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du
prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee
Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806
III12 Qursquoest-ce que le laquo mandat 460 raquo
Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif
drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen
Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)
et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes
et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les
travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en
œuvre du regraveglement
Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de
conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers
des actes drsquoexeacutecution qursquoil preacutevoit
Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement
les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1624
III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave
des services de confiance qualifieacutes
Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres
drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les
exigences applicables au sein de chaque Etat membre
Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public
exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces
obligations sont preacuteciseacutees au chapitre IV du preacutesent document
III14 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo services de confiance raquo du regraveglement eIDAS
La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement
sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance
A ce titre lANSSI assure notamment les missions suivantes
le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes
le controcircle a posteriori et sur saisie des prestataires de service de confiance non-
qualifieacutes
lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance
qui en font la demande
la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de
services de confiance qualifieacutes par des organismes drsquoeacutevaluation
la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS
lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute
la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis
dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la
Commission sur ses principales activiteacutes
En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge
lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise
la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des
dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes
la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique
qualifieacutes qursquoelle a certifieacute conformes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1724
IV Questions relatives agrave la signature et au cachet eacutelectronique
Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au
cachet eacutelectronique
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique
Il convient de distinguer quatre niveaux de signatures eacutelectroniques
Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit
par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de
controcircle
Ces deux premiers niveaux sont
La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)
Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou
associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire
utilise pour signer
La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)
Cette signature doit
o ecirctre lieacutee au signataire de maniegravere univoque
o permettre drsquoidentifier le signataire
o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le
signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle
exclusif
o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute
modification ulteacuterieure des donneacutees soit deacutetectable
Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par
un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des
certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle
Ces deux niveaux suivants sont
La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux
articles 26 et 28 du regraveglement eIDAS)
Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute
respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS
Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion
du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des
exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est
uniquement deacutelivreacute au signataire leacutegitime
La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement
eIDAS)
La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature
eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature
eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1824
confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce
dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale
Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune
signature manuscrite
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique
qualifieacute
Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave
creacuteer une signature eacutelectronique
Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II
du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees
La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs
deacutesigneacutes par chaque Etat membre agrave la Commission
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle
exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees
pour prononcer la certification de conformiteacute
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de
services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave
distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la
conformiteacute et de le notifier agrave la Commission
IV3 Qui peut demander un certificat qualifieacute
Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats
eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et
respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats
Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute
deacutelivreacute par un prestataire de services de confiance qualifieacute
De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au
regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il
nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un
cachet eacutelectronique qualifieacute
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la
signature qualifieacutee
Le regraveglement eIDAS entraicircne les changements suivants
Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le
compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees
par un prestataire de services de confiance qualifieacute
Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)
Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les
personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1924
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat
qualifieacute de signature eacutelectronique
Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance
lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute
doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait
par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la
personne morale (ce qui implique donc un face agrave face) ou
agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la
deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de
la personne morale) sest preacutesenteacutee en personne ou
au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux
deux points ci-dessus ou
agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant
une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne
Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi
les possibiliteacutes offertes par le regraveglement
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave
distance par quels moyens la personne peut-elle manifester son
consentement
Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de
sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de
la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par
exemple sur une carte agrave puce et un code PIN)
A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute
suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature
eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees
agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la
saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave
lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2024
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave
distance
Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de
confiance qualifieacute
Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant
en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal
Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire
doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services
de confiance qualifieacutes preacutevus par le regraveglement
ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de
sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au
besoin de continuiteacute du service
La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de
conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute
LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des
certificats de conformiteacute
Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute
distincts
Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage
drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi
qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes
Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de
lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le
produit ou le systegraveme composant le QSCD
Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit
composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de
la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de
signature ou de cachet
LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est
disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-
notified-commission-accordance-article303b-and-392-eidas
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de
la signature eacutelectronique
Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques
avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature
eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne
offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les
formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506
Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats
de signature suivants
ETSI TS 103 171 (v211) (XAdES Baseline Profile)
ETSI TS 103 172 (v222) (PAdES Baseline Profile)
ETSI TS 103 173 (v221) (CAdES Baseline Profile)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 324
SOMMAIRE
I QUESTIONS GENERALES SUR LE REGLEMENT EIDAS 5
I1 Qursquoest-ce que le regraveglement eIDAS 5
I2 Quels sont les sujets couverts par le regraveglement eIDAS 5
I3 Quand le regraveglement eIDAS a-t-il eacuteteacute publieacute Quand est-il entreacute en vigueur et quand est-il devenu applicable 5
I4 Qui est concerneacute par le regraveglement eIDAS 5
I5 Le regraveglement eIDAS srsquoapplique-t-il uniquement aux eacutechanges transfrontaliers 6
I6 Que sont les actes deacuteleacutegueacutes et actes drsquoexeacutecution du regraveglement eIDAS 6
I7 Quels sont les impacts et caracteacuteristiques du regraveglement eIDAS sur le plan juridique 6
I8 Quel est le rocircle de lANSSI au titre du regraveglement eIDAS 6
II QUESTIONS RELATIVES A LrsquoIDENTIFICATION ELECTRONIQUE 7
II1 Quel est lrsquoobjectif du volet laquo identification eacutelectronique raquo du regraveglement eIDAS 7
II2 Quels sont les principes du volet laquo identification eacutelectronique raquo du regraveglement eIDAS 7
II3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo identification eacutelectronique raquo du regraveglement 7
II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema drsquoidentification eacutelectronique par un Etat membre 8
II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema drsquoidentification eacutelectronique 8
II6 Qursquoest-ce que le reacuteseau de coopeacuteration 8
II7 Qursquoest-ce que lrsquoexamen par les pairs 9
II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes 9
II9 Les organismes du secteur public sont-ils tenus de recourir agrave des moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS 9
II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo pour lrsquoaccegraves agrave ses services 9
II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification eacutelectronique 10
II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification eacutelectronique 10
II13 Comment se deacuteroule la mise en œuvre au niveau national du volet laquo identification eacutelectronique raquo du regraveglement eIDAS 11
III QUESTIONS RELATIVES A LrsquoENSEMBLE DES SERVICES DE CONFIANCE 12
III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement eIDAS 12
III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement eIDAS 12
III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services de confiance raquo du regraveglement 12
III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS 13
III5 Quelles sont les exigences applicables aux prestataires de services de confiance 13
III6 Quelles sont les obligations induites du volet laquo services de confiance raquo du regraveglement eIDAS pour les prestataires de services de confiance qualifieacutes 14
III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement 14
III8 Quel est le reacutegime de controcircle des prestataires de services de confiance 14
III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de services de confiance qualifieacutes 15
III10 Qursquoest-ce qursquoune liste de confiance 15
III11 Qursquoest-ce que le label de confiance de lrsquoUnion 15
III12 Qursquoest-ce que le laquo mandat 460 raquo 15
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 424
III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave des services de confiance qualifieacutes 16
III14 Comment se deacuteroule la mise en œuvre au niveau national du volet laquo services de confiance raquo du regraveglement eIDAS 16
IV QUESTIONS RELATIVES A LA SIGNATURE ET AU CACHET ELECTRONIQUE 17
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique 17
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique qualifieacute 18
IV3 Qui peut demander un certificat qualifieacute 18
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la signature qualifieacutee 18
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat qualifieacute de signature eacutelectronique 19
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave distance par quels moyens la personne peut-elle manifester son consentement 19
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave distance 20
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de la signature eacutelectronique 20
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur un cadre communautaire pour les signatures eacutelectroniques 21
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS 21
V QUESTIONS RELATIVES AUX IMPACTS NATIONAUX DU VOLET laquo SERVICES DE CONFIANCE raquo 22
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE suite agrave la parution du regraveglement eIDAS 22
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement eIDAS 22
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-272 sont-ils qualifieacutes au titre du regraveglement eIDAS 22
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave lhorodatage eacutelectronique 23
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS sont-ils qualifieacutes au titre du regraveglement eIDAS 23
VI POINTS DE CONTACT DE LrsquoANSSI 24
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 524
I Questions geacuteneacuterales sur le regraveglement eIDAS
I1 Qursquoest-ce que le regraveglement eIDAS
Le regraveglement ndeg 9102014 sur lidentification eacutelectronique et les services de confiance pour les
transactions eacutelectroniques au sein du marcheacute inteacuterieur dit regraveglement laquo eIDAS raquo est un regraveglement
europeacuteen qui a eacuteteacute adopteacute le 23 juillet 2014 par le Parlement europeacuteen et le Conseil de lUnion
Europeacuteenne Lobjectif de ce regraveglement est de mettre en place un cadre juridique propre agrave
susciter une confiance accrue dans les transactions eacutelectroniques au sein du marcheacute inteacuterieur
I2 Quels sont les sujets couverts par le regraveglement eIDAS
Le regraveglement eIDAS sapplique agrave lrsquoidentification eacutelectronique et aux services de confiance
(faisant respectivement lrsquoobjet des chapitres II et III du preacutesent document) Il accorde eacutegalement
un effet juridique aux documents eacutelectroniques
I3 Quand le regraveglement eIDAS a-t-il eacuteteacute publieacute Quand est-il entreacute en
vigueur et quand est-il devenu applicable
Le regraveglement eIDAS a eacuteteacute publieacute au Journal Officiel de lUnion Europeacuteenne (JOUE) le 28 aoucirct
2014 Il est entreacute en vigueur le 17 septembre 2014
Le regraveglement est devenu applicable
le 29 septembre 2015 pour la notification et la reconnaissance volontaire des moyens
didentification eacutelectronique par les Etats membres
le 1er juillet 2016 pour les services de confiance et les documents eacutelectroniques
le 29 septembre 2018 pour la reconnaissance mutuelle obligatoire des moyens
didentification eacutelectronique par les Etats membres
I4 Qui est concerneacute par le regraveglement eIDAS
Le regraveglement concerne les citoyens les entreprises les organismes du secteur public et les
prestataires de services de confiance eacutetablis dans lUnion europeacuteenne Il couvre en particulier les
eacutechanges entre usagers et administrations Les meacutecanismes de reconnaissance mutuelle des
moyens drsquoidentification eacutelectronique et des signatures eacutelectroniques deacutetailleacutes dans les chapitres
II et IV du preacutesent document srsquoappliquent ainsi uniquement aux administrations dans leurs
relations avec les usagers
En revanche le regraveglement ne sapplique pas agrave la fourniture de services de confiance utiliseacutes
exclusivement dans des systegravemes fermeacutes nrsquoayant pas drsquoimpact direct sur des tiers reacutesultant du
droit national ou drsquoaccords au sein dun ensemble deacutefini de participants Par exemple une
autoriteacute administrative mettant en œuvre une infrastructure de gestion de cleacutes pour couvrir ses
besoins internes ne serait pas soumise aux exigences du regraveglement eIDAS applicables aux
services de confiance
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 624
I5 Le regraveglement eIDAS srsquoapplique-t-il uniquement aux eacutechanges
transfrontaliers
Le critegravere permettant drsquoeacutetablir le caractegravere transfrontalier drsquoun eacutechange est un critegravere
geacuteographique et non un critegravere de nationaliteacute Ainsi une personne de nationaliteacute franccedilaise
reacutesidant dans un Etat membre de lrsquoUnion autre que la France qui souhaite acceacuteder agrave un service
en ligne drsquoun organisme public franccedilais se trouve dans le cadre drsquoun eacutechange transfrontalier
Toutefois le regraveglement eIDAS ne sapplique pas uniquement aux eacutechanges transfrontaliers En
effet si les aspects transnationaux sont au cœur du regraveglement eIDAS notamment via les
meacutecanismes de reconnaissance mutuelle des moyens didentification eacutelectronique et des services
de confiance le regraveglement a la vocation plus globale drsquoinstaurer un climat de confiance dans
lrsquoenvironnement en ligne y compris au niveau national
I6 Que sont les actes deacuteleacutegueacutes et actes drsquoexeacutecution du regraveglement eIDAS
Les actes deacuteleacutegueacutes et actes drsquoexeacutecution constituent la laquo leacutegislation secondaire raquo du regraveglement
eIDAS Ce sont des actes preacutevus par des articles du regraveglement venant preacuteciser les modaliteacutes
drsquoapplication de ces derniers
Ces actes peuvent notamment ecirctre utiliseacutes afin de reacutefeacuterencer des normes permettant drsquoapporter
une preacutesomption de conformiteacute aux exigences du regraveglement et harmoniser ainsi les pratiques au
sein des diffeacuterents Etats membres
Certains de ces actes sont obligatoires pour permettre la mise en application du regraveglement mais
la majoriteacute est optionnelle
A ce jour aucun acte deacuteleacutegueacute nrsquoa eacuteteacute publieacute Seuls les sept actes drsquoexeacutecution obligatoires et un
acte drsquoexeacutecution optionnel ont eacuteteacute publieacutes Ceux-ci sont reacutefeacuterenceacutes dans les chapitres II et III du
preacutesent document
I7 Quels sont les impacts et caracteacuteristiques du regraveglement eIDAS sur le
plan juridique
En dehors de ses effets particuliers concernant lidentification eacutelectronique et les services de
confiance qui sont deacutetailleacutes dans la suite de la preacutesente FAQ le regraveglement a les impacts suivant
il abroge la directive 199993EC sur la signature eacutelectronique
il accorde un effet juridique aux documents eacutelectroniques preacutecisant quils ne peuvent
ecirctre refuseacutes comme preuve en justice au seul motif quils se preacutesentent sous forme
eacutelectronique
De plus srsquoagissant drsquoun regraveglement il est dapplication directe ce qui signifie quil ne neacutecessite
pas de transposition en droit national et que toute disposition nationale allant agrave lencontre des
dispositions du regraveglement est consideacutereacutee comme non applicable
I8 Quel est le rocircle de lANSSI au titre du regraveglement eIDAS
LrsquoANSSI intervient agrave plusieurs titres dans lrsquoapplication du regraveglement eIDAS en tant que
garante de la seacutecuriteacute pour son volet laquo identification eacutelectronique raquo en tant qursquoorgane de controcircle
pour son volet laquo services de confiance raquo en tant qursquoorganisme de certification des dispositifs de
creacuteation de signature ou de cachet qualifieacutes et enfin en tant qursquoorganisme en charge de la liste de
confiance
Ces responsabiliteacutes sont deacutetailleacutees dans les chapitres II et III du preacutesent document
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 724
II Questions relatives agrave lrsquoidentification eacutelectronique
II1 Quel est lrsquoobjectif du volet laquo identification eacutelectronique raquo du regraveglement
eIDAS
Lrsquoobjectif du regraveglement eIDAS pour lidentification eacutelectronique est de mettre en place un cadre
drsquointeropeacuterabiliteacute pour les identiteacutes eacutelectroniques des diffeacuterents Etats membres Le regraveglement
deacutefinit les speacutecifications permettant lrsquointeropeacuterabiliteacute des moyens drsquoidentification
eacutelectronique
deacutefinit les niveaux de garantie et exigences de seacutecuriteacute associeacutees de ces moyens
preacutecise les conditions de reconnaissance mutuelle des moyens drsquoidentification
eacutelectronique deacutelivreacutes dans les Etats membres
II2 Quels sont les principes du volet laquo identification eacutelectronique raquo du
regraveglement eIDAS
Le regraveglement instaure un systegraveme de notification de laquo scheacutemas drsquoidentification eacutelectronique raquo par
les Etats membres Ces derniers sont deacutefinis par le regraveglement comme des laquo systegravemes pour
lrsquoidentification eacutelectronique en vertu desquels des moyens drsquoidentification eacutelectronique sont
deacutelivreacutes agrave des personnes physiques ou morales ou agrave des personnes physiques repreacutesentant des
personnes morales raquo Au sens du regraveglement un moyen drsquoidentification eacutelectronique est laquo un
eacuteleacutement mateacuteriel ou immateacuteriel contenant des donneacutees drsquoidentification personnelle et utiliseacute pour
srsquoauthentifier sur un service en ligne raquo
Le regraveglement preacutevoit trois niveaux de garantie pour les moyens didentification eacutelectronique
deacutelivreacutes dans le cadre dun scheacutema didentification eacutelectronique notifieacute faible substantiel et
eacuteleveacute Le regraveglement drsquoexeacutecution ndeg 20151502 du 8 septembre 2015 fixe les speacutecifications de
seacutecuriteacute minimales pour chacun de ces niveaux
II3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre
laquo identification eacutelectronique raquo du regraveglement
Les actes dexeacutecution relatifs agrave lidentification eacutelectronique publieacutes agrave la date de reacutedaction du
preacutesent document sont les suivants
Deacutecision dexeacutecution ndeg 2015296 du 24 feacutevrier 2015 eacutetablissant les modaliteacutes de
coopeacuteration entre les Eacutetats membres en matiegravere didentification eacutelectronique
conformeacutement agrave larticle 12 paragraphe 7 du regraveglement ndeg 9102014
Regraveglement dexeacutecution ndeg 20151501 du 8 septembre 2015 sur le cadre
dinteropeacuterabiliteacute viseacute agrave larticle 12 paragraphe 8 du regraveglement ndeg 9102014
Regraveglement dexeacutecution ndeg 20151502 du 8 septembre 2015 fixant les speacutecifications
techniques et proceacutedures minimales relatives aux niveaux de garantie des
moyens didentification eacutelectronique viseacutes agrave larticle 8 paragraphe 3 du regraveglement ndeg
9102014
Deacutecision dexeacutecution ndeg 20151984 du 3 novembre 2015 deacutefinissant les
circonstances les formats et les proceacutedures pour les notifications viseacutes agrave larticle
9 paragraphe 5 du regraveglement ndeg 9102014
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 824
II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema
drsquoidentification eacutelectronique par un Etat membre
Le regraveglement eIDAS nrsquooblige pas les Etats membres agrave mettre en œuvre un moyen didentification
eacutelectronique au niveau national ni le cas eacutecheacuteant agrave le notifier agrave la Commission europeacuteenne
Le cas eacutecheacuteant un Etat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique doit
au preacutealable
permettre lrsquoutilisation du moyen drsquoidentification eacutelectronique deacutelivreacute dans le cadre de ce
scheacutema pour acceacuteder agrave au moins un service en ligne fourni par un organisme du
secteur public de lrsquoEacutetat membre notifiant
fournir la description du scheacutema aux autres Eacutetats membres six mois au moins avant la
notification
LrsquoEtat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique transmet agrave la
Commission europeacuteenne par voie eacutelectronique le formulaire preacutevu agrave lrsquoannexe de la deacutecision
drsquoexeacutecution 20151984 de la Commission Ce formulaire doit ecirctre rempli en langue anglaise et
signeacute eacutelectroniquement
II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema
drsquoidentification eacutelectronique
Si un Etat membre choisit de notifier un scheacutema drsquoidentification eacutelectronique cela geacutenegravere pour
lui les obligations suivantes
respecter les speacutecifications de seacutecuriteacute minimales deacutefinies dans le regraveglement
drsquoexeacutecution ndeg20151502 du 8 septembre 2015 ainsi que les speacutecifications
drsquointeropeacuterabiliteacute deacutefinies dans lrsquoacte drsquoexeacutecution ndeg20151501 du 8 septembre 2015
fournir une authentification en ligne afin de permettre agrave toute partie utilisatrice eacutetablie
sur le territoire dun autre Etat membre de confirmer les donneacutees didentification
personnelle reccedilues sous forme eacutelectronique
suspendre ou reacutevoquer lrsquoauthentification transfrontaliegravere en cas drsquoatteinte agrave la
seacutecuriteacute du scheacutema drsquoidentification eacutelectronique et notifier son retrait srsquoil ne peut ecirctre
remeacutedieacute agrave lrsquoatteinte dans un deacutelai de trois mois
LrsquoEtat membre notifiant est responsable du dommage causeacute intentionnellement ou par
neacutegligence agrave toute personne physique ou morale en raison drsquoun manquement agrave ces obligations
dans le cas drsquoune authentification transfrontaliegravere
II6 Qursquoest-ce que le reacuteseau de coopeacuteration
La deacutecision drsquoexeacutecution 2015296 de la Commission europeacuteenne preacutevoit les modaliteacutes de
coopeacuteration entre les Etats membres sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute des scheacutemas
drsquoidentification eacutelectronique
Cette deacutecision eacutetablit notamment le reacuteseau de coopeacuteration qui a pour mission
drsquoinstaurer des meacutethodes efficaces drsquoeacutechange drsquoinformations entre les Eacutetats membres de
lrsquoUnion europeacuteenne sur toutes les questions relatives agrave lrsquoidentification eacutelectronique
drsquoexaminer les eacutevolutions pertinentes dans le secteur de lrsquoidentification eacutelectronique et
drsquoeacutelaborer de bonnes pratiques en matiegravere drsquointeropeacuterabiliteacute et de seacutecuriteacute des scheacutemas
drsquoidentification eacutelectronique
drsquoadopter des avis sur la faccedilon dont un scheacutema drsquoidentification eacutelectronique satisfait aux
exigences contenues dans le regraveglement eIDAS agrave lrsquoissue du processus drsquoexamen par les
pairs
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 924
Les reacuteunions du reacuteseau de coopeacuteration sont preacutesideacutees par la Commission europeacuteenne
II7 Qursquoest-ce que lrsquoexamen par les pairs
Tous les scheacutemas drsquoidentification eacutelectronique dont la description a eacuteteacute fournie aux Eacutetats
membres preacutealablement agrave une notification peuvent faire lrsquoobjet drsquoun examen par les pairs
La participation des Etats membres pairs est volontaire et lrsquoEacutetat membre dont le scheacutema
drsquoidentification eacutelectronique doit faire lrsquoobjet drsquoun examen ne peut refuser la participation drsquoun
Etat membre pair agrave ce processus de coopeacuteration
Les Etats membres participants deacutesignent des experts chargeacutes de proceacuteder agrave lrsquoexamen Au terme
du processus drsquoexamen qui ne peut exceacuteder trois mois les participants disposent drsquoun mois pour
preacutesenter un rapport au reacuteseau de coopeacuteration A lrsquoissue de cette preacutesentation le reacuteseau de
coopeacuteration eacutemet un avis disponible publiquement
Les avis du reacuteseau de coopeacuteration sont accessibles agrave lrsquoadresse suivante
httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOpinions+of+the+Cooperation+
Network
II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes
La Commission publie au Journal officiel de lrsquoUnion europeacuteenne la liste des scheacutemas
drsquoidentification eacutelectronique qui ont eacuteteacute notifieacutes et les informations essentielles agrave leur sujet et
maintient cette liste agrave jour en fonction des notifications des Etats membres (incluant les
modifications et retraits des scheacutemas drsquoidentification eacutelectronique)
Une liste des scheacutemas drsquoidentification eacutelectronique notifieacutes ou soumis agrave lrsquoexamen par les pairs
est eacutegalement disponible agrave lrsquoadresse suivante
httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOverview+of+pre+notified+and
+notified+eID+schemes+under+eIDAS
II9 Les organismes du secteur public sont-ils tenus de recourir agrave des
moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS
Le regraveglement eIDAS nrsquooblige pas les organismes du secteur public des diffeacuterents Etats membres
agrave recourir agrave des moyens didentification eacutelectronique deacutelivreacutes dans le cadre de scheacutemas
drsquoidentification eacutelectroniques notifieacutes
Les organismes du secteur public peuvent toutefois soit en vertu de pratiques administratives
nationales ou en vertu du droit national exiger la mise en œuvre drsquoun moyen drsquoidentification
eacutelectronique pour lrsquoaccegraves agrave leurs teacuteleacuteservices
II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil
exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo
pour lrsquoaccegraves agrave ses services
Si dans un Etat membre un organisme du secteur public exige pour lrsquoaccegraves agrave lrsquoun de ses
services en ligne une identification eacutelectronique de niveau de garantie substantiel ou eacuteleveacute il
devra eacutegalement accepter pour laccegraves agrave ce teacuteleacuteservice lrsquoensemble des moyens didentification
eacutelectronique de niveau eacutequivalent ou supeacuterieur et relevant drsquoun scheacutema drsquoidentification notifieacute agrave
la Commission et publieacute au JOUE Cette obligation est effective depuis le 29 septembre 2018
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1024
Par ailleurs les organismes du secteur public peuvent deacutecider sur une base volontaire de
reconnaicirctre les scheacutemas drsquoidentification eacutelectronique de niveau faible ainsi que les scheacutemas
drsquoidentification eacutelectronique notifieacutes avant le 29 septembre 2018
II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification
eacutelectronique
Les moyens drsquoidentification eacutelectronique peuvent ecirctre demandeacutes par des personnes physiques ou
morales ou par des personnes physiques repreacutesentant des personnes morales
Pour obtenir un moyen drsquoidentification eacutelectronique le demandeur doit pouvoir justifier de son
identiteacute dans les conditions preacutevues par le regraveglement drsquoexeacutecution ndeg 20151502 qui preacutecise en
annexe les exigences minimales relatives agrave la veacuterification didentiteacute des personnes physiques et agrave
la deacutelivrance du moyen didentification
Ces exigences peuvent ecirctre renforceacutees par la reacuteglementation nationale ou les pratiques du
fournisseur drsquoidentiteacute en fonction du niveau de garantie viseacute
II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification
eacutelectronique
Le regraveglement drsquoexeacutecution ndeg20151502 preacutecise uniquement selon le niveau de garantie la nature
des veacuterifications devant ecirctre reacutealiseacutees (authenticiteacute des piegraveces drsquoidentiteacute preacutesenteacutees comparaison
de caracteacuteristiques physiques du demandeurhellip) sans speacutecifier le moyen technique ou
organisationnel
En particulier le face agrave face (crsquoest-agrave-dire une rencontre en personne entre le demandeur de
lrsquoidentification et la personne deacutelivrant le moyen drsquoidentification) nrsquoest pas exigeacute Par
conseacutequent lexistence dun face agrave face dans la proceacutedure de veacuterification didentiteacute etou dans
celle de deacutelivrance du moyen didentification eacutelectronique deacutependra des choix techniques
effectueacutes par lrsquoorganisme deacutelivrant ce moyen
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise ne place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1124
II13 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo identification eacutelectronique raquo du regraveglement eIDAS
La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication
de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point
de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute
demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute
Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au
niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des
fournisseurs de services
La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications
eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le
respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave
FranceConnect
LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS
A ce titre elle
eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des
moyens didentification eacutelectronique
eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens
drsquoidentification eacutelectronique
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1224
III Questions relatives agrave lrsquoensemble des services de confiance
III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement
eIDAS
Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de
confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule
signature eacutelectronique et englobe les services de
creacuteation veacuterification et validation de signatures eacutelectroniques de cachets
eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de
certificats relatifs agrave ces services
creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites
internet
conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats
relatifs agrave ces services
III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement
eIDAS
Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de
confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets
juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services
de confiance qualifieacutes
Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques
qualifieacutees et aux cachets eacutelectroniques qualifieacutes
Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service
de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat
membre
III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services
de confiance raquo du regraveglement
Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette
FAQ sont les suivants
Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications
relatives agrave la forme du label de confiance de lUnion pour les services de confiance
qualifieacutes
Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications
techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22
paragraphe 5 du regraveglement ndeg 9102014
Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications
relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets
eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public
viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg
9102014
Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave
leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature
eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et
agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1324
III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS
Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des
signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois
recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme
eacutelectronique ou qursquoils ne soient pas qualifieacutes
En compleacutement le regraveglement preacutecise les effets juridiques suivants
la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui
dune signature manuscrite
le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees
et dexactitude de lorigine des donneacutees auxquelles il est lieacute
lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la
date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette
date et cette heure
lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave
linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur
reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi
et de la reacuteception indiqueacutees
III5 Quelles sont les exigences applicables aux prestataires de services de
confiance
Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de
confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions
fixeacutees par les Etats membres
effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive
9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees
ndeg2016679)
rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs
services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave
un utilisateur final
prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques
lieacutes agrave la seacutecuriteacute des services quils fournissent
notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter
preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou
toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance
fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees
Les prestataires de services de confiance sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver
lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1424
III6 Quelles sont les obligations induites du volet laquo services de confiance raquo
du regraveglement eIDAS pour les prestataires de services de confiance
qualifieacutes
Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant
au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales
applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des
exigences speacutecifiques agrave chaque service de confiance qualifieacute
Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la
conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle
deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant
de pouvoir commencer agrave fournir des services qualifieacutes
Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de
prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part
III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement
Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants
la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le
cachet eacutelectronique ou lrsquoauthentification de site internet
lrsquohorodatage eacutelectronique
la validation de signatures ou de cachets eacutelectronique
la conservation de signatures ou de cachets eacutelectroniques
lrsquoenvoi recommandeacute eacutelectronique
La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation
de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du
signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement
eIDAS
III8 Quel est le reacutegime de controcircle des prestataires de services de
confiance
Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par
chaque Etat membre ayant pour mission
le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le
territoire franccedilais
la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires
de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre
lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils
fournissent ne satisfont pas aux exigences du regraveglement
Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a
priori
Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle
srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes
conformeacutement au regraveglement europeacuteen ndeg 7652008CE
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1524
III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de
services de confiance qualifieacutes
Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave
leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute
Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements
compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de
lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux
exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification
En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre
un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme
drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux
frais de ce dernier
Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS
Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique
III10 Qursquoest-ce qursquoune liste de confiance
Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les
informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont
responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations
relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur
cette liste
III11 Qursquoest-ce que le label de confiance de lrsquoUnion
Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les
prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de
maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent
Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du
prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee
Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806
III12 Qursquoest-ce que le laquo mandat 460 raquo
Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif
drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen
Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)
et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes
et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les
travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en
œuvre du regraveglement
Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de
conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers
des actes drsquoexeacutecution qursquoil preacutevoit
Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement
les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1624
III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave
des services de confiance qualifieacutes
Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres
drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les
exigences applicables au sein de chaque Etat membre
Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public
exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces
obligations sont preacuteciseacutees au chapitre IV du preacutesent document
III14 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo services de confiance raquo du regraveglement eIDAS
La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement
sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance
A ce titre lANSSI assure notamment les missions suivantes
le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes
le controcircle a posteriori et sur saisie des prestataires de service de confiance non-
qualifieacutes
lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance
qui en font la demande
la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de
services de confiance qualifieacutes par des organismes drsquoeacutevaluation
la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS
lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute
la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis
dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la
Commission sur ses principales activiteacutes
En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge
lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise
la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des
dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes
la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique
qualifieacutes qursquoelle a certifieacute conformes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1724
IV Questions relatives agrave la signature et au cachet eacutelectronique
Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au
cachet eacutelectronique
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique
Il convient de distinguer quatre niveaux de signatures eacutelectroniques
Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit
par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de
controcircle
Ces deux premiers niveaux sont
La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)
Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou
associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire
utilise pour signer
La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)
Cette signature doit
o ecirctre lieacutee au signataire de maniegravere univoque
o permettre drsquoidentifier le signataire
o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le
signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle
exclusif
o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute
modification ulteacuterieure des donneacutees soit deacutetectable
Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par
un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des
certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle
Ces deux niveaux suivants sont
La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux
articles 26 et 28 du regraveglement eIDAS)
Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute
respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS
Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion
du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des
exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est
uniquement deacutelivreacute au signataire leacutegitime
La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement
eIDAS)
La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature
eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature
eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1824
confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce
dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale
Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune
signature manuscrite
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique
qualifieacute
Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave
creacuteer une signature eacutelectronique
Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II
du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees
La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs
deacutesigneacutes par chaque Etat membre agrave la Commission
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle
exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees
pour prononcer la certification de conformiteacute
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de
services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave
distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la
conformiteacute et de le notifier agrave la Commission
IV3 Qui peut demander un certificat qualifieacute
Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats
eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et
respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats
Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute
deacutelivreacute par un prestataire de services de confiance qualifieacute
De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au
regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il
nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un
cachet eacutelectronique qualifieacute
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la
signature qualifieacutee
Le regraveglement eIDAS entraicircne les changements suivants
Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le
compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees
par un prestataire de services de confiance qualifieacute
Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)
Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les
personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1924
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat
qualifieacute de signature eacutelectronique
Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance
lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute
doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait
par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la
personne morale (ce qui implique donc un face agrave face) ou
agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la
deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de
la personne morale) sest preacutesenteacutee en personne ou
au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux
deux points ci-dessus ou
agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant
une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne
Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi
les possibiliteacutes offertes par le regraveglement
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave
distance par quels moyens la personne peut-elle manifester son
consentement
Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de
sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de
la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par
exemple sur une carte agrave puce et un code PIN)
A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute
suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature
eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees
agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la
saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave
lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2024
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave
distance
Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de
confiance qualifieacute
Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant
en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal
Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire
doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services
de confiance qualifieacutes preacutevus par le regraveglement
ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de
sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au
besoin de continuiteacute du service
La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de
conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute
LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des
certificats de conformiteacute
Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute
distincts
Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage
drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi
qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes
Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de
lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le
produit ou le systegraveme composant le QSCD
Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit
composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de
la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de
signature ou de cachet
LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est
disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-
notified-commission-accordance-article303b-and-392-eidas
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de
la signature eacutelectronique
Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques
avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature
eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne
offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les
formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506
Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats
de signature suivants
ETSI TS 103 171 (v211) (XAdES Baseline Profile)
ETSI TS 103 172 (v222) (PAdES Baseline Profile)
ETSI TS 103 173 (v221) (CAdES Baseline Profile)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 424
III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave des services de confiance qualifieacutes 16
III14 Comment se deacuteroule la mise en œuvre au niveau national du volet laquo services de confiance raquo du regraveglement eIDAS 16
IV QUESTIONS RELATIVES A LA SIGNATURE ET AU CACHET ELECTRONIQUE 17
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique 17
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique qualifieacute 18
IV3 Qui peut demander un certificat qualifieacute 18
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la signature qualifieacutee 18
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat qualifieacute de signature eacutelectronique 19
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave distance par quels moyens la personne peut-elle manifester son consentement 19
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave distance 20
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de la signature eacutelectronique 20
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur un cadre communautaire pour les signatures eacutelectroniques 21
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS 21
V QUESTIONS RELATIVES AUX IMPACTS NATIONAUX DU VOLET laquo SERVICES DE CONFIANCE raquo 22
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE suite agrave la parution du regraveglement eIDAS 22
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement eIDAS 22
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-272 sont-ils qualifieacutes au titre du regraveglement eIDAS 22
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave lhorodatage eacutelectronique 23
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS sont-ils qualifieacutes au titre du regraveglement eIDAS 23
VI POINTS DE CONTACT DE LrsquoANSSI 24
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 524
I Questions geacuteneacuterales sur le regraveglement eIDAS
I1 Qursquoest-ce que le regraveglement eIDAS
Le regraveglement ndeg 9102014 sur lidentification eacutelectronique et les services de confiance pour les
transactions eacutelectroniques au sein du marcheacute inteacuterieur dit regraveglement laquo eIDAS raquo est un regraveglement
europeacuteen qui a eacuteteacute adopteacute le 23 juillet 2014 par le Parlement europeacuteen et le Conseil de lUnion
Europeacuteenne Lobjectif de ce regraveglement est de mettre en place un cadre juridique propre agrave
susciter une confiance accrue dans les transactions eacutelectroniques au sein du marcheacute inteacuterieur
I2 Quels sont les sujets couverts par le regraveglement eIDAS
Le regraveglement eIDAS sapplique agrave lrsquoidentification eacutelectronique et aux services de confiance
(faisant respectivement lrsquoobjet des chapitres II et III du preacutesent document) Il accorde eacutegalement
un effet juridique aux documents eacutelectroniques
I3 Quand le regraveglement eIDAS a-t-il eacuteteacute publieacute Quand est-il entreacute en
vigueur et quand est-il devenu applicable
Le regraveglement eIDAS a eacuteteacute publieacute au Journal Officiel de lUnion Europeacuteenne (JOUE) le 28 aoucirct
2014 Il est entreacute en vigueur le 17 septembre 2014
Le regraveglement est devenu applicable
le 29 septembre 2015 pour la notification et la reconnaissance volontaire des moyens
didentification eacutelectronique par les Etats membres
le 1er juillet 2016 pour les services de confiance et les documents eacutelectroniques
le 29 septembre 2018 pour la reconnaissance mutuelle obligatoire des moyens
didentification eacutelectronique par les Etats membres
I4 Qui est concerneacute par le regraveglement eIDAS
Le regraveglement concerne les citoyens les entreprises les organismes du secteur public et les
prestataires de services de confiance eacutetablis dans lUnion europeacuteenne Il couvre en particulier les
eacutechanges entre usagers et administrations Les meacutecanismes de reconnaissance mutuelle des
moyens drsquoidentification eacutelectronique et des signatures eacutelectroniques deacutetailleacutes dans les chapitres
II et IV du preacutesent document srsquoappliquent ainsi uniquement aux administrations dans leurs
relations avec les usagers
En revanche le regraveglement ne sapplique pas agrave la fourniture de services de confiance utiliseacutes
exclusivement dans des systegravemes fermeacutes nrsquoayant pas drsquoimpact direct sur des tiers reacutesultant du
droit national ou drsquoaccords au sein dun ensemble deacutefini de participants Par exemple une
autoriteacute administrative mettant en œuvre une infrastructure de gestion de cleacutes pour couvrir ses
besoins internes ne serait pas soumise aux exigences du regraveglement eIDAS applicables aux
services de confiance
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 624
I5 Le regraveglement eIDAS srsquoapplique-t-il uniquement aux eacutechanges
transfrontaliers
Le critegravere permettant drsquoeacutetablir le caractegravere transfrontalier drsquoun eacutechange est un critegravere
geacuteographique et non un critegravere de nationaliteacute Ainsi une personne de nationaliteacute franccedilaise
reacutesidant dans un Etat membre de lrsquoUnion autre que la France qui souhaite acceacuteder agrave un service
en ligne drsquoun organisme public franccedilais se trouve dans le cadre drsquoun eacutechange transfrontalier
Toutefois le regraveglement eIDAS ne sapplique pas uniquement aux eacutechanges transfrontaliers En
effet si les aspects transnationaux sont au cœur du regraveglement eIDAS notamment via les
meacutecanismes de reconnaissance mutuelle des moyens didentification eacutelectronique et des services
de confiance le regraveglement a la vocation plus globale drsquoinstaurer un climat de confiance dans
lrsquoenvironnement en ligne y compris au niveau national
I6 Que sont les actes deacuteleacutegueacutes et actes drsquoexeacutecution du regraveglement eIDAS
Les actes deacuteleacutegueacutes et actes drsquoexeacutecution constituent la laquo leacutegislation secondaire raquo du regraveglement
eIDAS Ce sont des actes preacutevus par des articles du regraveglement venant preacuteciser les modaliteacutes
drsquoapplication de ces derniers
Ces actes peuvent notamment ecirctre utiliseacutes afin de reacutefeacuterencer des normes permettant drsquoapporter
une preacutesomption de conformiteacute aux exigences du regraveglement et harmoniser ainsi les pratiques au
sein des diffeacuterents Etats membres
Certains de ces actes sont obligatoires pour permettre la mise en application du regraveglement mais
la majoriteacute est optionnelle
A ce jour aucun acte deacuteleacutegueacute nrsquoa eacuteteacute publieacute Seuls les sept actes drsquoexeacutecution obligatoires et un
acte drsquoexeacutecution optionnel ont eacuteteacute publieacutes Ceux-ci sont reacutefeacuterenceacutes dans les chapitres II et III du
preacutesent document
I7 Quels sont les impacts et caracteacuteristiques du regraveglement eIDAS sur le
plan juridique
En dehors de ses effets particuliers concernant lidentification eacutelectronique et les services de
confiance qui sont deacutetailleacutes dans la suite de la preacutesente FAQ le regraveglement a les impacts suivant
il abroge la directive 199993EC sur la signature eacutelectronique
il accorde un effet juridique aux documents eacutelectroniques preacutecisant quils ne peuvent
ecirctre refuseacutes comme preuve en justice au seul motif quils se preacutesentent sous forme
eacutelectronique
De plus srsquoagissant drsquoun regraveglement il est dapplication directe ce qui signifie quil ne neacutecessite
pas de transposition en droit national et que toute disposition nationale allant agrave lencontre des
dispositions du regraveglement est consideacutereacutee comme non applicable
I8 Quel est le rocircle de lANSSI au titre du regraveglement eIDAS
LrsquoANSSI intervient agrave plusieurs titres dans lrsquoapplication du regraveglement eIDAS en tant que
garante de la seacutecuriteacute pour son volet laquo identification eacutelectronique raquo en tant qursquoorgane de controcircle
pour son volet laquo services de confiance raquo en tant qursquoorganisme de certification des dispositifs de
creacuteation de signature ou de cachet qualifieacutes et enfin en tant qursquoorganisme en charge de la liste de
confiance
Ces responsabiliteacutes sont deacutetailleacutees dans les chapitres II et III du preacutesent document
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 724
II Questions relatives agrave lrsquoidentification eacutelectronique
II1 Quel est lrsquoobjectif du volet laquo identification eacutelectronique raquo du regraveglement
eIDAS
Lrsquoobjectif du regraveglement eIDAS pour lidentification eacutelectronique est de mettre en place un cadre
drsquointeropeacuterabiliteacute pour les identiteacutes eacutelectroniques des diffeacuterents Etats membres Le regraveglement
deacutefinit les speacutecifications permettant lrsquointeropeacuterabiliteacute des moyens drsquoidentification
eacutelectronique
deacutefinit les niveaux de garantie et exigences de seacutecuriteacute associeacutees de ces moyens
preacutecise les conditions de reconnaissance mutuelle des moyens drsquoidentification
eacutelectronique deacutelivreacutes dans les Etats membres
II2 Quels sont les principes du volet laquo identification eacutelectronique raquo du
regraveglement eIDAS
Le regraveglement instaure un systegraveme de notification de laquo scheacutemas drsquoidentification eacutelectronique raquo par
les Etats membres Ces derniers sont deacutefinis par le regraveglement comme des laquo systegravemes pour
lrsquoidentification eacutelectronique en vertu desquels des moyens drsquoidentification eacutelectronique sont
deacutelivreacutes agrave des personnes physiques ou morales ou agrave des personnes physiques repreacutesentant des
personnes morales raquo Au sens du regraveglement un moyen drsquoidentification eacutelectronique est laquo un
eacuteleacutement mateacuteriel ou immateacuteriel contenant des donneacutees drsquoidentification personnelle et utiliseacute pour
srsquoauthentifier sur un service en ligne raquo
Le regraveglement preacutevoit trois niveaux de garantie pour les moyens didentification eacutelectronique
deacutelivreacutes dans le cadre dun scheacutema didentification eacutelectronique notifieacute faible substantiel et
eacuteleveacute Le regraveglement drsquoexeacutecution ndeg 20151502 du 8 septembre 2015 fixe les speacutecifications de
seacutecuriteacute minimales pour chacun de ces niveaux
II3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre
laquo identification eacutelectronique raquo du regraveglement
Les actes dexeacutecution relatifs agrave lidentification eacutelectronique publieacutes agrave la date de reacutedaction du
preacutesent document sont les suivants
Deacutecision dexeacutecution ndeg 2015296 du 24 feacutevrier 2015 eacutetablissant les modaliteacutes de
coopeacuteration entre les Eacutetats membres en matiegravere didentification eacutelectronique
conformeacutement agrave larticle 12 paragraphe 7 du regraveglement ndeg 9102014
Regraveglement dexeacutecution ndeg 20151501 du 8 septembre 2015 sur le cadre
dinteropeacuterabiliteacute viseacute agrave larticle 12 paragraphe 8 du regraveglement ndeg 9102014
Regraveglement dexeacutecution ndeg 20151502 du 8 septembre 2015 fixant les speacutecifications
techniques et proceacutedures minimales relatives aux niveaux de garantie des
moyens didentification eacutelectronique viseacutes agrave larticle 8 paragraphe 3 du regraveglement ndeg
9102014
Deacutecision dexeacutecution ndeg 20151984 du 3 novembre 2015 deacutefinissant les
circonstances les formats et les proceacutedures pour les notifications viseacutes agrave larticle
9 paragraphe 5 du regraveglement ndeg 9102014
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 824
II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema
drsquoidentification eacutelectronique par un Etat membre
Le regraveglement eIDAS nrsquooblige pas les Etats membres agrave mettre en œuvre un moyen didentification
eacutelectronique au niveau national ni le cas eacutecheacuteant agrave le notifier agrave la Commission europeacuteenne
Le cas eacutecheacuteant un Etat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique doit
au preacutealable
permettre lrsquoutilisation du moyen drsquoidentification eacutelectronique deacutelivreacute dans le cadre de ce
scheacutema pour acceacuteder agrave au moins un service en ligne fourni par un organisme du
secteur public de lrsquoEacutetat membre notifiant
fournir la description du scheacutema aux autres Eacutetats membres six mois au moins avant la
notification
LrsquoEtat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique transmet agrave la
Commission europeacuteenne par voie eacutelectronique le formulaire preacutevu agrave lrsquoannexe de la deacutecision
drsquoexeacutecution 20151984 de la Commission Ce formulaire doit ecirctre rempli en langue anglaise et
signeacute eacutelectroniquement
II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema
drsquoidentification eacutelectronique
Si un Etat membre choisit de notifier un scheacutema drsquoidentification eacutelectronique cela geacutenegravere pour
lui les obligations suivantes
respecter les speacutecifications de seacutecuriteacute minimales deacutefinies dans le regraveglement
drsquoexeacutecution ndeg20151502 du 8 septembre 2015 ainsi que les speacutecifications
drsquointeropeacuterabiliteacute deacutefinies dans lrsquoacte drsquoexeacutecution ndeg20151501 du 8 septembre 2015
fournir une authentification en ligne afin de permettre agrave toute partie utilisatrice eacutetablie
sur le territoire dun autre Etat membre de confirmer les donneacutees didentification
personnelle reccedilues sous forme eacutelectronique
suspendre ou reacutevoquer lrsquoauthentification transfrontaliegravere en cas drsquoatteinte agrave la
seacutecuriteacute du scheacutema drsquoidentification eacutelectronique et notifier son retrait srsquoil ne peut ecirctre
remeacutedieacute agrave lrsquoatteinte dans un deacutelai de trois mois
LrsquoEtat membre notifiant est responsable du dommage causeacute intentionnellement ou par
neacutegligence agrave toute personne physique ou morale en raison drsquoun manquement agrave ces obligations
dans le cas drsquoune authentification transfrontaliegravere
II6 Qursquoest-ce que le reacuteseau de coopeacuteration
La deacutecision drsquoexeacutecution 2015296 de la Commission europeacuteenne preacutevoit les modaliteacutes de
coopeacuteration entre les Etats membres sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute des scheacutemas
drsquoidentification eacutelectronique
Cette deacutecision eacutetablit notamment le reacuteseau de coopeacuteration qui a pour mission
drsquoinstaurer des meacutethodes efficaces drsquoeacutechange drsquoinformations entre les Eacutetats membres de
lrsquoUnion europeacuteenne sur toutes les questions relatives agrave lrsquoidentification eacutelectronique
drsquoexaminer les eacutevolutions pertinentes dans le secteur de lrsquoidentification eacutelectronique et
drsquoeacutelaborer de bonnes pratiques en matiegravere drsquointeropeacuterabiliteacute et de seacutecuriteacute des scheacutemas
drsquoidentification eacutelectronique
drsquoadopter des avis sur la faccedilon dont un scheacutema drsquoidentification eacutelectronique satisfait aux
exigences contenues dans le regraveglement eIDAS agrave lrsquoissue du processus drsquoexamen par les
pairs
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 924
Les reacuteunions du reacuteseau de coopeacuteration sont preacutesideacutees par la Commission europeacuteenne
II7 Qursquoest-ce que lrsquoexamen par les pairs
Tous les scheacutemas drsquoidentification eacutelectronique dont la description a eacuteteacute fournie aux Eacutetats
membres preacutealablement agrave une notification peuvent faire lrsquoobjet drsquoun examen par les pairs
La participation des Etats membres pairs est volontaire et lrsquoEacutetat membre dont le scheacutema
drsquoidentification eacutelectronique doit faire lrsquoobjet drsquoun examen ne peut refuser la participation drsquoun
Etat membre pair agrave ce processus de coopeacuteration
Les Etats membres participants deacutesignent des experts chargeacutes de proceacuteder agrave lrsquoexamen Au terme
du processus drsquoexamen qui ne peut exceacuteder trois mois les participants disposent drsquoun mois pour
preacutesenter un rapport au reacuteseau de coopeacuteration A lrsquoissue de cette preacutesentation le reacuteseau de
coopeacuteration eacutemet un avis disponible publiquement
Les avis du reacuteseau de coopeacuteration sont accessibles agrave lrsquoadresse suivante
httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOpinions+of+the+Cooperation+
Network
II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes
La Commission publie au Journal officiel de lrsquoUnion europeacuteenne la liste des scheacutemas
drsquoidentification eacutelectronique qui ont eacuteteacute notifieacutes et les informations essentielles agrave leur sujet et
maintient cette liste agrave jour en fonction des notifications des Etats membres (incluant les
modifications et retraits des scheacutemas drsquoidentification eacutelectronique)
Une liste des scheacutemas drsquoidentification eacutelectronique notifieacutes ou soumis agrave lrsquoexamen par les pairs
est eacutegalement disponible agrave lrsquoadresse suivante
httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOverview+of+pre+notified+and
+notified+eID+schemes+under+eIDAS
II9 Les organismes du secteur public sont-ils tenus de recourir agrave des
moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS
Le regraveglement eIDAS nrsquooblige pas les organismes du secteur public des diffeacuterents Etats membres
agrave recourir agrave des moyens didentification eacutelectronique deacutelivreacutes dans le cadre de scheacutemas
drsquoidentification eacutelectroniques notifieacutes
Les organismes du secteur public peuvent toutefois soit en vertu de pratiques administratives
nationales ou en vertu du droit national exiger la mise en œuvre drsquoun moyen drsquoidentification
eacutelectronique pour lrsquoaccegraves agrave leurs teacuteleacuteservices
II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil
exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo
pour lrsquoaccegraves agrave ses services
Si dans un Etat membre un organisme du secteur public exige pour lrsquoaccegraves agrave lrsquoun de ses
services en ligne une identification eacutelectronique de niveau de garantie substantiel ou eacuteleveacute il
devra eacutegalement accepter pour laccegraves agrave ce teacuteleacuteservice lrsquoensemble des moyens didentification
eacutelectronique de niveau eacutequivalent ou supeacuterieur et relevant drsquoun scheacutema drsquoidentification notifieacute agrave
la Commission et publieacute au JOUE Cette obligation est effective depuis le 29 septembre 2018
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1024
Par ailleurs les organismes du secteur public peuvent deacutecider sur une base volontaire de
reconnaicirctre les scheacutemas drsquoidentification eacutelectronique de niveau faible ainsi que les scheacutemas
drsquoidentification eacutelectronique notifieacutes avant le 29 septembre 2018
II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification
eacutelectronique
Les moyens drsquoidentification eacutelectronique peuvent ecirctre demandeacutes par des personnes physiques ou
morales ou par des personnes physiques repreacutesentant des personnes morales
Pour obtenir un moyen drsquoidentification eacutelectronique le demandeur doit pouvoir justifier de son
identiteacute dans les conditions preacutevues par le regraveglement drsquoexeacutecution ndeg 20151502 qui preacutecise en
annexe les exigences minimales relatives agrave la veacuterification didentiteacute des personnes physiques et agrave
la deacutelivrance du moyen didentification
Ces exigences peuvent ecirctre renforceacutees par la reacuteglementation nationale ou les pratiques du
fournisseur drsquoidentiteacute en fonction du niveau de garantie viseacute
II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification
eacutelectronique
Le regraveglement drsquoexeacutecution ndeg20151502 preacutecise uniquement selon le niveau de garantie la nature
des veacuterifications devant ecirctre reacutealiseacutees (authenticiteacute des piegraveces drsquoidentiteacute preacutesenteacutees comparaison
de caracteacuteristiques physiques du demandeurhellip) sans speacutecifier le moyen technique ou
organisationnel
En particulier le face agrave face (crsquoest-agrave-dire une rencontre en personne entre le demandeur de
lrsquoidentification et la personne deacutelivrant le moyen drsquoidentification) nrsquoest pas exigeacute Par
conseacutequent lexistence dun face agrave face dans la proceacutedure de veacuterification didentiteacute etou dans
celle de deacutelivrance du moyen didentification eacutelectronique deacutependra des choix techniques
effectueacutes par lrsquoorganisme deacutelivrant ce moyen
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise ne place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1124
II13 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo identification eacutelectronique raquo du regraveglement eIDAS
La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication
de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point
de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute
demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute
Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au
niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des
fournisseurs de services
La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications
eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le
respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave
FranceConnect
LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS
A ce titre elle
eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des
moyens didentification eacutelectronique
eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens
drsquoidentification eacutelectronique
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1224
III Questions relatives agrave lrsquoensemble des services de confiance
III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement
eIDAS
Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de
confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule
signature eacutelectronique et englobe les services de
creacuteation veacuterification et validation de signatures eacutelectroniques de cachets
eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de
certificats relatifs agrave ces services
creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites
internet
conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats
relatifs agrave ces services
III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement
eIDAS
Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de
confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets
juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services
de confiance qualifieacutes
Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques
qualifieacutees et aux cachets eacutelectroniques qualifieacutes
Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service
de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat
membre
III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services
de confiance raquo du regraveglement
Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette
FAQ sont les suivants
Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications
relatives agrave la forme du label de confiance de lUnion pour les services de confiance
qualifieacutes
Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications
techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22
paragraphe 5 du regraveglement ndeg 9102014
Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications
relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets
eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public
viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg
9102014
Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave
leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature
eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et
agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1324
III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS
Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des
signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois
recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme
eacutelectronique ou qursquoils ne soient pas qualifieacutes
En compleacutement le regraveglement preacutecise les effets juridiques suivants
la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui
dune signature manuscrite
le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees
et dexactitude de lorigine des donneacutees auxquelles il est lieacute
lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la
date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette
date et cette heure
lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave
linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur
reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi
et de la reacuteception indiqueacutees
III5 Quelles sont les exigences applicables aux prestataires de services de
confiance
Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de
confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions
fixeacutees par les Etats membres
effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive
9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees
ndeg2016679)
rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs
services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave
un utilisateur final
prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques
lieacutes agrave la seacutecuriteacute des services quils fournissent
notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter
preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou
toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance
fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees
Les prestataires de services de confiance sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver
lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1424
III6 Quelles sont les obligations induites du volet laquo services de confiance raquo
du regraveglement eIDAS pour les prestataires de services de confiance
qualifieacutes
Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant
au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales
applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des
exigences speacutecifiques agrave chaque service de confiance qualifieacute
Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la
conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle
deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant
de pouvoir commencer agrave fournir des services qualifieacutes
Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de
prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part
III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement
Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants
la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le
cachet eacutelectronique ou lrsquoauthentification de site internet
lrsquohorodatage eacutelectronique
la validation de signatures ou de cachets eacutelectronique
la conservation de signatures ou de cachets eacutelectroniques
lrsquoenvoi recommandeacute eacutelectronique
La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation
de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du
signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement
eIDAS
III8 Quel est le reacutegime de controcircle des prestataires de services de
confiance
Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par
chaque Etat membre ayant pour mission
le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le
territoire franccedilais
la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires
de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre
lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils
fournissent ne satisfont pas aux exigences du regraveglement
Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a
priori
Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle
srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes
conformeacutement au regraveglement europeacuteen ndeg 7652008CE
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1524
III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de
services de confiance qualifieacutes
Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave
leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute
Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements
compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de
lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux
exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification
En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre
un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme
drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux
frais de ce dernier
Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS
Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique
III10 Qursquoest-ce qursquoune liste de confiance
Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les
informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont
responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations
relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur
cette liste
III11 Qursquoest-ce que le label de confiance de lrsquoUnion
Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les
prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de
maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent
Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du
prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee
Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806
III12 Qursquoest-ce que le laquo mandat 460 raquo
Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif
drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen
Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)
et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes
et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les
travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en
œuvre du regraveglement
Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de
conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers
des actes drsquoexeacutecution qursquoil preacutevoit
Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement
les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1624
III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave
des services de confiance qualifieacutes
Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres
drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les
exigences applicables au sein de chaque Etat membre
Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public
exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces
obligations sont preacuteciseacutees au chapitre IV du preacutesent document
III14 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo services de confiance raquo du regraveglement eIDAS
La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement
sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance
A ce titre lANSSI assure notamment les missions suivantes
le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes
le controcircle a posteriori et sur saisie des prestataires de service de confiance non-
qualifieacutes
lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance
qui en font la demande
la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de
services de confiance qualifieacutes par des organismes drsquoeacutevaluation
la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS
lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute
la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis
dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la
Commission sur ses principales activiteacutes
En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge
lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise
la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des
dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes
la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique
qualifieacutes qursquoelle a certifieacute conformes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1724
IV Questions relatives agrave la signature et au cachet eacutelectronique
Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au
cachet eacutelectronique
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique
Il convient de distinguer quatre niveaux de signatures eacutelectroniques
Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit
par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de
controcircle
Ces deux premiers niveaux sont
La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)
Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou
associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire
utilise pour signer
La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)
Cette signature doit
o ecirctre lieacutee au signataire de maniegravere univoque
o permettre drsquoidentifier le signataire
o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le
signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle
exclusif
o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute
modification ulteacuterieure des donneacutees soit deacutetectable
Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par
un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des
certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle
Ces deux niveaux suivants sont
La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux
articles 26 et 28 du regraveglement eIDAS)
Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute
respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS
Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion
du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des
exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est
uniquement deacutelivreacute au signataire leacutegitime
La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement
eIDAS)
La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature
eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature
eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1824
confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce
dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale
Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune
signature manuscrite
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique
qualifieacute
Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave
creacuteer une signature eacutelectronique
Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II
du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees
La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs
deacutesigneacutes par chaque Etat membre agrave la Commission
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle
exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees
pour prononcer la certification de conformiteacute
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de
services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave
distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la
conformiteacute et de le notifier agrave la Commission
IV3 Qui peut demander un certificat qualifieacute
Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats
eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et
respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats
Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute
deacutelivreacute par un prestataire de services de confiance qualifieacute
De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au
regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il
nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un
cachet eacutelectronique qualifieacute
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la
signature qualifieacutee
Le regraveglement eIDAS entraicircne les changements suivants
Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le
compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees
par un prestataire de services de confiance qualifieacute
Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)
Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les
personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1924
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat
qualifieacute de signature eacutelectronique
Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance
lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute
doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait
par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la
personne morale (ce qui implique donc un face agrave face) ou
agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la
deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de
la personne morale) sest preacutesenteacutee en personne ou
au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux
deux points ci-dessus ou
agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant
une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne
Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi
les possibiliteacutes offertes par le regraveglement
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave
distance par quels moyens la personne peut-elle manifester son
consentement
Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de
sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de
la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par
exemple sur une carte agrave puce et un code PIN)
A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute
suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature
eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees
agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la
saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave
lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2024
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave
distance
Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de
confiance qualifieacute
Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant
en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal
Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire
doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services
de confiance qualifieacutes preacutevus par le regraveglement
ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de
sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au
besoin de continuiteacute du service
La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de
conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute
LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des
certificats de conformiteacute
Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute
distincts
Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage
drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi
qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes
Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de
lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le
produit ou le systegraveme composant le QSCD
Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit
composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de
la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de
signature ou de cachet
LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est
disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-
notified-commission-accordance-article303b-and-392-eidas
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de
la signature eacutelectronique
Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques
avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature
eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne
offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les
formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506
Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats
de signature suivants
ETSI TS 103 171 (v211) (XAdES Baseline Profile)
ETSI TS 103 172 (v222) (PAdES Baseline Profile)
ETSI TS 103 173 (v221) (CAdES Baseline Profile)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 524
I Questions geacuteneacuterales sur le regraveglement eIDAS
I1 Qursquoest-ce que le regraveglement eIDAS
Le regraveglement ndeg 9102014 sur lidentification eacutelectronique et les services de confiance pour les
transactions eacutelectroniques au sein du marcheacute inteacuterieur dit regraveglement laquo eIDAS raquo est un regraveglement
europeacuteen qui a eacuteteacute adopteacute le 23 juillet 2014 par le Parlement europeacuteen et le Conseil de lUnion
Europeacuteenne Lobjectif de ce regraveglement est de mettre en place un cadre juridique propre agrave
susciter une confiance accrue dans les transactions eacutelectroniques au sein du marcheacute inteacuterieur
I2 Quels sont les sujets couverts par le regraveglement eIDAS
Le regraveglement eIDAS sapplique agrave lrsquoidentification eacutelectronique et aux services de confiance
(faisant respectivement lrsquoobjet des chapitres II et III du preacutesent document) Il accorde eacutegalement
un effet juridique aux documents eacutelectroniques
I3 Quand le regraveglement eIDAS a-t-il eacuteteacute publieacute Quand est-il entreacute en
vigueur et quand est-il devenu applicable
Le regraveglement eIDAS a eacuteteacute publieacute au Journal Officiel de lUnion Europeacuteenne (JOUE) le 28 aoucirct
2014 Il est entreacute en vigueur le 17 septembre 2014
Le regraveglement est devenu applicable
le 29 septembre 2015 pour la notification et la reconnaissance volontaire des moyens
didentification eacutelectronique par les Etats membres
le 1er juillet 2016 pour les services de confiance et les documents eacutelectroniques
le 29 septembre 2018 pour la reconnaissance mutuelle obligatoire des moyens
didentification eacutelectronique par les Etats membres
I4 Qui est concerneacute par le regraveglement eIDAS
Le regraveglement concerne les citoyens les entreprises les organismes du secteur public et les
prestataires de services de confiance eacutetablis dans lUnion europeacuteenne Il couvre en particulier les
eacutechanges entre usagers et administrations Les meacutecanismes de reconnaissance mutuelle des
moyens drsquoidentification eacutelectronique et des signatures eacutelectroniques deacutetailleacutes dans les chapitres
II et IV du preacutesent document srsquoappliquent ainsi uniquement aux administrations dans leurs
relations avec les usagers
En revanche le regraveglement ne sapplique pas agrave la fourniture de services de confiance utiliseacutes
exclusivement dans des systegravemes fermeacutes nrsquoayant pas drsquoimpact direct sur des tiers reacutesultant du
droit national ou drsquoaccords au sein dun ensemble deacutefini de participants Par exemple une
autoriteacute administrative mettant en œuvre une infrastructure de gestion de cleacutes pour couvrir ses
besoins internes ne serait pas soumise aux exigences du regraveglement eIDAS applicables aux
services de confiance
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 624
I5 Le regraveglement eIDAS srsquoapplique-t-il uniquement aux eacutechanges
transfrontaliers
Le critegravere permettant drsquoeacutetablir le caractegravere transfrontalier drsquoun eacutechange est un critegravere
geacuteographique et non un critegravere de nationaliteacute Ainsi une personne de nationaliteacute franccedilaise
reacutesidant dans un Etat membre de lrsquoUnion autre que la France qui souhaite acceacuteder agrave un service
en ligne drsquoun organisme public franccedilais se trouve dans le cadre drsquoun eacutechange transfrontalier
Toutefois le regraveglement eIDAS ne sapplique pas uniquement aux eacutechanges transfrontaliers En
effet si les aspects transnationaux sont au cœur du regraveglement eIDAS notamment via les
meacutecanismes de reconnaissance mutuelle des moyens didentification eacutelectronique et des services
de confiance le regraveglement a la vocation plus globale drsquoinstaurer un climat de confiance dans
lrsquoenvironnement en ligne y compris au niveau national
I6 Que sont les actes deacuteleacutegueacutes et actes drsquoexeacutecution du regraveglement eIDAS
Les actes deacuteleacutegueacutes et actes drsquoexeacutecution constituent la laquo leacutegislation secondaire raquo du regraveglement
eIDAS Ce sont des actes preacutevus par des articles du regraveglement venant preacuteciser les modaliteacutes
drsquoapplication de ces derniers
Ces actes peuvent notamment ecirctre utiliseacutes afin de reacutefeacuterencer des normes permettant drsquoapporter
une preacutesomption de conformiteacute aux exigences du regraveglement et harmoniser ainsi les pratiques au
sein des diffeacuterents Etats membres
Certains de ces actes sont obligatoires pour permettre la mise en application du regraveglement mais
la majoriteacute est optionnelle
A ce jour aucun acte deacuteleacutegueacute nrsquoa eacuteteacute publieacute Seuls les sept actes drsquoexeacutecution obligatoires et un
acte drsquoexeacutecution optionnel ont eacuteteacute publieacutes Ceux-ci sont reacutefeacuterenceacutes dans les chapitres II et III du
preacutesent document
I7 Quels sont les impacts et caracteacuteristiques du regraveglement eIDAS sur le
plan juridique
En dehors de ses effets particuliers concernant lidentification eacutelectronique et les services de
confiance qui sont deacutetailleacutes dans la suite de la preacutesente FAQ le regraveglement a les impacts suivant
il abroge la directive 199993EC sur la signature eacutelectronique
il accorde un effet juridique aux documents eacutelectroniques preacutecisant quils ne peuvent
ecirctre refuseacutes comme preuve en justice au seul motif quils se preacutesentent sous forme
eacutelectronique
De plus srsquoagissant drsquoun regraveglement il est dapplication directe ce qui signifie quil ne neacutecessite
pas de transposition en droit national et que toute disposition nationale allant agrave lencontre des
dispositions du regraveglement est consideacutereacutee comme non applicable
I8 Quel est le rocircle de lANSSI au titre du regraveglement eIDAS
LrsquoANSSI intervient agrave plusieurs titres dans lrsquoapplication du regraveglement eIDAS en tant que
garante de la seacutecuriteacute pour son volet laquo identification eacutelectronique raquo en tant qursquoorgane de controcircle
pour son volet laquo services de confiance raquo en tant qursquoorganisme de certification des dispositifs de
creacuteation de signature ou de cachet qualifieacutes et enfin en tant qursquoorganisme en charge de la liste de
confiance
Ces responsabiliteacutes sont deacutetailleacutees dans les chapitres II et III du preacutesent document
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 724
II Questions relatives agrave lrsquoidentification eacutelectronique
II1 Quel est lrsquoobjectif du volet laquo identification eacutelectronique raquo du regraveglement
eIDAS
Lrsquoobjectif du regraveglement eIDAS pour lidentification eacutelectronique est de mettre en place un cadre
drsquointeropeacuterabiliteacute pour les identiteacutes eacutelectroniques des diffeacuterents Etats membres Le regraveglement
deacutefinit les speacutecifications permettant lrsquointeropeacuterabiliteacute des moyens drsquoidentification
eacutelectronique
deacutefinit les niveaux de garantie et exigences de seacutecuriteacute associeacutees de ces moyens
preacutecise les conditions de reconnaissance mutuelle des moyens drsquoidentification
eacutelectronique deacutelivreacutes dans les Etats membres
II2 Quels sont les principes du volet laquo identification eacutelectronique raquo du
regraveglement eIDAS
Le regraveglement instaure un systegraveme de notification de laquo scheacutemas drsquoidentification eacutelectronique raquo par
les Etats membres Ces derniers sont deacutefinis par le regraveglement comme des laquo systegravemes pour
lrsquoidentification eacutelectronique en vertu desquels des moyens drsquoidentification eacutelectronique sont
deacutelivreacutes agrave des personnes physiques ou morales ou agrave des personnes physiques repreacutesentant des
personnes morales raquo Au sens du regraveglement un moyen drsquoidentification eacutelectronique est laquo un
eacuteleacutement mateacuteriel ou immateacuteriel contenant des donneacutees drsquoidentification personnelle et utiliseacute pour
srsquoauthentifier sur un service en ligne raquo
Le regraveglement preacutevoit trois niveaux de garantie pour les moyens didentification eacutelectronique
deacutelivreacutes dans le cadre dun scheacutema didentification eacutelectronique notifieacute faible substantiel et
eacuteleveacute Le regraveglement drsquoexeacutecution ndeg 20151502 du 8 septembre 2015 fixe les speacutecifications de
seacutecuriteacute minimales pour chacun de ces niveaux
II3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre
laquo identification eacutelectronique raquo du regraveglement
Les actes dexeacutecution relatifs agrave lidentification eacutelectronique publieacutes agrave la date de reacutedaction du
preacutesent document sont les suivants
Deacutecision dexeacutecution ndeg 2015296 du 24 feacutevrier 2015 eacutetablissant les modaliteacutes de
coopeacuteration entre les Eacutetats membres en matiegravere didentification eacutelectronique
conformeacutement agrave larticle 12 paragraphe 7 du regraveglement ndeg 9102014
Regraveglement dexeacutecution ndeg 20151501 du 8 septembre 2015 sur le cadre
dinteropeacuterabiliteacute viseacute agrave larticle 12 paragraphe 8 du regraveglement ndeg 9102014
Regraveglement dexeacutecution ndeg 20151502 du 8 septembre 2015 fixant les speacutecifications
techniques et proceacutedures minimales relatives aux niveaux de garantie des
moyens didentification eacutelectronique viseacutes agrave larticle 8 paragraphe 3 du regraveglement ndeg
9102014
Deacutecision dexeacutecution ndeg 20151984 du 3 novembre 2015 deacutefinissant les
circonstances les formats et les proceacutedures pour les notifications viseacutes agrave larticle
9 paragraphe 5 du regraveglement ndeg 9102014
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 824
II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema
drsquoidentification eacutelectronique par un Etat membre
Le regraveglement eIDAS nrsquooblige pas les Etats membres agrave mettre en œuvre un moyen didentification
eacutelectronique au niveau national ni le cas eacutecheacuteant agrave le notifier agrave la Commission europeacuteenne
Le cas eacutecheacuteant un Etat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique doit
au preacutealable
permettre lrsquoutilisation du moyen drsquoidentification eacutelectronique deacutelivreacute dans le cadre de ce
scheacutema pour acceacuteder agrave au moins un service en ligne fourni par un organisme du
secteur public de lrsquoEacutetat membre notifiant
fournir la description du scheacutema aux autres Eacutetats membres six mois au moins avant la
notification
LrsquoEtat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique transmet agrave la
Commission europeacuteenne par voie eacutelectronique le formulaire preacutevu agrave lrsquoannexe de la deacutecision
drsquoexeacutecution 20151984 de la Commission Ce formulaire doit ecirctre rempli en langue anglaise et
signeacute eacutelectroniquement
II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema
drsquoidentification eacutelectronique
Si un Etat membre choisit de notifier un scheacutema drsquoidentification eacutelectronique cela geacutenegravere pour
lui les obligations suivantes
respecter les speacutecifications de seacutecuriteacute minimales deacutefinies dans le regraveglement
drsquoexeacutecution ndeg20151502 du 8 septembre 2015 ainsi que les speacutecifications
drsquointeropeacuterabiliteacute deacutefinies dans lrsquoacte drsquoexeacutecution ndeg20151501 du 8 septembre 2015
fournir une authentification en ligne afin de permettre agrave toute partie utilisatrice eacutetablie
sur le territoire dun autre Etat membre de confirmer les donneacutees didentification
personnelle reccedilues sous forme eacutelectronique
suspendre ou reacutevoquer lrsquoauthentification transfrontaliegravere en cas drsquoatteinte agrave la
seacutecuriteacute du scheacutema drsquoidentification eacutelectronique et notifier son retrait srsquoil ne peut ecirctre
remeacutedieacute agrave lrsquoatteinte dans un deacutelai de trois mois
LrsquoEtat membre notifiant est responsable du dommage causeacute intentionnellement ou par
neacutegligence agrave toute personne physique ou morale en raison drsquoun manquement agrave ces obligations
dans le cas drsquoune authentification transfrontaliegravere
II6 Qursquoest-ce que le reacuteseau de coopeacuteration
La deacutecision drsquoexeacutecution 2015296 de la Commission europeacuteenne preacutevoit les modaliteacutes de
coopeacuteration entre les Etats membres sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute des scheacutemas
drsquoidentification eacutelectronique
Cette deacutecision eacutetablit notamment le reacuteseau de coopeacuteration qui a pour mission
drsquoinstaurer des meacutethodes efficaces drsquoeacutechange drsquoinformations entre les Eacutetats membres de
lrsquoUnion europeacuteenne sur toutes les questions relatives agrave lrsquoidentification eacutelectronique
drsquoexaminer les eacutevolutions pertinentes dans le secteur de lrsquoidentification eacutelectronique et
drsquoeacutelaborer de bonnes pratiques en matiegravere drsquointeropeacuterabiliteacute et de seacutecuriteacute des scheacutemas
drsquoidentification eacutelectronique
drsquoadopter des avis sur la faccedilon dont un scheacutema drsquoidentification eacutelectronique satisfait aux
exigences contenues dans le regraveglement eIDAS agrave lrsquoissue du processus drsquoexamen par les
pairs
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 924
Les reacuteunions du reacuteseau de coopeacuteration sont preacutesideacutees par la Commission europeacuteenne
II7 Qursquoest-ce que lrsquoexamen par les pairs
Tous les scheacutemas drsquoidentification eacutelectronique dont la description a eacuteteacute fournie aux Eacutetats
membres preacutealablement agrave une notification peuvent faire lrsquoobjet drsquoun examen par les pairs
La participation des Etats membres pairs est volontaire et lrsquoEacutetat membre dont le scheacutema
drsquoidentification eacutelectronique doit faire lrsquoobjet drsquoun examen ne peut refuser la participation drsquoun
Etat membre pair agrave ce processus de coopeacuteration
Les Etats membres participants deacutesignent des experts chargeacutes de proceacuteder agrave lrsquoexamen Au terme
du processus drsquoexamen qui ne peut exceacuteder trois mois les participants disposent drsquoun mois pour
preacutesenter un rapport au reacuteseau de coopeacuteration A lrsquoissue de cette preacutesentation le reacuteseau de
coopeacuteration eacutemet un avis disponible publiquement
Les avis du reacuteseau de coopeacuteration sont accessibles agrave lrsquoadresse suivante
httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOpinions+of+the+Cooperation+
Network
II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes
La Commission publie au Journal officiel de lrsquoUnion europeacuteenne la liste des scheacutemas
drsquoidentification eacutelectronique qui ont eacuteteacute notifieacutes et les informations essentielles agrave leur sujet et
maintient cette liste agrave jour en fonction des notifications des Etats membres (incluant les
modifications et retraits des scheacutemas drsquoidentification eacutelectronique)
Une liste des scheacutemas drsquoidentification eacutelectronique notifieacutes ou soumis agrave lrsquoexamen par les pairs
est eacutegalement disponible agrave lrsquoadresse suivante
httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOverview+of+pre+notified+and
+notified+eID+schemes+under+eIDAS
II9 Les organismes du secteur public sont-ils tenus de recourir agrave des
moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS
Le regraveglement eIDAS nrsquooblige pas les organismes du secteur public des diffeacuterents Etats membres
agrave recourir agrave des moyens didentification eacutelectronique deacutelivreacutes dans le cadre de scheacutemas
drsquoidentification eacutelectroniques notifieacutes
Les organismes du secteur public peuvent toutefois soit en vertu de pratiques administratives
nationales ou en vertu du droit national exiger la mise en œuvre drsquoun moyen drsquoidentification
eacutelectronique pour lrsquoaccegraves agrave leurs teacuteleacuteservices
II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil
exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo
pour lrsquoaccegraves agrave ses services
Si dans un Etat membre un organisme du secteur public exige pour lrsquoaccegraves agrave lrsquoun de ses
services en ligne une identification eacutelectronique de niveau de garantie substantiel ou eacuteleveacute il
devra eacutegalement accepter pour laccegraves agrave ce teacuteleacuteservice lrsquoensemble des moyens didentification
eacutelectronique de niveau eacutequivalent ou supeacuterieur et relevant drsquoun scheacutema drsquoidentification notifieacute agrave
la Commission et publieacute au JOUE Cette obligation est effective depuis le 29 septembre 2018
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1024
Par ailleurs les organismes du secteur public peuvent deacutecider sur une base volontaire de
reconnaicirctre les scheacutemas drsquoidentification eacutelectronique de niveau faible ainsi que les scheacutemas
drsquoidentification eacutelectronique notifieacutes avant le 29 septembre 2018
II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification
eacutelectronique
Les moyens drsquoidentification eacutelectronique peuvent ecirctre demandeacutes par des personnes physiques ou
morales ou par des personnes physiques repreacutesentant des personnes morales
Pour obtenir un moyen drsquoidentification eacutelectronique le demandeur doit pouvoir justifier de son
identiteacute dans les conditions preacutevues par le regraveglement drsquoexeacutecution ndeg 20151502 qui preacutecise en
annexe les exigences minimales relatives agrave la veacuterification didentiteacute des personnes physiques et agrave
la deacutelivrance du moyen didentification
Ces exigences peuvent ecirctre renforceacutees par la reacuteglementation nationale ou les pratiques du
fournisseur drsquoidentiteacute en fonction du niveau de garantie viseacute
II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification
eacutelectronique
Le regraveglement drsquoexeacutecution ndeg20151502 preacutecise uniquement selon le niveau de garantie la nature
des veacuterifications devant ecirctre reacutealiseacutees (authenticiteacute des piegraveces drsquoidentiteacute preacutesenteacutees comparaison
de caracteacuteristiques physiques du demandeurhellip) sans speacutecifier le moyen technique ou
organisationnel
En particulier le face agrave face (crsquoest-agrave-dire une rencontre en personne entre le demandeur de
lrsquoidentification et la personne deacutelivrant le moyen drsquoidentification) nrsquoest pas exigeacute Par
conseacutequent lexistence dun face agrave face dans la proceacutedure de veacuterification didentiteacute etou dans
celle de deacutelivrance du moyen didentification eacutelectronique deacutependra des choix techniques
effectueacutes par lrsquoorganisme deacutelivrant ce moyen
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise ne place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1124
II13 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo identification eacutelectronique raquo du regraveglement eIDAS
La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication
de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point
de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute
demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute
Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au
niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des
fournisseurs de services
La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications
eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le
respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave
FranceConnect
LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS
A ce titre elle
eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des
moyens didentification eacutelectronique
eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens
drsquoidentification eacutelectronique
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1224
III Questions relatives agrave lrsquoensemble des services de confiance
III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement
eIDAS
Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de
confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule
signature eacutelectronique et englobe les services de
creacuteation veacuterification et validation de signatures eacutelectroniques de cachets
eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de
certificats relatifs agrave ces services
creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites
internet
conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats
relatifs agrave ces services
III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement
eIDAS
Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de
confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets
juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services
de confiance qualifieacutes
Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques
qualifieacutees et aux cachets eacutelectroniques qualifieacutes
Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service
de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat
membre
III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services
de confiance raquo du regraveglement
Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette
FAQ sont les suivants
Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications
relatives agrave la forme du label de confiance de lUnion pour les services de confiance
qualifieacutes
Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications
techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22
paragraphe 5 du regraveglement ndeg 9102014
Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications
relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets
eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public
viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg
9102014
Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave
leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature
eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et
agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1324
III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS
Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des
signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois
recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme
eacutelectronique ou qursquoils ne soient pas qualifieacutes
En compleacutement le regraveglement preacutecise les effets juridiques suivants
la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui
dune signature manuscrite
le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees
et dexactitude de lorigine des donneacutees auxquelles il est lieacute
lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la
date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette
date et cette heure
lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave
linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur
reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi
et de la reacuteception indiqueacutees
III5 Quelles sont les exigences applicables aux prestataires de services de
confiance
Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de
confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions
fixeacutees par les Etats membres
effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive
9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees
ndeg2016679)
rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs
services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave
un utilisateur final
prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques
lieacutes agrave la seacutecuriteacute des services quils fournissent
notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter
preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou
toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance
fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees
Les prestataires de services de confiance sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver
lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1424
III6 Quelles sont les obligations induites du volet laquo services de confiance raquo
du regraveglement eIDAS pour les prestataires de services de confiance
qualifieacutes
Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant
au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales
applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des
exigences speacutecifiques agrave chaque service de confiance qualifieacute
Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la
conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle
deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant
de pouvoir commencer agrave fournir des services qualifieacutes
Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de
prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part
III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement
Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants
la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le
cachet eacutelectronique ou lrsquoauthentification de site internet
lrsquohorodatage eacutelectronique
la validation de signatures ou de cachets eacutelectronique
la conservation de signatures ou de cachets eacutelectroniques
lrsquoenvoi recommandeacute eacutelectronique
La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation
de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du
signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement
eIDAS
III8 Quel est le reacutegime de controcircle des prestataires de services de
confiance
Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par
chaque Etat membre ayant pour mission
le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le
territoire franccedilais
la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires
de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre
lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils
fournissent ne satisfont pas aux exigences du regraveglement
Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a
priori
Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle
srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes
conformeacutement au regraveglement europeacuteen ndeg 7652008CE
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1524
III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de
services de confiance qualifieacutes
Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave
leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute
Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements
compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de
lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux
exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification
En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre
un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme
drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux
frais de ce dernier
Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS
Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique
III10 Qursquoest-ce qursquoune liste de confiance
Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les
informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont
responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations
relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur
cette liste
III11 Qursquoest-ce que le label de confiance de lrsquoUnion
Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les
prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de
maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent
Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du
prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee
Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806
III12 Qursquoest-ce que le laquo mandat 460 raquo
Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif
drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen
Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)
et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes
et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les
travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en
œuvre du regraveglement
Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de
conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers
des actes drsquoexeacutecution qursquoil preacutevoit
Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement
les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1624
III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave
des services de confiance qualifieacutes
Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres
drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les
exigences applicables au sein de chaque Etat membre
Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public
exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces
obligations sont preacuteciseacutees au chapitre IV du preacutesent document
III14 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo services de confiance raquo du regraveglement eIDAS
La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement
sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance
A ce titre lANSSI assure notamment les missions suivantes
le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes
le controcircle a posteriori et sur saisie des prestataires de service de confiance non-
qualifieacutes
lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance
qui en font la demande
la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de
services de confiance qualifieacutes par des organismes drsquoeacutevaluation
la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS
lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute
la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis
dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la
Commission sur ses principales activiteacutes
En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge
lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise
la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des
dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes
la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique
qualifieacutes qursquoelle a certifieacute conformes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1724
IV Questions relatives agrave la signature et au cachet eacutelectronique
Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au
cachet eacutelectronique
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique
Il convient de distinguer quatre niveaux de signatures eacutelectroniques
Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit
par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de
controcircle
Ces deux premiers niveaux sont
La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)
Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou
associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire
utilise pour signer
La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)
Cette signature doit
o ecirctre lieacutee au signataire de maniegravere univoque
o permettre drsquoidentifier le signataire
o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le
signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle
exclusif
o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute
modification ulteacuterieure des donneacutees soit deacutetectable
Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par
un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des
certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle
Ces deux niveaux suivants sont
La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux
articles 26 et 28 du regraveglement eIDAS)
Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute
respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS
Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion
du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des
exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est
uniquement deacutelivreacute au signataire leacutegitime
La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement
eIDAS)
La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature
eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature
eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1824
confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce
dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale
Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune
signature manuscrite
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique
qualifieacute
Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave
creacuteer une signature eacutelectronique
Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II
du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees
La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs
deacutesigneacutes par chaque Etat membre agrave la Commission
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle
exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees
pour prononcer la certification de conformiteacute
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de
services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave
distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la
conformiteacute et de le notifier agrave la Commission
IV3 Qui peut demander un certificat qualifieacute
Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats
eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et
respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats
Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute
deacutelivreacute par un prestataire de services de confiance qualifieacute
De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au
regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il
nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un
cachet eacutelectronique qualifieacute
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la
signature qualifieacutee
Le regraveglement eIDAS entraicircne les changements suivants
Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le
compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees
par un prestataire de services de confiance qualifieacute
Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)
Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les
personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1924
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat
qualifieacute de signature eacutelectronique
Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance
lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute
doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait
par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la
personne morale (ce qui implique donc un face agrave face) ou
agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la
deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de
la personne morale) sest preacutesenteacutee en personne ou
au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux
deux points ci-dessus ou
agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant
une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne
Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi
les possibiliteacutes offertes par le regraveglement
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave
distance par quels moyens la personne peut-elle manifester son
consentement
Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de
sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de
la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par
exemple sur une carte agrave puce et un code PIN)
A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute
suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature
eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees
agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la
saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave
lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2024
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave
distance
Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de
confiance qualifieacute
Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant
en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal
Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire
doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services
de confiance qualifieacutes preacutevus par le regraveglement
ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de
sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au
besoin de continuiteacute du service
La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de
conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute
LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des
certificats de conformiteacute
Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute
distincts
Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage
drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi
qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes
Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de
lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le
produit ou le systegraveme composant le QSCD
Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit
composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de
la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de
signature ou de cachet
LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est
disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-
notified-commission-accordance-article303b-and-392-eidas
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de
la signature eacutelectronique
Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques
avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature
eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne
offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les
formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506
Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats
de signature suivants
ETSI TS 103 171 (v211) (XAdES Baseline Profile)
ETSI TS 103 172 (v222) (PAdES Baseline Profile)
ETSI TS 103 173 (v221) (CAdES Baseline Profile)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 624
I5 Le regraveglement eIDAS srsquoapplique-t-il uniquement aux eacutechanges
transfrontaliers
Le critegravere permettant drsquoeacutetablir le caractegravere transfrontalier drsquoun eacutechange est un critegravere
geacuteographique et non un critegravere de nationaliteacute Ainsi une personne de nationaliteacute franccedilaise
reacutesidant dans un Etat membre de lrsquoUnion autre que la France qui souhaite acceacuteder agrave un service
en ligne drsquoun organisme public franccedilais se trouve dans le cadre drsquoun eacutechange transfrontalier
Toutefois le regraveglement eIDAS ne sapplique pas uniquement aux eacutechanges transfrontaliers En
effet si les aspects transnationaux sont au cœur du regraveglement eIDAS notamment via les
meacutecanismes de reconnaissance mutuelle des moyens didentification eacutelectronique et des services
de confiance le regraveglement a la vocation plus globale drsquoinstaurer un climat de confiance dans
lrsquoenvironnement en ligne y compris au niveau national
I6 Que sont les actes deacuteleacutegueacutes et actes drsquoexeacutecution du regraveglement eIDAS
Les actes deacuteleacutegueacutes et actes drsquoexeacutecution constituent la laquo leacutegislation secondaire raquo du regraveglement
eIDAS Ce sont des actes preacutevus par des articles du regraveglement venant preacuteciser les modaliteacutes
drsquoapplication de ces derniers
Ces actes peuvent notamment ecirctre utiliseacutes afin de reacutefeacuterencer des normes permettant drsquoapporter
une preacutesomption de conformiteacute aux exigences du regraveglement et harmoniser ainsi les pratiques au
sein des diffeacuterents Etats membres
Certains de ces actes sont obligatoires pour permettre la mise en application du regraveglement mais
la majoriteacute est optionnelle
A ce jour aucun acte deacuteleacutegueacute nrsquoa eacuteteacute publieacute Seuls les sept actes drsquoexeacutecution obligatoires et un
acte drsquoexeacutecution optionnel ont eacuteteacute publieacutes Ceux-ci sont reacutefeacuterenceacutes dans les chapitres II et III du
preacutesent document
I7 Quels sont les impacts et caracteacuteristiques du regraveglement eIDAS sur le
plan juridique
En dehors de ses effets particuliers concernant lidentification eacutelectronique et les services de
confiance qui sont deacutetailleacutes dans la suite de la preacutesente FAQ le regraveglement a les impacts suivant
il abroge la directive 199993EC sur la signature eacutelectronique
il accorde un effet juridique aux documents eacutelectroniques preacutecisant quils ne peuvent
ecirctre refuseacutes comme preuve en justice au seul motif quils se preacutesentent sous forme
eacutelectronique
De plus srsquoagissant drsquoun regraveglement il est dapplication directe ce qui signifie quil ne neacutecessite
pas de transposition en droit national et que toute disposition nationale allant agrave lencontre des
dispositions du regraveglement est consideacutereacutee comme non applicable
I8 Quel est le rocircle de lANSSI au titre du regraveglement eIDAS
LrsquoANSSI intervient agrave plusieurs titres dans lrsquoapplication du regraveglement eIDAS en tant que
garante de la seacutecuriteacute pour son volet laquo identification eacutelectronique raquo en tant qursquoorgane de controcircle
pour son volet laquo services de confiance raquo en tant qursquoorganisme de certification des dispositifs de
creacuteation de signature ou de cachet qualifieacutes et enfin en tant qursquoorganisme en charge de la liste de
confiance
Ces responsabiliteacutes sont deacutetailleacutees dans les chapitres II et III du preacutesent document
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 724
II Questions relatives agrave lrsquoidentification eacutelectronique
II1 Quel est lrsquoobjectif du volet laquo identification eacutelectronique raquo du regraveglement
eIDAS
Lrsquoobjectif du regraveglement eIDAS pour lidentification eacutelectronique est de mettre en place un cadre
drsquointeropeacuterabiliteacute pour les identiteacutes eacutelectroniques des diffeacuterents Etats membres Le regraveglement
deacutefinit les speacutecifications permettant lrsquointeropeacuterabiliteacute des moyens drsquoidentification
eacutelectronique
deacutefinit les niveaux de garantie et exigences de seacutecuriteacute associeacutees de ces moyens
preacutecise les conditions de reconnaissance mutuelle des moyens drsquoidentification
eacutelectronique deacutelivreacutes dans les Etats membres
II2 Quels sont les principes du volet laquo identification eacutelectronique raquo du
regraveglement eIDAS
Le regraveglement instaure un systegraveme de notification de laquo scheacutemas drsquoidentification eacutelectronique raquo par
les Etats membres Ces derniers sont deacutefinis par le regraveglement comme des laquo systegravemes pour
lrsquoidentification eacutelectronique en vertu desquels des moyens drsquoidentification eacutelectronique sont
deacutelivreacutes agrave des personnes physiques ou morales ou agrave des personnes physiques repreacutesentant des
personnes morales raquo Au sens du regraveglement un moyen drsquoidentification eacutelectronique est laquo un
eacuteleacutement mateacuteriel ou immateacuteriel contenant des donneacutees drsquoidentification personnelle et utiliseacute pour
srsquoauthentifier sur un service en ligne raquo
Le regraveglement preacutevoit trois niveaux de garantie pour les moyens didentification eacutelectronique
deacutelivreacutes dans le cadre dun scheacutema didentification eacutelectronique notifieacute faible substantiel et
eacuteleveacute Le regraveglement drsquoexeacutecution ndeg 20151502 du 8 septembre 2015 fixe les speacutecifications de
seacutecuriteacute minimales pour chacun de ces niveaux
II3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre
laquo identification eacutelectronique raquo du regraveglement
Les actes dexeacutecution relatifs agrave lidentification eacutelectronique publieacutes agrave la date de reacutedaction du
preacutesent document sont les suivants
Deacutecision dexeacutecution ndeg 2015296 du 24 feacutevrier 2015 eacutetablissant les modaliteacutes de
coopeacuteration entre les Eacutetats membres en matiegravere didentification eacutelectronique
conformeacutement agrave larticle 12 paragraphe 7 du regraveglement ndeg 9102014
Regraveglement dexeacutecution ndeg 20151501 du 8 septembre 2015 sur le cadre
dinteropeacuterabiliteacute viseacute agrave larticle 12 paragraphe 8 du regraveglement ndeg 9102014
Regraveglement dexeacutecution ndeg 20151502 du 8 septembre 2015 fixant les speacutecifications
techniques et proceacutedures minimales relatives aux niveaux de garantie des
moyens didentification eacutelectronique viseacutes agrave larticle 8 paragraphe 3 du regraveglement ndeg
9102014
Deacutecision dexeacutecution ndeg 20151984 du 3 novembre 2015 deacutefinissant les
circonstances les formats et les proceacutedures pour les notifications viseacutes agrave larticle
9 paragraphe 5 du regraveglement ndeg 9102014
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 824
II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema
drsquoidentification eacutelectronique par un Etat membre
Le regraveglement eIDAS nrsquooblige pas les Etats membres agrave mettre en œuvre un moyen didentification
eacutelectronique au niveau national ni le cas eacutecheacuteant agrave le notifier agrave la Commission europeacuteenne
Le cas eacutecheacuteant un Etat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique doit
au preacutealable
permettre lrsquoutilisation du moyen drsquoidentification eacutelectronique deacutelivreacute dans le cadre de ce
scheacutema pour acceacuteder agrave au moins un service en ligne fourni par un organisme du
secteur public de lrsquoEacutetat membre notifiant
fournir la description du scheacutema aux autres Eacutetats membres six mois au moins avant la
notification
LrsquoEtat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique transmet agrave la
Commission europeacuteenne par voie eacutelectronique le formulaire preacutevu agrave lrsquoannexe de la deacutecision
drsquoexeacutecution 20151984 de la Commission Ce formulaire doit ecirctre rempli en langue anglaise et
signeacute eacutelectroniquement
II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema
drsquoidentification eacutelectronique
Si un Etat membre choisit de notifier un scheacutema drsquoidentification eacutelectronique cela geacutenegravere pour
lui les obligations suivantes
respecter les speacutecifications de seacutecuriteacute minimales deacutefinies dans le regraveglement
drsquoexeacutecution ndeg20151502 du 8 septembre 2015 ainsi que les speacutecifications
drsquointeropeacuterabiliteacute deacutefinies dans lrsquoacte drsquoexeacutecution ndeg20151501 du 8 septembre 2015
fournir une authentification en ligne afin de permettre agrave toute partie utilisatrice eacutetablie
sur le territoire dun autre Etat membre de confirmer les donneacutees didentification
personnelle reccedilues sous forme eacutelectronique
suspendre ou reacutevoquer lrsquoauthentification transfrontaliegravere en cas drsquoatteinte agrave la
seacutecuriteacute du scheacutema drsquoidentification eacutelectronique et notifier son retrait srsquoil ne peut ecirctre
remeacutedieacute agrave lrsquoatteinte dans un deacutelai de trois mois
LrsquoEtat membre notifiant est responsable du dommage causeacute intentionnellement ou par
neacutegligence agrave toute personne physique ou morale en raison drsquoun manquement agrave ces obligations
dans le cas drsquoune authentification transfrontaliegravere
II6 Qursquoest-ce que le reacuteseau de coopeacuteration
La deacutecision drsquoexeacutecution 2015296 de la Commission europeacuteenne preacutevoit les modaliteacutes de
coopeacuteration entre les Etats membres sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute des scheacutemas
drsquoidentification eacutelectronique
Cette deacutecision eacutetablit notamment le reacuteseau de coopeacuteration qui a pour mission
drsquoinstaurer des meacutethodes efficaces drsquoeacutechange drsquoinformations entre les Eacutetats membres de
lrsquoUnion europeacuteenne sur toutes les questions relatives agrave lrsquoidentification eacutelectronique
drsquoexaminer les eacutevolutions pertinentes dans le secteur de lrsquoidentification eacutelectronique et
drsquoeacutelaborer de bonnes pratiques en matiegravere drsquointeropeacuterabiliteacute et de seacutecuriteacute des scheacutemas
drsquoidentification eacutelectronique
drsquoadopter des avis sur la faccedilon dont un scheacutema drsquoidentification eacutelectronique satisfait aux
exigences contenues dans le regraveglement eIDAS agrave lrsquoissue du processus drsquoexamen par les
pairs
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 924
Les reacuteunions du reacuteseau de coopeacuteration sont preacutesideacutees par la Commission europeacuteenne
II7 Qursquoest-ce que lrsquoexamen par les pairs
Tous les scheacutemas drsquoidentification eacutelectronique dont la description a eacuteteacute fournie aux Eacutetats
membres preacutealablement agrave une notification peuvent faire lrsquoobjet drsquoun examen par les pairs
La participation des Etats membres pairs est volontaire et lrsquoEacutetat membre dont le scheacutema
drsquoidentification eacutelectronique doit faire lrsquoobjet drsquoun examen ne peut refuser la participation drsquoun
Etat membre pair agrave ce processus de coopeacuteration
Les Etats membres participants deacutesignent des experts chargeacutes de proceacuteder agrave lrsquoexamen Au terme
du processus drsquoexamen qui ne peut exceacuteder trois mois les participants disposent drsquoun mois pour
preacutesenter un rapport au reacuteseau de coopeacuteration A lrsquoissue de cette preacutesentation le reacuteseau de
coopeacuteration eacutemet un avis disponible publiquement
Les avis du reacuteseau de coopeacuteration sont accessibles agrave lrsquoadresse suivante
httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOpinions+of+the+Cooperation+
Network
II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes
La Commission publie au Journal officiel de lrsquoUnion europeacuteenne la liste des scheacutemas
drsquoidentification eacutelectronique qui ont eacuteteacute notifieacutes et les informations essentielles agrave leur sujet et
maintient cette liste agrave jour en fonction des notifications des Etats membres (incluant les
modifications et retraits des scheacutemas drsquoidentification eacutelectronique)
Une liste des scheacutemas drsquoidentification eacutelectronique notifieacutes ou soumis agrave lrsquoexamen par les pairs
est eacutegalement disponible agrave lrsquoadresse suivante
httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOverview+of+pre+notified+and
+notified+eID+schemes+under+eIDAS
II9 Les organismes du secteur public sont-ils tenus de recourir agrave des
moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS
Le regraveglement eIDAS nrsquooblige pas les organismes du secteur public des diffeacuterents Etats membres
agrave recourir agrave des moyens didentification eacutelectronique deacutelivreacutes dans le cadre de scheacutemas
drsquoidentification eacutelectroniques notifieacutes
Les organismes du secteur public peuvent toutefois soit en vertu de pratiques administratives
nationales ou en vertu du droit national exiger la mise en œuvre drsquoun moyen drsquoidentification
eacutelectronique pour lrsquoaccegraves agrave leurs teacuteleacuteservices
II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil
exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo
pour lrsquoaccegraves agrave ses services
Si dans un Etat membre un organisme du secteur public exige pour lrsquoaccegraves agrave lrsquoun de ses
services en ligne une identification eacutelectronique de niveau de garantie substantiel ou eacuteleveacute il
devra eacutegalement accepter pour laccegraves agrave ce teacuteleacuteservice lrsquoensemble des moyens didentification
eacutelectronique de niveau eacutequivalent ou supeacuterieur et relevant drsquoun scheacutema drsquoidentification notifieacute agrave
la Commission et publieacute au JOUE Cette obligation est effective depuis le 29 septembre 2018
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1024
Par ailleurs les organismes du secteur public peuvent deacutecider sur une base volontaire de
reconnaicirctre les scheacutemas drsquoidentification eacutelectronique de niveau faible ainsi que les scheacutemas
drsquoidentification eacutelectronique notifieacutes avant le 29 septembre 2018
II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification
eacutelectronique
Les moyens drsquoidentification eacutelectronique peuvent ecirctre demandeacutes par des personnes physiques ou
morales ou par des personnes physiques repreacutesentant des personnes morales
Pour obtenir un moyen drsquoidentification eacutelectronique le demandeur doit pouvoir justifier de son
identiteacute dans les conditions preacutevues par le regraveglement drsquoexeacutecution ndeg 20151502 qui preacutecise en
annexe les exigences minimales relatives agrave la veacuterification didentiteacute des personnes physiques et agrave
la deacutelivrance du moyen didentification
Ces exigences peuvent ecirctre renforceacutees par la reacuteglementation nationale ou les pratiques du
fournisseur drsquoidentiteacute en fonction du niveau de garantie viseacute
II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification
eacutelectronique
Le regraveglement drsquoexeacutecution ndeg20151502 preacutecise uniquement selon le niveau de garantie la nature
des veacuterifications devant ecirctre reacutealiseacutees (authenticiteacute des piegraveces drsquoidentiteacute preacutesenteacutees comparaison
de caracteacuteristiques physiques du demandeurhellip) sans speacutecifier le moyen technique ou
organisationnel
En particulier le face agrave face (crsquoest-agrave-dire une rencontre en personne entre le demandeur de
lrsquoidentification et la personne deacutelivrant le moyen drsquoidentification) nrsquoest pas exigeacute Par
conseacutequent lexistence dun face agrave face dans la proceacutedure de veacuterification didentiteacute etou dans
celle de deacutelivrance du moyen didentification eacutelectronique deacutependra des choix techniques
effectueacutes par lrsquoorganisme deacutelivrant ce moyen
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise ne place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1124
II13 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo identification eacutelectronique raquo du regraveglement eIDAS
La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication
de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point
de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute
demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute
Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au
niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des
fournisseurs de services
La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications
eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le
respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave
FranceConnect
LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS
A ce titre elle
eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des
moyens didentification eacutelectronique
eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens
drsquoidentification eacutelectronique
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1224
III Questions relatives agrave lrsquoensemble des services de confiance
III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement
eIDAS
Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de
confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule
signature eacutelectronique et englobe les services de
creacuteation veacuterification et validation de signatures eacutelectroniques de cachets
eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de
certificats relatifs agrave ces services
creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites
internet
conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats
relatifs agrave ces services
III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement
eIDAS
Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de
confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets
juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services
de confiance qualifieacutes
Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques
qualifieacutees et aux cachets eacutelectroniques qualifieacutes
Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service
de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat
membre
III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services
de confiance raquo du regraveglement
Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette
FAQ sont les suivants
Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications
relatives agrave la forme du label de confiance de lUnion pour les services de confiance
qualifieacutes
Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications
techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22
paragraphe 5 du regraveglement ndeg 9102014
Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications
relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets
eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public
viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg
9102014
Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave
leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature
eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et
agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1324
III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS
Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des
signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois
recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme
eacutelectronique ou qursquoils ne soient pas qualifieacutes
En compleacutement le regraveglement preacutecise les effets juridiques suivants
la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui
dune signature manuscrite
le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees
et dexactitude de lorigine des donneacutees auxquelles il est lieacute
lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la
date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette
date et cette heure
lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave
linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur
reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi
et de la reacuteception indiqueacutees
III5 Quelles sont les exigences applicables aux prestataires de services de
confiance
Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de
confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions
fixeacutees par les Etats membres
effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive
9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees
ndeg2016679)
rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs
services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave
un utilisateur final
prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques
lieacutes agrave la seacutecuriteacute des services quils fournissent
notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter
preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou
toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance
fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees
Les prestataires de services de confiance sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver
lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1424
III6 Quelles sont les obligations induites du volet laquo services de confiance raquo
du regraveglement eIDAS pour les prestataires de services de confiance
qualifieacutes
Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant
au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales
applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des
exigences speacutecifiques agrave chaque service de confiance qualifieacute
Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la
conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle
deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant
de pouvoir commencer agrave fournir des services qualifieacutes
Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de
prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part
III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement
Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants
la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le
cachet eacutelectronique ou lrsquoauthentification de site internet
lrsquohorodatage eacutelectronique
la validation de signatures ou de cachets eacutelectronique
la conservation de signatures ou de cachets eacutelectroniques
lrsquoenvoi recommandeacute eacutelectronique
La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation
de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du
signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement
eIDAS
III8 Quel est le reacutegime de controcircle des prestataires de services de
confiance
Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par
chaque Etat membre ayant pour mission
le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le
territoire franccedilais
la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires
de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre
lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils
fournissent ne satisfont pas aux exigences du regraveglement
Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a
priori
Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle
srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes
conformeacutement au regraveglement europeacuteen ndeg 7652008CE
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1524
III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de
services de confiance qualifieacutes
Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave
leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute
Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements
compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de
lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux
exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification
En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre
un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme
drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux
frais de ce dernier
Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS
Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique
III10 Qursquoest-ce qursquoune liste de confiance
Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les
informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont
responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations
relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur
cette liste
III11 Qursquoest-ce que le label de confiance de lrsquoUnion
Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les
prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de
maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent
Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du
prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee
Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806
III12 Qursquoest-ce que le laquo mandat 460 raquo
Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif
drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen
Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)
et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes
et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les
travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en
œuvre du regraveglement
Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de
conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers
des actes drsquoexeacutecution qursquoil preacutevoit
Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement
les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1624
III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave
des services de confiance qualifieacutes
Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres
drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les
exigences applicables au sein de chaque Etat membre
Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public
exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces
obligations sont preacuteciseacutees au chapitre IV du preacutesent document
III14 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo services de confiance raquo du regraveglement eIDAS
La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement
sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance
A ce titre lANSSI assure notamment les missions suivantes
le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes
le controcircle a posteriori et sur saisie des prestataires de service de confiance non-
qualifieacutes
lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance
qui en font la demande
la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de
services de confiance qualifieacutes par des organismes drsquoeacutevaluation
la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS
lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute
la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis
dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la
Commission sur ses principales activiteacutes
En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge
lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise
la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des
dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes
la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique
qualifieacutes qursquoelle a certifieacute conformes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1724
IV Questions relatives agrave la signature et au cachet eacutelectronique
Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au
cachet eacutelectronique
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique
Il convient de distinguer quatre niveaux de signatures eacutelectroniques
Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit
par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de
controcircle
Ces deux premiers niveaux sont
La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)
Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou
associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire
utilise pour signer
La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)
Cette signature doit
o ecirctre lieacutee au signataire de maniegravere univoque
o permettre drsquoidentifier le signataire
o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le
signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle
exclusif
o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute
modification ulteacuterieure des donneacutees soit deacutetectable
Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par
un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des
certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle
Ces deux niveaux suivants sont
La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux
articles 26 et 28 du regraveglement eIDAS)
Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute
respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS
Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion
du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des
exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est
uniquement deacutelivreacute au signataire leacutegitime
La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement
eIDAS)
La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature
eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature
eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1824
confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce
dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale
Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune
signature manuscrite
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique
qualifieacute
Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave
creacuteer une signature eacutelectronique
Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II
du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees
La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs
deacutesigneacutes par chaque Etat membre agrave la Commission
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle
exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees
pour prononcer la certification de conformiteacute
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de
services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave
distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la
conformiteacute et de le notifier agrave la Commission
IV3 Qui peut demander un certificat qualifieacute
Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats
eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et
respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats
Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute
deacutelivreacute par un prestataire de services de confiance qualifieacute
De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au
regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il
nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un
cachet eacutelectronique qualifieacute
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la
signature qualifieacutee
Le regraveglement eIDAS entraicircne les changements suivants
Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le
compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees
par un prestataire de services de confiance qualifieacute
Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)
Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les
personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1924
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat
qualifieacute de signature eacutelectronique
Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance
lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute
doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait
par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la
personne morale (ce qui implique donc un face agrave face) ou
agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la
deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de
la personne morale) sest preacutesenteacutee en personne ou
au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux
deux points ci-dessus ou
agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant
une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne
Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi
les possibiliteacutes offertes par le regraveglement
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave
distance par quels moyens la personne peut-elle manifester son
consentement
Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de
sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de
la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par
exemple sur une carte agrave puce et un code PIN)
A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute
suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature
eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees
agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la
saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave
lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2024
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave
distance
Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de
confiance qualifieacute
Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant
en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal
Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire
doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services
de confiance qualifieacutes preacutevus par le regraveglement
ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de
sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au
besoin de continuiteacute du service
La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de
conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute
LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des
certificats de conformiteacute
Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute
distincts
Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage
drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi
qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes
Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de
lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le
produit ou le systegraveme composant le QSCD
Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit
composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de
la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de
signature ou de cachet
LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est
disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-
notified-commission-accordance-article303b-and-392-eidas
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de
la signature eacutelectronique
Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques
avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature
eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne
offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les
formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506
Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats
de signature suivants
ETSI TS 103 171 (v211) (XAdES Baseline Profile)
ETSI TS 103 172 (v222) (PAdES Baseline Profile)
ETSI TS 103 173 (v221) (CAdES Baseline Profile)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 724
II Questions relatives agrave lrsquoidentification eacutelectronique
II1 Quel est lrsquoobjectif du volet laquo identification eacutelectronique raquo du regraveglement
eIDAS
Lrsquoobjectif du regraveglement eIDAS pour lidentification eacutelectronique est de mettre en place un cadre
drsquointeropeacuterabiliteacute pour les identiteacutes eacutelectroniques des diffeacuterents Etats membres Le regraveglement
deacutefinit les speacutecifications permettant lrsquointeropeacuterabiliteacute des moyens drsquoidentification
eacutelectronique
deacutefinit les niveaux de garantie et exigences de seacutecuriteacute associeacutees de ces moyens
preacutecise les conditions de reconnaissance mutuelle des moyens drsquoidentification
eacutelectronique deacutelivreacutes dans les Etats membres
II2 Quels sont les principes du volet laquo identification eacutelectronique raquo du
regraveglement eIDAS
Le regraveglement instaure un systegraveme de notification de laquo scheacutemas drsquoidentification eacutelectronique raquo par
les Etats membres Ces derniers sont deacutefinis par le regraveglement comme des laquo systegravemes pour
lrsquoidentification eacutelectronique en vertu desquels des moyens drsquoidentification eacutelectronique sont
deacutelivreacutes agrave des personnes physiques ou morales ou agrave des personnes physiques repreacutesentant des
personnes morales raquo Au sens du regraveglement un moyen drsquoidentification eacutelectronique est laquo un
eacuteleacutement mateacuteriel ou immateacuteriel contenant des donneacutees drsquoidentification personnelle et utiliseacute pour
srsquoauthentifier sur un service en ligne raquo
Le regraveglement preacutevoit trois niveaux de garantie pour les moyens didentification eacutelectronique
deacutelivreacutes dans le cadre dun scheacutema didentification eacutelectronique notifieacute faible substantiel et
eacuteleveacute Le regraveglement drsquoexeacutecution ndeg 20151502 du 8 septembre 2015 fixe les speacutecifications de
seacutecuriteacute minimales pour chacun de ces niveaux
II3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre
laquo identification eacutelectronique raquo du regraveglement
Les actes dexeacutecution relatifs agrave lidentification eacutelectronique publieacutes agrave la date de reacutedaction du
preacutesent document sont les suivants
Deacutecision dexeacutecution ndeg 2015296 du 24 feacutevrier 2015 eacutetablissant les modaliteacutes de
coopeacuteration entre les Eacutetats membres en matiegravere didentification eacutelectronique
conformeacutement agrave larticle 12 paragraphe 7 du regraveglement ndeg 9102014
Regraveglement dexeacutecution ndeg 20151501 du 8 septembre 2015 sur le cadre
dinteropeacuterabiliteacute viseacute agrave larticle 12 paragraphe 8 du regraveglement ndeg 9102014
Regraveglement dexeacutecution ndeg 20151502 du 8 septembre 2015 fixant les speacutecifications
techniques et proceacutedures minimales relatives aux niveaux de garantie des
moyens didentification eacutelectronique viseacutes agrave larticle 8 paragraphe 3 du regraveglement ndeg
9102014
Deacutecision dexeacutecution ndeg 20151984 du 3 novembre 2015 deacutefinissant les
circonstances les formats et les proceacutedures pour les notifications viseacutes agrave larticle
9 paragraphe 5 du regraveglement ndeg 9102014
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 824
II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema
drsquoidentification eacutelectronique par un Etat membre
Le regraveglement eIDAS nrsquooblige pas les Etats membres agrave mettre en œuvre un moyen didentification
eacutelectronique au niveau national ni le cas eacutecheacuteant agrave le notifier agrave la Commission europeacuteenne
Le cas eacutecheacuteant un Etat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique doit
au preacutealable
permettre lrsquoutilisation du moyen drsquoidentification eacutelectronique deacutelivreacute dans le cadre de ce
scheacutema pour acceacuteder agrave au moins un service en ligne fourni par un organisme du
secteur public de lrsquoEacutetat membre notifiant
fournir la description du scheacutema aux autres Eacutetats membres six mois au moins avant la
notification
LrsquoEtat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique transmet agrave la
Commission europeacuteenne par voie eacutelectronique le formulaire preacutevu agrave lrsquoannexe de la deacutecision
drsquoexeacutecution 20151984 de la Commission Ce formulaire doit ecirctre rempli en langue anglaise et
signeacute eacutelectroniquement
II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema
drsquoidentification eacutelectronique
Si un Etat membre choisit de notifier un scheacutema drsquoidentification eacutelectronique cela geacutenegravere pour
lui les obligations suivantes
respecter les speacutecifications de seacutecuriteacute minimales deacutefinies dans le regraveglement
drsquoexeacutecution ndeg20151502 du 8 septembre 2015 ainsi que les speacutecifications
drsquointeropeacuterabiliteacute deacutefinies dans lrsquoacte drsquoexeacutecution ndeg20151501 du 8 septembre 2015
fournir une authentification en ligne afin de permettre agrave toute partie utilisatrice eacutetablie
sur le territoire dun autre Etat membre de confirmer les donneacutees didentification
personnelle reccedilues sous forme eacutelectronique
suspendre ou reacutevoquer lrsquoauthentification transfrontaliegravere en cas drsquoatteinte agrave la
seacutecuriteacute du scheacutema drsquoidentification eacutelectronique et notifier son retrait srsquoil ne peut ecirctre
remeacutedieacute agrave lrsquoatteinte dans un deacutelai de trois mois
LrsquoEtat membre notifiant est responsable du dommage causeacute intentionnellement ou par
neacutegligence agrave toute personne physique ou morale en raison drsquoun manquement agrave ces obligations
dans le cas drsquoune authentification transfrontaliegravere
II6 Qursquoest-ce que le reacuteseau de coopeacuteration
La deacutecision drsquoexeacutecution 2015296 de la Commission europeacuteenne preacutevoit les modaliteacutes de
coopeacuteration entre les Etats membres sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute des scheacutemas
drsquoidentification eacutelectronique
Cette deacutecision eacutetablit notamment le reacuteseau de coopeacuteration qui a pour mission
drsquoinstaurer des meacutethodes efficaces drsquoeacutechange drsquoinformations entre les Eacutetats membres de
lrsquoUnion europeacuteenne sur toutes les questions relatives agrave lrsquoidentification eacutelectronique
drsquoexaminer les eacutevolutions pertinentes dans le secteur de lrsquoidentification eacutelectronique et
drsquoeacutelaborer de bonnes pratiques en matiegravere drsquointeropeacuterabiliteacute et de seacutecuriteacute des scheacutemas
drsquoidentification eacutelectronique
drsquoadopter des avis sur la faccedilon dont un scheacutema drsquoidentification eacutelectronique satisfait aux
exigences contenues dans le regraveglement eIDAS agrave lrsquoissue du processus drsquoexamen par les
pairs
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 924
Les reacuteunions du reacuteseau de coopeacuteration sont preacutesideacutees par la Commission europeacuteenne
II7 Qursquoest-ce que lrsquoexamen par les pairs
Tous les scheacutemas drsquoidentification eacutelectronique dont la description a eacuteteacute fournie aux Eacutetats
membres preacutealablement agrave une notification peuvent faire lrsquoobjet drsquoun examen par les pairs
La participation des Etats membres pairs est volontaire et lrsquoEacutetat membre dont le scheacutema
drsquoidentification eacutelectronique doit faire lrsquoobjet drsquoun examen ne peut refuser la participation drsquoun
Etat membre pair agrave ce processus de coopeacuteration
Les Etats membres participants deacutesignent des experts chargeacutes de proceacuteder agrave lrsquoexamen Au terme
du processus drsquoexamen qui ne peut exceacuteder trois mois les participants disposent drsquoun mois pour
preacutesenter un rapport au reacuteseau de coopeacuteration A lrsquoissue de cette preacutesentation le reacuteseau de
coopeacuteration eacutemet un avis disponible publiquement
Les avis du reacuteseau de coopeacuteration sont accessibles agrave lrsquoadresse suivante
httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOpinions+of+the+Cooperation+
Network
II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes
La Commission publie au Journal officiel de lrsquoUnion europeacuteenne la liste des scheacutemas
drsquoidentification eacutelectronique qui ont eacuteteacute notifieacutes et les informations essentielles agrave leur sujet et
maintient cette liste agrave jour en fonction des notifications des Etats membres (incluant les
modifications et retraits des scheacutemas drsquoidentification eacutelectronique)
Une liste des scheacutemas drsquoidentification eacutelectronique notifieacutes ou soumis agrave lrsquoexamen par les pairs
est eacutegalement disponible agrave lrsquoadresse suivante
httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOverview+of+pre+notified+and
+notified+eID+schemes+under+eIDAS
II9 Les organismes du secteur public sont-ils tenus de recourir agrave des
moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS
Le regraveglement eIDAS nrsquooblige pas les organismes du secteur public des diffeacuterents Etats membres
agrave recourir agrave des moyens didentification eacutelectronique deacutelivreacutes dans le cadre de scheacutemas
drsquoidentification eacutelectroniques notifieacutes
Les organismes du secteur public peuvent toutefois soit en vertu de pratiques administratives
nationales ou en vertu du droit national exiger la mise en œuvre drsquoun moyen drsquoidentification
eacutelectronique pour lrsquoaccegraves agrave leurs teacuteleacuteservices
II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil
exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo
pour lrsquoaccegraves agrave ses services
Si dans un Etat membre un organisme du secteur public exige pour lrsquoaccegraves agrave lrsquoun de ses
services en ligne une identification eacutelectronique de niveau de garantie substantiel ou eacuteleveacute il
devra eacutegalement accepter pour laccegraves agrave ce teacuteleacuteservice lrsquoensemble des moyens didentification
eacutelectronique de niveau eacutequivalent ou supeacuterieur et relevant drsquoun scheacutema drsquoidentification notifieacute agrave
la Commission et publieacute au JOUE Cette obligation est effective depuis le 29 septembre 2018
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1024
Par ailleurs les organismes du secteur public peuvent deacutecider sur une base volontaire de
reconnaicirctre les scheacutemas drsquoidentification eacutelectronique de niveau faible ainsi que les scheacutemas
drsquoidentification eacutelectronique notifieacutes avant le 29 septembre 2018
II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification
eacutelectronique
Les moyens drsquoidentification eacutelectronique peuvent ecirctre demandeacutes par des personnes physiques ou
morales ou par des personnes physiques repreacutesentant des personnes morales
Pour obtenir un moyen drsquoidentification eacutelectronique le demandeur doit pouvoir justifier de son
identiteacute dans les conditions preacutevues par le regraveglement drsquoexeacutecution ndeg 20151502 qui preacutecise en
annexe les exigences minimales relatives agrave la veacuterification didentiteacute des personnes physiques et agrave
la deacutelivrance du moyen didentification
Ces exigences peuvent ecirctre renforceacutees par la reacuteglementation nationale ou les pratiques du
fournisseur drsquoidentiteacute en fonction du niveau de garantie viseacute
II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification
eacutelectronique
Le regraveglement drsquoexeacutecution ndeg20151502 preacutecise uniquement selon le niveau de garantie la nature
des veacuterifications devant ecirctre reacutealiseacutees (authenticiteacute des piegraveces drsquoidentiteacute preacutesenteacutees comparaison
de caracteacuteristiques physiques du demandeurhellip) sans speacutecifier le moyen technique ou
organisationnel
En particulier le face agrave face (crsquoest-agrave-dire une rencontre en personne entre le demandeur de
lrsquoidentification et la personne deacutelivrant le moyen drsquoidentification) nrsquoest pas exigeacute Par
conseacutequent lexistence dun face agrave face dans la proceacutedure de veacuterification didentiteacute etou dans
celle de deacutelivrance du moyen didentification eacutelectronique deacutependra des choix techniques
effectueacutes par lrsquoorganisme deacutelivrant ce moyen
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise ne place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1124
II13 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo identification eacutelectronique raquo du regraveglement eIDAS
La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication
de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point
de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute
demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute
Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au
niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des
fournisseurs de services
La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications
eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le
respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave
FranceConnect
LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS
A ce titre elle
eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des
moyens didentification eacutelectronique
eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens
drsquoidentification eacutelectronique
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1224
III Questions relatives agrave lrsquoensemble des services de confiance
III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement
eIDAS
Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de
confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule
signature eacutelectronique et englobe les services de
creacuteation veacuterification et validation de signatures eacutelectroniques de cachets
eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de
certificats relatifs agrave ces services
creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites
internet
conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats
relatifs agrave ces services
III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement
eIDAS
Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de
confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets
juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services
de confiance qualifieacutes
Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques
qualifieacutees et aux cachets eacutelectroniques qualifieacutes
Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service
de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat
membre
III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services
de confiance raquo du regraveglement
Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette
FAQ sont les suivants
Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications
relatives agrave la forme du label de confiance de lUnion pour les services de confiance
qualifieacutes
Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications
techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22
paragraphe 5 du regraveglement ndeg 9102014
Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications
relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets
eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public
viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg
9102014
Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave
leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature
eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et
agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1324
III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS
Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des
signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois
recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme
eacutelectronique ou qursquoils ne soient pas qualifieacutes
En compleacutement le regraveglement preacutecise les effets juridiques suivants
la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui
dune signature manuscrite
le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees
et dexactitude de lorigine des donneacutees auxquelles il est lieacute
lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la
date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette
date et cette heure
lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave
linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur
reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi
et de la reacuteception indiqueacutees
III5 Quelles sont les exigences applicables aux prestataires de services de
confiance
Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de
confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions
fixeacutees par les Etats membres
effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive
9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees
ndeg2016679)
rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs
services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave
un utilisateur final
prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques
lieacutes agrave la seacutecuriteacute des services quils fournissent
notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter
preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou
toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance
fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees
Les prestataires de services de confiance sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver
lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1424
III6 Quelles sont les obligations induites du volet laquo services de confiance raquo
du regraveglement eIDAS pour les prestataires de services de confiance
qualifieacutes
Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant
au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales
applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des
exigences speacutecifiques agrave chaque service de confiance qualifieacute
Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la
conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle
deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant
de pouvoir commencer agrave fournir des services qualifieacutes
Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de
prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part
III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement
Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants
la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le
cachet eacutelectronique ou lrsquoauthentification de site internet
lrsquohorodatage eacutelectronique
la validation de signatures ou de cachets eacutelectronique
la conservation de signatures ou de cachets eacutelectroniques
lrsquoenvoi recommandeacute eacutelectronique
La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation
de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du
signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement
eIDAS
III8 Quel est le reacutegime de controcircle des prestataires de services de
confiance
Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par
chaque Etat membre ayant pour mission
le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le
territoire franccedilais
la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires
de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre
lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils
fournissent ne satisfont pas aux exigences du regraveglement
Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a
priori
Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle
srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes
conformeacutement au regraveglement europeacuteen ndeg 7652008CE
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1524
III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de
services de confiance qualifieacutes
Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave
leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute
Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements
compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de
lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux
exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification
En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre
un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme
drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux
frais de ce dernier
Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS
Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique
III10 Qursquoest-ce qursquoune liste de confiance
Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les
informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont
responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations
relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur
cette liste
III11 Qursquoest-ce que le label de confiance de lrsquoUnion
Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les
prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de
maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent
Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du
prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee
Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806
III12 Qursquoest-ce que le laquo mandat 460 raquo
Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif
drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen
Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)
et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes
et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les
travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en
œuvre du regraveglement
Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de
conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers
des actes drsquoexeacutecution qursquoil preacutevoit
Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement
les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1624
III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave
des services de confiance qualifieacutes
Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres
drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les
exigences applicables au sein de chaque Etat membre
Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public
exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces
obligations sont preacuteciseacutees au chapitre IV du preacutesent document
III14 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo services de confiance raquo du regraveglement eIDAS
La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement
sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance
A ce titre lANSSI assure notamment les missions suivantes
le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes
le controcircle a posteriori et sur saisie des prestataires de service de confiance non-
qualifieacutes
lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance
qui en font la demande
la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de
services de confiance qualifieacutes par des organismes drsquoeacutevaluation
la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS
lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute
la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis
dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la
Commission sur ses principales activiteacutes
En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge
lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise
la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des
dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes
la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique
qualifieacutes qursquoelle a certifieacute conformes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1724
IV Questions relatives agrave la signature et au cachet eacutelectronique
Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au
cachet eacutelectronique
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique
Il convient de distinguer quatre niveaux de signatures eacutelectroniques
Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit
par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de
controcircle
Ces deux premiers niveaux sont
La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)
Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou
associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire
utilise pour signer
La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)
Cette signature doit
o ecirctre lieacutee au signataire de maniegravere univoque
o permettre drsquoidentifier le signataire
o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le
signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle
exclusif
o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute
modification ulteacuterieure des donneacutees soit deacutetectable
Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par
un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des
certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle
Ces deux niveaux suivants sont
La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux
articles 26 et 28 du regraveglement eIDAS)
Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute
respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS
Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion
du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des
exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est
uniquement deacutelivreacute au signataire leacutegitime
La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement
eIDAS)
La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature
eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature
eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1824
confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce
dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale
Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune
signature manuscrite
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique
qualifieacute
Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave
creacuteer une signature eacutelectronique
Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II
du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees
La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs
deacutesigneacutes par chaque Etat membre agrave la Commission
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle
exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees
pour prononcer la certification de conformiteacute
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de
services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave
distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la
conformiteacute et de le notifier agrave la Commission
IV3 Qui peut demander un certificat qualifieacute
Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats
eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et
respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats
Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute
deacutelivreacute par un prestataire de services de confiance qualifieacute
De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au
regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il
nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un
cachet eacutelectronique qualifieacute
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la
signature qualifieacutee
Le regraveglement eIDAS entraicircne les changements suivants
Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le
compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees
par un prestataire de services de confiance qualifieacute
Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)
Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les
personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1924
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat
qualifieacute de signature eacutelectronique
Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance
lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute
doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait
par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la
personne morale (ce qui implique donc un face agrave face) ou
agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la
deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de
la personne morale) sest preacutesenteacutee en personne ou
au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux
deux points ci-dessus ou
agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant
une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne
Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi
les possibiliteacutes offertes par le regraveglement
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave
distance par quels moyens la personne peut-elle manifester son
consentement
Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de
sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de
la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par
exemple sur une carte agrave puce et un code PIN)
A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute
suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature
eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees
agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la
saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave
lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2024
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave
distance
Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de
confiance qualifieacute
Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant
en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal
Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire
doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services
de confiance qualifieacutes preacutevus par le regraveglement
ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de
sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au
besoin de continuiteacute du service
La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de
conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute
LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des
certificats de conformiteacute
Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute
distincts
Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage
drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi
qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes
Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de
lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le
produit ou le systegraveme composant le QSCD
Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit
composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de
la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de
signature ou de cachet
LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est
disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-
notified-commission-accordance-article303b-and-392-eidas
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de
la signature eacutelectronique
Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques
avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature
eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne
offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les
formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506
Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats
de signature suivants
ETSI TS 103 171 (v211) (XAdES Baseline Profile)
ETSI TS 103 172 (v222) (PAdES Baseline Profile)
ETSI TS 103 173 (v221) (CAdES Baseline Profile)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 824
II4 Quelles sont les conditions applicables agrave la notification drsquoun scheacutema
drsquoidentification eacutelectronique par un Etat membre
Le regraveglement eIDAS nrsquooblige pas les Etats membres agrave mettre en œuvre un moyen didentification
eacutelectronique au niveau national ni le cas eacutecheacuteant agrave le notifier agrave la Commission europeacuteenne
Le cas eacutecheacuteant un Etat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique doit
au preacutealable
permettre lrsquoutilisation du moyen drsquoidentification eacutelectronique deacutelivreacute dans le cadre de ce
scheacutema pour acceacuteder agrave au moins un service en ligne fourni par un organisme du
secteur public de lrsquoEacutetat membre notifiant
fournir la description du scheacutema aux autres Eacutetats membres six mois au moins avant la
notification
LrsquoEtat membre souhaitant notifier un scheacutema drsquoidentification eacutelectronique transmet agrave la
Commission europeacuteenne par voie eacutelectronique le formulaire preacutevu agrave lrsquoannexe de la deacutecision
drsquoexeacutecution 20151984 de la Commission Ce formulaire doit ecirctre rempli en langue anglaise et
signeacute eacutelectroniquement
II5 Quelles sont les obligations drsquoun Eacutetat membre notifiant un scheacutema
drsquoidentification eacutelectronique
Si un Etat membre choisit de notifier un scheacutema drsquoidentification eacutelectronique cela geacutenegravere pour
lui les obligations suivantes
respecter les speacutecifications de seacutecuriteacute minimales deacutefinies dans le regraveglement
drsquoexeacutecution ndeg20151502 du 8 septembre 2015 ainsi que les speacutecifications
drsquointeropeacuterabiliteacute deacutefinies dans lrsquoacte drsquoexeacutecution ndeg20151501 du 8 septembre 2015
fournir une authentification en ligne afin de permettre agrave toute partie utilisatrice eacutetablie
sur le territoire dun autre Etat membre de confirmer les donneacutees didentification
personnelle reccedilues sous forme eacutelectronique
suspendre ou reacutevoquer lrsquoauthentification transfrontaliegravere en cas drsquoatteinte agrave la
seacutecuriteacute du scheacutema drsquoidentification eacutelectronique et notifier son retrait srsquoil ne peut ecirctre
remeacutedieacute agrave lrsquoatteinte dans un deacutelai de trois mois
LrsquoEtat membre notifiant est responsable du dommage causeacute intentionnellement ou par
neacutegligence agrave toute personne physique ou morale en raison drsquoun manquement agrave ces obligations
dans le cas drsquoune authentification transfrontaliegravere
II6 Qursquoest-ce que le reacuteseau de coopeacuteration
La deacutecision drsquoexeacutecution 2015296 de la Commission europeacuteenne preacutevoit les modaliteacutes de
coopeacuteration entre les Etats membres sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute des scheacutemas
drsquoidentification eacutelectronique
Cette deacutecision eacutetablit notamment le reacuteseau de coopeacuteration qui a pour mission
drsquoinstaurer des meacutethodes efficaces drsquoeacutechange drsquoinformations entre les Eacutetats membres de
lrsquoUnion europeacuteenne sur toutes les questions relatives agrave lrsquoidentification eacutelectronique
drsquoexaminer les eacutevolutions pertinentes dans le secteur de lrsquoidentification eacutelectronique et
drsquoeacutelaborer de bonnes pratiques en matiegravere drsquointeropeacuterabiliteacute et de seacutecuriteacute des scheacutemas
drsquoidentification eacutelectronique
drsquoadopter des avis sur la faccedilon dont un scheacutema drsquoidentification eacutelectronique satisfait aux
exigences contenues dans le regraveglement eIDAS agrave lrsquoissue du processus drsquoexamen par les
pairs
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 924
Les reacuteunions du reacuteseau de coopeacuteration sont preacutesideacutees par la Commission europeacuteenne
II7 Qursquoest-ce que lrsquoexamen par les pairs
Tous les scheacutemas drsquoidentification eacutelectronique dont la description a eacuteteacute fournie aux Eacutetats
membres preacutealablement agrave une notification peuvent faire lrsquoobjet drsquoun examen par les pairs
La participation des Etats membres pairs est volontaire et lrsquoEacutetat membre dont le scheacutema
drsquoidentification eacutelectronique doit faire lrsquoobjet drsquoun examen ne peut refuser la participation drsquoun
Etat membre pair agrave ce processus de coopeacuteration
Les Etats membres participants deacutesignent des experts chargeacutes de proceacuteder agrave lrsquoexamen Au terme
du processus drsquoexamen qui ne peut exceacuteder trois mois les participants disposent drsquoun mois pour
preacutesenter un rapport au reacuteseau de coopeacuteration A lrsquoissue de cette preacutesentation le reacuteseau de
coopeacuteration eacutemet un avis disponible publiquement
Les avis du reacuteseau de coopeacuteration sont accessibles agrave lrsquoadresse suivante
httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOpinions+of+the+Cooperation+
Network
II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes
La Commission publie au Journal officiel de lrsquoUnion europeacuteenne la liste des scheacutemas
drsquoidentification eacutelectronique qui ont eacuteteacute notifieacutes et les informations essentielles agrave leur sujet et
maintient cette liste agrave jour en fonction des notifications des Etats membres (incluant les
modifications et retraits des scheacutemas drsquoidentification eacutelectronique)
Une liste des scheacutemas drsquoidentification eacutelectronique notifieacutes ou soumis agrave lrsquoexamen par les pairs
est eacutegalement disponible agrave lrsquoadresse suivante
httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOverview+of+pre+notified+and
+notified+eID+schemes+under+eIDAS
II9 Les organismes du secteur public sont-ils tenus de recourir agrave des
moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS
Le regraveglement eIDAS nrsquooblige pas les organismes du secteur public des diffeacuterents Etats membres
agrave recourir agrave des moyens didentification eacutelectronique deacutelivreacutes dans le cadre de scheacutemas
drsquoidentification eacutelectroniques notifieacutes
Les organismes du secteur public peuvent toutefois soit en vertu de pratiques administratives
nationales ou en vertu du droit national exiger la mise en œuvre drsquoun moyen drsquoidentification
eacutelectronique pour lrsquoaccegraves agrave leurs teacuteleacuteservices
II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil
exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo
pour lrsquoaccegraves agrave ses services
Si dans un Etat membre un organisme du secteur public exige pour lrsquoaccegraves agrave lrsquoun de ses
services en ligne une identification eacutelectronique de niveau de garantie substantiel ou eacuteleveacute il
devra eacutegalement accepter pour laccegraves agrave ce teacuteleacuteservice lrsquoensemble des moyens didentification
eacutelectronique de niveau eacutequivalent ou supeacuterieur et relevant drsquoun scheacutema drsquoidentification notifieacute agrave
la Commission et publieacute au JOUE Cette obligation est effective depuis le 29 septembre 2018
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1024
Par ailleurs les organismes du secteur public peuvent deacutecider sur une base volontaire de
reconnaicirctre les scheacutemas drsquoidentification eacutelectronique de niveau faible ainsi que les scheacutemas
drsquoidentification eacutelectronique notifieacutes avant le 29 septembre 2018
II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification
eacutelectronique
Les moyens drsquoidentification eacutelectronique peuvent ecirctre demandeacutes par des personnes physiques ou
morales ou par des personnes physiques repreacutesentant des personnes morales
Pour obtenir un moyen drsquoidentification eacutelectronique le demandeur doit pouvoir justifier de son
identiteacute dans les conditions preacutevues par le regraveglement drsquoexeacutecution ndeg 20151502 qui preacutecise en
annexe les exigences minimales relatives agrave la veacuterification didentiteacute des personnes physiques et agrave
la deacutelivrance du moyen didentification
Ces exigences peuvent ecirctre renforceacutees par la reacuteglementation nationale ou les pratiques du
fournisseur drsquoidentiteacute en fonction du niveau de garantie viseacute
II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification
eacutelectronique
Le regraveglement drsquoexeacutecution ndeg20151502 preacutecise uniquement selon le niveau de garantie la nature
des veacuterifications devant ecirctre reacutealiseacutees (authenticiteacute des piegraveces drsquoidentiteacute preacutesenteacutees comparaison
de caracteacuteristiques physiques du demandeurhellip) sans speacutecifier le moyen technique ou
organisationnel
En particulier le face agrave face (crsquoest-agrave-dire une rencontre en personne entre le demandeur de
lrsquoidentification et la personne deacutelivrant le moyen drsquoidentification) nrsquoest pas exigeacute Par
conseacutequent lexistence dun face agrave face dans la proceacutedure de veacuterification didentiteacute etou dans
celle de deacutelivrance du moyen didentification eacutelectronique deacutependra des choix techniques
effectueacutes par lrsquoorganisme deacutelivrant ce moyen
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise ne place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1124
II13 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo identification eacutelectronique raquo du regraveglement eIDAS
La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication
de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point
de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute
demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute
Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au
niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des
fournisseurs de services
La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications
eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le
respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave
FranceConnect
LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS
A ce titre elle
eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des
moyens didentification eacutelectronique
eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens
drsquoidentification eacutelectronique
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1224
III Questions relatives agrave lrsquoensemble des services de confiance
III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement
eIDAS
Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de
confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule
signature eacutelectronique et englobe les services de
creacuteation veacuterification et validation de signatures eacutelectroniques de cachets
eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de
certificats relatifs agrave ces services
creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites
internet
conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats
relatifs agrave ces services
III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement
eIDAS
Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de
confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets
juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services
de confiance qualifieacutes
Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques
qualifieacutees et aux cachets eacutelectroniques qualifieacutes
Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service
de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat
membre
III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services
de confiance raquo du regraveglement
Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette
FAQ sont les suivants
Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications
relatives agrave la forme du label de confiance de lUnion pour les services de confiance
qualifieacutes
Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications
techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22
paragraphe 5 du regraveglement ndeg 9102014
Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications
relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets
eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public
viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg
9102014
Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave
leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature
eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et
agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1324
III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS
Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des
signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois
recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme
eacutelectronique ou qursquoils ne soient pas qualifieacutes
En compleacutement le regraveglement preacutecise les effets juridiques suivants
la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui
dune signature manuscrite
le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees
et dexactitude de lorigine des donneacutees auxquelles il est lieacute
lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la
date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette
date et cette heure
lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave
linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur
reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi
et de la reacuteception indiqueacutees
III5 Quelles sont les exigences applicables aux prestataires de services de
confiance
Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de
confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions
fixeacutees par les Etats membres
effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive
9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees
ndeg2016679)
rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs
services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave
un utilisateur final
prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques
lieacutes agrave la seacutecuriteacute des services quils fournissent
notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter
preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou
toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance
fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees
Les prestataires de services de confiance sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver
lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1424
III6 Quelles sont les obligations induites du volet laquo services de confiance raquo
du regraveglement eIDAS pour les prestataires de services de confiance
qualifieacutes
Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant
au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales
applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des
exigences speacutecifiques agrave chaque service de confiance qualifieacute
Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la
conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle
deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant
de pouvoir commencer agrave fournir des services qualifieacutes
Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de
prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part
III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement
Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants
la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le
cachet eacutelectronique ou lrsquoauthentification de site internet
lrsquohorodatage eacutelectronique
la validation de signatures ou de cachets eacutelectronique
la conservation de signatures ou de cachets eacutelectroniques
lrsquoenvoi recommandeacute eacutelectronique
La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation
de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du
signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement
eIDAS
III8 Quel est le reacutegime de controcircle des prestataires de services de
confiance
Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par
chaque Etat membre ayant pour mission
le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le
territoire franccedilais
la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires
de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre
lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils
fournissent ne satisfont pas aux exigences du regraveglement
Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a
priori
Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle
srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes
conformeacutement au regraveglement europeacuteen ndeg 7652008CE
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1524
III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de
services de confiance qualifieacutes
Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave
leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute
Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements
compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de
lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux
exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification
En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre
un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme
drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux
frais de ce dernier
Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS
Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique
III10 Qursquoest-ce qursquoune liste de confiance
Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les
informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont
responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations
relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur
cette liste
III11 Qursquoest-ce que le label de confiance de lrsquoUnion
Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les
prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de
maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent
Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du
prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee
Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806
III12 Qursquoest-ce que le laquo mandat 460 raquo
Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif
drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen
Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)
et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes
et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les
travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en
œuvre du regraveglement
Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de
conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers
des actes drsquoexeacutecution qursquoil preacutevoit
Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement
les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1624
III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave
des services de confiance qualifieacutes
Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres
drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les
exigences applicables au sein de chaque Etat membre
Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public
exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces
obligations sont preacuteciseacutees au chapitre IV du preacutesent document
III14 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo services de confiance raquo du regraveglement eIDAS
La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement
sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance
A ce titre lANSSI assure notamment les missions suivantes
le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes
le controcircle a posteriori et sur saisie des prestataires de service de confiance non-
qualifieacutes
lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance
qui en font la demande
la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de
services de confiance qualifieacutes par des organismes drsquoeacutevaluation
la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS
lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute
la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis
dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la
Commission sur ses principales activiteacutes
En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge
lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise
la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des
dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes
la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique
qualifieacutes qursquoelle a certifieacute conformes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1724
IV Questions relatives agrave la signature et au cachet eacutelectronique
Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au
cachet eacutelectronique
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique
Il convient de distinguer quatre niveaux de signatures eacutelectroniques
Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit
par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de
controcircle
Ces deux premiers niveaux sont
La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)
Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou
associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire
utilise pour signer
La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)
Cette signature doit
o ecirctre lieacutee au signataire de maniegravere univoque
o permettre drsquoidentifier le signataire
o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le
signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle
exclusif
o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute
modification ulteacuterieure des donneacutees soit deacutetectable
Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par
un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des
certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle
Ces deux niveaux suivants sont
La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux
articles 26 et 28 du regraveglement eIDAS)
Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute
respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS
Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion
du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des
exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est
uniquement deacutelivreacute au signataire leacutegitime
La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement
eIDAS)
La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature
eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature
eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1824
confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce
dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale
Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune
signature manuscrite
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique
qualifieacute
Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave
creacuteer une signature eacutelectronique
Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II
du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees
La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs
deacutesigneacutes par chaque Etat membre agrave la Commission
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle
exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees
pour prononcer la certification de conformiteacute
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de
services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave
distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la
conformiteacute et de le notifier agrave la Commission
IV3 Qui peut demander un certificat qualifieacute
Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats
eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et
respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats
Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute
deacutelivreacute par un prestataire de services de confiance qualifieacute
De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au
regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il
nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un
cachet eacutelectronique qualifieacute
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la
signature qualifieacutee
Le regraveglement eIDAS entraicircne les changements suivants
Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le
compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees
par un prestataire de services de confiance qualifieacute
Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)
Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les
personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1924
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat
qualifieacute de signature eacutelectronique
Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance
lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute
doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait
par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la
personne morale (ce qui implique donc un face agrave face) ou
agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la
deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de
la personne morale) sest preacutesenteacutee en personne ou
au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux
deux points ci-dessus ou
agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant
une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne
Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi
les possibiliteacutes offertes par le regraveglement
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave
distance par quels moyens la personne peut-elle manifester son
consentement
Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de
sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de
la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par
exemple sur une carte agrave puce et un code PIN)
A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute
suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature
eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees
agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la
saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave
lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2024
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave
distance
Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de
confiance qualifieacute
Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant
en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal
Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire
doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services
de confiance qualifieacutes preacutevus par le regraveglement
ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de
sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au
besoin de continuiteacute du service
La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de
conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute
LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des
certificats de conformiteacute
Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute
distincts
Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage
drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi
qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes
Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de
lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le
produit ou le systegraveme composant le QSCD
Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit
composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de
la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de
signature ou de cachet
LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est
disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-
notified-commission-accordance-article303b-and-392-eidas
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de
la signature eacutelectronique
Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques
avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature
eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne
offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les
formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506
Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats
de signature suivants
ETSI TS 103 171 (v211) (XAdES Baseline Profile)
ETSI TS 103 172 (v222) (PAdES Baseline Profile)
ETSI TS 103 173 (v221) (CAdES Baseline Profile)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 924
Les reacuteunions du reacuteseau de coopeacuteration sont preacutesideacutees par la Commission europeacuteenne
II7 Qursquoest-ce que lrsquoexamen par les pairs
Tous les scheacutemas drsquoidentification eacutelectronique dont la description a eacuteteacute fournie aux Eacutetats
membres preacutealablement agrave une notification peuvent faire lrsquoobjet drsquoun examen par les pairs
La participation des Etats membres pairs est volontaire et lrsquoEacutetat membre dont le scheacutema
drsquoidentification eacutelectronique doit faire lrsquoobjet drsquoun examen ne peut refuser la participation drsquoun
Etat membre pair agrave ce processus de coopeacuteration
Les Etats membres participants deacutesignent des experts chargeacutes de proceacuteder agrave lrsquoexamen Au terme
du processus drsquoexamen qui ne peut exceacuteder trois mois les participants disposent drsquoun mois pour
preacutesenter un rapport au reacuteseau de coopeacuteration A lrsquoissue de cette preacutesentation le reacuteseau de
coopeacuteration eacutemet un avis disponible publiquement
Les avis du reacuteseau de coopeacuteration sont accessibles agrave lrsquoadresse suivante
httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOpinions+of+the+Cooperation+
Network
II8 Ougrave trouver la liste des scheacutemas drsquoidentification eacutelectronique notifieacutes
La Commission publie au Journal officiel de lrsquoUnion europeacuteenne la liste des scheacutemas
drsquoidentification eacutelectronique qui ont eacuteteacute notifieacutes et les informations essentielles agrave leur sujet et
maintient cette liste agrave jour en fonction des notifications des Etats membres (incluant les
modifications et retraits des scheacutemas drsquoidentification eacutelectronique)
Une liste des scheacutemas drsquoidentification eacutelectronique notifieacutes ou soumis agrave lrsquoexamen par les pairs
est eacutegalement disponible agrave lrsquoadresse suivante
httpseceuropaeucefdigitalwikidisplayEIDCOMMUNITYOverview+of+pre+notified+and
+notified+eID+schemes+under+eIDAS
II9 Les organismes du secteur public sont-ils tenus de recourir agrave des
moyens drsquoidentification eacutelectronique au sens du regraveglement eIDAS
Le regraveglement eIDAS nrsquooblige pas les organismes du secteur public des diffeacuterents Etats membres
agrave recourir agrave des moyens didentification eacutelectronique deacutelivreacutes dans le cadre de scheacutemas
drsquoidentification eacutelectroniques notifieacutes
Les organismes du secteur public peuvent toutefois soit en vertu de pratiques administratives
nationales ou en vertu du droit national exiger la mise en œuvre drsquoun moyen drsquoidentification
eacutelectronique pour lrsquoaccegraves agrave leurs teacuteleacuteservices
II10 Quelles obligations srsquoappliquent agrave un organisme du secteur public srsquoil
exige le recours agrave un moyen drsquoidentification eacutelectronique laquo eIDAS raquo
pour lrsquoaccegraves agrave ses services
Si dans un Etat membre un organisme du secteur public exige pour lrsquoaccegraves agrave lrsquoun de ses
services en ligne une identification eacutelectronique de niveau de garantie substantiel ou eacuteleveacute il
devra eacutegalement accepter pour laccegraves agrave ce teacuteleacuteservice lrsquoensemble des moyens didentification
eacutelectronique de niveau eacutequivalent ou supeacuterieur et relevant drsquoun scheacutema drsquoidentification notifieacute agrave
la Commission et publieacute au JOUE Cette obligation est effective depuis le 29 septembre 2018
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1024
Par ailleurs les organismes du secteur public peuvent deacutecider sur une base volontaire de
reconnaicirctre les scheacutemas drsquoidentification eacutelectronique de niveau faible ainsi que les scheacutemas
drsquoidentification eacutelectronique notifieacutes avant le 29 septembre 2018
II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification
eacutelectronique
Les moyens drsquoidentification eacutelectronique peuvent ecirctre demandeacutes par des personnes physiques ou
morales ou par des personnes physiques repreacutesentant des personnes morales
Pour obtenir un moyen drsquoidentification eacutelectronique le demandeur doit pouvoir justifier de son
identiteacute dans les conditions preacutevues par le regraveglement drsquoexeacutecution ndeg 20151502 qui preacutecise en
annexe les exigences minimales relatives agrave la veacuterification didentiteacute des personnes physiques et agrave
la deacutelivrance du moyen didentification
Ces exigences peuvent ecirctre renforceacutees par la reacuteglementation nationale ou les pratiques du
fournisseur drsquoidentiteacute en fonction du niveau de garantie viseacute
II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification
eacutelectronique
Le regraveglement drsquoexeacutecution ndeg20151502 preacutecise uniquement selon le niveau de garantie la nature
des veacuterifications devant ecirctre reacutealiseacutees (authenticiteacute des piegraveces drsquoidentiteacute preacutesenteacutees comparaison
de caracteacuteristiques physiques du demandeurhellip) sans speacutecifier le moyen technique ou
organisationnel
En particulier le face agrave face (crsquoest-agrave-dire une rencontre en personne entre le demandeur de
lrsquoidentification et la personne deacutelivrant le moyen drsquoidentification) nrsquoest pas exigeacute Par
conseacutequent lexistence dun face agrave face dans la proceacutedure de veacuterification didentiteacute etou dans
celle de deacutelivrance du moyen didentification eacutelectronique deacutependra des choix techniques
effectueacutes par lrsquoorganisme deacutelivrant ce moyen
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise ne place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1124
II13 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo identification eacutelectronique raquo du regraveglement eIDAS
La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication
de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point
de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute
demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute
Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au
niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des
fournisseurs de services
La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications
eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le
respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave
FranceConnect
LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS
A ce titre elle
eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des
moyens didentification eacutelectronique
eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens
drsquoidentification eacutelectronique
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1224
III Questions relatives agrave lrsquoensemble des services de confiance
III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement
eIDAS
Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de
confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule
signature eacutelectronique et englobe les services de
creacuteation veacuterification et validation de signatures eacutelectroniques de cachets
eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de
certificats relatifs agrave ces services
creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites
internet
conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats
relatifs agrave ces services
III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement
eIDAS
Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de
confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets
juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services
de confiance qualifieacutes
Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques
qualifieacutees et aux cachets eacutelectroniques qualifieacutes
Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service
de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat
membre
III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services
de confiance raquo du regraveglement
Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette
FAQ sont les suivants
Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications
relatives agrave la forme du label de confiance de lUnion pour les services de confiance
qualifieacutes
Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications
techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22
paragraphe 5 du regraveglement ndeg 9102014
Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications
relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets
eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public
viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg
9102014
Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave
leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature
eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et
agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1324
III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS
Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des
signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois
recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme
eacutelectronique ou qursquoils ne soient pas qualifieacutes
En compleacutement le regraveglement preacutecise les effets juridiques suivants
la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui
dune signature manuscrite
le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees
et dexactitude de lorigine des donneacutees auxquelles il est lieacute
lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la
date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette
date et cette heure
lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave
linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur
reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi
et de la reacuteception indiqueacutees
III5 Quelles sont les exigences applicables aux prestataires de services de
confiance
Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de
confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions
fixeacutees par les Etats membres
effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive
9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees
ndeg2016679)
rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs
services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave
un utilisateur final
prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques
lieacutes agrave la seacutecuriteacute des services quils fournissent
notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter
preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou
toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance
fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees
Les prestataires de services de confiance sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver
lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1424
III6 Quelles sont les obligations induites du volet laquo services de confiance raquo
du regraveglement eIDAS pour les prestataires de services de confiance
qualifieacutes
Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant
au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales
applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des
exigences speacutecifiques agrave chaque service de confiance qualifieacute
Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la
conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle
deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant
de pouvoir commencer agrave fournir des services qualifieacutes
Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de
prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part
III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement
Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants
la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le
cachet eacutelectronique ou lrsquoauthentification de site internet
lrsquohorodatage eacutelectronique
la validation de signatures ou de cachets eacutelectronique
la conservation de signatures ou de cachets eacutelectroniques
lrsquoenvoi recommandeacute eacutelectronique
La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation
de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du
signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement
eIDAS
III8 Quel est le reacutegime de controcircle des prestataires de services de
confiance
Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par
chaque Etat membre ayant pour mission
le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le
territoire franccedilais
la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires
de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre
lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils
fournissent ne satisfont pas aux exigences du regraveglement
Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a
priori
Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle
srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes
conformeacutement au regraveglement europeacuteen ndeg 7652008CE
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1524
III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de
services de confiance qualifieacutes
Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave
leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute
Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements
compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de
lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux
exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification
En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre
un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme
drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux
frais de ce dernier
Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS
Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique
III10 Qursquoest-ce qursquoune liste de confiance
Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les
informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont
responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations
relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur
cette liste
III11 Qursquoest-ce que le label de confiance de lrsquoUnion
Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les
prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de
maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent
Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du
prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee
Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806
III12 Qursquoest-ce que le laquo mandat 460 raquo
Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif
drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen
Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)
et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes
et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les
travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en
œuvre du regraveglement
Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de
conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers
des actes drsquoexeacutecution qursquoil preacutevoit
Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement
les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1624
III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave
des services de confiance qualifieacutes
Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres
drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les
exigences applicables au sein de chaque Etat membre
Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public
exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces
obligations sont preacuteciseacutees au chapitre IV du preacutesent document
III14 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo services de confiance raquo du regraveglement eIDAS
La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement
sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance
A ce titre lANSSI assure notamment les missions suivantes
le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes
le controcircle a posteriori et sur saisie des prestataires de service de confiance non-
qualifieacutes
lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance
qui en font la demande
la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de
services de confiance qualifieacutes par des organismes drsquoeacutevaluation
la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS
lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute
la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis
dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la
Commission sur ses principales activiteacutes
En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge
lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise
la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des
dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes
la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique
qualifieacutes qursquoelle a certifieacute conformes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1724
IV Questions relatives agrave la signature et au cachet eacutelectronique
Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au
cachet eacutelectronique
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique
Il convient de distinguer quatre niveaux de signatures eacutelectroniques
Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit
par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de
controcircle
Ces deux premiers niveaux sont
La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)
Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou
associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire
utilise pour signer
La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)
Cette signature doit
o ecirctre lieacutee au signataire de maniegravere univoque
o permettre drsquoidentifier le signataire
o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le
signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle
exclusif
o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute
modification ulteacuterieure des donneacutees soit deacutetectable
Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par
un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des
certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle
Ces deux niveaux suivants sont
La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux
articles 26 et 28 du regraveglement eIDAS)
Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute
respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS
Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion
du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des
exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est
uniquement deacutelivreacute au signataire leacutegitime
La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement
eIDAS)
La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature
eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature
eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1824
confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce
dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale
Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune
signature manuscrite
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique
qualifieacute
Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave
creacuteer une signature eacutelectronique
Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II
du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees
La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs
deacutesigneacutes par chaque Etat membre agrave la Commission
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle
exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees
pour prononcer la certification de conformiteacute
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de
services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave
distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la
conformiteacute et de le notifier agrave la Commission
IV3 Qui peut demander un certificat qualifieacute
Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats
eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et
respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats
Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute
deacutelivreacute par un prestataire de services de confiance qualifieacute
De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au
regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il
nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un
cachet eacutelectronique qualifieacute
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la
signature qualifieacutee
Le regraveglement eIDAS entraicircne les changements suivants
Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le
compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees
par un prestataire de services de confiance qualifieacute
Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)
Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les
personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1924
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat
qualifieacute de signature eacutelectronique
Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance
lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute
doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait
par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la
personne morale (ce qui implique donc un face agrave face) ou
agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la
deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de
la personne morale) sest preacutesenteacutee en personne ou
au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux
deux points ci-dessus ou
agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant
une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne
Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi
les possibiliteacutes offertes par le regraveglement
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave
distance par quels moyens la personne peut-elle manifester son
consentement
Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de
sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de
la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par
exemple sur une carte agrave puce et un code PIN)
A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute
suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature
eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees
agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la
saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave
lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2024
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave
distance
Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de
confiance qualifieacute
Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant
en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal
Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire
doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services
de confiance qualifieacutes preacutevus par le regraveglement
ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de
sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au
besoin de continuiteacute du service
La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de
conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute
LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des
certificats de conformiteacute
Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute
distincts
Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage
drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi
qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes
Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de
lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le
produit ou le systegraveme composant le QSCD
Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit
composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de
la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de
signature ou de cachet
LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est
disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-
notified-commission-accordance-article303b-and-392-eidas
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de
la signature eacutelectronique
Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques
avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature
eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne
offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les
formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506
Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats
de signature suivants
ETSI TS 103 171 (v211) (XAdES Baseline Profile)
ETSI TS 103 172 (v222) (PAdES Baseline Profile)
ETSI TS 103 173 (v221) (CAdES Baseline Profile)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1024
Par ailleurs les organismes du secteur public peuvent deacutecider sur une base volontaire de
reconnaicirctre les scheacutemas drsquoidentification eacutelectronique de niveau faible ainsi que les scheacutemas
drsquoidentification eacutelectronique notifieacutes avant le 29 septembre 2018
II11 Quelles sont les conditions dobtention drsquoun moyen drsquoidentification
eacutelectronique
Les moyens drsquoidentification eacutelectronique peuvent ecirctre demandeacutes par des personnes physiques ou
morales ou par des personnes physiques repreacutesentant des personnes morales
Pour obtenir un moyen drsquoidentification eacutelectronique le demandeur doit pouvoir justifier de son
identiteacute dans les conditions preacutevues par le regraveglement drsquoexeacutecution ndeg 20151502 qui preacutecise en
annexe les exigences minimales relatives agrave la veacuterification didentiteacute des personnes physiques et agrave
la deacutelivrance du moyen didentification
Ces exigences peuvent ecirctre renforceacutees par la reacuteglementation nationale ou les pratiques du
fournisseur drsquoidentiteacute en fonction du niveau de garantie viseacute
II12 Un face agrave face est-il neacutecessaire pour obtenir un moyen drsquoidentification
eacutelectronique
Le regraveglement drsquoexeacutecution ndeg20151502 preacutecise uniquement selon le niveau de garantie la nature
des veacuterifications devant ecirctre reacutealiseacutees (authenticiteacute des piegraveces drsquoidentiteacute preacutesenteacutees comparaison
de caracteacuteristiques physiques du demandeurhellip) sans speacutecifier le moyen technique ou
organisationnel
En particulier le face agrave face (crsquoest-agrave-dire une rencontre en personne entre le demandeur de
lrsquoidentification et la personne deacutelivrant le moyen drsquoidentification) nrsquoest pas exigeacute Par
conseacutequent lexistence dun face agrave face dans la proceacutedure de veacuterification didentiteacute etou dans
celle de deacutelivrance du moyen didentification eacutelectronique deacutependra des choix techniques
effectueacutes par lrsquoorganisme deacutelivrant ce moyen
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise ne place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1124
II13 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo identification eacutelectronique raquo du regraveglement eIDAS
La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication
de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point
de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute
demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute
Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au
niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des
fournisseurs de services
La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications
eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le
respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave
FranceConnect
LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS
A ce titre elle
eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des
moyens didentification eacutelectronique
eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens
drsquoidentification eacutelectronique
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1224
III Questions relatives agrave lrsquoensemble des services de confiance
III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement
eIDAS
Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de
confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule
signature eacutelectronique et englobe les services de
creacuteation veacuterification et validation de signatures eacutelectroniques de cachets
eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de
certificats relatifs agrave ces services
creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites
internet
conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats
relatifs agrave ces services
III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement
eIDAS
Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de
confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets
juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services
de confiance qualifieacutes
Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques
qualifieacutees et aux cachets eacutelectroniques qualifieacutes
Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service
de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat
membre
III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services
de confiance raquo du regraveglement
Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette
FAQ sont les suivants
Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications
relatives agrave la forme du label de confiance de lUnion pour les services de confiance
qualifieacutes
Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications
techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22
paragraphe 5 du regraveglement ndeg 9102014
Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications
relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets
eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public
viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg
9102014
Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave
leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature
eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et
agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1324
III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS
Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des
signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois
recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme
eacutelectronique ou qursquoils ne soient pas qualifieacutes
En compleacutement le regraveglement preacutecise les effets juridiques suivants
la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui
dune signature manuscrite
le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees
et dexactitude de lorigine des donneacutees auxquelles il est lieacute
lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la
date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette
date et cette heure
lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave
linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur
reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi
et de la reacuteception indiqueacutees
III5 Quelles sont les exigences applicables aux prestataires de services de
confiance
Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de
confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions
fixeacutees par les Etats membres
effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive
9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees
ndeg2016679)
rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs
services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave
un utilisateur final
prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques
lieacutes agrave la seacutecuriteacute des services quils fournissent
notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter
preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou
toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance
fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees
Les prestataires de services de confiance sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver
lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1424
III6 Quelles sont les obligations induites du volet laquo services de confiance raquo
du regraveglement eIDAS pour les prestataires de services de confiance
qualifieacutes
Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant
au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales
applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des
exigences speacutecifiques agrave chaque service de confiance qualifieacute
Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la
conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle
deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant
de pouvoir commencer agrave fournir des services qualifieacutes
Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de
prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part
III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement
Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants
la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le
cachet eacutelectronique ou lrsquoauthentification de site internet
lrsquohorodatage eacutelectronique
la validation de signatures ou de cachets eacutelectronique
la conservation de signatures ou de cachets eacutelectroniques
lrsquoenvoi recommandeacute eacutelectronique
La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation
de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du
signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement
eIDAS
III8 Quel est le reacutegime de controcircle des prestataires de services de
confiance
Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par
chaque Etat membre ayant pour mission
le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le
territoire franccedilais
la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires
de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre
lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils
fournissent ne satisfont pas aux exigences du regraveglement
Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a
priori
Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle
srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes
conformeacutement au regraveglement europeacuteen ndeg 7652008CE
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1524
III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de
services de confiance qualifieacutes
Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave
leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute
Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements
compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de
lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux
exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification
En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre
un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme
drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux
frais de ce dernier
Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS
Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique
III10 Qursquoest-ce qursquoune liste de confiance
Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les
informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont
responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations
relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur
cette liste
III11 Qursquoest-ce que le label de confiance de lrsquoUnion
Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les
prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de
maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent
Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du
prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee
Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806
III12 Qursquoest-ce que le laquo mandat 460 raquo
Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif
drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen
Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)
et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes
et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les
travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en
œuvre du regraveglement
Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de
conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers
des actes drsquoexeacutecution qursquoil preacutevoit
Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement
les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1624
III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave
des services de confiance qualifieacutes
Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres
drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les
exigences applicables au sein de chaque Etat membre
Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public
exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces
obligations sont preacuteciseacutees au chapitre IV du preacutesent document
III14 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo services de confiance raquo du regraveglement eIDAS
La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement
sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance
A ce titre lANSSI assure notamment les missions suivantes
le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes
le controcircle a posteriori et sur saisie des prestataires de service de confiance non-
qualifieacutes
lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance
qui en font la demande
la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de
services de confiance qualifieacutes par des organismes drsquoeacutevaluation
la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS
lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute
la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis
dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la
Commission sur ses principales activiteacutes
En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge
lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise
la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des
dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes
la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique
qualifieacutes qursquoelle a certifieacute conformes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1724
IV Questions relatives agrave la signature et au cachet eacutelectronique
Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au
cachet eacutelectronique
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique
Il convient de distinguer quatre niveaux de signatures eacutelectroniques
Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit
par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de
controcircle
Ces deux premiers niveaux sont
La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)
Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou
associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire
utilise pour signer
La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)
Cette signature doit
o ecirctre lieacutee au signataire de maniegravere univoque
o permettre drsquoidentifier le signataire
o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le
signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle
exclusif
o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute
modification ulteacuterieure des donneacutees soit deacutetectable
Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par
un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des
certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle
Ces deux niveaux suivants sont
La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux
articles 26 et 28 du regraveglement eIDAS)
Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute
respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS
Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion
du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des
exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est
uniquement deacutelivreacute au signataire leacutegitime
La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement
eIDAS)
La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature
eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature
eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1824
confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce
dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale
Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune
signature manuscrite
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique
qualifieacute
Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave
creacuteer une signature eacutelectronique
Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II
du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees
La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs
deacutesigneacutes par chaque Etat membre agrave la Commission
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle
exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees
pour prononcer la certification de conformiteacute
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de
services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave
distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la
conformiteacute et de le notifier agrave la Commission
IV3 Qui peut demander un certificat qualifieacute
Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats
eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et
respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats
Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute
deacutelivreacute par un prestataire de services de confiance qualifieacute
De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au
regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il
nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un
cachet eacutelectronique qualifieacute
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la
signature qualifieacutee
Le regraveglement eIDAS entraicircne les changements suivants
Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le
compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees
par un prestataire de services de confiance qualifieacute
Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)
Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les
personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1924
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat
qualifieacute de signature eacutelectronique
Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance
lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute
doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait
par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la
personne morale (ce qui implique donc un face agrave face) ou
agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la
deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de
la personne morale) sest preacutesenteacutee en personne ou
au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux
deux points ci-dessus ou
agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant
une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne
Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi
les possibiliteacutes offertes par le regraveglement
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave
distance par quels moyens la personne peut-elle manifester son
consentement
Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de
sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de
la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par
exemple sur une carte agrave puce et un code PIN)
A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute
suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature
eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees
agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la
saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave
lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2024
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave
distance
Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de
confiance qualifieacute
Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant
en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal
Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire
doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services
de confiance qualifieacutes preacutevus par le regraveglement
ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de
sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au
besoin de continuiteacute du service
La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de
conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute
LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des
certificats de conformiteacute
Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute
distincts
Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage
drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi
qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes
Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de
lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le
produit ou le systegraveme composant le QSCD
Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit
composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de
la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de
signature ou de cachet
LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est
disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-
notified-commission-accordance-article303b-and-392-eidas
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de
la signature eacutelectronique
Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques
avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature
eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne
offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les
formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506
Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats
de signature suivants
ETSI TS 103 171 (v211) (XAdES Baseline Profile)
ETSI TS 103 172 (v222) (PAdES Baseline Profile)
ETSI TS 103 173 (v221) (CAdES Baseline Profile)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1124
II13 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo identification eacutelectronique raquo du regraveglement eIDAS
La Direction interministeacuterielle du numeacuterique et du systegraveme dinformation et de communication
de lrsquoEtat (DINSIC) assure le rocircle de guichet unique de la Commission A ce titre elle est le point
de contact pour tout eacutechange drsquoinformations drsquoexpeacuteriences et de bonnes pratiques et pour toute
demande drsquoinformations sur lrsquointeropeacuterabiliteacute et la seacutecuriteacute
Par ailleurs la DINSIC porte le programme FranceConnect qui est un feacutedeacuterateur drsquoidentiteacutes au
niveau national visant agrave mettre en relation des moyens drsquoidentification eacutelectronique et des
fournisseurs de services
La DINSIC est eacutegalement responsable du nœud assurant lrsquointeropeacuterabiliteacute avec les identifications
eacutelectroniques et fournisseurs de services des autres Etats membres Elle veacuterifie eacutegalement le
respect des exigences drsquointeropeacuterabiliteacute et assure le raccordement des fournisseurs drsquoidentiteacute agrave
FranceConnect
LANSSI est garante de la seacutecuriteacute pour le volet identification eacutelectronique du regraveglement eIDAS
A ce titre elle
eacutetablit le reacutefeacuterentiel des exigences de seacutecuriteacute applicables agrave chaque niveau de garantie des
moyens didentification eacutelectronique
eacutevalue le bon respect de ces exigences par les organismes fournissant les moyens
drsquoidentification eacutelectronique
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1224
III Questions relatives agrave lrsquoensemble des services de confiance
III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement
eIDAS
Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de
confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule
signature eacutelectronique et englobe les services de
creacuteation veacuterification et validation de signatures eacutelectroniques de cachets
eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de
certificats relatifs agrave ces services
creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites
internet
conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats
relatifs agrave ces services
III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement
eIDAS
Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de
confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets
juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services
de confiance qualifieacutes
Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques
qualifieacutees et aux cachets eacutelectroniques qualifieacutes
Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service
de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat
membre
III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services
de confiance raquo du regraveglement
Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette
FAQ sont les suivants
Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications
relatives agrave la forme du label de confiance de lUnion pour les services de confiance
qualifieacutes
Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications
techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22
paragraphe 5 du regraveglement ndeg 9102014
Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications
relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets
eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public
viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg
9102014
Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave
leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature
eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et
agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1324
III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS
Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des
signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois
recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme
eacutelectronique ou qursquoils ne soient pas qualifieacutes
En compleacutement le regraveglement preacutecise les effets juridiques suivants
la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui
dune signature manuscrite
le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees
et dexactitude de lorigine des donneacutees auxquelles il est lieacute
lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la
date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette
date et cette heure
lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave
linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur
reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi
et de la reacuteception indiqueacutees
III5 Quelles sont les exigences applicables aux prestataires de services de
confiance
Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de
confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions
fixeacutees par les Etats membres
effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive
9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees
ndeg2016679)
rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs
services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave
un utilisateur final
prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques
lieacutes agrave la seacutecuriteacute des services quils fournissent
notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter
preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou
toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance
fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees
Les prestataires de services de confiance sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver
lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1424
III6 Quelles sont les obligations induites du volet laquo services de confiance raquo
du regraveglement eIDAS pour les prestataires de services de confiance
qualifieacutes
Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant
au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales
applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des
exigences speacutecifiques agrave chaque service de confiance qualifieacute
Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la
conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle
deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant
de pouvoir commencer agrave fournir des services qualifieacutes
Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de
prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part
III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement
Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants
la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le
cachet eacutelectronique ou lrsquoauthentification de site internet
lrsquohorodatage eacutelectronique
la validation de signatures ou de cachets eacutelectronique
la conservation de signatures ou de cachets eacutelectroniques
lrsquoenvoi recommandeacute eacutelectronique
La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation
de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du
signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement
eIDAS
III8 Quel est le reacutegime de controcircle des prestataires de services de
confiance
Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par
chaque Etat membre ayant pour mission
le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le
territoire franccedilais
la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires
de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre
lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils
fournissent ne satisfont pas aux exigences du regraveglement
Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a
priori
Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle
srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes
conformeacutement au regraveglement europeacuteen ndeg 7652008CE
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1524
III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de
services de confiance qualifieacutes
Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave
leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute
Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements
compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de
lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux
exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification
En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre
un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme
drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux
frais de ce dernier
Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS
Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique
III10 Qursquoest-ce qursquoune liste de confiance
Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les
informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont
responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations
relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur
cette liste
III11 Qursquoest-ce que le label de confiance de lrsquoUnion
Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les
prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de
maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent
Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du
prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee
Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806
III12 Qursquoest-ce que le laquo mandat 460 raquo
Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif
drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen
Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)
et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes
et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les
travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en
œuvre du regraveglement
Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de
conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers
des actes drsquoexeacutecution qursquoil preacutevoit
Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement
les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1624
III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave
des services de confiance qualifieacutes
Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres
drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les
exigences applicables au sein de chaque Etat membre
Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public
exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces
obligations sont preacuteciseacutees au chapitre IV du preacutesent document
III14 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo services de confiance raquo du regraveglement eIDAS
La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement
sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance
A ce titre lANSSI assure notamment les missions suivantes
le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes
le controcircle a posteriori et sur saisie des prestataires de service de confiance non-
qualifieacutes
lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance
qui en font la demande
la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de
services de confiance qualifieacutes par des organismes drsquoeacutevaluation
la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS
lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute
la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis
dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la
Commission sur ses principales activiteacutes
En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge
lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise
la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des
dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes
la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique
qualifieacutes qursquoelle a certifieacute conformes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1724
IV Questions relatives agrave la signature et au cachet eacutelectronique
Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au
cachet eacutelectronique
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique
Il convient de distinguer quatre niveaux de signatures eacutelectroniques
Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit
par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de
controcircle
Ces deux premiers niveaux sont
La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)
Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou
associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire
utilise pour signer
La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)
Cette signature doit
o ecirctre lieacutee au signataire de maniegravere univoque
o permettre drsquoidentifier le signataire
o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le
signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle
exclusif
o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute
modification ulteacuterieure des donneacutees soit deacutetectable
Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par
un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des
certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle
Ces deux niveaux suivants sont
La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux
articles 26 et 28 du regraveglement eIDAS)
Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute
respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS
Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion
du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des
exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est
uniquement deacutelivreacute au signataire leacutegitime
La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement
eIDAS)
La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature
eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature
eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1824
confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce
dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale
Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune
signature manuscrite
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique
qualifieacute
Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave
creacuteer une signature eacutelectronique
Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II
du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees
La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs
deacutesigneacutes par chaque Etat membre agrave la Commission
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle
exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees
pour prononcer la certification de conformiteacute
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de
services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave
distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la
conformiteacute et de le notifier agrave la Commission
IV3 Qui peut demander un certificat qualifieacute
Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats
eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et
respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats
Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute
deacutelivreacute par un prestataire de services de confiance qualifieacute
De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au
regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il
nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un
cachet eacutelectronique qualifieacute
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la
signature qualifieacutee
Le regraveglement eIDAS entraicircne les changements suivants
Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le
compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees
par un prestataire de services de confiance qualifieacute
Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)
Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les
personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1924
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat
qualifieacute de signature eacutelectronique
Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance
lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute
doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait
par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la
personne morale (ce qui implique donc un face agrave face) ou
agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la
deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de
la personne morale) sest preacutesenteacutee en personne ou
au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux
deux points ci-dessus ou
agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant
une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne
Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi
les possibiliteacutes offertes par le regraveglement
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave
distance par quels moyens la personne peut-elle manifester son
consentement
Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de
sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de
la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par
exemple sur une carte agrave puce et un code PIN)
A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute
suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature
eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees
agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la
saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave
lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2024
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave
distance
Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de
confiance qualifieacute
Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant
en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal
Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire
doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services
de confiance qualifieacutes preacutevus par le regraveglement
ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de
sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au
besoin de continuiteacute du service
La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de
conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute
LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des
certificats de conformiteacute
Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute
distincts
Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage
drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi
qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes
Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de
lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le
produit ou le systegraveme composant le QSCD
Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit
composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de
la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de
signature ou de cachet
LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est
disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-
notified-commission-accordance-article303b-and-392-eidas
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de
la signature eacutelectronique
Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques
avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature
eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne
offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les
formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506
Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats
de signature suivants
ETSI TS 103 171 (v211) (XAdES Baseline Profile)
ETSI TS 103 172 (v222) (PAdES Baseline Profile)
ETSI TS 103 173 (v221) (CAdES Baseline Profile)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1224
III Questions relatives agrave lrsquoensemble des services de confiance
III1 Quel est lrsquoobjectif du volet laquo services de confiance raquo du regraveglement
eIDAS
Lobjectif du regraveglement est dinstaurer un cadre juridique geacuteneacuteral pour lutilisation des services de
confiance Il eacutetend le champ dapplication de la directive 199993CE au-delagrave de la seule
signature eacutelectronique et englobe les services de
creacuteation veacuterification et validation de signatures eacutelectroniques de cachets
eacutelectroniques dhorodatage eacutelectronique denvoi recommandeacute eacutelectronique et de
certificats relatifs agrave ces services
creacuteation veacuterification et validation de certificats pour lrsquoauthentification de sites
internet
conservation de signatures eacutelectroniques et de cachets eacutelectroniques ou des certificats
relatifs agrave ces services
III2 Quels sont les principes du volet laquo services de confiance raquo du regraveglement
eIDAS
Le regraveglement eacutetablit une distinction entre les services de confiance qualifieacutes et les services de
confiance non qualifieacutes Les services de confiance qualifieacutes peuvent beacuteneacuteficier drsquoeffets
juridiques speacutecifiques preacuteciseacutes dans le regraveglement et sont assureacutes par des prestataires de services
de confiance qualifieacutes
Le regraveglement accorde eacutegalement des effets juridiques speacutecifiques aux signatures eacutelectroniques
qualifieacutees et aux cachets eacutelectroniques qualifieacutes
Enfin le regraveglement instaure au niveau national un reacutegime de controcircle des prestataires de service
de confiance passant en particulier par la deacutesignation dun organe de controcircle par chaque Etat
membre
III3 Quels sont les actes drsquoexeacutecution publieacutes au titre du chapitre laquo services
de confiance raquo du regraveglement
Les actes dexeacutecution relatifs aux services de confiance publieacutes agrave la date de reacutedaction de cette
FAQ sont les suivants
Regraveglement dexeacutecution ndeg 2015806 du 22 mai 2015 eacutetablissant les speacutecifications
relatives agrave la forme du label de confiance de lUnion pour les services de confiance
qualifieacutes
Deacutecision dexeacutecution ndeg 20151505 du 8 septembre 2015 eacutetablissant les speacutecifications
techniques et les formats relatifs aux listes de confiance viseacutees agrave larticle 22
paragraphe 5 du regraveglement ndeg 9102014
Deacutecision dexeacutecution ndeg 20151506 du 8 septembre 2015 eacutetablissant les speacutecifications
relatives aux formats des signatures eacutelectroniques avanceacutees et des cachets
eacutelectroniques avanceacutes devant ecirctre reconnus par les organismes du secteur public
viseacutes agrave larticle 27 paragraphe 5 et agrave larticle 37 paragraphe 5 du regraveglement ndeg
9102014
Deacutecision dexeacutecution ndeg 2016650 du 25 avril 2016 eacutetablissant des normes relatives agrave
leacutevaluation de la seacutecuriteacute des dispositifs qualifieacutes de creacuteation de signature
eacutelectronique et de cachet eacutelectronique conformeacutement agrave larticle 30 paragraphe 3 et
agrave larticle 39 paragraphe 2 du regraveglement (UE) ndeg 9102014
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1324
III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS
Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des
signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois
recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme
eacutelectronique ou qursquoils ne soient pas qualifieacutes
En compleacutement le regraveglement preacutecise les effets juridiques suivants
la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui
dune signature manuscrite
le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees
et dexactitude de lorigine des donneacutees auxquelles il est lieacute
lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la
date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette
date et cette heure
lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave
linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur
reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi
et de la reacuteception indiqueacutees
III5 Quelles sont les exigences applicables aux prestataires de services de
confiance
Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de
confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions
fixeacutees par les Etats membres
effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive
9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees
ndeg2016679)
rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs
services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave
un utilisateur final
prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques
lieacutes agrave la seacutecuriteacute des services quils fournissent
notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter
preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou
toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance
fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees
Les prestataires de services de confiance sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver
lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1424
III6 Quelles sont les obligations induites du volet laquo services de confiance raquo
du regraveglement eIDAS pour les prestataires de services de confiance
qualifieacutes
Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant
au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales
applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des
exigences speacutecifiques agrave chaque service de confiance qualifieacute
Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la
conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle
deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant
de pouvoir commencer agrave fournir des services qualifieacutes
Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de
prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part
III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement
Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants
la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le
cachet eacutelectronique ou lrsquoauthentification de site internet
lrsquohorodatage eacutelectronique
la validation de signatures ou de cachets eacutelectronique
la conservation de signatures ou de cachets eacutelectroniques
lrsquoenvoi recommandeacute eacutelectronique
La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation
de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du
signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement
eIDAS
III8 Quel est le reacutegime de controcircle des prestataires de services de
confiance
Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par
chaque Etat membre ayant pour mission
le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le
territoire franccedilais
la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires
de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre
lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils
fournissent ne satisfont pas aux exigences du regraveglement
Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a
priori
Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle
srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes
conformeacutement au regraveglement europeacuteen ndeg 7652008CE
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1524
III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de
services de confiance qualifieacutes
Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave
leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute
Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements
compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de
lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux
exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification
En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre
un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme
drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux
frais de ce dernier
Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS
Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique
III10 Qursquoest-ce qursquoune liste de confiance
Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les
informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont
responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations
relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur
cette liste
III11 Qursquoest-ce que le label de confiance de lrsquoUnion
Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les
prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de
maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent
Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du
prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee
Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806
III12 Qursquoest-ce que le laquo mandat 460 raquo
Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif
drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen
Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)
et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes
et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les
travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en
œuvre du regraveglement
Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de
conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers
des actes drsquoexeacutecution qursquoil preacutevoit
Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement
les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1624
III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave
des services de confiance qualifieacutes
Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres
drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les
exigences applicables au sein de chaque Etat membre
Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public
exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces
obligations sont preacuteciseacutees au chapitre IV du preacutesent document
III14 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo services de confiance raquo du regraveglement eIDAS
La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement
sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance
A ce titre lANSSI assure notamment les missions suivantes
le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes
le controcircle a posteriori et sur saisie des prestataires de service de confiance non-
qualifieacutes
lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance
qui en font la demande
la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de
services de confiance qualifieacutes par des organismes drsquoeacutevaluation
la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS
lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute
la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis
dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la
Commission sur ses principales activiteacutes
En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge
lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise
la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des
dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes
la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique
qualifieacutes qursquoelle a certifieacute conformes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1724
IV Questions relatives agrave la signature et au cachet eacutelectronique
Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au
cachet eacutelectronique
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique
Il convient de distinguer quatre niveaux de signatures eacutelectroniques
Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit
par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de
controcircle
Ces deux premiers niveaux sont
La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)
Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou
associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire
utilise pour signer
La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)
Cette signature doit
o ecirctre lieacutee au signataire de maniegravere univoque
o permettre drsquoidentifier le signataire
o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le
signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle
exclusif
o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute
modification ulteacuterieure des donneacutees soit deacutetectable
Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par
un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des
certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle
Ces deux niveaux suivants sont
La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux
articles 26 et 28 du regraveglement eIDAS)
Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute
respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS
Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion
du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des
exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est
uniquement deacutelivreacute au signataire leacutegitime
La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement
eIDAS)
La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature
eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature
eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1824
confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce
dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale
Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune
signature manuscrite
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique
qualifieacute
Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave
creacuteer une signature eacutelectronique
Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II
du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees
La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs
deacutesigneacutes par chaque Etat membre agrave la Commission
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle
exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees
pour prononcer la certification de conformiteacute
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de
services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave
distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la
conformiteacute et de le notifier agrave la Commission
IV3 Qui peut demander un certificat qualifieacute
Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats
eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et
respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats
Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute
deacutelivreacute par un prestataire de services de confiance qualifieacute
De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au
regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il
nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un
cachet eacutelectronique qualifieacute
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la
signature qualifieacutee
Le regraveglement eIDAS entraicircne les changements suivants
Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le
compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees
par un prestataire de services de confiance qualifieacute
Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)
Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les
personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1924
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat
qualifieacute de signature eacutelectronique
Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance
lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute
doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait
par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la
personne morale (ce qui implique donc un face agrave face) ou
agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la
deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de
la personne morale) sest preacutesenteacutee en personne ou
au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux
deux points ci-dessus ou
agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant
une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne
Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi
les possibiliteacutes offertes par le regraveglement
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave
distance par quels moyens la personne peut-elle manifester son
consentement
Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de
sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de
la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par
exemple sur une carte agrave puce et un code PIN)
A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute
suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature
eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees
agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la
saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave
lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2024
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave
distance
Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de
confiance qualifieacute
Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant
en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal
Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire
doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services
de confiance qualifieacutes preacutevus par le regraveglement
ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de
sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au
besoin de continuiteacute du service
La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de
conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute
LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des
certificats de conformiteacute
Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute
distincts
Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage
drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi
qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes
Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de
lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le
produit ou le systegraveme composant le QSCD
Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit
composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de
la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de
signature ou de cachet
LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est
disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-
notified-commission-accordance-article303b-and-392-eidas
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de
la signature eacutelectronique
Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques
avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature
eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne
offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les
formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506
Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats
de signature suivants
ETSI TS 103 171 (v211) (XAdES Baseline Profile)
ETSI TS 103 172 (v222) (PAdES Baseline Profile)
ETSI TS 103 173 (v221) (CAdES Baseline Profile)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1324
III4 Quels sont les effets juridiques preacutevus par le regraveglement eIDAS
Le regraveglement eIDAS eacutetablit que lrsquoeffet juridique et la recevabiliteacute comme preuve en justice des
signatures eacutelectroniques des cachets eacutelectroniques des horodatages eacutelectroniques et des envois
recommandeacutes eacutelectroniques ne peuvent ecirctre refuseacutes au seul motif qursquoils se preacutesentent sous forme
eacutelectronique ou qursquoils ne soient pas qualifieacutes
En compleacutement le regraveglement preacutecise les effets juridiques suivants
la signature eacutelectronique qualifieacutee beacuteneacuteficie dun effet juridique eacutequivalent agrave celui
dune signature manuscrite
le cachet eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dinteacutegriteacute des donneacutees
et dexactitude de lorigine des donneacutees auxquelles il est lieacute
lhorodatage eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption dexactitude de la
date et de lheure quil indique et dinteacutegriteacute des donneacutees auxquelles se rapportent cette
date et cette heure
lenvoi recommandeacute eacutelectronique qualifieacute beacuteneacuteficie dune preacutesomption relative agrave
linteacutegriteacute des donneacutees agrave lenvoi de ces donneacutees par lexpeacutediteur identifieacute agrave leur
reacuteception par le destinataire identifieacute et agrave lexactitude de la date et de lheure de lenvoi
et de la reacuteception indiqueacutees
III5 Quelles sont les exigences applicables aux prestataires de services de
confiance
Le regraveglement formule des obligations agrave lrsquoencontre de lrsquoensemble des prestataires de services de
confiance qursquoils soient qualifieacutes ou non En particulier ils doivent sous peine de sanctions
fixeacutees par les Etats membres
effectuer le traitement de donneacutees agrave caractegravere personnel conformeacutement agrave la directive
9546CE (abrogeacutee par le Regraveglement Geacuteneacuteral sur la Protection des Donneacutees
ndeg2016679)
rendre accessible aux personnes handicapeacutees dans la mesure du possible leurs
services de confiance ainsi que les produits servant agrave fournir ces services et destineacutes agrave
un utilisateur final
prendre les mesures techniques et organisationnelles adeacutequates pour geacuterer les risques
lieacutes agrave la seacutecuriteacute des services quils fournissent
notifier agrave lorgane de controcircle (et lorsque latteinte est susceptible de lui porter
preacutejudice la personne physique ou morale concerneacutee) toute atteinte agrave la seacutecuriteacute ou
toute perte dinteacutegriteacute ayant une incidence importante sur le service de confiance
fourni ou sur les donneacutees agrave caractegravere personnel qui y sont conserveacutees
Les prestataires de services de confiance sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe agrave la partie invoquant ces dommages de prouver
lrsquointention ou la neacutegligence drsquoun prestataire de services de confiance non qualifieacute
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1424
III6 Quelles sont les obligations induites du volet laquo services de confiance raquo
du regraveglement eIDAS pour les prestataires de services de confiance
qualifieacutes
Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant
au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales
applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des
exigences speacutecifiques agrave chaque service de confiance qualifieacute
Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la
conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle
deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant
de pouvoir commencer agrave fournir des services qualifieacutes
Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de
prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part
III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement
Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants
la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le
cachet eacutelectronique ou lrsquoauthentification de site internet
lrsquohorodatage eacutelectronique
la validation de signatures ou de cachets eacutelectronique
la conservation de signatures ou de cachets eacutelectroniques
lrsquoenvoi recommandeacute eacutelectronique
La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation
de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du
signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement
eIDAS
III8 Quel est le reacutegime de controcircle des prestataires de services de
confiance
Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par
chaque Etat membre ayant pour mission
le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le
territoire franccedilais
la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires
de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre
lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils
fournissent ne satisfont pas aux exigences du regraveglement
Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a
priori
Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle
srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes
conformeacutement au regraveglement europeacuteen ndeg 7652008CE
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1524
III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de
services de confiance qualifieacutes
Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave
leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute
Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements
compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de
lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux
exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification
En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre
un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme
drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux
frais de ce dernier
Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS
Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique
III10 Qursquoest-ce qursquoune liste de confiance
Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les
informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont
responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations
relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur
cette liste
III11 Qursquoest-ce que le label de confiance de lrsquoUnion
Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les
prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de
maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent
Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du
prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee
Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806
III12 Qursquoest-ce que le laquo mandat 460 raquo
Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif
drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen
Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)
et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes
et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les
travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en
œuvre du regraveglement
Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de
conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers
des actes drsquoexeacutecution qursquoil preacutevoit
Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement
les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1624
III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave
des services de confiance qualifieacutes
Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres
drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les
exigences applicables au sein de chaque Etat membre
Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public
exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces
obligations sont preacuteciseacutees au chapitre IV du preacutesent document
III14 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo services de confiance raquo du regraveglement eIDAS
La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement
sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance
A ce titre lANSSI assure notamment les missions suivantes
le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes
le controcircle a posteriori et sur saisie des prestataires de service de confiance non-
qualifieacutes
lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance
qui en font la demande
la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de
services de confiance qualifieacutes par des organismes drsquoeacutevaluation
la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS
lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute
la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis
dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la
Commission sur ses principales activiteacutes
En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge
lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise
la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des
dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes
la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique
qualifieacutes qursquoelle a certifieacute conformes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1724
IV Questions relatives agrave la signature et au cachet eacutelectronique
Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au
cachet eacutelectronique
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique
Il convient de distinguer quatre niveaux de signatures eacutelectroniques
Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit
par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de
controcircle
Ces deux premiers niveaux sont
La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)
Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou
associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire
utilise pour signer
La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)
Cette signature doit
o ecirctre lieacutee au signataire de maniegravere univoque
o permettre drsquoidentifier le signataire
o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le
signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle
exclusif
o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute
modification ulteacuterieure des donneacutees soit deacutetectable
Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par
un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des
certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle
Ces deux niveaux suivants sont
La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux
articles 26 et 28 du regraveglement eIDAS)
Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute
respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS
Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion
du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des
exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est
uniquement deacutelivreacute au signataire leacutegitime
La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement
eIDAS)
La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature
eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature
eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1824
confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce
dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale
Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune
signature manuscrite
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique
qualifieacute
Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave
creacuteer une signature eacutelectronique
Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II
du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees
La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs
deacutesigneacutes par chaque Etat membre agrave la Commission
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle
exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees
pour prononcer la certification de conformiteacute
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de
services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave
distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la
conformiteacute et de le notifier agrave la Commission
IV3 Qui peut demander un certificat qualifieacute
Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats
eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et
respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats
Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute
deacutelivreacute par un prestataire de services de confiance qualifieacute
De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au
regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il
nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un
cachet eacutelectronique qualifieacute
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la
signature qualifieacutee
Le regraveglement eIDAS entraicircne les changements suivants
Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le
compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees
par un prestataire de services de confiance qualifieacute
Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)
Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les
personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1924
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat
qualifieacute de signature eacutelectronique
Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance
lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute
doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait
par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la
personne morale (ce qui implique donc un face agrave face) ou
agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la
deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de
la personne morale) sest preacutesenteacutee en personne ou
au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux
deux points ci-dessus ou
agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant
une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne
Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi
les possibiliteacutes offertes par le regraveglement
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave
distance par quels moyens la personne peut-elle manifester son
consentement
Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de
sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de
la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par
exemple sur une carte agrave puce et un code PIN)
A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute
suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature
eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees
agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la
saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave
lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2024
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave
distance
Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de
confiance qualifieacute
Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant
en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal
Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire
doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services
de confiance qualifieacutes preacutevus par le regraveglement
ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de
sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au
besoin de continuiteacute du service
La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de
conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute
LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des
certificats de conformiteacute
Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute
distincts
Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage
drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi
qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes
Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de
lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le
produit ou le systegraveme composant le QSCD
Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit
composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de
la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de
signature ou de cachet
LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est
disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-
notified-commission-accordance-article303b-and-392-eidas
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de
la signature eacutelectronique
Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques
avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature
eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne
offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les
formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506
Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats
de signature suivants
ETSI TS 103 171 (v211) (XAdES Baseline Profile)
ETSI TS 103 172 (v222) (PAdES Baseline Profile)
ETSI TS 103 173 (v221) (CAdES Baseline Profile)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1424
III6 Quelles sont les obligations induites du volet laquo services de confiance raquo
du regraveglement eIDAS pour les prestataires de services de confiance
qualifieacutes
Un prestataire de services de confiance qualifieacute est un prestataire de services de confiance offrant
au moins un service de confiance qualifieacute Le regraveglement formule des exigences geacuteneacuterales
applicables agrave lrsquoensemble des prestataires de services de confiance qualifieacutes ainsi que des
exigences speacutecifiques agrave chaque service de confiance qualifieacute
Un prestataire de services de confiance qualifieacute doit avoir fait lrsquoobjet drsquoune eacutevaluation de la
conformiteacute aux exigences du regraveglement avoir obtenu son statut qualifieacute de lrsquoorgane de controcircle
deacutesigneacute par lrsquoEtat membre dans lequel il est eacutetabli et ecirctre identifieacute sur la liste de confiance avant
de pouvoir commencer agrave fournir des services qualifieacutes
Les prestataires de services de confiance qualifieacutes sont responsables des dommages causeacutes
intentionnellement ou par neacutegligence agrave toute personne physique ou morale en raison dun
manquement agrave leurs obligations Il incombe aux prestataires de services de confiance qualifieacutes de
prouver que ces dommages ont eacuteteacute causeacutes sans intention ni neacutegligence de leur part
III7 Quels sont les services de confiance qualifieacutes preacutevus par le regraveglement
Les services de confiance qualifieacutes preacutevus par le regraveglement sont les suivants
la deacutelivrance de certificats eacutelectroniques qualifieacutes pour la signature eacutelectronique le
cachet eacutelectronique ou lrsquoauthentification de site internet
lrsquohorodatage eacutelectronique
la validation de signatures ou de cachets eacutelectronique
la conservation de signatures ou de cachets eacutelectroniques
lrsquoenvoi recommandeacute eacutelectronique
La creacuteation de signatures eacutelectroniques qualifieacutees laquo agrave distance raquo lorsque les donneacutees drsquoactivation
de la signature sont geacutereacutees par un prestataire de services de confiance qualifieacute pour le compte du
signataire nrsquoest pas consideacutereacutee comme un service de confiance qualifieacute au sens du regraveglement
eIDAS
III8 Quel est le reacutegime de controcircle des prestataires de services de
confiance
Le reacutegime de controcircle preacutevu par le regraveglement repose sur des organes de controcircles deacutesigneacutes par
chaque Etat membre ayant pour mission
le controcircle a priori des prestataires de service de confiance qualifieacutes eacutetablis sur le
territoire franccedilais
la prise des mesures a posteriori et si neacutecessaire en ce qui concerne les prestataires
de service de confiance non qualifieacutes eacutetablis sur le territoire de cet Etat membre
lorsque lrsquoorgane de controcircle est informeacute que ces derniers ou les services quils
fournissent ne satisfont pas aux exigences du regraveglement
Les prestataires de services de confiance non qualifieacutes ne font ainsi pas lrsquoobjet drsquoun controcircle a
priori
Pour deacutelivrer les qualifications des prestataires de services de confiance les organes de controcircle
srsquoappuient sur les rapports eacutetablis par des organismes drsquoeacutevaluation de la conformiteacute accreacutediteacutes
conformeacutement au regraveglement europeacuteen ndeg 7652008CE
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1524
III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de
services de confiance qualifieacutes
Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave
leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute
Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements
compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de
lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux
exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification
En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre
un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme
drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux
frais de ce dernier
Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS
Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique
III10 Qursquoest-ce qursquoune liste de confiance
Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les
informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont
responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations
relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur
cette liste
III11 Qursquoest-ce que le label de confiance de lrsquoUnion
Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les
prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de
maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent
Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du
prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee
Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806
III12 Qursquoest-ce que le laquo mandat 460 raquo
Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif
drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen
Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)
et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes
et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les
travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en
œuvre du regraveglement
Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de
conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers
des actes drsquoexeacutecution qursquoil preacutevoit
Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement
les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1624
III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave
des services de confiance qualifieacutes
Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres
drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les
exigences applicables au sein de chaque Etat membre
Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public
exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces
obligations sont preacuteciseacutees au chapitre IV du preacutesent document
III14 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo services de confiance raquo du regraveglement eIDAS
La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement
sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance
A ce titre lANSSI assure notamment les missions suivantes
le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes
le controcircle a posteriori et sur saisie des prestataires de service de confiance non-
qualifieacutes
lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance
qui en font la demande
la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de
services de confiance qualifieacutes par des organismes drsquoeacutevaluation
la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS
lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute
la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis
dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la
Commission sur ses principales activiteacutes
En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge
lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise
la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des
dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes
la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique
qualifieacutes qursquoelle a certifieacute conformes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1724
IV Questions relatives agrave la signature et au cachet eacutelectronique
Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au
cachet eacutelectronique
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique
Il convient de distinguer quatre niveaux de signatures eacutelectroniques
Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit
par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de
controcircle
Ces deux premiers niveaux sont
La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)
Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou
associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire
utilise pour signer
La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)
Cette signature doit
o ecirctre lieacutee au signataire de maniegravere univoque
o permettre drsquoidentifier le signataire
o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le
signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle
exclusif
o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute
modification ulteacuterieure des donneacutees soit deacutetectable
Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par
un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des
certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle
Ces deux niveaux suivants sont
La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux
articles 26 et 28 du regraveglement eIDAS)
Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute
respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS
Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion
du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des
exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est
uniquement deacutelivreacute au signataire leacutegitime
La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement
eIDAS)
La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature
eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature
eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1824
confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce
dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale
Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune
signature manuscrite
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique
qualifieacute
Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave
creacuteer une signature eacutelectronique
Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II
du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees
La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs
deacutesigneacutes par chaque Etat membre agrave la Commission
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle
exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees
pour prononcer la certification de conformiteacute
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de
services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave
distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la
conformiteacute et de le notifier agrave la Commission
IV3 Qui peut demander un certificat qualifieacute
Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats
eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et
respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats
Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute
deacutelivreacute par un prestataire de services de confiance qualifieacute
De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au
regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il
nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un
cachet eacutelectronique qualifieacute
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la
signature qualifieacutee
Le regraveglement eIDAS entraicircne les changements suivants
Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le
compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees
par un prestataire de services de confiance qualifieacute
Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)
Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les
personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1924
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat
qualifieacute de signature eacutelectronique
Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance
lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute
doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait
par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la
personne morale (ce qui implique donc un face agrave face) ou
agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la
deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de
la personne morale) sest preacutesenteacutee en personne ou
au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux
deux points ci-dessus ou
agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant
une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne
Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi
les possibiliteacutes offertes par le regraveglement
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave
distance par quels moyens la personne peut-elle manifester son
consentement
Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de
sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de
la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par
exemple sur une carte agrave puce et un code PIN)
A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute
suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature
eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees
agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la
saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave
lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2024
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave
distance
Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de
confiance qualifieacute
Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant
en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal
Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire
doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services
de confiance qualifieacutes preacutevus par le regraveglement
ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de
sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au
besoin de continuiteacute du service
La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de
conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute
LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des
certificats de conformiteacute
Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute
distincts
Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage
drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi
qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes
Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de
lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le
produit ou le systegraveme composant le QSCD
Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit
composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de
la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de
signature ou de cachet
LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est
disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-
notified-commission-accordance-article303b-and-392-eidas
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de
la signature eacutelectronique
Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques
avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature
eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne
offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les
formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506
Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats
de signature suivants
ETSI TS 103 171 (v211) (XAdES Baseline Profile)
ETSI TS 103 172 (v222) (PAdES Baseline Profile)
ETSI TS 103 173 (v221) (CAdES Baseline Profile)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1524
III9 Quelles sont les modaliteacutes de controcircle speacutecifiques aux prestataires de
services de confiance qualifieacutes
Les prestataires de services de confiance qualifieacutes doivent se soumettre agrave un audit effectueacute agrave
leurs frais au moins tous les vingt-quatre mois par un organisme drsquoeacutevaluation de la conformiteacute
Le rapport eacutetabli par lorganisme deacutevaluation de la conformiteacute et le cas eacutecheacuteant des eacuteleacutements
compleacutementaires sont transmis dans un deacutelai de trois jours ouvrables agrave lorgane de controcircle de
lrsquoEacutetat membre dans lequel le prestataire est eacutetabli Lorgane de controcircle veacuterifie la conformiteacute aux
exigences du regraveglement du service de confiance fourni et prononce la deacutecision de qualification
En dehors de ces audits reacuteguliers lrsquoorgane de controcircle peut deacutecider agrave tout moment de soumettre
un prestataire de services de confiance qualifieacute agrave un audit ou peut demander agrave un organisme
drsquoeacutevaluation de la conformiteacute de proceacuteder agrave une eacutevaluation de la conformiteacute du prestataire aux
frais de ce dernier
Cette eacutevaluation de la conformiteacute vise agrave confirmer le respect des exigences du regraveglement eIDAS
Elle nrsquoa pas pour objectif de confirmer le respect drsquoune norme ou drsquoun standard technique
III10 Qursquoest-ce qursquoune liste de confiance
Chaque Etat membre eacutetablit et maintient agrave jour une liste de confiance sur laquelle figurent les
informations relatives aux prestataires de services de confiance qualifieacutes dont ils sont
responsables ainsi qursquoaux services de confiance qualifieacutes qursquoils fournissent Des informations
relatives aux prestataires et services de confiance non qualifieacutes peuvent eacutegalement figurer sur
cette liste
III11 Qursquoest-ce que le label de confiance de lrsquoUnion
Le label de confiance de lrsquoUnion pour les services de confiance qualifieacutes peut ecirctre utiliseacute par les
prestataires de services de confiance qualifieacutes inscrits sur les listes de confiance pour indiquer de
maniegravere claire simple et reconnaissable les services de confiance qualifieacutes qursquoils fournissent
Lrsquoutilisation de ce label est assortie de lrsquoobligation de rendre disponible sur le site internet du
prestataire de services de confiance qualifieacute un lien vers la liste de confiance concerneacutee
Les speacutecifications du label de confiance font lrsquoobjet du regraveglement drsquoexeacutecution ndeg 2015806
III12 Qursquoest-ce que le laquo mandat 460 raquo
Le mandat 460 est une initiative de la Commission europeacuteenne visant agrave eacutetablir un cadre normatif
drsquointeropeacuterabiliteacute favorisant le deacuteveloppement du marcheacute unique numeacuterique europeacuteen
Deux organismes de standardisation lrsquoETSI (European Telecommunications Standards Institute)
et le CEN (Comiteacute Europeacuteen de Normalisation) ont ainsi eacuteteacute mandateacutes pour eacutelaborer des normes
et standards relatifs aux services de confiance Suite agrave la publication du regraveglement eIDAS les
travaux reacutealiseacutes dans le cadre du mandat 460 ont eacuteteacute reacuteorienteacutes afin drsquoaccompagner la mise en
œuvre du regraveglement
Lrsquoobjectif des travaux actuels est drsquoeacutetablir les normes permettant drsquoapporter une preacutesomption de
conformiteacute aux exigences du regraveglement et pouvant ecirctre reacutefeacuterenceacutees par le regraveglement au travers
des actes drsquoexeacutecution qursquoil preacutevoit
Toutefois la grande majoriteacute de ces normes ne sont pas aujourdrsquohui reacutefeacuterenceacutees par le regraveglement
les actes drsquoexeacutecution neacutecessaires nrsquoayant pas eacuteteacute adopteacutes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1624
III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave
des services de confiance qualifieacutes
Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres
drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les
exigences applicables au sein de chaque Etat membre
Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public
exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces
obligations sont preacuteciseacutees au chapitre IV du preacutesent document
III14 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo services de confiance raquo du regraveglement eIDAS
La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement
sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance
A ce titre lANSSI assure notamment les missions suivantes
le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes
le controcircle a posteriori et sur saisie des prestataires de service de confiance non-
qualifieacutes
lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance
qui en font la demande
la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de
services de confiance qualifieacutes par des organismes drsquoeacutevaluation
la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS
lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute
la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis
dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la
Commission sur ses principales activiteacutes
En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge
lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise
la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des
dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes
la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique
qualifieacutes qursquoelle a certifieacute conformes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1724
IV Questions relatives agrave la signature et au cachet eacutelectronique
Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au
cachet eacutelectronique
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique
Il convient de distinguer quatre niveaux de signatures eacutelectroniques
Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit
par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de
controcircle
Ces deux premiers niveaux sont
La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)
Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou
associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire
utilise pour signer
La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)
Cette signature doit
o ecirctre lieacutee au signataire de maniegravere univoque
o permettre drsquoidentifier le signataire
o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le
signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle
exclusif
o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute
modification ulteacuterieure des donneacutees soit deacutetectable
Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par
un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des
certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle
Ces deux niveaux suivants sont
La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux
articles 26 et 28 du regraveglement eIDAS)
Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute
respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS
Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion
du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des
exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est
uniquement deacutelivreacute au signataire leacutegitime
La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement
eIDAS)
La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature
eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature
eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1824
confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce
dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale
Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune
signature manuscrite
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique
qualifieacute
Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave
creacuteer une signature eacutelectronique
Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II
du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees
La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs
deacutesigneacutes par chaque Etat membre agrave la Commission
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle
exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees
pour prononcer la certification de conformiteacute
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de
services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave
distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la
conformiteacute et de le notifier agrave la Commission
IV3 Qui peut demander un certificat qualifieacute
Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats
eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et
respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats
Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute
deacutelivreacute par un prestataire de services de confiance qualifieacute
De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au
regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il
nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un
cachet eacutelectronique qualifieacute
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la
signature qualifieacutee
Le regraveglement eIDAS entraicircne les changements suivants
Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le
compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees
par un prestataire de services de confiance qualifieacute
Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)
Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les
personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1924
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat
qualifieacute de signature eacutelectronique
Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance
lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute
doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait
par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la
personne morale (ce qui implique donc un face agrave face) ou
agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la
deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de
la personne morale) sest preacutesenteacutee en personne ou
au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux
deux points ci-dessus ou
agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant
une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne
Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi
les possibiliteacutes offertes par le regraveglement
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave
distance par quels moyens la personne peut-elle manifester son
consentement
Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de
sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de
la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par
exemple sur une carte agrave puce et un code PIN)
A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute
suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature
eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees
agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la
saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave
lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2024
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave
distance
Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de
confiance qualifieacute
Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant
en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal
Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire
doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services
de confiance qualifieacutes preacutevus par le regraveglement
ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de
sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au
besoin de continuiteacute du service
La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de
conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute
LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des
certificats de conformiteacute
Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute
distincts
Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage
drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi
qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes
Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de
lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le
produit ou le systegraveme composant le QSCD
Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit
composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de
la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de
signature ou de cachet
LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est
disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-
notified-commission-accordance-article303b-and-392-eidas
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de
la signature eacutelectronique
Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques
avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature
eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne
offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les
formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506
Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats
de signature suivants
ETSI TS 103 171 (v211) (XAdES Baseline Profile)
ETSI TS 103 172 (v222) (PAdES Baseline Profile)
ETSI TS 103 173 (v221) (CAdES Baseline Profile)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1624
III13 Les organismes du secteur public sont-ils contraints drsquoavoir recours agrave
des services de confiance qualifieacutes
Le regraveglement nrsquoimpose pas aux organismes du secteur public des diffeacuterents Etats membres
drsquoavoir recours agrave des services de confiance qualifieacutes Le droit national peut deacuteterminer les
exigences applicables au sein de chaque Etat membre
Le regraveglement formule toutefois des obligations relatives aux organismes du secteur public
exigeant ou mettant en œuvre des signatures eacutelectroniques avanceacutees ou qualifieacutees Ces
obligations sont preacuteciseacutees au chapitre IV du preacutesent document
III14 Comment se deacuteroule la mise en œuvre au niveau national du volet
laquo services de confiance raquo du regraveglement eIDAS
La mise en œuvre du volet laquo services de confiance raquo sur le plan national repose principalement
sur lANSSI qui est lorgane de controcircle deacutesigneacute par la France pour les services de confiance
A ce titre lANSSI assure notamment les missions suivantes
le controcircle a priori et a posteriori des prestataires de services de confiance qualifieacutes
le controcircle a posteriori et sur saisie des prestataires de service de confiance non-
qualifieacutes
lrsquoattribution et le retrait du statut laquo qualifieacute raquo aux prestataires de services de confiance
qui en font la demande
la conduite drsquoaudits ou la requecircte drsquoeacutevaluation de la conformiteacute des prestataires de
services de confiance qualifieacutes par des organismes drsquoeacutevaluation
la deacutefinition des modaliteacutes techniques de respect des exigences du regraveglement eIDAS
lrsquoanalyse des rapports drsquoeacutevaluation de la conformiteacute
la coopeacuteration avec les autres autoriteacutes nationales et les organes de controcircle eacutetablis
dans les autres Etats membres et lrsquoeacutetablissement drsquoun rapport annuel agrave la
Commission sur ses principales activiteacutes
En marge de son rocircle drsquoorgane de controcircle lrsquoANSSI a aussi en charge
lrsquoeacutetablissement et la publication de la liste de confiance franccedilaise
la certification de conformiteacute (aux exigences de lrsquoannexe II du regraveglement) des
dispositifs de creacuteation de signature et de cachet eacutelectroniques qualifieacutes
la tenue du catalogue des dispositifs de creacuteation de signature cachet eacutelectronique
qualifieacutes qursquoelle a certifieacute conformes
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1724
IV Questions relatives agrave la signature et au cachet eacutelectronique
Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au
cachet eacutelectronique
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique
Il convient de distinguer quatre niveaux de signatures eacutelectroniques
Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit
par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de
controcircle
Ces deux premiers niveaux sont
La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)
Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou
associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire
utilise pour signer
La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)
Cette signature doit
o ecirctre lieacutee au signataire de maniegravere univoque
o permettre drsquoidentifier le signataire
o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le
signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle
exclusif
o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute
modification ulteacuterieure des donneacutees soit deacutetectable
Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par
un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des
certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle
Ces deux niveaux suivants sont
La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux
articles 26 et 28 du regraveglement eIDAS)
Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute
respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS
Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion
du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des
exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est
uniquement deacutelivreacute au signataire leacutegitime
La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement
eIDAS)
La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature
eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature
eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1824
confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce
dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale
Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune
signature manuscrite
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique
qualifieacute
Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave
creacuteer une signature eacutelectronique
Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II
du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees
La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs
deacutesigneacutes par chaque Etat membre agrave la Commission
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle
exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees
pour prononcer la certification de conformiteacute
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de
services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave
distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la
conformiteacute et de le notifier agrave la Commission
IV3 Qui peut demander un certificat qualifieacute
Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats
eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et
respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats
Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute
deacutelivreacute par un prestataire de services de confiance qualifieacute
De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au
regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il
nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un
cachet eacutelectronique qualifieacute
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la
signature qualifieacutee
Le regraveglement eIDAS entraicircne les changements suivants
Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le
compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees
par un prestataire de services de confiance qualifieacute
Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)
Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les
personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1924
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat
qualifieacute de signature eacutelectronique
Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance
lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute
doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait
par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la
personne morale (ce qui implique donc un face agrave face) ou
agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la
deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de
la personne morale) sest preacutesenteacutee en personne ou
au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux
deux points ci-dessus ou
agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant
une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne
Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi
les possibiliteacutes offertes par le regraveglement
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave
distance par quels moyens la personne peut-elle manifester son
consentement
Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de
sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de
la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par
exemple sur une carte agrave puce et un code PIN)
A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute
suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature
eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees
agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la
saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave
lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2024
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave
distance
Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de
confiance qualifieacute
Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant
en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal
Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire
doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services
de confiance qualifieacutes preacutevus par le regraveglement
ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de
sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au
besoin de continuiteacute du service
La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de
conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute
LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des
certificats de conformiteacute
Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute
distincts
Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage
drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi
qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes
Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de
lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le
produit ou le systegraveme composant le QSCD
Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit
composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de
la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de
signature ou de cachet
LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est
disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-
notified-commission-accordance-article303b-and-392-eidas
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de
la signature eacutelectronique
Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques
avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature
eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne
offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les
formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506
Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats
de signature suivants
ETSI TS 103 171 (v211) (XAdES Baseline Profile)
ETSI TS 103 172 (v222) (PAdES Baseline Profile)
ETSI TS 103 173 (v221) (CAdES Baseline Profile)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1724
IV Questions relatives agrave la signature et au cachet eacutelectronique
Les points preacutesenteacutes ci-dessous agrave lrsquoexception du IV10 et IV11 srsquoappliquent eacutegalement au
cachet eacutelectronique
IV1 Quels sont les diffeacuterents niveaux de signature eacutelectronique
Il convient de distinguer quatre niveaux de signatures eacutelectroniques
Les deux premiers niveaux de signature eacutelectronique ne sont soumis agrave aucune obligation drsquoaudit
par un tiers compeacutetent et indeacutependant et ne font pas lrsquoobjet drsquoune deacutecision par lrsquoorgane de
controcircle
Ces deux premiers niveaux sont
La signature eacutelectronique simple (deacutefinie agrave lrsquoarticle 3 point 10 du regraveglement eIDAS)
Cette signature comprend des donneacutees sous forme eacutelectronique qui sont jointes ou
associeacutees logiquement agrave drsquoautres donneacutees sous forme eacutelectronique et que le signataire
utilise pour signer
La signature eacutelectronique avanceacutee (deacutefinie agrave lrsquoarticle 26 du regraveglement eIDAS)
Cette signature doit
o ecirctre lieacutee au signataire de maniegravere univoque
o permettre drsquoidentifier le signataire
o avoir eacuteteacute creacuteeacutee agrave lrsquoaide de donneacutees de creacuteation de signature eacutelectronique que le
signataire peut avec un niveau de confiance eacuteleveacute utiliser sous son controcircle
exclusif
o ecirctre lieacutee aux donneacutees qui lui sont associeacutees de telle sorte que toute
modification ulteacuterieure des donneacutees soit deacutetectable
Les deux niveaux suivants de signature eacutelectronique font obligatoirement lrsquoobjet drsquoun audit par
un tiers compeacutetent et indeacutependant et drsquoune deacutecision de qualification du service de deacutelivrance des
certificats eacutelectroniques prononceacutee par lrsquoorgane de controcircle
Ces deux niveaux suivants sont
La signature eacutelectronique avanceacutee reposant sur un certificat qualifieacute (deacutefinie aux
articles 26 et 28 du regraveglement eIDAS)
Cette signature doit reposer sur un certificat de signature eacutelectronique qualifieacute
respectant les exigences contenues dans lrsquoAnnexe I du regraveglement eIDAS
Les processus de veacuterification de lrsquoidentiteacute du demandeur de deacutelivrance et de gestion
du cycle de vie drsquoun certificat de signature eacutelectronique qualifieacute reacutepondent agrave des
exigences de seacutecuriteacute importantes qui permettent de garantir que ce certificat est
uniquement deacutelivreacute au signataire leacutegitime
La signature eacutelectronique qualifieacutee (deacutefinie agrave lrsquoarticle 3 point 12 du regraveglement
eIDAS)
La signature eacutelectronique qualifieacutee doit reposer sur un certificat de signature
eacutelectronique qualifieacute mis en œuvre gracircce agrave un dispositif de creacuteation de signature
eacutelectronique qualifieacute (QSCD) Un tel dispositif garantit avec un haut niveau de
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1824
confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce
dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale
Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune
signature manuscrite
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique
qualifieacute
Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave
creacuteer une signature eacutelectronique
Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II
du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees
La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs
deacutesigneacutes par chaque Etat membre agrave la Commission
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle
exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees
pour prononcer la certification de conformiteacute
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de
services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave
distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la
conformiteacute et de le notifier agrave la Commission
IV3 Qui peut demander un certificat qualifieacute
Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats
eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et
respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats
Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute
deacutelivreacute par un prestataire de services de confiance qualifieacute
De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au
regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il
nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un
cachet eacutelectronique qualifieacute
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la
signature qualifieacutee
Le regraveglement eIDAS entraicircne les changements suivants
Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le
compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees
par un prestataire de services de confiance qualifieacute
Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)
Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les
personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1924
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat
qualifieacute de signature eacutelectronique
Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance
lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute
doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait
par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la
personne morale (ce qui implique donc un face agrave face) ou
agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la
deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de
la personne morale) sest preacutesenteacutee en personne ou
au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux
deux points ci-dessus ou
agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant
une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne
Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi
les possibiliteacutes offertes par le regraveglement
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave
distance par quels moyens la personne peut-elle manifester son
consentement
Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de
sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de
la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par
exemple sur une carte agrave puce et un code PIN)
A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute
suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature
eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees
agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la
saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave
lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2024
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave
distance
Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de
confiance qualifieacute
Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant
en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal
Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire
doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services
de confiance qualifieacutes preacutevus par le regraveglement
ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de
sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au
besoin de continuiteacute du service
La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de
conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute
LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des
certificats de conformiteacute
Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute
distincts
Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage
drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi
qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes
Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de
lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le
produit ou le systegraveme composant le QSCD
Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit
composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de
la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de
signature ou de cachet
LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est
disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-
notified-commission-accordance-article303b-and-392-eidas
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de
la signature eacutelectronique
Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques
avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature
eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne
offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les
formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506
Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats
de signature suivants
ETSI TS 103 171 (v211) (XAdES Baseline Profile)
ETSI TS 103 172 (v222) (PAdES Baseline Profile)
ETSI TS 103 173 (v221) (CAdES Baseline Profile)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1824
confiance que la signature ne peut ecirctre reacutealiseacutee que par le signataire leacutegitime Ce
dispositif fait lrsquoobjet drsquoune deacutecision de certification par une autoriteacute nationale
Lrsquoeffet juridique drsquoune signature eacutelectronique qualifieacutee est eacutequivalent agrave celui drsquoune
signature manuscrite
IV2 Qursquoest-ce qursquoun dispositif de creacuteation de signature eacutelectronique
qualifieacute
Un dispositif de creacuteation de signature eacutelectronique est un dispositif logiciel ou mateacuteriel servant agrave
creacuteer une signature eacutelectronique
Un dispositif de creacuteation de signature eacutelectronique qualifieacute satisfait aux exigences de lrsquoannexe II
du regraveglement et peut servir de support agrave la creacuteation des signatures eacutelectroniques qualifieacutees
La conformiteacute aux exigences de lrsquoannexe II est certifieacutee par des organismes certificateurs
deacutesigneacutes par chaque Etat membre agrave la Commission
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes utiliseacutes sous le controcircle
exclusif du signataire lrsquoacte drsquoexeacutecution ndeg 2016650 reacutefeacuterence les normes devant ecirctre utiliseacutees
pour prononcer la certification de conformiteacute
Pour les dispositifs de creacuteation de signature eacutelectronique qualifieacutes geacutereacutes par un prestataire de
services de confiance qualifieacute pour le compte drsquoun signataire (ie dans le cas drsquoune laquo signature agrave
distance raquo) il appartient agrave chaque Etat membre de deacutefinir le processus de certification de la
conformiteacute et de le notifier agrave la Commission
IV3 Qui peut demander un certificat qualifieacute
Le regraveglement eIDAS nrsquoimpose aucune restriction quant aux demandeurs de certificats
eacutelectroniques degraves lors que ceux-ci sont identifieacutes conformeacutement aux exigences de lrsquoarticle 24 et
respectent les conditions geacuteneacuterales drsquoutilisation lieacutees agrave ces certificats
Ainsi toute personne physique peut demander un certificat de signature eacutelectronique qualifieacute
deacutelivreacute par un prestataire de services de confiance qualifieacute
De mecircme toute personne morale peut demander un certificat de cachet eacutelectronique conforme au
regraveglement eIDAS deacutelivreacute par un prestataire de services de confiance qualifieacute En particulier il
nrsquoest pas obligatoire drsquoecirctre prestataire de services de confiance qualifieacute pour mettre en œuvre un
cachet eacutelectronique qualifieacute
IV4 Quels sont les changements introduits par le regraveglement eIDAS pour la
signature qualifieacutee
Le regraveglement eIDAS entraicircne les changements suivants
Il permet explicitement la reacutealisation de signatures qualifieacutees laquo agrave distance raquo pour le
compte du signataire les donneacutees de creacuteation de signature eacutelectronique eacutetant geacutereacutees
par un prestataire de services de confiance qualifieacute
Il induit des obligations speacutecifiques pour les administrations (preacuteciseacutees ci-apregraves)
Il ne permet plus la deacutelivrance de certificats de signature eacutelectronique pour les
personnes morales (remplaceacutes par les certificats de cachet eacutelectronique)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1924
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat
qualifieacute de signature eacutelectronique
Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance
lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute
doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait
par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la
personne morale (ce qui implique donc un face agrave face) ou
agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la
deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de
la personne morale) sest preacutesenteacutee en personne ou
au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux
deux points ci-dessus ou
agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant
une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne
Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi
les possibiliteacutes offertes par le regraveglement
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave
distance par quels moyens la personne peut-elle manifester son
consentement
Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de
sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de
la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par
exemple sur une carte agrave puce et un code PIN)
A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute
suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature
eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees
agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la
saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave
lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2024
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave
distance
Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de
confiance qualifieacute
Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant
en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal
Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire
doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services
de confiance qualifieacutes preacutevus par le regraveglement
ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de
sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au
besoin de continuiteacute du service
La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de
conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute
LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des
certificats de conformiteacute
Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute
distincts
Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage
drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi
qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes
Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de
lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le
produit ou le systegraveme composant le QSCD
Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit
composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de
la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de
signature ou de cachet
LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est
disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-
notified-commission-accordance-article303b-and-392-eidas
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de
la signature eacutelectronique
Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques
avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature
eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne
offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les
formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506
Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats
de signature suivants
ETSI TS 103 171 (v211) (XAdES Baseline Profile)
ETSI TS 103 172 (v222) (PAdES Baseline Profile)
ETSI TS 103 173 (v221) (CAdES Baseline Profile)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 1924
IV5 Un face agrave face est-il neacutecessaire pour la deacutelivrance dun certificat
qualifieacute de signature eacutelectronique
Le regraveglement preacutevoit que pour la deacutelivrance dun certificat qualifieacute pour un service de confiance
lidentiteacute et tous les attributs de la personne physique ou morale agrave laquelle le certificat est deacutelivreacute
doivent ecirctre veacuterifieacutes Il preacutecise que cette veacuterification se fait
par la preacutesence en personne de la personne physique ou du repreacutesentant autoriseacute de la
personne morale (ce qui implique donc un face agrave face) ou
agrave distance agrave laide de moyens didentification eacutelectronique pour lesquels avant la
deacutelivrance du certificat qualifieacute la personne physique (ou un repreacutesentant autoriseacute de
la personne morale) sest preacutesenteacutee en personne ou
au moyen dun certificat de signature eacutelectronique qualifieacute deacutelivreacute conformeacutement aux
deux points ci-dessus ou
agrave laide dautres meacutethodes didentification reconnues au niveau national et fournissant
une garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne
Un face agrave face peut ainsi ne pas ecirctre neacutecessaire selon la meacutethode de veacuterification retenue parmi
les possibiliteacutes offertes par le regraveglement
Par exemple une solution de face-agrave-face laquo agrave distance raquo ougrave le demandeur fait la preuve de son
identiteacute en preacutesentant un document officiel drsquoidentiteacute par la biais drsquoun systegraveme de visio-
confeacuterence pourrait ecirctre reconnue comme apportant une eacutequivalence agrave la preacutesence en personne
sous reacuteserve qursquoil soit deacutemontreacute la mise en place de mesures techniques et organisationnelles
permettant de lutter contre les risques de fraude avec une efficaciteacute au moins eacutegale agrave la
preacutesentation physique drsquoun document drsquoidentiteacute Ces mesures devraient notamment couvrir les
risques lieacutes agrave la preacutesentation de documents drsquoidentiteacute falsifieacutes ou contrefaits ainsi que les
risques lieacutes agrave la manipulation des dispositifs de capture drsquoimages ou des canaux de
communication
Pour les meacutethodes drsquoidentification agrave distance reconnues au niveau franccedilais et fournissant une
garantie eacutequivalente en termes de fiabiliteacute agrave la preacutesence en personne lrsquoeacutequivalence doit ecirctre
valideacutee par lrsquoANSSI
IV6 Pour le service de creacuteation dune signature eacutelectronique avanceacutee agrave
distance par quels moyens la personne peut-elle manifester son
consentement
Dans le cas de la creacuteation dune signature eacutelectronique avanceacutee agrave distance lobjectif est de
sassurer que le niveau de seacutecuriteacute est similaire agrave celui dune signature locale ougrave la reacutealisation de
la signature eacutelectronique est reacutealiseacutee sous le controcircle exclusif du signataire (reposant par
exemple sur une carte agrave puce et un code PIN)
A cette fin les moyens mis en œuvre doivent permettre de garantir un niveau de seacutecuriteacute
suffisant au regard du risque de fraude agrave la signature (par exemple la reacutealisation drsquoune signature
eacutelectronique par une autre personne que le signataire leacutegitime ou la modification des donneacutees
agrave signer) Pour ce faire plusieurs solutions techniques peuvent ecirctre envisageacutees (par exemple la
saisie drsquoun code PIN reacuteserveacute agrave cet usage dans une application deacutedieacutee) dans la mesure ougrave
lrsquoimpleacutementation faite de ces solutions est seacutecuriseacutee
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2024
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave
distance
Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de
confiance qualifieacute
Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant
en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal
Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire
doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services
de confiance qualifieacutes preacutevus par le regraveglement
ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de
sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au
besoin de continuiteacute du service
La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de
conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute
LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des
certificats de conformiteacute
Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute
distincts
Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage
drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi
qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes
Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de
lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le
produit ou le systegraveme composant le QSCD
Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit
composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de
la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de
signature ou de cachet
LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est
disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-
notified-commission-accordance-article303b-and-392-eidas
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de
la signature eacutelectronique
Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques
avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature
eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne
offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les
formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506
Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats
de signature suivants
ETSI TS 103 171 (v211) (XAdES Baseline Profile)
ETSI TS 103 172 (v222) (PAdES Baseline Profile)
ETSI TS 103 173 (v221) (CAdES Baseline Profile)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2024
IV7 Quel est le reacutegime de controcircle applicable agrave la signature qualifieacutee agrave
distance
Le regraveglement ne considegravere pas la creacuteation de signature qualifieacutee agrave distance comme un service de
confiance qualifieacute
Neacuteanmoins en vertu de lrsquoannexe II du regraveglement un prestataire de services de confiance mettant
en œuvre un dispositif de creacuteation de signature eacutelectronique qualifieacute (Qualified SignatureSeal
Creation Device QSCD) pour permettre la signature agrave distance pour le compte du signataire
doit avoir obtenu le statut qualifieacute de lrsquoorgane de controcircle au titre de lrsquoun des services
de confiance qualifieacutes preacutevus par le regraveglement
ne peut reproduire les donneacutees de creacuteation de signature eacutelectronique qursquoagrave des fins de
sauvegarde sans abaissement du niveau de seacutecuriteacute et de maniegravere proportionneacutee au
besoin de continuiteacute du service
La veacuterification du respect de ces exigences est reacutealiseacutee dans le cadre de la certification de
conformiteacute du dispositif de creacuteation de signature eacutelectronique qualifieacute
LrsquoANSSI en tant qursquoorganisme certificateur national est en charge de la deacutelivrance des
certificats de conformiteacute
Deux types de controcircles sont effectueacutes permettant la deacutelivrance de deux certificats de conformiteacute
distincts
Tout drsquoabord un certificat de conformiteacute partiel peut ecirctre deacutelivreacute apregraves le passage
drsquoune certification de seacutecuriteacute du systegraveme ou du produit composant le QSCD ainsi
qursquoun controcircle des meacutecanismes cryptographiques utiliseacutes
Ensuite un certificat de conformiteacute complet peut ecirctre deacutelivreacute suite au controcircle de
lrsquoenvironnement du prestataire de services de confiance qualifieacute qui met en œuvre le
produit ou le systegraveme composant le QSCD
Le certificat de conformiteacute est deacutelivreacute pour une version identifieacutee de chaque systegraveme ou produit
composant le QSCD et sa dureacutee de validiteacute ne peut exceacuteder 5 ans au-delagrave de la certification ou de
la derniegravere surveillance du systegraveme ou produit dans lequel est mis en œuvre la cleacute priveacutee de
signature ou de cachet
LrsquoANSSI a notifieacute agrave la Commission europeacuteenne ce processus de certification Ce document est
disponible agrave cette adresse httpseceuropaeufuturiumencontentlist-alternative-processes-
notified-commission-accordance-article303b-and-392-eidas
IV8 Quelles sont les obligations faites aux administrations pour lrsquousage de
la signature eacutelectronique
Le regraveglement preacutevoit un meacutecanisme de reconnaissance mutuelle des signatures eacutelectroniques
avanceacutees des signatures eacutelectroniques avanceacutees reposant sur un certificat qualifieacute de signature
eacutelectronique et des signatures eacutelectroniques qualifieacutees utiliseacutees dans le cadre de services en ligne
offerts par un organisme du secteur public drsquoun Etat membre et qui sont au moins dans les
formats ou meacutethodes deacutefinies dans la deacutecision drsquoexeacutecution ndeg 20151506
Les administrations exigeant une signature avanceacutee doivent ainsi reconnaicirctre les quatre formats
de signature suivants
ETSI TS 103 171 (v211) (XAdES Baseline Profile)
ETSI TS 103 172 (v222) (PAdES Baseline Profile)
ETSI TS 103 173 (v221) (CAdES Baseline Profile)
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2124
ETSI TS 103 174 (v221) (ASiC Baseline Profile)
Par ailleurs si un Etat membre exige une signature eacutelectronique avanceacutee pour utiliser un service
en ligne offert par un organisme du secteur public ou pour lrsquoutiliser au nom de cet organisme il
reconnait les signatures eacutelectroniques avanceacutees et les signatures eacutelectroniques avanceacutees qui
reposent sur un certificat qualifieacute de signature eacutelectronique
Si un Etat membre exige une signature eacutelectronique avanceacutee qui repose sur un certificat qualifieacute
pour utiliser un service en ligne proposeacute par un organisme du secteur public ou pour lrsquoutiliser au
nom de cet organisme il reconnait les signatures eacutelectroniques avanceacutees qui reposent sur un
certificat qualifieacute
De plus le regraveglement preacutevoit que les organismes du secteur public ne peuvent pas exiger pour
une utilisation transfrontaliegravere de signature eacutelectronique preacutesentant un niveau de seacutecuriteacute
supeacuterieur agrave celui de la signature eacutelectronique qualifieacutee
IV9 Quel est lrsquoimpact du regraveglement eIDAS sur la directive 199993CE sur
un cadre communautaire pour les signatures eacutelectroniques
Le regraveglement eIDAS abroge la directive 199993CE sur la signature eacutelectronique
Le regraveglement preacutevoit des mesures de transition pour les produits et services qualifieacutes au titre de
la transposition nationale de cette directive Ces mesures sont deacutetailleacutees ci-dessous
IV10 Quelles sont les modaliteacutes de transition entre la directive 199993CE et
le regraveglement eIDAS
Les modaliteacutes de transition entre la directive 199993CE et le regraveglement eIDAS sont les
suivantes
les dispositifs seacutecuriseacutes de creacuteation de signature dont la conformiteacute aux dispositions
de la directive a eacuteteacute deacutetermineacutee avant le 1er juillet 2016 seront consideacutereacutes comme des
dispositifs de creacuteation de signature qualifieacutes au sens du regraveglement eIDAS
les certificats de signature eacutelectronique qualifieacutes deacutelivreacutes aux personnes physiques au
titre de la directive 199993EC seront consideacutereacutes comme des certificats qualifieacutes de
signature eacutelectronique au titre du regraveglement eIDAS et ce jusquagrave leur expiration
les prestataires de services de certification qui deacutelivraient des certificats qualifieacutes au
titre de la directive 199993EC avant le 1er juillet 2016 ont eacuteteacute qualifieacutes au sens du
regraveglement eIDAS jusquau 1er juillet 2017 Au-delagrave de cette date leur qualification
nrsquoa eacuteteacute maintenue que sils ont transmis un rapport deacutevaluation de la conformiteacute agrave
lorgane de controcircle et ce jusqursquoagrave ce que ce dernier achegraveve lrsquoeacutevaluation
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2224
V Questions relatives aux impacts nationaux du volet laquo services
de confiance raquo
V1 Que deviennent les lois deacutecrets et arrecircteacutes pris en application de la
directive 199993CE suite agrave la parution du regraveglement eIDAS
Les dispositions des lois deacutecrets et arrecircteacutes pris en application de la directive 199993CE
continuent agrave sappliquer dans la mesure ougrave elles ne sont pas en contradiction avec les dispositions
du regraveglement eIDAS Pour meacutemoire ces textes sont
Loi ndeg 2000-230 du 13 mars 2000 (prise en compte de la signature eacutelectronique dans
le Code civil avec lintroduction de larticle 1316-4)
Deacutecret ndeg 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du
Code civil et relatif agrave la signature eacutelectronique (abrogeacute par le Deacutecret ndeg2017-1416 du
28 septembre 2017)
Arrecircteacute du 26 juillet 2004 (relatif agrave la reconnaissance de la qualification des
prestataires de service de certification eacutelectronique et agrave laccreacuteditation des organismes
qui procegravedent agrave leur eacutevaluation)
V2 Le RGS srsquoapplique-t-il encore apregraves la date drsquoapplication du regraveglement
eIDAS
Le RGS continue pleinement agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives
Il continue aussi agrave srsquoappliquer aux eacutechanges entre autoriteacutes administratives et usagers agrave deux
exceptions pregraves
Les autoriteacutes administratives doivent accepter les moyens drsquoidentification
eacutelectronique non conformes au RGS mais reacutepondant aux conditions fixeacutees par
lrsquoarticle 6 du regraveglement eIDAS
Les autoriteacutes administratives doivent accepter les signatures (respectivement les
cachets) eacutelectroniques non conformes au RGS mais reacutepondant aux conditions fixeacutees
par lrsquoarticle 27 du regraveglement eIDAS
Lorsqursquoune autoriteacute administrative identifie un besoin lieacute agrave la mise en œuvre drsquoun service de
certification eacutelectronique ou drsquohorodatage eacutelectronique qualifieacute au sens du regraveglement eIDAS il
lui est recommandeacute de recourir agrave un service qualifieacute agrave la fois au sens du RGS et du regraveglement
eIDAS
Les prestataires de services de certification eacutelectronique et drsquohorodatage eacutelectronique qualifieacutes
sont encourageacutes agrave poursuivre une double qualification agrave la fois au sens du RGS et du regraveglement
eIDAS
Par ailleurs des travaux de mise agrave jour du RGS sont conduits afin de simplifier lrsquoarticulation de
ces deux cadres regraveglementaires
V3 Les produits certifieacutes conformes (carte agrave puce HSM) au deacutecret 2001-
272 sont-ils qualifieacutes au titre du regraveglement eIDAS
Les mesures de transition preacutevues pour la directive 199993CE sappliqueront agrave ces produits
Ainsi conformeacutement agrave ces mesures de transition les dispositifs seacutecuriseacutes de creacuteation de
signature eacutelectronique conformes aux dispositions de la directive sont consideacutereacutes comme des
dispositifs de creacuteation de signature eacutelectronique qualifieacutes au sens du regraveglement eIDAS
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2324
V4 Quel impact a le regraveglement eIDAS sur le deacutecret 2011-434 relatif agrave
lhorodatage eacutelectronique
En raison du principe de continuiteacute du droit la plupart des dispositions du deacutecret ndeg2011-434 du
20 avril 2011 eacutetant compatibles avec le regraveglement eIDAS le deacutecret ne sera pas abrogeacute
Toutefois les dispositions incompatibles et notamment larticle 6 ne seront plus applicables et
seront automatiquement remplaceacutees par les dispositions du regraveglement les plus adeacutequates
V5 Les services qualifieacutes au titre de lrsquoarrecircteacute du 26 juillet 2004 ou du RGS
sont-ils qualifieacutes au titre du regraveglement eIDAS
Les prestataires de services de confiance qualifieacutes selon lrsquoarrecircteacute du 26 juillet 2004 ou selon le
RGS (prestataires de services de certification eacutelectronique qualifieacutes au niveau 2 eacutetoiles ou 3
eacutetoiles prestataires de services drsquohorodatage eacutelectronique) beacuteneacuteficient de modaliteacutes de
qualification faciliteacutees au titre du regraveglement eIDAS
Les autres services preacutevus par le regraveglement (validation de signature conservation de signature
envoi recommandeacute eacutelectronique) neacutetaient pas couverts par la regraveglementation franccedilaise et il
nexiste donc pas de faciliteacute de qualification particuliegravere les concernant
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
Regraveglement eIDAS ndash Foire aux questions Version Date Critegravere de diffusion Page
11 15012019 PUBLIC 2424
VI Points de contact de lrsquoANSSI
Pour toute question relative au regraveglement eIDAS et agrave sa mise en œuvre de maniegravere geacuteneacuterale le
point de contact agrave privileacutegier est supervision-eIDASssigouvfr
Pour tout projet de qualification (avant deacutepocirct de dossier) le point de contact agrave privileacutegier est
industriesssigouvfr
Pour deacuteposer un dossier de demande de qualification ou toute question relative au traitement
drsquoun dossier de demande de qualification deacuteposeacute le point de contact agrave privileacutegier est
qualificationssigouvfr
top related