Conséquences du règlement eIDAS
Notre spécialiste eIDAS, Wouter van den Brink, s’exprime sur les conséquences du règlement eIDAS pour l’Envoi Recommandé Électronique/Registered Email.
Fournisseur de services de confiance certifié au niveau européen
Établir la confiance dans l’environnement en ligne est essentiel pour le développement économique et social. Un manque de confiance, en particulier en raison d’une apparente absence de sécurité juridique, pousse les consommateurs, les entreprises et les gouvernements à hésiter à effectuer des transactions électroniques et à utiliser de nouveaux services.
Ce règlement eIDAS (RÈGLEMENT (UE) n° 910/2014 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 23 juillet 2014 relatif à l’identification électronique et aux services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE) vise à renforcer la confiance dans les transactions électroniques au sein du marché intérieur. Il établit une base commune pour des interactions électroniques sécurisées entre citoyens, entreprises et gouvernements, contribuant ainsi à améliorer l’efficacité des services en ligne publics et privés, du commerce électronique et des affaires électroniques dans l’Union.
Tous les prestataires de services de confiance doivent se conformer aux exigences de ce règlement, en particulier en matière de sécurité et de fiabilité, afin de garantir la diligence, la transparence et la responsabilité de leurs activités. Cependant, compte tenu du type de services fournis, une distinction doit être faite entre les prestataires de services de confiance qualifiés et non qualifiés en ce qui concerne ces exigences.
Le règlement distingue :
Valeur juridique via un prestataire de services de confiance qualifié
Aangetekend est inscrit sur la liste de confiance de l’UE en tant que prestataire de services de confiance qualifié, offrant un service de livraison recommandée électronique qualifié (Qualified Electronic Registered Delivery Service – qERDS). L’organisation a obtenu le statut de prestataire qualifié conformément au règlement eIDAS, accordé par l’autorité de supervision, l’Agence Télécom. Aangetekend est la seule entité aux Pays-Bas à posséder une inscription qERDS sur la liste de confiance de l’UE.
Recommandé Électronique
« Service de livraison recommandée électronique » : un service permettant de transmettre des données par des moyens électroniques entre des tiers, qui fournit une preuve de la gestion des données transmises, y compris une preuve de l’envoi et de la réception des données, et qui protège les données transmises contre les risques de perte, de vol, de détérioration ou de modifications non autorisées.
Recommandé Électronique Plus
« Service qualifié de livraison recommandée électronique » : un service de livraison recommandée électronique conforme aux exigences établies à l’article 44.
Aangetekend Mailen/Registered Email est un service de livraison recommandée électronique qui suit actuellement un processus de qualification. Quelle est donc la différence ? Cette question peut être répondue en comprenant la distinction entre l’article 43.1 d’une part, et les articles 43.2 et 44 d’autre part, du règlement.
Le règlement eIDAS fait référence aux services de livraison recommandée électronique.
Article 43
Effet juridique d’un service de livraison recommandée électronique
- L’effet juridique et l’admissibilité en tant que preuve dans les procédures judiciaires des données envoyées et reçues via un service de livraison recommandée électronique ne peuvent pas être refusés uniquement au motif que le service est électronique ou ne répond pas aux exigences d’un service qualifié de livraison recommandée électronique.
- Pour les données envoyées et reçues via un service qualifié de livraison recommandée électronique, il existe une présomption d’intégrité des données, de l’envoi de ces données par l’expéditeur identifié, de leur réception par le destinataire identifié, ainsi que de l’exactitude de la date et de l’heure de l’envoi et de la réception, telles qu’indiquées par le service qualifié de livraison recommandée électronique. (Journal Officiel de l’Union Européenne, L 257/106, 28.8.2014)
Article 44
Les services qualifiés de livraison recommandée électronique répondent aux exigences suivantes :
- Ils sont fournis par un ou plusieurs prestataires qualifiés de services de confiance.
- Ils confirment l’identité de l’expéditeur à un niveau de confiance élevé.
- Ils confirment l’identité du destinataire avant de livrer les données.
- L’envoi et la réception des données sont sécurisés par une signature électronique avancée ou un sceau électronique avancé d’un prestataire qualifié de services de confiance, de manière à exclure toute modification non détectable des données.
- L’expéditeur et le destinataire des données sont informés clairement de toute modification des données nécessaire à leur envoi ou réception.
- La date et l’heure d’envoi, de réception et de modification des données sont indiquées par un horodatage électronique qualifié.
Prestataire qualifié de services de confiance
Un prestataire de services de confiance qualifié eIDAS est un prestataire de services de confiance qui fournit un ou plusieurs services de confiance qualifiés et qui a obtenu le statut de qualifié de l’autorité de supervision, aux Pays-Bas l’Agence Télécom.
Supervision des prestataires qualifiés de services de confiance
Les prestataires qualifiés de services de confiance sont soumis, à leurs frais, à un audit tous les 24 mois par un organisme d’évaluation de la conformité. L’objectif de cet audit est de confirmer que les prestataires qualifiés de services de confiance et les services de confiance qualifiés qu’ils fournissent respectent les exigences établies par ce règlement. Les prestataires qualifiés de services de confiance eIDAS doivent soumettre le rapport d’évaluation de conformité à l’autorité de supervision dans un délai de trois jours ouvrables après sa réception.
Confirmation de l’identité de l’expéditeur et du destinataire
Pour rendre l’Envoi Recommandé Électronique/Registered Email conforme à la qualification eIDAS, le service confirmera l’identité de l’expéditeur de manière plus approfondie (niveau de fiabilité « substantiel ») via une procédure et une interface avec un fournisseur d’identité qualifié. Le courrier recommandé ne sera livré qu’après confirmation approfondie de l’identité du destinataire (niveau de fiabilité « faible ») via une procédure et une interface avec un fournisseur d’identité qualifié ou une authentification à deux facteurs (2FA) par SMS.
Niveaux de fiabilité des systèmes d’identification électronique
Le niveau de fiabilité faible correspond à un moyen d’identification électronique dans le cadre d’un système d’identification électronique, qui offre un degré limité de confiance dans l’identité déclarée ou présumée d’une personne. Il est attribué en référence à des spécifications techniques, normes et procédures associées, y compris des contrôles techniques visant à réduire les risques de fraude ou de modification de l’identité. Le niveau de fiabilité substantiel correspond à un moyen d’identification électronique dans le cadre d’un système d’identification électronique, qui offre un degré substantiel de confiance dans l’identité déclarée ou présumée d’une personne. Il est attribué en référence à des spécifications techniques, normes et procédures associées, y compris des contrôles techniques visant à réduire les risques de fraude ou de modification de l’identité.
Sécuriser l’envoi et la réception des données
L’envoi et la réception des données sont sécurisés par un sceau électronique avancé émis par un prestataire de services de confiance qualifié eIDAS. Les sceaux électroniques servent de preuve qu’un document électronique a été émis par une personne morale, en garantissant la certitude de son origine et de son intégrité.
Exigences pour les sceaux électroniques avancés selon eIDAS
Un sceau électronique avancé répond aux exigences suivantes :
- Il est lié de manière unique au créateur du sceau.
- Il permet d’identifier le créateur du sceau.
- Il est généré à l’aide de données de création de sceaux électroniques que le créateur peut utiliser sous son contrôle exclusif et avec un haut niveau de confiance.
- Il est lié aux données auxquelles il se rapporte de telle manière que toute modification ultérieure des données peut être détectée.
Effets juridiques des sceaux électroniques
Pour un sceau électronique qualifié eIDAS, il existe une présomption d’intégrité des données et de l’exactitude de leur origine. Un sceau électronique qualifié basé sur un certificat qualifié délivré dans un État membre est reconnu comme tel dans tous les autres États membres.
Notification des modifications aux données
Si des données sont modifiées « en cours de route », l’expéditeur et le destinataire en sont informés via un signal clair.
Date et heure
La date et l’heure d’envoi, de réception et de modification des données sont indiquées par une estampille électronique qualifiée conforme à eIDAS. Une estampille électronique est un ensemble de données électroniques reliant d’autres données électroniques à un moment précis et prouvant que ces dernières existaient à ce moment-là. Une estampille électronique qualifiée respecte des exigences spécifiques.
Exigences pour les estampilles électroniques qualifiées
Une estampille électronique qualifiée répond aux critères suivants :
Date et heure
L’estampille temporelle associe la date et l’heure aux données de manière à exclure raisonnablement toute modification non détectable des données.
Source de temps précise
L’estampille est basée sur une source de temps précise, liée au Temps Universel Coordonné (UTC).
Signature avancée
L’estampille est signée à l’aide d’une signature électronique avancée, scellée avec un sceau électronique avancé d’un prestataire qualifié de services de confiance, ou à l’aide d’une méthode équivalente.
Effet juridique des estampilles électroniqu
Pour une estampille électronique qualifiée eIDAS, il existe une présomption de l’exactitude de la date et de l’heure indiquées, ainsi que de l’intégrité des données auxquelles elles sont associées. Une estampille électronique qualifiée délivrée dans un État membre est reconnue comme telle dans tous les autres États membres.
Conclusion
En revenant à la distinction entre un « service de livraison recommandée électronique » et un « service qualifié de livraison recommandée électronique eIDAS », le service standard Aangetekend Mailen/Registered Email est un service de livraison électronique conforme à l’exigence d’écrit prévue à l’article 227a du Livre 6 du Code civil néerlandais. Cette exigence peut être résumée comme suit :
1. Le contenu est consultable par les parties.
2. L’authenticité du contenu est garantie.
3. Le moment de la création est déterminé.
4. L’identité des parties est suffisamment établie.
En vertu du règlement eIDAS, l’effet juridique et l’admissibilité des données envoyées et reçues via un service de livraison recommandée électronique comme preuve dans des procédures judiciaires ne peuvent être contestés uniquement parce que le service est électronique ou ne répond pas aux exigences d’un service qualifié de livraison recommandée électronique.
« Avec Aangetekend Mailen, il est possible de prouver qu’un e-mail, avec un contenu déterminé, a été envoyé à un moment donné, vérifié par une tierce partie indépendante, par un expéditeur vérifié, et ensuite récupéré par le destinataire. Aangetekend Mailen fournit une preuve suffisante pour répondre à l’obligation de preuve imposée à l’expéditeur d’un e-mail en cas de contestation par une autre partie » (ICTRecht).
Aangetekend Mailen Plus/Registered Email Plus, après une évaluation positive par audit d’un organisme d’évaluation de la conformité et une approbation par l’autorité de supervision, Agentschap Telecom, obtiendra le statut de service qualifié. Ce service confirmera l’identité de l’expéditeur et du destinataire de manière plus approfondie et garantira davantage l’authenticité des messages grâce à l’utilisation de sceaux qualifiés et de marques temporelles électroniques qualifiées, comme décrit précédemment.
En fonction de l’application, du niveau de sécurité requis et de la facilité d’utilisation, l’utilisateur final pourra bientôt choisir la variante du service qui convient le mieux, tant pour l’expéditeur que pour le destinataire.
