eiDAS et services de livraison qualifiés : qu'est-ce que c'est et quelle est leur diffusion ?

Publié: 2022-10-27

Dans cet article, nous nous concentrerons sur un problème majeur et d'actualité, avec quelques mises à jour importantes à l'horizon. Nous commencerons par les questions techniques et législatives, mais celles-ci ont un impact quotidien sur la vie de chacun d'entre nous : à la fois en tant qu'individus et en tant qu'entreprises.

On parle du Service Électronique de Livraison Certifiée Qualifiée, connu sous le nom de SERCQ. Il est donc bon de commencer par le cadre lié à la réglementation en vigueur ; nous y reviendrons dans la section suivante.

Ensuite, nous examinerons les différences entre SERCQ (service de livraison électronique certifié qualifié) et SERC (service de livraison électronique certifié), puis nous nous concentrerons sur le PEC , qui est spécifique à l'écosystème numérique et législatif italien. Ici, notez que de nouveaux développements arrivent dans ce domaine, et tous visent à placer le PEC dans les normes européennes unifiées.

Procédons dans l'ordre.

Nouvelle incitation à l'action

Service qualifié de délivrance de certificats électroniques et eIDAS

Déballons rapidement un autre acronyme qui se cache derrière cette discussion : eIDAS (Electronic IDentification, Authentication and Trust Services) est le règlement européen 910/2014 qui se concentre sur l'identification électronique et les services de confiance pour les transactions électroniques dans le marché intérieur.

eIDAS fournit une base réglementaire commune pour les interactions électroniques sécurisées entre les citoyens, les entreprises et les administrations publiques de l'Union européenne . En outre, eIDAS traite de la sécurité, de la transparence et de l'efficacité des services électroniques et des transactions d'affaires et de commerce électroniques.

Entre autres, ce règlement a introduit le Service de livraison électronique certifié ( SERC ) et le Service de livraison électronique certifié qualifié ( SERCQ ). Ces deux acronymes peuvent être trompeurs et prêter à confusion. En fait, nous devons être très attentifs, car il existe des différences décisives entre les deux systèmes , qui ont des impacts décisifs au niveau juridique et bureaucratique plus généralement.

A cet égard, les articles 43 et 44 nous intéressent le plus. Nous les expliquerons en détail ci-dessous :

  • Article 43 : Les effets juridiques d'un service de livraison électronique certifié
  1. Les données envoyées et reçues au moyen d'un service de livraison électronique certifié ne doivent pas être privées d'effets juridiques et de recevabilité comme preuve dans une procédure judiciaire du seul fait de leur forme électronique ou parce qu'elles ne répondent pas aux exigences du service de livraison électronique certifié qualifié.
  2. Les données envoyées et reçues par un service de livraison électronique certifié qualifié bénéficient de la présomption d'intégrité des données, de l'envoi de ces données par l'expéditeur identifié, de leur réception par le destinataire identifié et de l'exactitude de la date et de l'heure d'envoi et de réception indiquées par le service de livraison électronique certifié qualifié.
  • Article 44 : Exigences pour les services de livraison électronique certifiés qualifiés
  1. Les services de livraison électronique certifiés qualifiés doivent répondre aux exigences suivantes :

a) ils sont fournis par un ou plusieurs prestataires de services de confiance qualifiés;

(b) assurer l'identification de l'expéditeur avec un niveau de sécurité élevé;

(c) s'assurer de l'identification du destinataire avant la transmission des données ;

(d) l'envoi et la réception des données sont sécurisés par une signature électronique avancée ou un cachet électronique avancé d'un prestataire de services de confiance qualifié de manière à exclure la possibilité de modifications indétectables des données ;

(e) toute modification des données nécessaire pour les envoyer ou les recevoir est clairement indiquée à l'expéditeur et au destinataire des données ;

(f) la date et l'heure d'envoi et de réception et toute modification des données sont indiquées par un horodatage électronique qualifié.

Lorsque des données sont transférées entre deux ou plusieurs prestataires de services de confiance qualifiés, les exigences des points a) à f) s'appliquent à tous les prestataires de services de confiance qualifiés.

2. La Commission peut, au moyen d'actes d'exécution, établir les numéros de référence des normes applicables aux processus d'envoi et de réception de données. Le respect des exigences visées au paragraphe 1 est présumé lorsque le processus d'envoi et de réception des données respecte ces normes. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 48, paragraphe 2.

Les différences entre le service de livraison électronique certifié (SERC) et le service de livraison électronique certifié qualifié (SERCQ)

Ici, nous arrivons à un point sensible et important, celui concernant les différences entre SERC et SERCQ . Le règlement eIDAS que nous avons cité juste au-dessus est exhaustif à cet égard. Mais résumons-le ci-dessous, de manière nette et claire.

SERC permet la transmission de données entre des tiers par voie électronique, fournit des preuves concernant le traitement des données transmises, y compris la preuve que les données ont été envoyées et reçues, et protège les données transmises contre le risque de perte, de vol ou de modification non autorisée. Il répond également aux principes requis de "précision de la date et de l'heure d'envoi et de réception". Ce qui manque au SERC , ce sont des garanties, avec des niveaux de sécurité élevés, de l'identification de l'expéditeur, tout d'abord. Et ensuite du destinataire, dans les étapes préalables à la transmission des données. Et ce sont précisément les caractéristiques et les normes qui sont garanties par le Service Électronique de Livraison Certifiée Qualifiée (SERCQ). Dans le cadre de l'Union européenne, les systèmes SERC et SERCQ sont désormais généralisés, à tous les niveaux. L'Italie, à cet égard, est une anomalie.

Actuellement, nous n'avons de PEC qu'en Italie. La législation italienne permet cependant déjà l'utilisation des services du SERCQ : traduits, ce n'est qu'une question de temps avant qu'ils ne se répandent largement ici aussi. S'y préparer à l'avance peut constituer un avantage concurrentiel important.

Faites également attention à un autre aspect. Des développements importants se profilent à l'horizon uniquement du côté du PEC, qui pourrait bientôt s'adapter aux normes du SERCQ. Nous en parlerons dans la section suivante.

L'avenir du PEC pointe vers le SERCQ

PEC (Certified Electronic Mail) est quelque chose que nous connaissons tous. C'est désormais un outil du quotidien pour une grande partie des professionnels et autres. Selon les dernières données disponibles, il existe plus de 14 millions d'adresses PEC actives ; alors qu'en 2016, ils étaient entre 7 et 8 millions.

En simplifiant, on peut dire que le PEC correspond à l'ancienne lettre recommandée avec accusé de réception ; et, comme nous l'avons souligné plus haut, c'est une particularité entièrement italienne qui, cependant, s'adapte aux normes européennes. Mais procédons dans l'ordre.

Ce qui est certain, c'est que PEC peut être considéré comme un service de livraison électronique certifié (SERC), car il répond aux exigences énoncées à l'article 43 du règlement eIDAS que nous avons cité ci-dessus. Attention toutefois : il ne peut être considéré comme un Service de Livraison Électronique Certifié Qualifié (SERCQ).

La distinction, en fait, est ce que nous avons déjà isolé juste au-dessus : les garanties sur l'expéditeur et le destinataire. En particulier, à l'heure actuelle, aucune vérification certaine de l'identité du demandeur de la boîte PEC n'est prévue. De plus, l'opérateur n'est pas non plus tenu de se soumettre à des audits de conformité obligatoires par des organismes désignés. Voici pourquoi les spams et certaines arnaques arrivent même parfois dans la boîte de réception des boîtes aux lettres certifiées : PEC a des procédures plus simplifiées (donc moins sécurisées) pour identifier les demandeurs (plus légères et plus contournables, par exemple, que celles prévues pour SPID).

La bonne nouvelle, cependant, est que PEC ne reste pas immobile . Son évolution est discutée depuis un certain temps maintenant, et le chemin semble déjà bien balisé vers son inclusion parmi les Services de Livraison Électronique Certifiés Qualifiés.

Il y a deux acronymes à retenir sur ce chemin : ETSI et REM . ETSI est l'Institut européen des normes de télécommunications. Il s'agit des normes dédiées à l'interopérabilité à l'échelle de l'Union européenne des systèmes de signature numérique et des systèmes REM. Et voici notre deuxième acronyme : Courrier Électronique Recommandé. Les protocoles REM incluent déjà le PEC italien.

Sans se perdre dans les détails techniques, il suffit de dire qu'un groupe de travail a été créé en 2019 entre l'Agence Italie numérique, les opérateurs PEC, Uninfo et Assocertificatori qui finalise les règles techniques nécessaires pour que PEC « se classe » afin qu'il puisse être conforme aux normes européennes requises pour le Service de Livraison Électronique Certifié Qualifié (SERCQ).

Ceci afin d'éviter la création d'outils alternatifs. En fait, supplanter un outil aussi largement utilisé et déployé que le CEM serait lent, très inefficace et certainement non rentable.

Au-delà de la conformité – les opportunités d'une numérisation mature

Quand on parle de digitalisation, d'identité numérique, d'authentification, de systèmes de certification, il ne faut jamais l'oublier : ce ne sont pas que des accomplissements, mais des opportunités à saisir . Tout d'abord, il y a les grands avantages en termes de sécurité, de transparence, de commodité et d'efficacité accrue .

Mais il y a un mot-clé supplémentaire qu'il faut toujours garder à l'esprit : intégration . C'est un mot-clé absolument déterminant lorsque l'on passe du domaine des particuliers à celui des entreprises.

Bref, une vraie révolution, qui se transforme en une spirale d'optimisation continue !