Ce réglement abroge la directive de 1999 sur les signatures électroniques tout en s'incrivant dans la continuité de celle-ci. S'agissant d'un règlement, il est immédiatement applicable dans tous les états membres.
Ce règlement apporte plusieurs heureuses nouveautés:
- Il met en avant l'identification, et institue la responsabilité des états à cet égard... hélas limité au cas d'une transaction transfrontalière;
- Il distingue clairement tous les acteurs et les objets: services d'identification, services de confiance, services de conservation, services de validation, horodatage, signatures électroniques, cachets électroniques, documents et recommandés électroniques, authentification des sites, etc.
- Il structure les organismes de contrôle de l'ensemble;
- Il instaure une procédure de notification des schémas d'identification et des listes de prestataires accrédités comme 'qualifiés', cette accréditation étant nécessaire à la reconnaissance mutuelle
Par contre, le réglement définit trois niveaux de 'fiabilité': faible, substantiel, et élevé... ce qui ruine toute notion de preuve au sens du Droit pour la remplacer par une mesure du risque...
Lorsque je traite électroniquement je n'ai donc pas de garantie de défense de mes droits et je dois mesurer le risque que je prends... d'autant plus que le règlement renvoie tout dédommagement potentiel aux règles nationales en matière de responsabilité. Seule harmonisation apportée: la charge de la preuve qui incombe au client victime d'un prestataire non qualifié est retournée à charge du prestataire si celui-ci est qualifié. Dans tous les cas, le prestataire peut fixer les limites qu'il souhaite à sa responsabilité: il n'a que l'obligation de les communiquer clairement.
Les années suivantes (2015,2016...) la Commission a précisé dans des actes d'exécution les normes et procédures applicables, à savoir les spécifications PAdES, XAdES, CAdES de l'ETSI concernant PDF, XML et CMS Advanced Electronic Signatures). La liste de ces textes se trouve référencée ci dessus (2ieme lien).
La Commission pousse l'exécution jusqu'à publier une librairie logicielle open-source, la librairie DSS sous licence LGPL dont elle finance le development et la maintenance (cf. DSS, 3ième lien ci-dessus).
En résumé, un grand pas dans le bon sens, mais encore insuffisant, et dont les actes d'application ne font que consolider les émetteurs de certificats cryptographiques et opérateurs de PKI en place, ainsi que les prestataires de services centralisés de signature électronique, toutes solutions non satisfaisantes en terme de Droit.
Note: ce réglement est dénommé eIDAS - officiellement electronic Identification and Trust Services = eID + eTS; mais d'où vient alors la terminaison 'AS'? historiquement héritée de la directive de 1999 et de la Task Force qui a suivi sous le nom eID Authentication and Signature