Table of Contents

    Le 23 juillet 2014, l'Union européenne a adopté le règlement eIDAS relatif à l'identification électronique et aux services de confiance.  Depuis le 1er juillet 2016, ce règlement remplace la directive 1999/93/CE sur la signature électronique et les prestataires de service de certification. 

    Les objectifs principaux du règlement eIDAS sont de trois types :

    • lever les obstacles au fonctionnement du marché intérieur, tant juridique que technique, en matière de formalités administratives transfrontières ;
    • susciter une confiance accrue dans les transactions électroniques ;
    • renforcer la sécurité juridique au profit des prestataires de services de confiance et de leurs utilisateurs.

    En outre, derrière ces trois objectifs pointe la volonté de stimuler l’innovation et le développement de l’offre de services de confiance et d’identification électronique.

    En Belgique, cette volonté s’est traduite par l’adoption de la loi du 21 juillet 2016 dite loi « eIDAS » et archivage électronique qui met en œuvre le règlement et le complète en consacrant des dispositions visant à créer un cadre juridique complet et cohérent pour l’archivage électronique. Ainsi le rôle de contrôle a été confié au SPF Economie qui est chargé de la qualification et de la supervision des prestataires de confiance établis en Belgique.

    Un résumé du Digital Act (PDF, 67.54 Ko)

    Questions fréquemment posées sur les services de confiance (PDF, 6.03 Mo)

    En savoir plus sur les aspects juridiques et les enjeux de la signature électronique et autres services de confiance.

    Utilisation des notions de « signature électronique » et autres « services de confiance » ainsi que de « support durable Guide à destination des rédacteurs de textes législatifs et réglementaires 

    Services de confiance

    Outre la signature électronique, le règlement eIDAS et la loi eIDAS et archivage électronique couvrent d’autres services de confiance, tels que le cachet électronique, l’horodatage, le service d’envoi recommandé électronique, l’authentification de site internet ainsi que l’archivage électronique.

    Un service de confiance est un service électronique normalement fourni contre rémunération qui consiste en :

    • la création, en la vérification et en la validation de signatures électroniques, de cachets électroniques ou d’horodatages électroniques, de services d’envoi recommandé électronique et de certificats relatifs à ces services ; ou
    • la création, en la vérification et en la validation de certificats pour l’authentification de site internet ; ou
    • la conservation de signatures électroniques, de cachets électroniques ou des certificats relatifs à ces services.(art. 3 §16 du règlement eIDAS).

    Signature électronique

    Qu’est- ce qu’une signature électronique ?

    Selon le règlement eIDAS, il s’agit de données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer. (art. 3 §10 du règlement).

    Cette définition englobe tous les types de signatures électroniques, comme les signatures manuscrites scannées, les signatures biométriques (par exemple, la reconnaissance vocale, la reconnaissance de l’iris de l’œil, la reconnaissance des empreintes digitales) ou encore les simples codes des cartes bancaires.

    Lorsqu’elle satisfait à certaines exigences, une signature électronique peut être « avancée » ou « qualifiée ».

    Pour être avancée, elle doit

    • être liée au signataire de manière univoque ;
    • permettre l’identification du signataire ;
    • être créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif et
    • être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectée. (art. 26 du règlement eIDAS).

    Elle sera qualifiée si en plus d’être avancée, elle est créée à l’aide d’un dispositif de création de signature électronique qualifié, et repose sur un certificat qualifié de signature électronique (art. 3 §12 du règlement eIDAS).

    Le règlement stipule bien qu’une signature électronique (quels que soient la technologie employée et le niveau) ne peut être refusée comme preuve en justice au seul motif qu’elle est électronique ou qu’elle n’est pas qualifiée. Néanmoins, seule la signature dite qualifiée est assimilée à une signature manuscrite (art. 25 du règlement eIDAS).

    Cachet électronique

    Il existe trois types de cachet électronique :

    • Le cachet électronique « de base » : données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique pour garantir l’origine et l’intégrité de ces dernières. » (art. 3 §25 du règlement eIDAS).
    • Le cachet électronique « avancé » : il doit être lié au créateur du cachet de manière univoque ; permettre d’identifier le créateur du cachet; avoir été créé à l’aide de données de création de cachet électronique que le créateur du cachet peut, avec un niveau de confiance élevé, utiliser sous son contrôle pour créer un cachet électronique ; et être lié aux données auxquelles il est associé de telle sorte que toute modification ultérieure des données soit détectable. (art. 36 du règlement eIDAS).
    • Le cachet électronique « qualifié » : il s’agit d’un cachet électronique avancé qui est créé à l’aide d’un dispositif de création de cachet électronique qualifié et qui repose sur un certificat qualifié de cachet électronique (art. 3 §27 du règlement eIDAS).

    Même si un cachet électronique ne peut être refusé comme preuve en justice sur le seul motif d’être électronique, seul le cachet électronique qualifié bénéficie d’une présomption d’intégrité des données et d’exactitude de l’origine des données auxquelles il est lié. (art. 35 du règlement eIDAS).

    Horodatage

    Par horodatage électronique on entend : « des données sous forme électronique qui associent d’autres données sous forme électronique à un instant particulier et établissent la preuve que ces dernières données existaient à cet instant » (art. 3 §33 du règlement eIDAS).

    L’horodatage électronique permet de :

    • dater précisément un document ;
    • certifier qu’à un moment précis une donnée existait ou qu’une opération a été réalisée par voie électronique (signature électronique, envoi recommandé électronique.

    L’horodatage électronique est dit qualifié s’il satisfait aux exigences suivantes :

    • il lie la date et l’heure aux données de manière à raisonnablement exclure la possibilité de modification indétectable des données ;
    • il est fondé sur une horloge exacte liée au temps universel coordonné ; 
    • il est signé au moyen d’une signature électronique avancée ou cacheté au moyen d’un cachet électronique avancé du prestataire de services de confiance qualifié, ou par une méthode équivalente (art. 42 du règlement eIDAS).

    Un horodatage électronique qualifié bénéficie d’une présomption d’exactitude de la date et de l’heure qu’il indique et d’intégrité des données auxquelles se rapportent cette date et cette heure (art. 41 du règlement eIDAS).

    Service d’envoi recommandé électronique

    « Un service d’envoi recommandé électronique est un service qui permet de transmettre des données entre des tiers par voie électronique, qui fournit des preuves concernant le traitement des données transmises, y compris la preuve de leur envoi et de leur réception, et qui protège les données transmises contre les risques de perte, de vol, d’altération ou de toute modification non autorisée » (art. 3 §36du règlement eIDAS).

    Les données envoyées et reçues au moyen d’un service d’envoi recommandé électronique qualifié bénéficient d’une présomption quant à

    • l’intégrité des données ;
    • l’envoi de ces données par l’expéditeur identifié ;
    • leur réception par le destinataire identifié ; 
    • l’exactitude de la date et de l’heure de l’envoi et de la réception indiquées par le service d’envoi recommandé électronique qualifié (art. 43 du règlement eIDAS).

    Pour bénéficier du statut qualifié, le service d’envoi recommandé électronique doit satisfaire aux exigences suivantes :

    • il est  fourni par un ou plusieurs prestataires de services de confiance qualifiés ;
    • il garantit l’identification de l’expéditeur et de destinataire avec un degré de confiance élevé ;
    • l’envoi et la réception de données sont sécurisés par une signature électronique avancée ou par un cachet électronique avancé d’un prestataire de services de confiance qualifié, de manière à exclure toute possibilité de modification indétectable des données ;
    • toute modification des données nécessaire pour l’envoi ou la réception de celles-ci est clairement signalée à l’expéditeur et au destinataire des données ;
    • la date et l’heure d’envoi, de réception et toute modification des données sont indiquées par un horodatage électronique qualifié. Les données envoyées et reçues au moyen d’un service d’envoi recommandé électronique qualifié bénéficient d’une présomption quant à
      • l’intégrité des données ;
      • l’envoi de ces données par l’expéditeur identifié ;
      • leur réception par le destinataire identifié ;
      • l’exactitude de la date et de l’heure de l’envoi et de la réception indiquées par le service d’envoi recommandé électronique qualifié (art. 44 du règlement eIDAS).

    Authentification de site internet

    Les services d’authentification de site internet sont un moyen permettant au visiteur d’un site internet de s’assurer que celui-ci est tenu par une entité véritable et légitime. Ces services contribuent à instaurer un climat de confiance pour la réalisation de transactions commerciales en ligne.

    Afin que l’authentification de site internet s’affirme comme un moyen de renforcer la confiance, le règlement eIDAS définit le certificat d’authentification de site internet comme une attestation qui permet d’authentifier un site internet et associe celui-ci à la personne physique ou morale à laquelle le certificat est délivré. Pour obtenir le statut qualifié, le certificat devra satisfaire à toute une série d’exigences reprises dans le règlement eIDAS (art. 3 §38 et annexe IV du règlement eIDAS).

    Archivage électronique

    Contrairement aux autres services électroniques, l’archivage électronique n’est pas défini dans le règlement européen eIDAS. C’est dans la loi belge eIDAS et archivage électronique du 21 juillet 2016 mettant en œuvre le règlement eIDAS que l’on retrouve la définition de l’archivage électronique et la notion de service qualifié d’archivage électronique. Pour rappel, elle insère les nouvelles dispositions dans le Code de droit économique (CDE).

    « Un service d’archivage électronique est un service de confiance supplémentaire à ceux visés par le règlement eIDAS, qui consiste en la conservation de données électroniques ou la numérisation de documents papiers, et qui est fourni par un prestataire de services de confiance au sens du règlement eIDAS ou qui est exploité pour son propre compte par un organisme du secteur public ou une personne physique ou morale. » (art. I.18, 17° du CDE).

    La loi distingue donc deux types d’archivage électronique :

    • l’archivage réalisé par un prestataire de service et
    • l’archivage réalisé en « interne », c’est-à-dire une personne physique ou morale qui exploite pour son propre compte un service d'archivage électronique.

    Les deux types d’archivage pourront obtenir le statut qualifié et de ce fait bénéficier d’une présomption d’intégrité et de conformité. Une copie numérique effectuée à partir d'un document sur support papier est présumée en être une copie fidèle et durable lorsqu'elle est réalisée et conservée au moyen d'un service d'archivage électronique qualifié (art. XII.25, §6 du CDE).

    En application de l’article XII.28, §3 du CDE, l’arrêté royal du 29 mars 2019 fixant les numéros de référence des normes applicables au service d’archivage électronique qualifié (ci-après l’AR Normes) est entré en vigueur le 16 avril 2019. 

    Lire plus sur l’AR Normes 

    Un groupe de travail composé de parties intéressées et de parties prenantes, avec le soutien de l'autorité de surveillance des prestataires de services de confiance du SPF Economie, a développé le schéma de certification de l'archivage électronique.

    Ce schéma vise à rassembler en détail toutes les exigences légales applicables aux prestataires de services d'archivage électronique, qui étaient auparavant dispersées dans diverses normes internationales.

    Le schéma permet à l'utilisateur de mettre en œuvre de manière pratique et efficace des services d'archivage électronique qualifiés pour la conservation de documents et d'informations électroniques sous forme électronique, conformément aux exigences de la législation belge.

    Consulter le schéma de certification pour l'archivage électronique (PDF, 976.27 Ko)

    Sécurité et contrôle

    Les prestataires délivrant des services de confiance sont tenus de mettre en place des moyens technologiques et organisationnels répondant à des exigences régulièrement revues à la hausse.

    De plus, les prestataires de service de confiance bénéficiant du statut de qualifiés font l’objet d’un contrôle a priori mais également a posteriori dans le cadre d’un audit périodique (tous les deux ans) ou d’un éventuel audit extraordinaire sur demande de l’organe de contrôle.

    La loi du 21 juillet 2016 a désigné officiellement comme organe de contrôle le SPF Economie afin de contrôler les prestataires de services de confiance établis en Belgique, y compris ceux de services d’archivage électronique. (art. I.18, 16° du CDE).

    Signer avec une signature électronique qualifiée

    Vous trouvez plus d’explications à ce sujet à la page « Comment puis-je signer un document électroniquement ».

    Les prestataires de services de confiance qualifiés en Belgique

    Pour la première fois, une entreprise offrant des services d'archivage de documents électroniques a obtenu le statut de « qualifié » et a été placée sur la liste de confiance européenne par la Belgique.

    Il s’agit de la toute première qualification d’un prestataire de service de confiance dans ce domaine en Europe. Cette entité a été ajoutée à la liste des prestataires de services de confiance qualifiés en Belgique. 

    La procédure pour être qualifié en Belgique pour un ou plusieurs services de confiance électroniques et être ainsi listé sur la liste de confiance belge est un processus en plusieurs étapes successives.

    Le contrôle par l’autorité des prestataires de services de confiance candidats à la qualification se base notamment sur un rapport d’évaluation de la conformité effectué par un organisme accrédité comme compétent pour effectuer l’évaluation de la conformité au règlement eIDAS du service concerné par un audit. Un premier organisme pour certifier l’archivage électronique en Belgique a été accrédité par BELAC (l'Organisme belge d'Accréditation) en avril 2023. 

    Les accréditations dans ce domaine sont disponibles via Organismes de certification pour les produits (PROD) | SPF Economie (fgov.be) (service « IT Products and services »).

    Les prestataires de services qualifiés établis en Belgique et les services de confiance offerts sont repris dans la liste publiée par la Commission Européenne (« EU List of eIDAS Trusted Lists »).

    Le tableau ci-dessous donne un aperçu des prestataires de services de confiance établis en Belgique.

    Tableau des prestataires qualifiés établis en Belgique

    Les prestataires de services de confiance qualifiés en Europe

    A l’aide de la liste combinée publiée par la Commission européenne vous pouvez retrouver tous les prestataires de services de confiance en Europe. Pour faire des recherches dans cette liste, vous avez la possibilité de sélectionner un ou plusieurs types de service de confiance électronique et/ou un ou plusieurs pays de l’Europe. Vous pouvez également faire des recherches sur base du nom (partiel) d’un prestataire de service de confiance.

    Documentation

    Dernière mise à jour
    20 septembre 2024

    Dernières actualités pour ce thème