COM(2021) 281 final
du 03/06/2021
Contrôle de subsidiarité (article 88-6 de la Constitution)
Le règlement (UE) n° 910/2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (dit eIDAS), qui s'applique au secteur public, a montré ses limites. En effet, il ne permet que des connexions très limitées aux prestataires privés et manque de souplesse pour s'adapter à de nouveaux besoins (certificats médicaux, qualifications professionnelles notamment). Au surplus, la moitié des États membres n'a notifié aucun schéma d'identification électronique. Par ailleurs, si l'évaluation conduite par la Commission a montré que le niveau de confiance atteint est satisfaisant, il apparaît en revanche que l'harmonisation est loin d'être complète.
Annoncé dans la rubrique Transformation numérique de la de la Commission du 13 novembre 2020 intitulée « Nouvel agenda du consommateur visant à renforcer la résilience des consommateurs en vue d'une reprise durable », le texte proposé :
- complète la liste des services de confiance par trois nouveaux services (services d'archivage électronique, registres électroniques, - très utilisés par les services bancaires et financiers -, gestion des dispositifs de certification de signatures et de cachets électroniques à distance) ;
- renforce la fiabilité des certificats qualifiés d'authentification de site internet ;
- met en place une approche harmonisée (architecture technique et cadre de référence communs, normes communes) afin d'éviter la poursuite de la fragmentation actuelle.
Le processus visant à soutenir cette approche commune (boîte à outils) sera précisé dans une recommandation de la Commission.
La proposition de règlement prévoit ainsi la délivrance, dans chaque État membre, d'un portefeuille européen d'identité numérique, au titre d'un schéma d'identification électronique notifié, conçu selon des normes techniques communes - ce qui permettra des réconciliations d'identifications - et ayant fait l'objet d'une évaluation de la conformité et d'une certification au sein du cadre européen de cybersécurité.
Les personnes physiques et morales pourront ainsi utiliser en toute sécurité des données d'identification personnelles et des attestations électroniques d'attributs pour s'identifier en ligne (dans le respect des modalités prévues par le RGPD). Chaque État membre devra notifier au moins un schéma.
Plus particulièrement, le nouveau service de confiance qualifié pour la gestion des dispositifs de création de signatures et de cachets électroniques à distance permettrait de sécuriser les situations dans lesquelles l'identification est requise par la loi (santé, lutte contre le blanchiment, procédure judiciaire etc.). Il permettrait également de sécuriser l'utilisation de services européens nécessitant une authentification forte des utilisateurs.
Ce texte doit améliorer les conditions de fourniture et d'utilisation de services de confiance qui revêtent une importance croissante notamment pour le commerce en ligne, en cohérence avec la proposition de législation sur les marchés numériques (dite DMA)1(*). Il prévoit également une articulation avec la proposition de directive sur la cybersécurité, dite SRI 2.
Fondée sur l'article 114 du TFUE, cette démarche est de nature à faciliter la libre circulation au sein de marché intérieur et l'accès à des services publics et privés en ligne à l'échelle de l'UE. Elle permet en outre de construire des solutions européennes hautement sécurisées.
Plusieurs actes d'exécution sont prévus, sur des points techniques (spécifications techniques et opérationnelles, normes de référence) et opérationnels (procédures de mise en oeuvre).
Le groupe de travail sur la subsidiarité a donc décidé de ne pas intervenir sur ce texte au titre de l'article 88-6 de la Constitution.
* 1 Le service d'identification est en effet un service accessoire (art 2 du DMA) et le texte interdit notamment aux contrôleurs d'accès d'exiger des entreprises utilisatrices qu'elles utilisent, proposent ou interagissent avec un service d'identification du contrôleur d'accès (art. 6§1, f).