Le règlement e-IDAS ?

Le 11 mai 2016, la salle était comble pour assister au petit déjeuner organisé par le Cabinet juridique Bensoussan spécialisé dans les technologies.
Manifestement, le sujet du règlement e-IDAS intéressait. Il faut dire que ce règlement européen entrera en vigueur dès le 1er juill. 2016 et qu’il devrait impacter considérablement les affaires conclues par voie numérique. La confiance numérique (sujet que nous avions déjà rencontré ici) était au coeur des échanges.

e-IDAS, quézaco ? Que retenir de cette rencontre ? Quelles contributions d’IGE après ce débat d’experts ?

e-IDAS ?

Retour sur le déroulé du petit déjeuner avant d’en savoir plus sur le règlement e-IDAS.

L’équipe des intervenants

C’est pas moins de 4 experts qui se sont succédés pour tenter de faire le point de ce qu’ils savaient et avaient compris de ce règlement. Le premier a fait une présentation générale et à développer certains points clés. Puis, il a cédé la parole à un praticien qui met en place des systèmes d’information qui devront respecter e-IDAS. La 3e intervenante représentait une société – qui existe depuis 17 ans – chargée de certifier les tiers de confiance numérique. Elle s’est exprimée sur ce qu’elle pensait de ce nouveau règlement. Enfin la dernière intervenante est revenue sur la notion de tiers de confiance.

Les nombreuses questions de la salle mais aussi interrogations des intervenants ont amené un représentant de l’Anssi à intervenir pour donner quelques compléments bienvenus.

Le règlement e-IDAS

D’application directe !

A la différence des directives qui nécessitent d’être transposées en droit national, un règlement est d’application directe sur le territoire de l’union européen. Au 1er juillet 2016, e-IDAS devra donc être appliqué.

Quel est l’objet d’e-IDAS ?

« Le Règlement e-IDAS n° 910/2014 du 23 juillet 2014 établit un cadre transnational et intersectoriel ayant vocation à permettre la sécurité des transactions électroniques au travers de l’identification, l’authentification et les services de confiance électronique. » http://www.ssi.gouv.fr/administration/reglementation/administration-electronique/le-reglement-n-9102014-du-parlement-europeen-et-du-conseil-sur-lidentification-electronique-et-les-services-de-confiance-pour-les-transactions-electroniques-au-sein-du-marche-interieur/

« Il établit ainsi un cadre juridique clair plus large afin de prévenir les difficultés liées à l’interopérabilité des différents systèmes des États membres et de promouvoir le développement d’un marché de la confiance numérique. » (ibid.) Tout est-il si clair ?

Retour sur cette rencontre

Le directeur du pôle Droit numérique du cabinet juridique a lancé une proposition à la salle de constituer un groupe de réflexion éphémère sur e-IDAS. La preuve que tout est loin d’être limpide. Hasard du calendrier, e-IDAS, il en fut aussi question le soir à l’occasion d’un http://www.meetup.com/fr-FR/Legal-Innovation-Paris/events/230167104/. Peut-être une occasion de créer quelques ponts entre juristes (& non juristes) d’obédiences différentes pour « dé-siloter » le savoir sur e-Idas et laisser l’intelligence collective œuvrer ?

Les interventions, comme à chaque petit déjeuner auquel nous avons assisté, étaient d’une grande qualité & très intéressantes. Ce petit déjeuner a probablement été aussi utile à l’assistance pour y voir clair qu’aux intervenants ! En effet, ce n’est que grâce à l’intervention impromptue d’un membre de l’Anssi que certaines interrogations des experts, ont pu (en partie) être éclaircies. Il est rare de constater que des experts puissent se monter humbles et reconnaître certaines limites dans le champ même de leur expertise. C’est une belle leçon d’humanité mais aussi … un peu inquiétant.

Le sujet est d’autant plus complexe qu’il renvoie à de la technique réseaux à laquelle peu de citoyens s’intéressent et encore moins maîtrisent vraiment.
Trois pistes pour améliorer la compréhension sur e-IDAS.

Suggestions pour améliorer la compréhension d’e-IDAS

  • Donner quelques éléments techniques liés à l’architecture d’Internet pour contextualiser l’intérêt (ou pas) d’e-IDAS ? [Nous recommandons la vidéo de Benjamin (Soontag) ou celle d’Aeris sur SSL/TLS.]
  • Traiter FranceConnect comme un cas d’étude qui serait à documenter pour pouvoir s’en inspirer quand il faut implémenter d’autres services numériques nécessitant de respecter e-Idas & interagissant avec le RGS (Référentiel général de sécurité) ?
  • Lister sous forme de faq les questions les plus importantes tel que « comment e-IDAS s’intègre-t-il à la réglementation national du RGS ? »

Le 17/05/2016
Cyril Desmidt

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *