Dans sa stratégie d’établir un marché numérique européen, avec pour objectif de contribuer à l’achèvement du marché intérieur, l’Union européenne s’est dotée en juillet 2014 d’un règlement relatif à l’identification électronique et aux services de confiance (règlement (UE) n° 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du Marché intérieur et abrogeant la directive 1999/93 (CE)). Ce règlement, qui est entré en vigueur le 17 septembre 2014, sera, à l’exception de certaines de ses dispositions, applicable à partir du 1er juillet 2016 (article 52).
La finalité recherchée par le règlement est de créer un cadre juridique pour l’identification et l’authentification électroniques ainsi que pour les services de confiance dans l’Union (qui comprennent la signature électronique, le cachet électronique, le recommandé électronique, l’horodatage électronique et les documents électroniques – voir l’article 3 du règlement pour les définitions).
Comme mentionné dans le deuxième considérant du règlement, celui-ci vise ainsi à susciter une confiance accrue dans les transactions électroniques au sein du marché intérieur en fournissant un socle commun pour des interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques et en accroissant ainsi l’efficacité des services en ligne publics et privés, ainsi que de l’activité économique et du commerce électronique dans l’Union.
L’harmonisation proposée par le règlement n°910/2014 repose sur des prestataires qualifiés et des services de confiance qualifiés (soit ceux répondant aux exigences du règlement précité, article 3, pt 17). Ces services qualifiés seront interopérables et devront faire l’objet d’une reconnaissance mutuelle entre les Etats membres. En outre, ces services bénéficieront d’une présomption de fiabilité (alors que les services ne pouvant être déclarés « qualifiés » devront être prouvés par la personne qui s’en prévaut).
Une des grandes conséquences de cette réglementation devrait dès lors être de, notamment, permettre aux PME, choisissant de se conformer aux exigences dudit règlement, de développer leurs activités commerciales au sein du marché intérieur tout en sachant qu’elles bénéficieront d’un cadre légal pour l’exécution de leurs prestations numériques mais aussi pour la résolution d’éventuels litiges.
Les acteurs du marché souhaitant fournir ou disposer de produits ou services de confiance au sein du marché intérieur devront en effet vérifier la conformité de leurs produits ou services avec le règlement n° 910/2014 mais aussi avec les actes d’exécution et délégués déjà adoptés ou en cours d’élaboration (voir notamment les règlements et décision d’exécution adoptés entre mai et novembre 2015 : règlement d’exécution n°2015/806 de la Commission, du 22 mai 2015, établissant les spécifications relatives à la forme du label de confiance de l'Union pour les services de confiance qualifiés; règlements et décision d’exécution (UE) n°2015/1501, 2015/1502 et 2015/1505 de la Commission, du 8 septembre 2015, sur le cadre d'interopérabilité visé à l'article 12, paragraphe 8, du règlement (UE) n° 910/2014 pour le premier,fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique visés à l'article 8, paragraphe 3, du règlement (UE) no 910/2014 pour le deuxième et établissant les spécifications techniques et les formats relatifs aux listes de confiance visées à l'article 22, paragraphe 5, du règlement (UE) no 910/2014 pour le troisième ; décision d'exécution (UE) 2015/1984 de la Commission, du 3 novembre 2015, définissant les circonstances, les formats et les procédures pour les notifications visés à l'article 9, paragraphe 5, du règlement (UE) n° 910/2014).
Ainsi, aux termes du premier règlement d’exécution précité, le label de l'Union pour les services de confiance qualifiés se présente comme suit (en couleurs ou en noir et blanc) :
Notons également que ces récents actes d’exécution renvoient généralement à des normes techniques au contenu normatif fort. Tel est notamment le cas de la série d’actes d’exécution du 8 septembre 2015, précités, concernant, premièrement, l’interopérabilité entre les Etats membres, préalable indispensable à une reconnaissance mutuelle effective des services de confiance. Deuxièmement, concernant l’élaboration des niveaux de garantie (faible, substantiel, élevé) des moyens d’identification électronique ou encore, troisièmement, concernant l’établissement des listes de confiance indiquant le statut des prestataires de service (qualifiés). Ces normes sont élaborées par des organismes de normalisation européens (CEN, ETSI, etc.).
Un trait marquant du règlement n°910/2014 tient d’ailleurs dans l’articulation de ses effets obligatoires : il n’impose pas aux Etats membres ou aux prestataires une obligation de fournir ou d’utiliser des services de confiance, qualifiés ou non (voir considérants 13 et 21), mais si ceux-ci décident de les notifier ou de les utiliser, ils devront se conformer aux exigences prévues par le règlement lui-même et par les normes auxquelles il renvoie.
L’objectif de la réglementation évoquée est donc triple : supprimer les obstacles au bon fonctionnement du marché numérique européen (notons que le législateur européen ne s’est pas limité à la seule question de la signature électronique mais a au contraire traité d’une variété de services de confiance plus large, et ce même si l’archivage électronique semble être le « grand oublié » du règlement n°910/2014), renforcer la confiance dans les transactions électroniques et améliorer la sécurité juridique lors de l’utilisation de services de confiance ou d’identification électronique dans le marché intérieur européen.
Laura Marcus, « La sécurisation des transactions électroniques : vers un marché numérique européen », Actualité du 9 décembre 2015, www.ceje.ch