RGS ou eIDAS, à quel règlement vous référer pour votre sécurité numérique ?

Depuis son entrée en application en 2016, le règlement européen eIDAS est venu s’ajouter au cadre réglementaire fixé en France par le RGS sur des sujets comme les services numériques de confiance : Identité numérique, signature électronique, certifications… Comment ces deux règlements cohabitent-ils ?

RGS ou eIDAS, à quel règlement vous référer pour votre sécurité numérique ?

Le Référentiel Général de Sécurité (RGS), instauré en 2010 et revu en 2014, est destiné à protéger les échanges des administrations françaises entre elles, et avec les usagers. Outre un ensemble de bonnes pratiques et de recommandations, le RGS impose aux administrations des solutions qualifiées, reposant sur différents niveaux de sécurité, pour des services tels que la signature électronique, l’authentification, la confidentialité ou encore l’horodatage. Le certificat numérique des personnes physiques est au cœur de ces services.

Le RGS s’applique aux Prestataires de service de confiance (fournisseurs des administrations françaises) et aux fournisseurs de produits de sécurité. Ceux-ci doivent être qualifiés par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

Instaurer un marché unique européen du numérique

Le règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques (eIDAS, pour electronic IDentification And trust Services) est celui de l’interopérabilité des services numériques de confiance entre pays membres de l’Union européenne.

Ce règlement instaure un socle commun européen concernant l’identification électronique, les services de confiance et les documents électroniques. Il établit notamment la signature électronique d’une personne morale (Cachet électronique) et la lettre recommandée électronique qualifiée. Ce règlement eIDAS permet par exemple la reconnaissance d’une même identité électronique au sein de tous les États membres. De quoi faciliter les démarches des citoyens et des entreprises dans toute l’Europe. Cette reconnaissance mutuelle s’applique de la même façon à l’horodatage ou la signature électronique.

Le règlement définit aussi les critères que doivent respecter les prestataires de services de confiance, pour être reconnus dans le cadre européen. Objectif : créer un marché commun de la confiance numérique en imposant les mêmes critères à tous les prestataires souhaitant opérer au niveau européen.

RGS et eIDAS, des textes complémentaires pour votre sécurité

Le RGS en France, ou son équivalent dans les autres pays membres, ne va pas disparaître. Néanmoins, pour certaines plateformes, il est remplacé par l’eIDAS. Par exemple dans le cadre des marchés publics – au niveau national comme européen – les critères de signature électronique tels que définis par règlement eIDAS se sont substitués depuis le 1er octobre 2018 à ceux du RGS. Depuis cette date, les nouveaux certificats numériques émis dans le cadre des marchés publics doivent être qualifiés eIDAS.

En matière de sécurité, les entreprises et administrations françaises devront toujours prendre en compte les recommandations du RGS et/ou de l’ANSSI. Cet organisme est aussi en charge de contrôler les prestataires de services de confiance français, s’assurant qu’ils respectent des critères fixés par l’eIDAS.

Le règlement eIDAS facilite certaines démarches au niveau européen. Pour les entreprises, il permet par exemple :

– D’assurer la valeur légale des signatures électroniques dans l’UE.

– De participer à un appel d’offre à l’échelle européenne.

– Pour les fournisseurs de services de confiance, de faire reconnaître leur certification au niveau européen.

Certificats numériques, signature électronique, cachet serveur, horodatage… découvrez nos solutions certifiées RGS et eIDAS grâce au conseil de nos experts.