L’ordonnance n°2017-1426 du 4 octobre 2017 relative à l’identification électronique et aux services de confiance pour les transactions électroniques a été prise en application de l’article 86 de la loi n°2016-1321 du 7 octobre 2016 pour une République numérique.

L’article 86 I de cette loi a introduit dans le Code des postes et des communications électroniques (CPCE) un nouvel article L.136 (que l’ordonnance renumérote en article L.102) prévoyant :

• d’une part, que la preuve de l’identité aux fins d’accéder à un service de communication au public en ligne peut être apportée par un moyen d’identification électronique ;
• d’autre part, qu’un moyen d’identification électronique est présumé fiable jusqu’à preuve du contraire lorsqu’il répond aux prescriptions d’un cahier des charges établi par l’Autorité nationale de sécurité des systèmes d’information (ANSSI) et fixé par décret en Conseil d’Etat ;
• enfin, que l’ANSSI certifie la conformité d’un moyen d’identification électronique à ce cahier des charges.

Facilitation du processus d’identification électronique :

L’ordonnance introduit au nouvel article L.102 un mécanisme de certification permettant aux fournisseurs de moyens d’identification électronique d’avoir une référence fiable pour attester de la qualité des outils offerts. Le rapport au président de la République souligne que ce système de certification apparaît, par la confiance qu’il engendre, comme le plus susceptible d’encourager le développement et l’usage de moyens d’identification électroniques autres que les moyens d’identification électronique présumés fiables. Selon le même rapport, ce système est également bénéfique pour les utilisateurs qui auront des moyens dont ils pourront connaître plus précisément les caractéristiques et qui seront revus par un tiers compétent dans le domaine. Ainsi, en accroissant la confiance des utilisateurs dans le moyen permettant leur identification électronique, l’ordonnance permet d’encourager et de faciliter l’utilisation des mécanismes d’identification électronique.

Adaptation du cadre juridique existant au règlement 910/2014 du 23 juillet 2014 dit « eIDAS » :

L’ordonnance introduit également au nouvel article L.102 une définition des notions d’ »identification électronique » et de « moyen d’identification électronique », ces dernières n’étant pas définies dans le droit national. En vue d’une harmonisation avec le cadre européen, les définitions proposées sont reprises du règlement eIDAS. L’identification électronique désigne ainsi « un processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale ». Il s’agit notamment des systèmes de login et de mot de passe exigés sur les sites Internet à titre professionnel pour identifier un utilisateur et limiter le nombre d’habilitations pour l’accès à certaines informations personnelles.

L’article L.102 du CPCE est par ailleurs complété par trois alinéas :

• le premier prévoit une possibilité de certification sur une base volontaire, des moyens d’identification électronique autres que ceux présumés fiables ;
• le deuxième prévoit la désignation de l’ANSSI comme autorité de certification pour ces moyens d’identification électronique et comme rédacteur des référentiels associés, lesquels feront l’objet d’un avis de la Commission nationale de l’informatique et des libertés ;
• Le dernier renvoie la définition des modalités de la certification à un décret en Conseil d’Etat.

En conclusion, ce système de certification permettra aux éditeurs de sites Internet d’obtenir à tout le moins une présomption de respect des dispositions du règlement eIDAS, mais également du règlement 2016/679 du 27 avril 2016, dit règlement général sur la protection des données (RGPD) qui entrera en vigueur le 25 mai 2018 et exigera de la part des entreprises un niveau de sécurisation renforcé de leur système de traitement informatique des données à caractère personnel.

Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.

Victoire Delloye, avocat, droit de la propriété intellectuelle