Transition eIDAS 1 vers 2 : impacts sur la signature en 2025

Le 20 mai 2024, le règlement (UE) 2024/1183 — communément appelé eIDAS 2 — a été publié au Journal officiel de l'Union européenne, abrogeant progressivement le règlement n°910/2014 (eIDAS 1). Ce texte représente la réforme la plus structurante de l'identité numérique et de la signature électronique en Europe depuis 2016. Pour les entreprises françaises qui utilisent des solutions de signature électronique dans leurs workflows contractuels, la transition n'est pas une formalité : elle implique des ajustements techniques, juridiques et organisationnels dont l'horizon s'étale jusqu'en 2026 et au-delà. Comprendre le passage eIDAS 1 vers eIDAS 2 et son impact sur la signature électronique en 2025 est donc devenu une priorité pour les directions juridiques, DSI et DRH. Cet article décrypte les évolutions fondamentales du cadre, le calendrier précis de la transition et les mesures concrètes à prendre pour rester conforme.

Ce que le règlement eIDAS 2 modifie fondamentalement

Du règlement de 2014 à la refonte de 2024 : pourquoi une révision était nécessaire

EIDAS 1 avait posé les jalons de la reconnaissance mutuelle des signatures électroniques au sein de l'Union. Trois niveaux hiérarchiques — simple (SES), avancée (AdES) et qualifiée (QES) — structuraient la valeur probante des signatures, adossés à une liste de prestataires de confiance (TSL). Mais en dix ans, deux lacunes majeures sont apparues.

Premièrement, le règlement original s'appliquait essentiellement aux relations avec les administrations publiques (G2B, G2C). Il ne créait pas d'obligations directes dans les transactions privées (B2B, B2C), laissant un vide normatif que chaque État membre comblait de façon hétérogène. Deuxièmement, la montée en puissance des services numériques — applications mobiles, open banking, télémédecine — avait révélé l'absence d'un système d'identité numérique portable et interopérable au niveau continental.

EIDAS 2 répond à ces deux défis en introduisant le portefeuille européen d'identité numérique (EU Digital Identity Wallet, EUDIW) et en élargissant le périmètre des services de confiance à de nouveaux cas d'usage : archivage électronique qualifié, attestations d'attributs qualifiés, registres électroniques qualifiés (incluant les applications blockchain certifiées).

Les nouvelles catégories de services de confiance qualifiés

Le règlement eIDAS 2 étend la liste des services de confiance qualifiés (article 3 et annexe IV révisée). Outre les signatures, cachets et horodatages qualifiés déjà reconnus par eIDAS 1, sont désormais qualifiés :

• Les services d'archivage électronique qualifié (art. 34 bis) : obligation de préserver l'intégrité et la lisibilité des documents signés sur le long terme, avec des exigences renforcées pour les prestataires (QTSP).
• Les services de gestion de dispositifs de création de signature à distance qualifiés (QRCD) : encadrement renforcé des solutions de signature à distance via HSM (Hardware Security Module) cloud.
• Les attestations d'attributs qualifiés : mécanisme permettant à un tiers de confiance de certifier des attributs d'une entité (ex. qualité d'avocat, statut de médecin) sans révéler l'ensemble de l'identité.
• Les registres électroniques qualifiés : reconnaissance de registres distribués sous conditions strictes d'auditabilité et de résilience.

Pour les utilisateurs de solutions de signature électronique, cette extension signifie que les services de confiance qualifiés disponibles sur le marché vont se diversifier, et que les critères de sélection d'un prestataire (QTSP) doivent intégrer ces nouvelles capacités.

L'EUDIW : le portefeuille d'identité numérique comme infrastructure de la signature

L'innovation la plus visible d'eIDAS 2 reste l'EUDIW. Chaque État membre devra mettre à disposition de ses citoyens et résidents un portefeuille d'identité numérique gratuit, interopérable avec tous les autres États membres, d'ici au 26 novembre 2026 (délai de mise en conformité nationale selon l'article 5 bis). Ce portefeuille permettra :

• d'authentifier l'utilisateur avec un niveau d'assurance élevé (LoA High) sans recourir à un prestataire tiers d'identification ;
• de signer électroniquement des documents avec une valeur qualifiée (QES) directement depuis le wallet ;
• de partager des attributs d'identité sélectifs (selective disclosure), respectant ainsi le principe de minimisation des données du RGPD.

Pour les entreprises, l'EUDIW simplifie théoriquement les procédures de vérification d'identité préalable à la signature qualifiée, supprimant la friction de la vidéo-identification ou de l'identification en face-à-face. En pratique, l'impact dépendra du rythme de déploiement national — la France a lancé en 2025 une expérimentation pilote dans le cadre du programme « France Identité ».

Calendrier précis de la transition eIDAS 1 vers eIDAS 2

Les jalons réglementaires à connaître

Le règlement 2024/1183 est entré en vigueur le 20 mai 2024, mais son application est progressive. Voici les échéances clés :

| Date | Événement | |------|----------| | 20 mai 2024 | Publication au JOUE, entrée en vigueur formelle | | 20 novembre 2024 | Délai de 6 mois pour l'adoption des actes d'exécution par la Commission (spécifications techniques de l'EUDIW) | | Fin 2025 | Publication des normes ETSI révisées (EN 319 411-1/2, EN 319 401) intégrant les exigences eIDAS 2 | | 26 mai 2026 | Date limite pour la mise en conformité des États membres sur les nouvelles catégories de services qualifiés | | 26 novembre 2026 | Mise à disposition obligatoire de l'EUDIW par chaque État membre | | 2027-2028 | Révision complète des listes de confiance nationales (TSL) et accréditation des nouveaux QTSP |

EIDAS 1 reste valide et les signatures émises sous son régime conservent leur pleine valeur juridique. Il n'y a aucune obligation de re-signer les documents existants. En revanche, les prestataires de confiance qualifiés devront renouveler leur accréditation selon les nouvelles normes techniques d'ici 2027.

Ce qui ne change pas et ce qu'il faut surveiller

La continuité est un principe cardinal de la transition. Les trois niveaux de signature (SES, AdES, QES) sont maintenus avec leurs définitions inchangées. La présomption d'équivalence avec une signature manuscrite attachée à la QES (article 25 eIDAS 1, repris à l'article 27 eIDAS 2) reste en vigueur. La valeur probante de vos signatures électroniques actuelles n'est pas remise en cause.

Ce qu'il faut surveiller en revanche : les actes d'exécution (implementing acts) publiés par la Commission européenne tout au long de 2025-2026 fixeront les spécifications techniques précises de l'EUDIW et des nouvelles catégories de services. Ces textes de niveau 2 ont une importance pratique considérable pour les intégrateurs et les éditeurs de logiciels. Pour les entreprises utilisant la signature électronique dans leurs processus RH ou juridiques, il est recommandé de demander à son prestataire une feuille de route de conformité eIDAS 2.

Impact concret sur les entreprises et leurs solutions de signature

Quels workflows sont concernés en priorité ?

La transition eIDAS 1 vers eIDAS 2 n'a pas le même impact selon le niveau de signature utilisé. Pour les entreprises, trois situations se distinguent :

Signature électronique simple (SES) : utilisée pour les avenants de faible valeur, accusés de réception, formulaires internes. Aucune obligation de mise à jour immédiate. Les règles probatoires restent régies par le Code civil (art. 1366-1367) et non directement par eIDAS.

Signature électronique avancée (AdES/AdESQC) : les entreprises utilisant des solutions B2B pour des contrats commerciaux, des contrats de travail dématérialisés ou des actes immobiliers doivent vérifier que leur prestataire maintient une conformité aux normes ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) et EN 319 142 (PAdES) dans leurs versions révisées pour eIDAS 2. Ces normes seront publiées par l'ETSI d'ici fin 2025.

Signature électronique qualifiée (QES) : les prestataires qualifiés (QTSP) devront passer à une nouvelle accréditation eIDAS 2. La période transitoire accorde un délai raisonnable (jusqu'en 2027), mais les appels d'offres lancés dès 2025 devraient intégrer une clause de conformité eIDAS 2 dans les critères de sélection. Pour les organisations comparant les options disponibles, le comparatif des solutions de signature électronique permet d'évaluer la maturité des éditeurs sur ce sujet.

Nouvelles exigences pour les prestataires de confiance qualifiés (QTSP)

EIDAS 2 durcit les exigences applicables aux QTSP sur trois points majeurs :

1. Sécurité des systèmes : alignement obligatoire sur NIS2 (directive (UE) 2022/2555) pour les QTSP, désormais classés comme entités essentielles. Cela se traduit par des obligations de notification d'incidents sous 24 heures, des audits de sécurité annuels et la mise en place de plans de continuité d'activité.

1. Responsabilité renforcée : l'article 13 eIDAS 2 élargit le régime de responsabilité des QTSP. En cas de manquement prouvé, la charge de la preuve est inversée : le prestataire doit démontrer qu'il n'a pas commis de négligence, et non l'inverse.

1. Interopérabilité obligatoire : les QTSP devront exposer des API standardisées compatibles avec l'EUDIW pour permettre l'intégration native des wallets d'identité. Cette exigence va accélérer la modernisation des interfaces d'intégration disponibles pour les développeurs.

Pour les entreprises envisageant de changer de prestataire dans ce contexte, migrer de DocuSign ou YouSign vers une solution conforme eIDAS 2 est une démarche qui mérite d'être anticipée dès maintenant plutôt qu'en urgence en 2027.

Données personnelles et eIDAS 2 : l'articulation avec le RGPD

L'EUDIW collecte et traite des données d'identité à caractère personnel. Le règlement eIDAS 2 prévoit explicitement (considérant 11 et article 5 bis §14) que l'ensemble du dispositif doit être conforme au RGPD (règlement (UE) 2016/679). Plusieurs points d'attention :

• Selective disclosure : le portefeuille doit permettre à l'utilisateur de ne partager que les attributs strictement nécessaires à la transaction (principe de minimisation, art. 5(1)(c) RGPD). Pour une signature de contrat, seule la vérification de majorité pourrait être partagée sans révéler la date de naissance complète.
• Transferts hors UE : les données d'identité traitées dans le cadre de l'EUDIW ne peuvent être transférées en dehors de l'EEE qu'avec des garanties appropriées (art. 46 RGPD). Les prestataires utilisant des infrastructures cloud américaines doivent documenter leur conformité.
• Conservation des logs de signature : l'archivage des preuves de signature doit respecter la durée de conservation proportionnée à la nature du document. Le nouveau service d'archivage qualifié eIDAS 2 offre un cadre technique pour répondre à cette exigence.

Les entreprises gérant des contrats de travail internationaux sont particulièrement concernées par cette articulation RGPD/eIDAS 2, notamment lorsque des signataires résident en dehors de l'UE.

Cadre légal applicable à la transition eIDAS 1 vers eIDAS 2

Textes de référence

La transition repose sur un empilement de textes qu'il est indispensable de maîtriser :

Au niveau européen :

• Règlement (UE) n°910/2014 (eIDAS 1) : toujours en vigueur jusqu'à son abrogation progressive par eIDAS 2. Définit les trois niveaux de signature (SES, AdES, QES) et le régime des QTSP.
• Règlement (UE) 2024/1183 (eIDAS 2) : entré en vigueur le 20 mai 2024. Modifie substantiellement eIDAS 1 sans l'abroger immédiatement. Les dispositions relatives à l'EUDIW s'appliquent dès publication des actes d'exécution.
• Règlement (UE) 2016/679 (RGPD) : s'applique intégralement au traitement des données d'identité dans le cadre de l'EUDIW et des processus de signature. L'article 5 bis §14 d'eIDAS 2 rappelle cette subordination explicitement.
• Directive (UE) 2022/2555 (NIS2) : impose des obligations de cybersécurité renforcées aux QTSP, désormais classés entités essentielles. Transposée en droit français par l'ordonnance n°2024-821 du 20 juin 2024 (en cours de décret d'application).

Au niveau français :

• Code civil, articles 1366 et 1367 : fondement de la valeur probante des écrits sous forme électronique. L'article 1366 établit l'équivalence entre écrit électronique et papier sous conditions. L'article 1367 confère à la signature qualifiée (QES) la même force probante qu'une signature manuscrite.
• Décret n°2017-1416 du 28 septembre 2017 : précise les conditions d'utilisation de la signature électronique dans les actes sous seing privé. Reste applicable pendant la période transitoire.
• Référentiel général de sécurité (RGS) v2 : pour les administrations françaises, le RGS impose l'utilisation de solutions référencées par l'ANSSI. Sa mise à jour pour intégrer eIDAS 2 est attendue courant 2026.

Normes techniques ETSI applicables

Les normes ETSI constituent le niveau 3 de la hiérarchie normative. Les versions actuelles applicables :

• EN 319 132-1/2 : format XAdES (signatures XML avancées)
• EN 319 122-1/2 : format CAdES (signatures CMS avancées)
• EN 319 142-1/2 : format PAdES (signatures PDF avancées)
• EN 319 401 : exigences générales pour les prestataires de services de confiance
• EN 319 411-1/2 : exigences pour les AC émettant des certificats qualifiés

Ces normes seront révisées d'ici fin 2025 pour intégrer les nouvelles exigences eIDAS 2. Les contrats avec les QTSP doivent inclure une clause de mise à jour vers les versions révisées sans surcoût.

Risques juridiques de non-conformité

Une signature émise par un prestataire qui ne serait plus accrédité après 2027 ne perdrait pas automatiquement sa valeur juridique pour les documents déjà signés, mais elle ne bénéficierait plus de la présomption légale d'équivalence avec une signature manuscrite (art. 25 eIDAS). La charge de la preuve de l'intégrité et de l'identité du signataire reposerait alors entièrement sur l'entreprise en cas de contentieux. Ce risque probatoire est particulièrement sensible pour les actes dont le délai de prescription est long (5 ans en matière commerciale, 30 ans pour les droits réels immobiliers).

Scénarios d'usage : comment des organisations anticipent la transition eIDAS 2

Scénario 1 : un cabinet d'avocats de 25 collaborateurs rationalise sa conformité documentaire

Un cabinet d'avocats spécialisé en droit des affaires, avec environ 25 collaborateurs et une activité intense de signature de mandats, actes de cession et protocoles d'accord, utilisait jusqu'en 2024 une solution de signature avancée (AdES) pour la totalité de ses flux. À l'annonce d'eIDAS 2, le cabinet a réalisé un audit de ses 1 200 documents signés annuellement pour identifier ceux nécessitant une QES selon les nouvelles recommandations de son barreau.

Résultat : 15 % des actes (environ 180 par an) ont été reclassifiés vers la signature qualifiée, ce qui a permis de sécuriser le régime probatoire de ces documents. Le cabinet a négocié avec son éditeur de signature une clause garantissant la conformité eIDAS 2 dès publication des actes d'exécution, sans surcoût. Le temps administratif lié à la vérification d'identité des signataires a diminué de 40 % grâce à l'anticipation de l'intégration EUDIW planifiée pour 2026.

Scénario 2 : une PME industrielle de 150 salariés sécurise sa chaîne contractuelle fournisseurs

Une PME industrielle gérant environ 350 contrats fournisseurs par an — bons de commande, NDA, contrats-cadres — fonctionnait avec deux solutions de signature distinctes pour ses flux internes et externes, créant une fragmentation des preuves d'audit. Dans le contexte de la transition eIDAS 2 et des nouvelles exigences d'archivage qualifié, la DSI a décidé d'unifier sa plateforme.

En migrant vers une solution unique intégrant l'archivage électronique qualifié (future catégorie eIDAS 2), la PME a réduit ses coûts de stockage sécurisé de 30 % et consolidé ses preuves de signature dans un coffre-fort numérique conforme. L'ensemble de la chaîne documentaire est désormais auditable en moins de 2 minutes lors des contrôles fournisseurs — une exigence croissante de leurs donneurs d'ordre dans l'industrie automobile.

Scénario 3 : un groupement hospitalier d'environ 600 lits prépare l'intégration EUDIW

Un groupement hospitalier public utilisait la signature électronique qualifiée pour ses contrats médicaux et ses marchés publics, conformément aux obligations du code de la commande publique. Avec eIDAS 2, le service informatique a identifié deux enjeux prioritaires : l'intégration future du wallet « France Identité » pour les médecins libéraux intervenant dans l'établissement, et la conformité NIS2 de son QTSP.

Le groupement a inscrit dans son schéma directeur numérique 2025-2028 un lot spécifique « conformité eIDAS 2 », avec un budget prévisionnel de 45 000 € pour la migration technique et la formation des agents. L'objectif est d'être en mesure d'accepter des signatures via EUDIW dès le déploiement national prévu pour novembre 2026, réduisant ainsi les délais de contractualisation avec les professionnels de santé libéraux de 3 jours à moins de 4 heures en moyenne selon les benchmarks sectoriels disponibles.

Conclusion

La transition eIDAS 1 vers eIDAS 2 n'est pas une rupture mais une évolution structurée, avec un calendrier précis s'étalant jusqu'en 2027. Les impacts sur la signature électronique sont réels — extension des services qualifiés, arrivée de l'EUDIW, durcissement des exigences NIS2 pour les QTSP — mais gérables dès lors qu'ils sont anticipés. Les entreprises qui agissent maintenant bénéficient d'une marge de manœuvre pour auditer leurs workflows, sécuriser leurs contrats avec leurs prestataires et former leurs équipes sans pression d'urgence réglementaire.

Certyneo accompagne les entreprises dans cette transition avec une feuille de route de conformité eIDAS 2 claire, des formats de signature maintenus à jour et une architecture prête pour l'intégration EUDIW. Prêt à sécuriser vos flux de signature dans ce nouveau cadre réglementaire ? Découvrez nos offres et démarrez gratuitement sur Certyneo.