eIDAS 2 vs eIDAS 1 : changements clés pour les PME

Introduction : pourquoi eIDAS 2 change la donne pour les PME

Depuis le 20 mai 2024, le règlement (UE) 2024/1183 — communément appelé eIDAS 2 — est entré en vigueur, abrogeant et remplaçant progressivement le règlement (UE) n° 910/2014 (eIDAS 1). Pour les PME suisses, ce basculement n'est pas une simple mise à jour administrative : il redéfinit les niveaux de confiance numérique, introduit un portefeuille d'identité européen (EUDIW), renforce les exigences applicables aux prestataires de services de confiance et élargit le champ des services reconnus. Cet article compare point par point eIDAS 1 et eIDAS 2, identifie les impacts opérationnels concrets pour les petites et moyennes entreprises, et vous donne un plan d'action pour rester conforme en 2026.

---

1. Rappel : ce que posait eIDAS 1 (2014-2024)

1.1 Les fondations du règlement initial

Adopté en juillet 2014 et applicable depuis septembre 2016, eIDAS 1 a posé les premiers jalons d'un espace de confiance numérique européen. Il a introduit trois grandes catégories de signature électronique — simple (SES), avancée (AdES) et qualifiée (QES) — et créé la liste de confiance des prestataires qualifiés (Trusted List), consultable sur le portail de la Commission européenne.

Pour les PME, l'apport majeur d'eIDAS 1 était la reconnaissance transfrontalière des signatures qualifiées : un contrat signé avec une QES suisse était juridiquement reconnu en Allemagne, en Espagne ou en Italie sans apostille ni formalité supplémentaire. Ce principe — dit de « non-discrimination » — est resté le socle sur lequel les offres SaaS comme Certyneo ont bâti leurs services.

1.2 Les limites identifiées

Malgré ses avancées, eIDAS 1 souffrait de plusieurs lacunes documentées par la Commission européenne dans son rapport d'évaluation de 2021 :

• Fragmentation des schémas d'identité : seuls les États membres ayant notifié leur schéma national (comme FranceConnect+ niveau substantiel) bénéficiaient de la reconnaissance mutuelle. En 2023, seuls 14 États sur 27 avaient notifié un schéma conforme.
• Absence de support mobile natif : le dispositif qualifié de création de signature (QSCD) nécessitait souvent une carte à puce ou un token matériel, freinant l'adoption mobile.
• Services de confiance limités : eIDAS 1 listait neuf types de services qualifiés ; les nouveaux usages (archivage électronique qualifié, gestion d'attributs) n'étaient pas encadrés.
• Pas de portefeuille d'identité unifié : chaque citoyen ou entreprise gérait ses identifiants de manière silotée, sans interopérabilité garantie.

Ces limitations ont conduit la Commission à lancer la révision dès 2020, aboutissant au règlement eIDAS 2 après trois ans de trilogue.

---

2. Les cinq grandes nouveautés d'eIDAS 2 pour les PME

2.1 Le portefeuille d'identité numérique européen (EU Digital Identity Wallet — EUDIW)

C'est la nouveauté la plus visible du règlement. D'ici au mois de novembre 2026 (délai de transposition fixé par l'article 5a), chaque État membre devra proposer au moins un portefeuille d'identité numérique certifié à ses citoyens et résidents. Pour les PME, cette évolution a deux conséquences directes :

1. Authentification des clients et partenaires simplifiée : le portefeuille permettra de partager des attributs vérifiés (âge, numéro de TVA intracommunautaire, extrait Kbis, données bancaires certifiées) sans friction. Un accord-cadre avec un partenaire allemand pourra être signé après vérification instantanée de ses attributs professionnels depuis son EUDIW.
2. Obligation d'acceptation pour certains secteurs : les services en ligne des grandes plateformes (article 45bis) et certains services publics devront accepter l'EUDIW comme moyen d'authentification. Les PME qui fournissent des portails B2B devront adapter leurs API d'authentification.

2.2 Extension de la liste des services de confiance qualifiés

eIDAS 2 étend le catalogue des services de confiance qualifiés de 9 à 14 catégories. Les nouvelles entrées concernant directement les PME sont :

• L'archivage électronique qualifié (art. 45septies) : conservation longue durée avec valeur probante renforcée. Jusqu'ici, l'archivage à valeur probante s'appuyait sur des référentiels nationaux (en Suisse, le référentiel SIAF/ANSSI) ; eIDAS 2 harmonise le cadre européen.
• La gestion à distance de dispositifs qualifiés de création de signature (RQSCD) : désormais explicitement encadrée, elle lève les ambiguïtés qui pesaient sur les solutions cloud de signature qualifiée. Pour une PME de 50 salariés, cela signifie accéder à une signature qualifiée sans token physique, depuis n'importe quel appareil.
• Le service de registre électronique qualifié : les registres fondés sur la blockchain ou des technologies de grand livre distribué peuvent désormais obtenir le statut qualifié, ouvrant la voie à de nouveaux modèles de gestion contractuelle.

Pour aller plus loin sur les niveaux de signature et leur valeur légale, consultez notre guide complet de la signature électronique.

2.3 Renforcement des exigences de sécurité pour les prestataires qualifiés (QTSP)

eIDAS 2 durcit les obligations des prestataires de services de confiance qualifiés (QTSP). L'article 24 révisé impose notamment :

• Une certification de cybersécurité conforme au cadre européen (EU Cybersecurity Act, règlement 2019/881), avec des schémas sectoriels en cours de développement par l'ENISA.
• Des exigences renforcées en matière de résilience opérationnelle : les QTSP doivent désormais documenter leur plan de continuité d'activité et le soumettre à leur organisme de supervision national (en Suisse, l'équivalent pour les prestataires qualifiés).
• Une obligation de notification des incidents de sécurité dans les 24 heures (alignement avec NIS 2).

Pour les PME utilisatrices, cela se traduit par une obligation de diligence accrue dans le choix du prestataire : vérifier que votre solution de signature figure bien sur la Trusted List européenne mise à jour est désormais une étape critique de votre processus d'achat. Notre comparatif des solutions de signature électronique peut vous aider dans cette analyse.

2.4 Interopérabilité obligatoire des schémas d'identité

Là où eIDAS 1 laissait aux États membres la liberté de notifier (ou non) leur schéma, eIDAS 2 rend la notification et l'interopérabilité obligatoires pour les schémas d'identité utilisés dans les services publics en ligne (art. 5). Le schéma national suisse est en cours de mise en conformité avec les spécifications techniques de l'EUDIW, publiées par la Commission dans le règlement d'exécution (UE) 2024/2977.

Pour une PME qui interagit régulièrement avec des administrations publiques (marchés publics, télédéclarations fiscales, procédures douanières), cette évolution signifie que les démarches en ligne seront progressivement unifiées autour d'un identifiant numérique unique et reconnu dans toute l'UE.

2.5 Nouvelles règles de responsabilité et de supervision

eIDAS 2 précise et étend les régimes de responsabilité des prestataires (art. 13 révisé). Un QTSP est désormais présumé responsable de tout dommage causé à une personne physique ou morale par un manquement à ses obligations, sauf à prouver l'absence de faute. Cette présomption de responsabilité, renforcée par rapport à eIDAS 1, doit inciter les PME à :

• Formaliser par contrat les engagements de leur prestataire (SLA, garanties de disponibilité, indemnisation).
• Vérifier la couverture d'assurance responsabilité civile professionnelle du QTSP.
• Conserver les preuves d'audit des transactions signées (journaux d'horodatage, rapports de vérification de signature).

Nos équipes ont rédigé un guide détaillé sur la signature électronique en entreprise qui aborde ces aspects contractuels.

---

3. Tableau comparatif eIDAS 1 vs eIDAS 2 : ce qui change concrètement

3.1 Synthèse des évolutions majeures

| Critère | eIDAS 1 (2016-2024) | eIDAS 2 (2024-2026+) | |---|---|---| | Portefeuille identité | Absent | EUDIW obligatoire (États membres) | | Services qualifiés | 9 catégories | 14 catégories (archivage, RQSCD, registres…) | | Notification schémas | Facultative | Obligatoire pour services publics | | Sécurité QTSP | Critères Common Criteria | Cybersecurity Act + ENISA schemes | | Responsabilité QTSP | Partielle | Présomption de responsabilité renforcée | | Délai notification incident | Non spécifié | 24 heures (alignement NIS 2) | | QSCD mobile | Ambiguïté juridique | RQSCD explicitement encadré |

3.2 Les délais clés à retenir pour 2026

• Mai 2024 : entrée en vigueur du règlement (UE) 2024/1183.
• Novembre 2026 : date limite pour que chaque État membre propose au moins une solution EUDIW certifiée.
• 2027 : obligation pour les grandes plateformes (art. 45bis) d'accepter l'EUDIW comme moyen d'authentification.
• 2028 : révision prévue des actes d'exécution techniques (règlements délégués sur les spécifications EUDIW).

Si votre PME envisage de migrer vers une solution plus conforme, notre offre de migration vers Certyneo inclut un audit de conformité eIDAS 2 offert.

---

4. Plan d'action pratique pour mettre votre PME en conformité eIDAS 2

4.1 Auditer vos flux documentaires existants

Commencez par cartographier tous les processus dans lesquels vous utilisez actuellement la signature électronique ou l'identité numérique : contrats fournisseurs, bulletins de paie dématérialisés, mandats SEPA, accords de confidentialité, actes RH. Pour chaque flux, identifiez :

• Le niveau de signature utilisé (SES, AdES, QES).
• Le prestataire actuel et son statut sur la Trusted List.
• Le niveau de risque juridique en cas de contestation.

Cet audit est le point de départ recommandé par l'ANSSI dans son guide de mise en conformité publié en mars 2025.

4.2 Mettre à niveau votre solution de signature

Si votre prestataire actuel ne figure pas sur la Trusted List eIDAS 2 ou ne propose pas encore le RQSCD, il est temps de comparer les offres du marché. Certyneo est un QTSP certifié qui prend en charge les trois niveaux de signature (SES, AdES, QES) et intègre nativement les nouvelles exigences eIDAS 2, notamment l'archivage qualifié et la gestion distante de dispositifs.

4.3 Former vos équipes et mettre à jour vos contrats

eIDAS 2 renforce la valeur probante des signatures qualifiées mais impose aussi des bonnes pratiques documentaires. Assurez-vous que vos équipes juridiques et administratives :

• Savent distinguer les trois niveaux de signature et leur valeur légale respective.
• Intègrent dans les contrats fournisseurs une clause d'audit de conformité eIDAS.
• Conservent les preuves de vérification de signature (rapport de validation, horodatage qualifié) pendant la durée légale de conservation applicable (3 à 10 ans selon la nature de l'acte).

Pour structurer cette démarche, notre calculateur ROI signature électronique vous permettra de quantifier les gains opérationnels liés à la mise à niveau.

Cadre légal applicable

Textes de référence

La mise en conformité eIDAS 2 pour une PME suisse s'inscrit dans un empilement normatif qu'il est essentiel de maîtriser.

Règlement (UE) 2024/1183 du Parlement européen et du Conseil (dit « eIDAS 2 ») : c'est le texte fondateur, publié au JOUE le 30 avril 2024. Il abroge et remplace le règlement (UE) n° 910/2014 selon un calendrier de déploiement progressif courant jusqu'en 2027. Il est d'application directe dans tous les États membres, sans nécessiter de transposition législative nationale pour ses dispositions principales.

Règlement (UE) n° 910/2014 (eIDAS 1) : certaines de ses dispositions demeurent applicables pendant les périodes transitoires prévues par eIDAS 2, notamment pour les prestataires qualifiés qui ont obtenu leur qualification avant mai 2024 et disposent d'un délai pour se recertifier.

Code civil suisse, articles 14 et 15 de la Loi fédérale sur la signature électronique (LFSE) : la Suisse a adopté sa propre législation de signature électronique compatible avec eIDAS. L'article 14 LFSE pose le principe d'équivalence entre l'écrit électronique et l'écrit papier, sous réserve que la personne dont il émane puisse être dûment identifiée et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité. L'article 15 reconnaît la signature électronique comme mode de preuve.

Règlement (UE) 2016/679 (RGPD) : le déploiement de l'EUDIW et le traitement des attributs d'identité dans les flux de signature électronique constituent des traitements de données personnelles au sens du RGPD. Les PME doivent s'assurer que leur QTSP agit en qualité de sous-traitant au sens de l'article 28 RGPD, avec un DPA (Data Processing Agreement) conforme. La CNIL a publié en janvier 2026 une recommandation spécifique sur l'intégration EUDIW-RGPD.

Directive (UE) 2022/2555 (NIS 2) : eIDAS 2 s'aligne explicitement sur NIS 2 pour les obligations de notification d'incidents (art. 24, §2 eIDAS 2 renvoyant aux dispositions NIS 2). Les QTSP sont considérés comme des entités « essentielles » ou « importantes » au sens de NIS 2 selon leur taille, et soumis à ce titre à des audits de sécurité réguliers.

Normes ETSI : les signatures électroniques qualifiées doivent respecter les normes ETSI EN 319 132-1 (XAdES), ETSI EN 319 122-1 (CAdES), ETSI EN 319 162-1 (ASiC) et ETSI EN 319 102-1 (procédure de validation). La norme ETSI TS 119 461 encadre la vérification à distance d'identité (IDV), particulièrement pertinente pour le RQSCD.

Risques juridiques en cas de non-conformité

Utiliser une solution de signature électronique non conforme à eIDAS 2 expose la PME à plusieurs risques :

• Irrecevabilité en justice : un juge peut écarter une signature électronique dont le niveau ne correspond pas à l'acte signé (ex. : signature simple pour un acte nécessitant un niveau avancé ou qualifié).
• Responsabilité contractuelle : si un contrat est contesté par un partenaire au motif de la nullité de la signature, la PME peut être exposée à des demandes d'indemnisation.
• Sanctions RGPD : en cas de violation de données liée à un défaut de sécurité du prestataire, la PME, co-responsable ou responsable de traitement, peut être sanctionnée par l'autorité de protection des données jusqu'à 4 % du chiffre d'affaires mondial annuel (art. 83 §4 RGPD).

Scénarios d'usage concrets

Scénario 1 : une PME industrielle de 80 salariés gérant 400 contrats fournisseurs par an

Une PME du secteur de la métallurgie traitant environ 400 contrats fournisseurs annuels utilisait jusqu'en 2024 une solution de signature électronique simple (SES) pour l'ensemble de ses engagements, y compris des contrats cadres supérieurs à 50 000 €. Après un audit de conformité eIDAS 2, elle a constaté que 35 % de ses contrats nécessitaient une signature avancée ou qualifiée pour résister à une contestation judiciaire, notamment avec des fournisseurs établis dans d'autres États membres de l'UE.

En migrant vers une solution combinant signature avancée (AdES) pour les contrats courants et qualifiée (QES) pour les contrats cadres, et en activant l'archivage électronique qualifié (nouveau service eIDAS 2), cette PME a réduit de 70 % le temps consacré à la gestion documentaire post-signature (classement, recherche, envoi de copies certifiées) et a ramené à zéro les litiges liés à la contestation de signature sur les 18 mois suivants, contre deux incidents les 18 mois précédents.

Scénario 2 : un cabinet de conseil juridique de 15 collaborateurs

Un cabinet spécialisé en droit des affaires, émettant en moyenne 1 200 actes signés par an (lettres de mission, mandats, accords de confidentialité), faisait face à une demande croissante de ses clients corporate pour des signatures qualifiées reconnaissables dans toute l'UE. Sous eIDAS 1, l'obtention d'un certificat qualifié nécessitait une procédure de face-à-face ou une vérification vidéo longue (45 à 90 minutes par utilisateur).

Grâce au RQSCD (Remote Qualified Signature Creation Device) encadré par eIDAS 2, le cabinet a pu déployer la signature qualifiée pour l'ensemble de ses collaborateurs en moins de deux semaines, via une procédure d'enrôlement 100 % distante conforme à la norme ETSI TS 119 461. Le taux d'adoption interne est passé de 40 % à 95 % en trois mois, et le délai moyen de retour des actes signés a été réduit de 4,2 jours à moins de 6 heures selon les mesures internes du cabinet.

Scénario 3 : une PME e-commerce opérant dans trois pays de l'UE

Une entreprise de vente en ligne employant 35 personnes et opérant en France, en Belgique et aux Pays-Bas devait gérer trois types d'accords électroniques : contrats d'emploi pour ses salariés locaux, accords de partenariat avec des transporteurs, et mandats SEPA pour ses clients professionnels. La fragmentation des exigences nationales sous eIDAS 1 l'obligeait à maintenir trois workflows de signature distincts, avec des coûts de gestion estimés à environ 12 000 € par an.

L'adoption d'une solution unique conforme à eIDAS 2 — intégrant la reconnaissance mutuelle des signatures qualifiées dans les trois pays — a permis d'unifier les workflows, de réduire le coût de gestion à environ 4 500 € par an (économie de 62 %) et d'éliminer les délais liés à la validation manuelle des signatures étrangères par le service juridique.

Conclusion

eIDAS 2 n'est pas une simple révision cosmétique du cadre réglementaire : il redéfinit en profondeur les règles du jeu de la confiance numérique en Europe. Pour les PME suisses, les cinq évolutions majeures — portefeuille EUDIW, extension des services qualifiés, RQSCD, interopérabilité obligatoire et responsabilité renforcée — représentent à la fois une contrainte de mise en conformité et une opportunité d'accélérer leur transformation documentaire.

Les PME qui anticipent dès aujourd'hui ces changements bénéficieront d'un avantage concurrentiel réel : contrats reconnus dans toute l'UE sans friction, archivage à valeur probante intégré, et processus de signature entièrement dématérialisés et sécurisés.

Certyneo est conçu pour accompagner cette transition. Démarrez votre essai gratuit sur certyneo.com et bénéficiez d'un audit de conformité eIDAS 2 offert pour vos flux documentaires existants.