Règlement eIDAS : tout comprendre sur la signature électronique en Europe
Le règlement eIDAS est le texte fondateur de la signature électronique en Europe. Il définit trois niveaux de signature (simple, avancée, qualifiée), établit la valeur juridique des actes électroniques et encadre les prestataires de services de confiance. Ce guide vous explique tout ce que vous devez savoir pour être conforme en 2026.
Qu'est-ce qu'eIDAS et pourquoi a-t-il été créé ?
Avant eIDAS, chaque État membre de l'Union européenne avait sa propre réglementation sur les signatures électroniques, créant une fragmentation juridique qui freinait les échanges transfrontaliers. Une signature électronique valide en France n'était pas nécessairement reconnue en Allemagne ou en Espagne.
Le règlement (UE) n°910/2014, dit eIDAS (Electronic IDentification, Authentication and trust Services), a été adopté le 23 juillet 2014 et est entré en application le 1er juillet 2016. En tant que règlement (et non directive), il s'applique directement et uniformément dans les 27 États membres, sans transposition nationale nécessaire.
eIDAS poursuit trois objectifs principaux : créer un marché numérique unique en Europe grâce à la reconnaissance mutuelle des identités électroniques, garantir la sécurité juridique des transactions électroniques transfrontalières, et instaurer un cadre de confiance pour les services numériques via les prestataires de services de confiance qualifiés (QTSP — Qualified Trust Service Provider).
Les 3 niveaux de signature définis par eIDAS
eIDAS établit une pyramide de trois niveaux de signature électronique, chacun avec ses propres exigences techniques et sa valeur probante.
Signature Électronique Simple
Exigences eIDAS
- Données sous forme électronique liées à d'autres données
- Utilisée pour signer (aucune exigence technique spécifique)
- Peut être un simple clic, une case cochée ou un nom saisi
Exemples d'usage
- Acceptation de CGU
- Formulaire en ligne
- Email de confirmation
Valeur juridique
Valeur contractuelle de base, pas de présomption légale
Signature Électronique Avancée
Exigences eIDAS
- Liée de manière unique au signataire
- Permet d'identifier le signataire
- Créée avec des données sous le contrôle exclusif du signataire
- Toute modification ultérieure du document est détectable
Exemples d'usage
- Contrats de travail
- NDA
- Contrats commerciaux
- Mandats
Valeur juridique
Forte valeur probante — recommandée pour les contrats importants
Signature Électronique Qualifiée
Exigences eIDAS
- Répond à toutes les exigences de l'AES
- Créée par un dispositif de création de signature qualifié (QSCD)
- Basée sur un certificat qualifié délivré par un QTSP (liste de confiance EU)
Exemples d'usage
- Actes authentiques numériques
- Marchés publics exigeants
- Actes réglementés
Valeur juridique
Présomption légale équivalente à la signature manuscrite (art. 25 eIDAS)
eIDAS 2.0 : les nouveautés de 2024
Le règlement eIDAS a été révisé par le règlement (UE) 2024/1183, publié au Journal officiel de l'UE le 30 avril 2024 et entré en vigueur le 20 mai 2024. Cette révision modernise le cadre initial pour répondre aux enjeux du numérique contemporain : identité numérique des citoyens, cloud souverain, résilience des prestataires de confiance.
La mesure phare d'eIDAS 2.0 est le Portefeuille européen d'identité numérique (EUDIW). D'ici fin 2026, chaque État membre devra proposer à ses citoyens et résidents une application permettant de stocker et présenter des attestations d'identité certifiées — équivalent numérique de la carte d'identité, du permis de conduire, des diplômes. Cette évolution aura un impact direct sur les processus de signature qualifiée.
Portefeuille d'identité numérique (EUDIW)
eIDAS 2.0 introduit le European Digital Identity Wallet : chaque citoyen européen pourra stocker ses attestations d'identité certifiées (carte d'identité, permis de conduire, diplômes) dans une application mobile interopérable dans toute l'UE.
Renforcement des QTSP
Les exigences applicables aux prestataires de services de confiance qualifiés (QTSP) sont renforcées, notamment en matière de cybersécurité, d'audits et de continuité de service.
Nouveaux services de confiance
eIDAS 2.0 ajoute de nouveaux services qualifiés : archivage électronique qualifié, gestion de données d'attribution qualifiée, registre électronique qualifié (blockchain certifiée).
Interopérabilité renforcée
Meilleure reconnaissance mutuelle des identités numériques entre États membres. Les signatures qualifiées émises dans n'importe quel pays de l'UE sont reconnues partout.
Comment être conforme eIDAS en pratique ?
La conformité eIDAS ne se réduit pas au choix d'un niveau de signature. Elle implique une réflexion sur l'ensemble du processus : identification des risques, choix des outils, conservation des preuves et gouvernance documentaire.
Voici une checklist pratique pour les entreprises qui souhaitent sécuriser leurs processus de signature électronique en conformité avec eIDAS :
L'approche de conformité eIDAS de Certyneo
Certyneo implémente les niveaux SES (Signature Électronique Simple) et AES (Signature Électronique Avancée) du règlement eIDAS. La signature avancée repose sur une authentification à double facteur : un lien à usage unique envoyé par email et un code OTP envoyé par SMS via Twilio Verify. Ce mécanisme répond aux quatre critères de l'article 26 d'eIDAS pour la signature avancée.
Chaque enveloppe génère un audit trail complet: horodatage de chaque action (envoi, ouverture du lien, validation de l'OTP, apposition de la signature, refus éventuel), adresse IP du signataire, user-agent du navigateur. Cet audit trail est intégré en bas de chaque page du PDF final (footer d'audit) et conservé 10 ans.
Les données sont hébergées en France(infrastructure IONOS), dans l'Union européenne, conformément aux exigences de souveraineté numérique et au RGPD. Consultez notre page sécurité et conformité pour tous les détails techniques.
Questions fréquentes sur eIDAS
Qu'est-ce que le règlement eIDAS ?
eIDAS (Electronic Identification, Authentication and Trust Services) est le règlement européen (UE) n°910/2014 qui établit un cadre juridique commun pour les signatures électroniques, les cachets électroniques, les horodatages, les services d'envoi recommandé électronique et les services d'authentification de site web dans l'Union européenne. Il est entré en vigueur le 1er juillet 2016 et s'applique directement dans les 27 États membres.
Quelle est la différence entre eIDAS et eIDAS 2.0 ?
eIDAS 2.0 (règlement (UE) 2024/1183, entré en vigueur le 20 mai 2024) modernise eIDAS 1.0 en introduisant notamment le Portefeuille européen d'identité numérique (EUDIW — European Digital Identity Wallet), qui permettra aux citoyens européens de stocker des attestations d'identité numériques certifiées. Pour les entreprises, eIDAS 2.0 renforce les exigences des prestataires de services de confiance qualifiés (QTSP) et améliore l'interopérabilité transfrontalière.
Une signature électronique simple a-t-elle une valeur juridique selon eIDAS ?
Oui. L'article 25 d'eIDAS interdit explicitement de refuser des effets juridiques à une signature électronique au seul motif qu'elle est sous forme électronique. Une signature simple (SES) a donc une valeur juridique, mais elle ne bénéficie pas de la présomption légale réservée aux signatures qualifiées (QES). En cas de litige, c'est à celui qui invoque la signature de prouver son authenticité.
Comment savoir quel niveau eIDAS choisir pour mes contrats ?
La règle générale est de calibrer le niveau au risque juridique et commercial du document. Pour les documents courants à faible enjeu (devis, commandes internes), la signature simple suffit. Pour les contrats commerciaux importants, contrats de travail, NDA ou mandats, la signature avancée (AES) est recommandée. La signature qualifiée (QES) est réservée aux situations où la loi l'exige explicitement (certains actes administratifs, marchés publics de grande ampleur) ou lorsque le risque de contestation est maximal.
Comment Certyneo est-il conforme à eIDAS ?
Certyneo implémente la signature simple (SES) et la signature avancée (AES) conformément à eIDAS. La signature avancée repose sur un double OTP email + SMS (Twilio Verify) qui lie le signataire à son acte. Chaque enveloppe génère un audit trail horodaté intégré au PDF final. Les données sont hébergées en France (UE), conformément aux exigences de souveraineté numérique.
eIDAS s'applique-t-il aux entreprises hors Union européenne ?
eIDAS s'applique aux services de confiance fournis dans l'UE. Une entreprise établie hors UE qui souhaite que ses signatures soient reconnues dans l'UE doit utiliser une solution conforme eIDAS ou un prestataire de confiance qualifié (QTSP) reconnu dans la liste de confiance d'un État membre. Pour les échanges B2B internationaux, des accords de reconnaissance mutuelle existent avec certains pays tiers.