Règlement eIDAS et niveaux de garantie

Qu'est ce que le règlement eIDAS ? #

Le règlement n° 910/2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit règlement « eIDAS », est un règlement européen qui a été adopté le 23 juillet 2014 par le Parlement européen et le Conseil de l'Union Européenne. L'objectif de ce règlement est de mettre en place un cadre juridique propre à susciter une confiance accrue dans les transactions électroniques au sein du marché intérieur.

Le règlement eIDAS s'applique à l’identification électronique et aux services de confiance (faisant respectivement l’objet des chapitres II et III du présent document). Il accorde également un effet juridique aux documents électroniques.

Source : FAQ eIDAS de l'ANSSI

FranceConnect+ est concerné uniquement par le volet identification électronique du règlement.

Que sont les niveaux de garantie eIDAS ? #

Les niveaux de garantie eIDAS permettent d'apporter une garantie sur l'identité qui est fournie au fournisseur de service. Le règlement eIDAS définit trois niveaux avec des exigences différentes :

• Faible : l’objectif est simplement de réduire le risque d’utilisation abusive ou d’altération de l’identité ;
• Substantiel : l’objectif est de réduire substantiellement le risque d’utilisation abusive ou d’altération de l’identité ;
• Élevé : l’objectif est d’empêcher l’utilisation abusive ou l’altération de l’identité.

Source : Présentation du règlement eIDAS par l'ANSSI

Le détail des exigences est défini par le règlement d’exécution n°2015/1502 du 8 septembre 2015

Quels sont les niveaux de garantie eIDAS des identités délivrées par FranceConnect et FranceConnect+ ? #

FranceConnect #

FranceConnect délivre des identités de niveau faible aux fournisseurs de service, quel que soit le fournisseur d'identité utilisés.

Parmi la liste des fournisseurs d'identité disponible via FranceConnect, certains sont susceptibles de délivrer des identités avec des niveaux de garantie substantiel ou élevé. Cependant, celles-ci seront transmises au fournisseur de service avec un niveau de garantie faible. Pour pouvoir délivrer des identités avec des niveaux de garanties de niveau substantiel ou élevé, il faut que l'ensemble de la chaîne d'authentification, c'est-à-dire le fournisseur d'identité et FranceConnect, soit qualifié pour ces niveaux.

FranceConnect n'étant pas qualifié pour délivrer des identités avec des niveaux de garantie substantiel et élevé, les identités délivrés sont rabaissées à un niveaux de garantie faible.

FranceConnect+ #

FranceConnect+ a été qualifié par l'ANSSI pour le niveau élevé en tant que moyen d'identité électronique, c'est-à-dire que FranceConnect+ répond aux exigences pour permettre d'apporter un niveau de garantie élevé en tant que moyen d'identification électronique. A ce titre, FranceConnect+ apparaît dans la liste des produits qualifiés par l'ANSSI dans la section moyen d'identification électronique.

Cependant, afin de pouvoir garantir un niveau élevé, il faut également que les fournisseurs d'identité soient également qualifié pour ce ce niveau.

Actuellement, FranceConnect+ ne dispose que d'un seul Fournisseur d'Identité, L'identité Numérique La Poste, qui est qualifié pour le niveau substantiel par l'ANSSI. De fait, actuellement la plateforme FranceConnect+ ne peut délivrer des identités avec uniquement le niveau de garantie substantiel même si FranceConnect+ est déjà prêt pour délivrer des identités avec le niveau de garantie élevé.

Le tableau ci-dessous récapitule les niveaux supportés par les deux plateformes FranceConnect et FranceConnect+.