Le règlement eIDAS (n° 910/2014) est le texte européen qui harmonise l'identification électronique et les services de confiance — notamment la signature, le cachet et l'horodatage électroniques — afin de leur conférer une valeur juridique reconnue dans tous les États membres de l'Union.
Ce que le règlement eIDAS organise
Entré en application en 2016, eIDAS établit un cadre commun pour les prestataires de services de confiance. Il définit ce qu'est un service « qualifié », instaure des listes de confiance nationales recensant les prestataires audités, et précise les effets juridiques de chaque service. Il distingue trois niveaux de signature électronique — simple, avancée et qualifiée — et confère aux services qualifiés des présomptions légales fortes, notamment d'intégrité des données et d'exactitude temporelle. C'est cette gradation qui permet à chaque organisation de choisir le niveau de preuve adapté à ses enjeux.
Un point essentiel distingue eIDAS d'une simple directive : c'est un règlement, donc d'application directe dans chaque État membre, sans loi de transposition. Il prime sur les dispositions nationales contraires et instaure une reconnaissance transfrontalière des services qualifiés. Une preuve constituée dans un pays produit ainsi ses effets dans tous les autres.
L'horodatage proposé par Certifiles s'inscrit dans ce cadre : l'empreinte SHA-256 de votre document est datée par une autorité d'horodatage qualifiée conforme à eIDAS et à la RFC 3161, ce qui rend le certificat de preuve directement opposable et reconnu dans toute l'Union européenne.
L'architecture d'eIDAS repose sur une supervision nationale. Chaque État membre désigne un organe de contrôle qui audite les prestataires candidats au statut qualifié et tient à jour sa liste de confiance. Une fois inscrit, le prestataire est soumis à des audits réguliers et engage sa responsabilité sur la qualité de ses services. Ce mécanisme de contrôle continu est ce qui donne aux présomptions légales leur crédibilité : elles ne reposent pas sur une simple déclaration du prestataire, mais sur une vérification indépendante et renouvelée. C'est cette traçabilité institutionnelle qui distingue les services de confiance d'une simple solution technique.
Portée juridique en France
En France, eIDAS s'articule avec les articles 1366 et 1367 du Code civil sur la preuve par écrit électronique. Son article 41 accorde à l'horodatage qualifié une présomption d'exactitude de la date et d'intégrité des données ; son article 35 fait de même pour le cachet électronique qualifié ; ses articles 25 et suivants définissent la signature électronique et l'équivalence de la signature qualifiée à la signature manuscrite. Les normes ETSI (séries EN 319 4xx) viennent détailler les exigences techniques permettant de respecter concrètement le règlement, sans en modifier les effets de droit.
Les niveaux simple et qualifié
Une logique transversale structure tout le règlement : chaque service de confiance existe en version « non qualifiée » et « qualifiée ». La version qualifiée suppose un prestataire audité, inscrit sur une liste de confiance, et déclenche des présomptions légales que la version simple n'offre pas. Pour l'horodatage électronique, le niveau qualifié emporte la présomption d'exactitude de la date ; pour la signature, l'équivalence à la signature manuscrite ; pour le cachet électronique, la présomption d'origine et d'intégrité. Choisir entre simple et qualifié revient donc à arbitrer entre le coût et le niveau de sécurité juridique recherché, selon l'enjeu du document. Cette gradation est l'un des apports les plus pratiques d'eIDAS.
Exemple concret
Une start-up française signe un contrat de distribution avec un partenaire allemand via une signature électronique qualifiée. Grâce à eIDAS, cette signature produit en Allemagne les mêmes effets qu'en France : aucune des deux parties ne peut contester la validité du procédé au motif d'une frontière. Si le contrat est ensuite horodaté de façon qualifiée, la date de l'engagement devient elle aussi opposable dans les deux pays, sans démarche supplémentaire.
À ne pas confondre avec…
- Le RGPD : eIDAS concerne la confiance et la preuve électronique, le RGPD concerne la protection des données personnelles.
- Les normes ETSI : ce sont les spécifications techniques qui détaillent comment respecter eIDAS, pas le texte de loi lui-même.
- La RFC 3161 : norme technique d'horodatage que les services qualifiés eIDAS doivent respecter, mais qui ne crée pas par elle-même d'effets juridiques.
- Le Code civil : il fixe la valeur probante en droit français, là où eIDAS pose le cadre européen des services de confiance.