eIDAS 2 et intelligence artificielle dans les services de confiance européens.
Le règlement eIDAS 2 (Règlement UE 2024/1183) modifie le règlement eIDAS de 2014 et introduit le portefeuille européen d'identité numérique (EUDI Wallet), des services de confiance qualifiés étendus et un cadre renforcé pour la signature, le cachet et l'horodatage électroniques. Les États membres doivent rendre le portefeuille disponible d'ici fin 2026. Lorsqu'un système IA consomme des attestations électroniques ou produit des artefacts qui doivent ensuite être scellés et signés, l'articulation avec eIDAS devient un sujet d'ingénierie, pas seulement juridique.
Quels sont les usages IA touchés par eIDAS 2 ?
Trois grandes catégories. Premièrement, l'onboarding client à distance : un système IA peut vérifier un document d'identité officiel, comparer une selfie à une photo de pièce, valider la cohérence des données. La directive et les standards techniques associés exigent une auditabilité forte du processus, avec preuves conservées. Deuxièmement, la signature contractuelle assistée par IA : la formation du consentement éclairé doit pouvoir être démontrée, et la signature qualifiée doit reposer sur un dispositif de création conforme. Troisièmement, l'archivage probant : les artefacts générés par un système IA (résumés, extractions, décisions) gagnent en valeur probatoire si scellés et horodatés au sens d'eIDAS.
Comment intégrer le portefeuille européen d'identité numérique ?
L'EUDI Wallet permet à un citoyen ou à une entreprise d'émettre, de stocker et de partager des attestations électroniques (PID, attributs vérifiés). Pour un système IA qui consomme ces attestations, deux principes pratiques. D'une part, ne demander que les attributs strictement nécessaires (minimisation), comme l'exige aussi le RGPD. D'autre part, vérifier la chaîne de confiance jusqu'à un fournisseur qualifié de services de confiance inscrit dans la liste de confiance européenne. Les implémentations techniques reposent sur les standards publiés par l'ENISA et par l'eIDAS Cooperation Network.
Quelle valeur probante pour les artefacts produits par une IA ?
Un document généré par IA n'a pas, en soi, valeur d'original au sens d'eIDAS. Pour acquérir cette valeur, deux conditions. D'abord, un cachet électronique qualifié de l'entité émettrice, qui garantit l'origine et l'intégrité depuis la création. Ensuite, un horodatage électronique qualifié, qui fixe la date et l'heure opposables. Concrètement, dans nos livraisons, chaque artefact IA passé en archivage probant est scellé et horodaté en sortie. Le journal de génération est lui-même haché et chaîné, ce qui prouve a posteriori que la chaîne de production n'a pas été modifiée.
Comment s'articule eIDAS 2 avec le Règlement européen sur l'IA ?
Les deux textes traitent la confiance numérique sous deux angles complémentaires. eIDAS 2 régit les services et les artefacts (signature, identité, horodatage). Le Règlement européen sur l'IA régit les systèmes IA en tant que produits, leur transparence, leur supervision, leur conformité. Un système IA qui exploite un service de confiance qualifié bénéficie d'une présomption forte sur l'intégrité et l'origine des données entrantes. À l'inverse, lorsqu'un système IA classé risque élevé produit des décisions à valeur probatoire, le sceau qualifié devient un élément du dossier d'auditabilité attendu par le superviseur. Les deux régimes se renforcent.
Comment se construit la conformité pratique ?
Trois éléments. D'abord, sélectionner les fournisseurs de services de confiance dans la liste de confiance européenne et formaliser la chaîne contractuelle. Ensuite, intégrer dès l'architecture les points de scellement : entrée du système IA (attestations EUDI vérifiées), sortie (artefact scellé), journal (chaînage des hachages). Enfin, prévoir la rétention longue : les artefacts probants doivent être conservés sur la durée légale du droit applicable, qui peut atteindre dix ans en matière contractuelle française. Sans ces trois éléments, la valeur probatoire reste théorique.
Questions fréquentes
L'EUDI Wallet est-il obligatoire pour les entreprises ?
Pas pour le citoyen. En revanche, certaines entités (banques, opérateurs de services essentiels) doivent l'accepter comme moyen d'authentification dès qu'il est disponible dans leur État membre.
Une signature électronique simple est-elle valide ?
Elle est juridiquement valide mais sa force probante varie. Pour un effet équivalent à la signature manuscrite avec présomption forte, la signature électronique qualifiée est requise selon l'article 25 d'eIDAS.
Comment Impetora aide-t-elle ?
Nous concevons les chaînes de production IA avec scellement et horodatage qualifiés en sortie, intégration EUDI Wallet en entrée, et journalisation chaînée. La valeur probatoire est un livrable, pas un ajout ultérieur.