Le PEIN à destination des personnes physiques devient progressivement une réalité. La Commission européenne a décidé de pousser le curseur encore plus loin en publiant une proposition de Règlement pour l’établissement d’un PEIN “Affaires”. Cette chronique de Me Pascal Agosti vient exposer les principes de ce texte.
Le PEIN à destination des personnes physiques deviendra une réalité prégnante d’ici décembre 2026 pour les organismes publics, et d’ici décembre 2027 pour les personnes privées requérant de par leur régime juridique ou contractuel une identification forte. La Commission européenne va désormais plus loin avec une proposition de Règlement concernant l’établissement d’un PEIN “Affaires« .
Tout d’abord, qu’est-ce que l’identité numérique professionnelle ?
L’identification numérique professionnelle est le processus par lequel une personne morale et/ou physique peut prouver son identité en ligne ou hors ligne dans un contexte professionnel. Elle permet notamment à une entreprise ou à une administration de s’assurer que seules les personnes autorisées ont accès à des informations sensibles ou à des systèmes critiques, ou peuvent réaliser des actions (dépôt des déclarations) et de limiter l’accès aux personnes qui ne sont pas habilitées et/ou qui n’ont pas le droit d’en connaître.
A date, peu de dispositions législatives ou réglementaires traitent de cette question pourtant cruciale dans le contexte professionnel numérique. On citera à titre d’illustration l’article 242 nonies F de l’annexe 2 du CGI concernant l’accès aux plateformes de facturation électronique où chaque utilisateur pourra recourir à un dispositif d’authentification forte avant le 31 décembre 2027 ou à un moyen d’identification de garantie substantiel au sens du Règlement eIDAS. Un guide récent établi par la Fédération des Tiers de Confiance du Numérique explicite les attentes et les évolutions dans le cadre de la facturation électronique qui concerne à plus ou moins brève échéance tous les acteurs professionnels, des très grandes aux microentreprises.
Qu’est-ce qu’un PEIN “Affaires” ?
Jusqu’à présent, l’identité numérique professionnelle pouvait être considérée comme le parent pauvre du mouvement conséquent initié par le Règlement eIDAS modifié en matière d’identité numérique. Cette initiative vise à intégrer un portefeuille européen d’identité numérique (PEIN) “Affaires” dédié à côté des PEIN eIDAS.
L’approche retenue par la proposition de Règlement concernant l’établissement d’un PEIN “Affaires« est avant tout fonctionnelle. L’article 3-1 de cette proposition définit le PEIN “Affaires” comme une solution numérique permettant à une entreprise de stocker, gérer et présenter en toute sécurité ses données d’identification et ses attestations électroniques, afin :
- d’authentifier son identité et fournir les preuves requises à une partie utilisatrice ;
- d’accéder et d’utiliser des attestations d’attributs, signatures électroniques, cachets, services de recommandés électroniques et horodatages ;
- de créer, gérer et déléguer des mandats à des représentants autorisés ;
avec la possibilité d’intégrer des fonctionnalités supplémentaires prévues par le futur Règlement.
L’article 3-7 précise que son titulaire est un opérateur économique, à savoir toute personne physique ou morale, ou tout groupe de ces personnes, y compris les associations temporaires d’entreprises, agissant à titre commercial ou professionnel pour des fins liées à leur commerce, entreprise, artisanat ou profession (art.3-4) ou un organisme du secteur public qui possède ou dispose d’un droit d’usage d’un PEIN “Affaires”.
Que permet de faire un PEIN “Affaires” ?
L’article 5-1 tel que prévu dans l’actuelle proposition précise les fonctionnalités essentielles du PEIN “Affaires”. Ainsi, il permet de :
- gérer de manière sécurisée les attestations électroniques d’attributs : émission, demande, réception, sélection, combinaison, stockage, suppression, partage et présentation ;
- divulguer de façon sélective leurs données d’identification et attributs contenus dans ces attestations ;
- échanger en toute sécurité données d’identification et attestations entre PEIN “Affaires”, PEIN et parties utilisatrices ;
- signer avec des signatures électroniques qualifiées et apposer des cachets électroniques qualifiés ;
- horodater des données électroniques via des horodatages électroniques qualifiés ;
- émettre des attestations électroniques d’attributs vers des PEIN “Affaires” et PEIN ;
- émettre des attestations via le PEIN “Affaires” du titulaire, permettant de les relier à d’autres attestations dans une chaîne ;
- utiliser des attestations électroniques qualifiées ou non pour permettre l’authentification du titulaire ou de ses représentants ;
- envoyer et recevoir des documents et données via un service de recommandé électronique qualifié garantissant confidentialité et intégrité ;
- autoriser plusieurs utilisateurs à accéder et utiliser le PEIN “Affaires”, et permettre au titulaire de gérer ou révoquer ces autorisations ;
- autoriser les parties utilisatrices à demander des attestations, et permettre au titulaire de gérer ou révoquer ces autorisations ;
- exporter leurs données (identité, attestations, journaux de communication et d’interactions) dans un format structuré, courant et lisible par machine, sur demande ou en cas de fin de service ;
- accéder au journal de toutes les transactions ;
- accéder à un tableau de bord commun pour consulter, stocker et vérifier les communications échangées via le service de recommandé électronique qualifié.
D’autres fonctionnalités peuvent être prévues par le fournisseur de PEIN “Affaires” sous réserve de ne pas interférer avec ces fonctionnalités essentielles.
Délégations de pouvoir
L’une des principales nouveautés du PEIN “Affaires” a trait à l’émergence de délégations de pouvoir/mandats sous forme électronique facilement identifiables (article 5-2). En ce sens, les fournisseurs de PEIN “Affaires” devront garantir que les données d’identification du titulaire sont correctement et numériquement liées à son PEIN “Affaires”. Ils doivent aussi assurer que les rôles et attributs associés sont vérifiables, traçables et révocables, que les conflits ou autorisations invalides sont détectés et bloqués automatiquement, et que cette pratique sera interopérable dans toute l’Union européenne.
Des interfaces techniques nombreuses
L’article 6 de la proposition impose aux fournisseurs de PEIN “Affaires” de respecter des protocoles et interfaces communs pour l’émission, l’échange, la validation et l’authentification des données d’identification et des attestations électroniques. Ils doivent garantir une sécurité renforcée (cryptographie, sécurité-by-design, gestion des actifs critiques), l’interopérabilité entre États membres et la possibilité de vérifier ou révoquer un portefeuille. L’article prévoit aussi des obligations de support, de journalisation, de transparence et de notification à la Commission, ainsi que l’adoption de standards techniques communs via des actes d’exécution.
Dès lors, cette proposition de Règlement vient compléter un cadre réglementaire déjà très dense en matière d’identité numérique et de service de confiance. D’autres aspects relatifs à la gouvernance, la gestion, les aspects internationaux y figurent. Il reste toutefois important d’indiquer qu’actuellement, contrairement au PEIN eIDAS, aucune disposition réglementaire spécifique au PEIN “Affaires” ne renvoie vers la notion de gratuité. L’année 2026, débutée il y a quelques jours, sera riche d’innovations tant techniques que juridiques. Gageons que celles-ci constituent une opportunité pour toutes les entreprises soucieuses de centraliser ses échanges avec les Administrations et les autres Entreprises.
Pascal AGOSTI, docteur en droit, avocat associé au sein de CAPRIOLI & Associéssociété membre de JURISDEFI
Les avis d’experts sont publiés sous l’entière responsabilité de leurs auteurs et n’engagent en rien la rédaction
