Nouveau Service de Confiance du Réglement eIDAS V2
Le règlement eIDAS v2 introduit le service de confiance qualifié de registre électronique (ledger distribué). Ce service permet d’enregistrer et de conserver des données dans un registre distribué de manière immutable, vérifiable et traçable, garantissant leur intégrité, leur authenticité et leur opposabilité dans le temps.
Il s’adresse aux organisations publiques et privées ayant besoin de prouver l’antériorité, la séquence ou l’intégrité d’informations numériques : opérateurs de services numériques, organismes publics, acteurs réglementés, prestataires blockchain, entités financières, logistiques ou d’infrastructure critique.
Réglement eIDAS V2 pour les Regisres Electroniques Qualifiés
Le cadre eIDAS v2 définit les exigences permettant de garantir la fiabilité et la continuité du service.
Le prestataire doit démontrer :
une gouvernance maîtrisée du service (processus, responsabilités, supervision) ;
une sécurité robuste couvrant l’infrastructure distribuée et les mécanismes cryptographiques ;
la traçabilité complète des opérations inscrites dans le registre ;
des mécanismes garantissant l’immutabilité et la preuve d’intégrité des données;
des modalités assurant la conservation dans la durée et la vérification indépendante des preuves.
Le service est évalué sur la base des normes européennes des Prestataires de Services de Confiance (PSC) :
| Référence | Statut | Objet | Rôle dans l’évaluation |
|---|---|---|---|
| ETSI EN 319 401 | Norme Européenne | Exigences générales applicables à tous les services de confiance | Cadre de gouvernance, organisation, sécurité et contrôle interne du prestataire |
| ETSI TS 119 535 | Spécification technique centrale | Exigences spécifiques pour les Registres Électroniques Qualifiés | Définit les propriétés attendues du registre : immuabilité, horodatage fiable, chaînage des enregistrements, prévention des altérations |
| ETSI TS 119 536 | Spécification technique pour l’audit | Critères d’évaluation et méthodes d’audit des registres qualifiés | Base directe pour l’audit de certification, structure le rapport remis à l’autorité de supervision |
Le cadre ETSI TS 119 535 impose notamment :
Chaînage cryptographique des enregistrements (hash chain / merkle tree)
Mécanismes empêchant la modification rétroactive (immutabilité)
Horodatage sécurisé (souvent appuyé sur horodatage qualifié EN 319 422)
Journalisation traçable et vérifiable
Intégrité prouvable sans dépendre d’un tiers non maîtrisé
Preuve mathématique de cohérence du ledger
La certification atteste la conformité aux normes techniques. La qualification est ensuite délivrée par l’autorité nationale de supervision, permettant l’inscription dans la Trusted List européenne (EUTL).
A qui s'adresse cette certification eIDAS
La certification s’adresse aux organisations assurant ou proposant un service de registre distribué dans un contexte nécessitant preuve, confiance et conservation durable, notamment :
prestataires blockchain / DLT opérant des registres partagés ;
opérateurs de services numériques intégrant un mécanisme de preuve d’intégrité ;
autorités publiques gérant des registres administratifs ou juridiques ;
acteurs financiers et logistiques nécessitant traçabilité opposable ;
éditeurs de solutions de gestion de flux ou transactions multi-acteurs.
La certification permet de démontrer la maîtrise du service et son alignement avec les exigences eIDAS v2.
Role de LSTI
LSTI intervient en tant qu’Organisme de Certification, en qualité de tiers indépendant. À ce titre, LSTI :
réalise l’audit d’évaluation du service d’archivage électronique,
vérifie la conformité aux exigences des normes ETSI,
établit un rapport de certification structuré et vérifiable.
La certification constitue l’élément objectif sur lequel l’autorité de supervision fonde sa décision de qualification.
