Vous tombez sur "eIDAS" partout depuis 2024 : sur les sites de signature, dans les e-mails INPI, dans les documents juridiques. C'est le sigle du règlement eIDAS 910/2014, le texte européen qui définit ce qu'est une signature électronique légalement valable. Sans lui, votre formalité INPI n'aboutirait pas.
Voici le règlement eIDAS expliqué en clair, sans jargon, avec ce qu'il faut retenir si vous êtes entrepreneur, dirigeant ou créateur d'entreprise.
Qu'est-ce que le règlement eIDAS 910/2014 ?
Le règlement (UE) n° 910/2014, dit "règlement eIDAS" (electronic IDentification, Authentication and trust Services), est entré en vigueur le 1er juillet 2016. Il a remplacé l'ancienne directive européenne 1999/93/CE sur la signature électronique.
Son objectif : créer un cadre juridique unifié dans toute l'Union européenne pour les services de confiance numériques. Concrètement, eIDAS définit :
- Les signatures électroniques et leurs niveaux (simple, avancée, qualifiée)
- Les cachets électroniques pour les personnes morales
- L'horodatage qualifié
- L'envoi recommandé électronique qualifié
- L'authentification de site web (certificats SSL/TLS qualifiés)
- Les schémas d'identification électronique (FranceConnect+, FranceIdentité, etc.)
Le règlement est directement applicable dans tous les pays de l'UE, sans transposition nationale nécessaire. C'est ce qui permet la reconnaissance mutuelle entre États.
Les principes fondamentaux d'eIDAS
1. Non-discrimination des signatures électroniques
Article 25 § 1 : "Une signature électronique ne peut être refusée comme preuve en justice au seul motif qu'elle se présente sous une forme électronique ou qu'elle ne satisfait pas aux exigences de la signature électronique qualifiée."
Autrement dit : aucune signature électronique ne peut être refusée par principe en justice. Mais sa force probante dépend de son niveau.
2. Équivalence avec la signature manuscrite (signature qualifiée)
Article 25 § 2 : "L'effet juridique d'une signature électronique qualifiée est équivalent à celui d'une signature manuscrite."
C'est le point central pour l'INPI. Une signature qualifiée a la même valeur qu'une signature manuscrite, sans aucune restriction. C'est pourquoi le Guichet Unique l'exige : c'est le seul niveau qui rend la formalité juridiquement inattaquable.
3. Reconnaissance mutuelle entre États membres
Article 25 § 3 : une signature qualifiée produite dans un État membre est reconnue comme telle dans tous les autres. Une signature qualifiée allemande, italienne ou espagnole sera donc acceptée par l'INPI français.
Les 3 niveaux de signature électronique selon eIDAS
Le règlement définit trois niveaux, hiérarchisés par leur valeur probante :
Signature électronique simple (article 3 § 10)
"Données sous forme électronique, qui sont jointes ou associées logiquement à d'autres données sous forme électronique et que le signataire utilise pour signer." C'est très large : un nom tapé au clavier, une croix sur un PDF, une case à cocher.
Signature électronique avancée (article 26)
Quatre conditions cumulatives : liée univocement au signataire, permettant son identification, créée sous le contrôle exclusif du signataire, liée aux données de manière à détecter toute modification.
Signature électronique qualifiée (article 3 § 12)
Une signature avancée + création par un dispositif qualifié (QSCD) + certificat qualifié émis par un PSCo de l'EU Trust List.
Pour la comparaison détaillée, lisez notre article : signature avancée vs qualifiée eIDAS.
Le rôle des prestataires de service de confiance (PSCo)
eIDAS introduit la notion de prestataire de service de confiance (TSP), qui peut être :
- Non qualifié : il opère sans audit officiel, peut produire des signatures avancées
- Qualifié : audité par l'autorité de supervision nationale (ANSSI en France), inscrit sur la liste de confiance
Pour produire une signature qualifiée, il faut être PSCo qualifié. Pas de raccourci. Cette exigence garantit le niveau de sécurité requis pour les actes juridiques importants.
Notre service repose sur Universign, PSCo qualifié français. C'est ce qui garantit l'acceptation INPI.
Le règlement eIDAS 2 (mise à jour 2024)
Une mise à jour importante a été adoptée en 2024 sous le nom de règlement (UE) 2024/1183, dit "eIDAS 2". Elle introduit notamment :
- Le portefeuille européen d'identité numérique (EUDI Wallet), qui permettra aux citoyens de stocker leur identité numérique sur leur smartphone
- De nouvelles catégories de services de confiance (archivage qualifié, registres électroniques, etc.)
- Le renforcement de la cybersécurité pour les PSCo
Le règlement de base (910/2014) reste en vigueur, eIDAS 2 le complète. Les signatures qualifiées existantes restent valables.
Une signature 100% conforme au règlement eIDAS
Niveau qualifié, certificat sur l'EU Trust List, prestataire français Universign.
Signer ma synthèse →Pourquoi eIDAS impose le niveau qualifié pour l'INPI ?
Les formalités INPI engagent juridiquement l'entreprise pour des décennies : un changement de statuts mal signé pourrait être attaqué pendant des années. L'État français, via le Guichet Unique, applique les principes d'eIDAS dans leur version la plus stricte :
- Identification renforcée du signataire (vidéo, OTP, FranceConnect+)
- Certificat qualifié sur l'EU Trust List
- Dispositif qualifié (QSCD)
Si l'un de ces critères manque, votre synthèse INPI sera refusée. Aucune dérogation prévue.
Les obligations des PSCo qualifiés selon eIDAS
Pour rester sur l'EU Trust List, un PSCo qualifié doit respecter en permanence (article 24) :
- Vérifier l'identité du signataire avant émission du certificat
- Tenir un registre des certificats émis
- Disposer d'un plan de cessation d'activité qui protège les utilisateurs
- Souscrire une assurance responsabilité civile conforme
- Notifier les incidents de sécurité dans les 24h
- Faire auditer ses systèmes tous les 24 mois par un organisme accrédité
Ces obligations expliquent pourquoi un service de signature qualifiée coûte plus cher qu'un service de signature simple : il y a derrière une infrastructure et un cadre conformité lourd.
Comment vérifier qu'une signature respecte eIDAS ?
Quatre options officielles :
- Validateur DSS de la Commission européenne : upload du PDF, rapport instantané
- Adobe Acrobat Reader : panneau "Signatures" → vérification du certificat
- LOTL Browser pour vérifier le PSCo dans la EU Trust List
- ANSSI : liste française des prestataires qualifiés
FAQ : règlement eIDAS
Le règlement eIDAS s'applique-t-il aux entreprises non européennes ?
Non. eIDAS encadre les signatures émises par des PSCo européens. Une signature DocuSign US ou Adobe Sign US n'est pas qualifiée au sens eIDAS, même si elle est légalement valable aux États-Unis.
Y a-t-il une obligation de signer en eIDAS qualifié ?
Pas pour tout. Pour les contrats commerciaux courants, la signature avancée suffit. Pour les formalités administratives sensibles (INPI, certains actes notariés), le qualifié est obligatoire.
Le règlement eIDAS prévoit-il des sanctions ?
Pour les PSCo qualifiés qui ne respectent pas leurs obligations : oui, jusqu'à la révocation de la qualification. Pour les utilisateurs : il n'y a pas de "sanction eIDAS" en tant que telle, mais une signature non qualifiée sera refusée par les services qui exigent ce niveau.
Combien de temps reste valable une signature qualifiée ?
La signature elle-même reste valable indéfiniment, à condition d'être horodatée et archivée. Le certificat utilisé peut expirer (3-5 ans en moyenne), mais cela n'invalide pas les signatures faites avant son expiration.
Conclusion
Le règlement eIDAS 910/2014 est la colonne vertébrale juridique de toute signature électronique en Europe. Pour vos formalités INPI — modification de statuts, dépôt de comptes, création d'entreprise — il impose la signature qualifiée et la traçabilité complète. Comprendre eIDAS, c'est comprendre pourquoi un certain niveau de signature est nécessaire, et pourquoi un service à 5 € ne peut pas suffire.