L'articulation avec le RGS
Le Référentiel Général de Sécurité (RGS) continue aussi à s’appliquer aux échanges entre autorités administratives et usagers, à deux exceptions près :
- Les autorités administratives doivent accepter les moyens d’identification électronique non conformes au RGS mais répondant aux conditions fixées par l’article 6 du règlement eIDAS ;
- Les autorités administratives doivent accepter les signatures (respectivement les cachets) électroniques non conformes au RGS mais répondant aux conditions fixées par l’article 27 du règlement eIDAS.
Lorsqu’une autorité administrative identifie un besoin lié à la mise en œuvre d’un service de certification électronique ou d’horodatage électronique qualifié au sens du règlement eIDAS, il lui est recommandé de recourir à un service qualifié à la fois au sens du RGS et du règlement eIDAS.
Les prestataires de services de certification électronique et d’horodatage électronique qualifiés sont encouragés à poursuivre une double qualification à la fois au sens du RGS et du règlement eIDAS.
Par ailleurs, des travaux de mise à jour du RGS sont conduits afin de simplifier l’articulation de ces deux cadres règlementaires.
Les tableaux ci-dessous synthétisent l’articulation du règlement eIDAS avec le RGS.
RGS
Périmètre organisationnel : Le RGS s’applique aux échanges entre les autorités administratives et le public ainsi qu’aux échanges entre autorités administratives elles-mêmes.
Périmètre fonctionnel en matière de services de confiance : Le RGS prévoit plusieurs niveaux de qualification croissants (*, **, ***) permettant de répondre à des enjeux de sécurité distincts.
Par ailleurs le RGS intègre des exigences sur les certificats d’authentification de personnes et de machines, ainsi que sur les certificats de chiffrement et de signature de code, non couverts par le règlement eIDAS.
Usage :
Si l’appréciation des risques implique le recours à une des fonctions de sécurité prévue dans le RGS, la mise en œuvre technique de cette fonction de sécurité par l’administration doit s’appuyer sur des produits ou services conformes au RGS.
/!\ Cependant cette obligation de recours à des produits conformes ne peut être exigée pour les tiers (citoyens, entreprises) /!\
eIDAS
Périmètre organisationnel : Le règlement eIDAS s’applique aux échanges entre les organismes du secteur public et le public (citoyens, entreprises).
Périmètre fonctionnel en matière de services de confiance : Le règlement eIDAS couvre les services de validation et conservation des signatures et cachets électroniques, ainsi que d’envoi recommandé électronique, service non-couvert par le RGS.
Usage : Le règlement n’induit pas d’obligation pour les administrations de recourir à des moyens d’identification électronique notifiés ou à des services de confiance qualifiés au titre du règlement eIDAS. Le règlement se limite à fixer des exigences d’interopérabilité et de reconnaissance mutuelle des services.
