L'ETSI a publié le projet de spécification technique TS 119 171 " Policy and Security requirements for Providers of Electronic Attestation of Attributes Services " pour consultation publique. Le but de ce document est de spécifier les exigences pour les prestataires de services de confiance fournissant un service de délivrance d’attestations électroniques d’attributs ainsi que les exigences pour les services eux-mêmes.
Le règlement eIDAS 2.0, qui est entré en vigueur le 20 mai 2024, a introduit plusieurs nouveaux services de confiance, dont :
- l’archivage électronique de données électroniques et de documents électroniques,
- l’enregistrement de données électroniques dans des registres électroniques,
- la gestion de dispositifs de création de signature ou de cachet électronique à distance,
- la délivrance d’attestations électroniques d’attributs, et
- la validation d’attestations électroniques d’attributs
Le règlement eIDAS 2.0 définit à l'article 3 qu’une attestation électronique d’attributs est « une attestation sous forme électronique qui permet l’authentification d’attributs », et un attribut est défini comme étant « une caractéristique, une qualité, un droit ou une autorisation d’une personne physique ou morale ou d’un objet ». Des exemples d’attributs sont l’adresse, l’âge, le nom ou le diplôme académique.
L'introduction des services de délivrance et de validation d'attestations électroniques d'attributs est particulièrement importante du point de vue du portefeuille européen d'identité numérique. L'annexe V du règlement eIDAS 2.0 contient les exigences applicables aux attestations électroniques d’attributs qualifiées délivrées par un prestataire de services de confiance qualifié :
"L’attestation électronique d’attributs qualifiée contient :
a) une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que l’attestation a été délivrée comme attestation électronique d’attributs qualifiée ;
b) un ensemble de données représentant sans ambiguïté le prestataire de services de confiance qualifié délivrant l’attestation électronique d’attributs qualifiée, comprenant au moins l’État membre dans lequel ce prestataire est établi et :
i) pour une personne morale : le nom et, le cas échéant, le numéro d’immatriculation tels qu’ils figurent dans les registres officiels ;
ii) pour une personne physique : le nom de la personne ;
c) un ensemble de données représentant sans ambiguïté l’entité à laquelle se rapportent les attributs attestés ; si un pseudonyme est utilisé, cela est clairement indiqué ;
d) l’attribut ou les attributs attestés, y compris, le cas échéant, les informations nécessaires pour déterminer la portée de ces attributs;
e) des précisions sur le début et la fin de la période de validité de l’attestation ;
f) le code d’identité de l’attestation, qui doit être unique pour le prestataire de services de confiance qualifié et, le cas échéant, la mention du schéma d’attestations dont relève l’attestation d’attributs ;
g) la signature électronique qualifiée ou le cachet électronique qualifié du prestataire de services de confiance qualifié délivrant l’attestation ;
h) l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature électronique qualifiée ou le cachet électronique qualifié mentionnés au point g) ;
i) les informations ou l’emplacement des services qui peuvent être utilisés pour connaître le statut de validité de l’attestation qualifiée."
Selon l'annexe VI du règlement eIDAS 2.0, les États membres permettront aux prestataires de services de confiance qualifiés chargés de la délivrance d’attestations électroniques d’attributs de vérifier électroniquement, à la demande de l'utilisateur, l'authenticité de certains attributs par rapport à une source pertinente et authentique au niveau national (ou via des intermédiaire désignés reconnus au niveau national), en vertu du droit national ou du droit de l'Union européenne dans les cas où ces attributs sont basés sur des sources authentiques du secteur public.
Appel à commentaires :
Tous les commentaires sont attendus avant le 20 décembre 2024.
Les commentaires doivent être soumis à l'aide du modèle de commentaires ETSI ou par courrier électronique à : e-signatures_comments@list.etsi.org