Le cadre réglementaire eIDAS
Pour obtenir la certification de conformité eIDAS v2, les Prestataires de Services de Confiance (PSC) sont évalués de manière transverse et par type de service selon un référentiel strict :
- Le Socle Général : L'évaluation s'appuie obligatoirement sur la norme ETSI EN 319 401 (Exigences de politique générale applicables aux PSCo) et sur le Règlement d’exécution (UE) 2025/2530 (exigences applicables aux prestataires qualifiés).
- La Méthodologie d'Audit : Nos processus d’évaluation respectent scrupuleusement les exigences des normes ISO/IEC 17065 et ETSI EN 319 403-1 relatives au fonctionnement des organismes de certification de services de confiance.
- Le Référentiel Technique : Les critères d'audit applicables, y compris les versions précises et dates d’édition des normes ETSI, sont matérialisés dans le document disponible en ligne Q092 – Annexe 1.
Liste des Services de Confiance eIDAS V2
Le règlement européen eIDAS v2 a pour but de sécuriser toutes nos démarches en ligne. Pour cela, il définit une liste de services de confiance. Si un prestataire est certifié, ses services reçoivent un label « qualifié », ce qui leur donne une vraie valeur juridique partout en Europe.
Des services eIDAS maintenus et renforcés
Ces services existaient déjà sous la première version d'eIDAS mais restent indispensables :
- La Signature Électronique (pour les particuliers) : C'est l'équivalent numérique de votre signature manuscrite. Elle permet à une personne de signer un contrat en ligne tout en prouvant son identité et en garantissant que le contrat n'a pas été modifié après la signature.
- Le Cachet Électronique (pour les entreprises) : C'est l'équivalent numérique du tampon encreur de l'entreprise. Il permet à une société ou une administration de signer automatiquement des milliers de documents (comme des factures ou des fiches de paie) pour prouver qu'ils viennent bien d'elle.
- L'Horodatage Électronique : C'est une "horloge parlante" numérique. Ce service associe une date et une heure officielles et infalsifiables à un document ou à une action en ligne, prouvant de manière certaine qu'un document existait à un moment précis.
- L'Authentification de Site Internet (Certificats QWAC) : C'est une version haut de gamme du petit cadenas vert dans la barre d'adresse de votre navigateur. Ce certificat prouve de manière indiscutable l'identité réelle de l'entreprise qui possède le site internet (pour éviter le piratage et les faux sites bancaires ou administratifs).
- L'Envoi Recommandé Électronique (ERES) : C'est l'équivalent numérique du recommandé papier avec accusé de réception. Il apporte la preuve légale de la date et de l'heure d'envoi d'un courriel, de sa bonne réception par le destinataire, et garantit que le contenu du message n'a pas été intercepté ou modifié.
- La Validation et la Préservation : Ces services permettent de vérifier en un instant si une signature électronique ancienne était bien valide au moment où elle a été faite, et de prolonger sa validité juridique dans le temps en y ajoutant de nouvelles protections cryptographiques.
Les nouveaux services eIDAS v2
Ces services ont été créés pour s'adapter aux nouveaux usages numériques et mobiles :
- Le Portefeuille d'Identité Numérique Européen (EUDI Wallet) : C'est une application sécurisée sur smartphone (comme une version officielle et européenne de l'application "Cartes" ou "Wallet"). Elle permet à chaque citoyen de stocker sa carte d'identité, son permis de conduire ou ses diplômes pour les partager en un clic de manière sécurisée.
- Les Attestations Électroniques d'Attributs (QEAA) : Ce service permet de dématérialiser des justificatifs officiels (un diplôme universitaire, une attestation d'assurance, un extrait de registre du commerce). Ces justificatifs sont signés électroniquement par l'organisme qui les délivre pour prouver qu'ils sont vrais.
- L'Archivage Électronique Qualifié (EATS) : Ce service garantit qu'un document numérique (comme un contrat ou une facture) sera conservé en lieu sûr pendant de très longues années (10, 30 ans ou plus) sans risque de modification, de perte, ou de devenir illisible à cause de l'évolution de la technologie.
- Les Registres Électroniques (Ledgers / Blockchains) : Ce service permet d'enregistrer des données ou des transactions dans un grand registre numérique partagé. Il garantit que personne ne pourra modifier ou effacer l'historique de ce qui a été inscrit (très utile pour tracer l'origine de produits ou des transactions financières).
- La Gestion des Signatures à Distance (Remote QSCD) : Ce service permet à un utilisateur de signer un document de manière hautement sécurisée depuis son smartphone ou son ordinateur, sans avoir besoin de posséder une clé USB physique ou une carte à puce spéciale. Les clés de signature sont protégées à distance dans des serveurs ultra-sécurisés.
Les enjeux de la certification eIDAS pour les PSCo (Prestataire de Services de Confiance) ?
L’entrée en vigueur d'eIDAS v2 et de ses nouveaux règlements d'exécution transforme la conformité technique en un puissant levier de croissance. Réussir votre évaluation de conformité permet de répondre à 6 enjeux stratégiques :
- Confiance et crédibilité accrues : L'affichage du logo officiel de confiance européen atteste auprès de vos clients de la robustesse de votre gouvernance et de la maîtrise de vos risques selon la norme ETSI EN 319 401.
- Reconnaissance paneuropéenne : Vous assurez une validité légale et une interopérabilité automatique de vos services (signatures, archivage, attributs) dans l'ensemble des 27 États membres de l’UE.
- Conformité juridique maximale : Vous bénéficiez, pour la majorité des services qualifiés, d'un avantage légal historique : la présomption d’intégrité, qui opère une inversion de la charge de la preuve en votre faveur en cas de litige.
- Passeport pour les marchés publics : La qualification eIDAS v2 est un prérequis indispensable pour contracter avec les administrations publiques, les collectivités et les grands donneurs d’ordres européens.
- Sécurisation critique des données : L'audit valide l'application des standards cryptographiques les plus élevés, l'immuabilité de vos pistes d'audit et la conformité des processus réglementaires de vérification d'identité.
- Accélération de la dématérialisation : Vous offrez à vos utilisateurs des briques de confiance prêtes pour le futur, nativement compatibles avec le portefeuille européen d'identité numérique (EUDI Wallet).
À qui s'adresse la certification eIDAS ?
La certification eIDAS s'adresse à un écosystème d'acteurs de plus en plus vaste, englobant toutes les structures — publiques comme privées — qui émettent, gèrent ou intègrent des données numériques à forte valeur juridique et sécuritaire.
Elle concerne en premier lieu les Prestataires de Services de Confiance (PSC) traditionnels ou émergents (éditeurs de logiciels, tiers de confiance, autorités de certification) qui souhaitent valider la conformité de leurs solutions de signature, de cachet, d'horodatage ou d'archivage électronique. Elle s'adresse également de façon cruciale aux Administrations Publiques et aux Services de l'État (ministères, préfectures, organismes de protection sociale, universités, ordres professionnels) responsables de la gestion de sources authentiques de données.
En obtenant cette certification, ces entités publiques et privées se positionnent comme des pivots de l'identité numérique moderne, les qualifiant pour émettre des justificatifs certifiés et des Attestations Électroniques d'Attributs (QEAA) nativement compatibles et interopérables avec le futur Portefeuille européen d'identité numérique (EUDI Wallet).
Comment se déroule le processus de certification eIDAS chez LSTI ?
LSTI est inscrit sur la liste officielle de la Commission Européenne comme un Organisme d’évaluation de la conformité (OEC) accrédité pour réaliser des audits de certification eIDAS.
L’évaluation initiale se déroule de manière rigoureuse en deux étapes majeures délimitées dans le temps :
- Étape 1 : L'étude documentaire à distance Analyse approfondie de la documentation du Prestataire (PSSI, analyses de risques, politiques de services) pour évaluer le niveau de préparation et valider le périmètre contractuel. Cette phase conditionne le passage à l'étape suivante, le délai maximal entre l'étape 1 et l'étape 2 ne pouvant excéder 6 mois.
- Étape 2 : L'audit sur site (Processus, Locaux et SI) Investigations sur site par nos équipes d'auditeurs experts afin de recueillir les preuves factuelles d'application des modes opératoires : sécurité logique et physique, fiabilité cryptographique, mécanismes d’enregistrement des porteurs et conformité des infrastructures.
- Le Cycle de Surveillance : Une fois la certification accordée (valable 2 ans), un audit de surveillance est systématiquement réalisé à 12 mois pour s'assurer du maintien continu de la conformité. Un audit de renouvellement complet (Full audit) intervient avant l'échéance du certificat.
La qualification des prestataires est attribuée par les organes de contrôle des états-membres de l’Union. La qualification est prononcée sur la base d’un certificat et d'un rapport établi par un organisme d’évaluation de la conformité accrédité pour procéder à ces évaluations.
La liste de nos certifiés eIDAS est disponible sur notre moteur de recherche, sous le registre TSP.
Normes et exigences selon les services de confiance eIDAS
Liste des références au règlement eIDAS , les normes techniques et le lien vers les actes d'exécution :
| Services de Confiance (Désignation officielle) | Référence eIDAS | Normes de Référence Principales | Intitulé Officiel du Règlement d'Exécution Européen Dédié |
| Pour l'ensemble des services (Socle commun) | Transverse | ETSI EN 319 401 | Règlement d’exécution (UE) 2025/2530 fixant les exigences de sécurité et de gouvernance générales applicables aux prestataires qualifiés. |
| Délivrance de certificats de signature électronique qualifiés | Art. 3 – N°16 – A | ETSI EN 319 411-2, ETSI TS 119 461, ETSI EN 301 549 | Règlement d’exécution (UE) 2025/1943 (normes applicables aux certificats qualifiés) / Règlement d’exécution (UE) 2025/1566 (normes applicables à la vérification de l’identité et des attributs). |
| Délivrance de certificats qualifiés de cachet électronique | Art. 3 – N°16 – B | ETSI EN 319 411-2, ETSI TS 119 495, ETSI TS 119 461 | Règlement d’exécution (UE) 2025/1943 (Normes certificats) / Règlement d’exécution (UE) 2025/1566 (Vérification de l'identité). |
| Délivrance de certificats qualifiés d’authentification de site internet (QWAC) | Art. 3 – N°16 – C | ETSI EN 319 411-2, ETSI TS 119 411-5, ETSI TS 119 461 | Règlement d’exécution (UE) 2025/2527 (normes applicables aux QWAC) / Règlement d’exécution (UE) 2025/1566 (Vérification de l'identité) |
| Service de validation qualifié des signatures et cachets électroniques qualifiés | Art. 3 – N°16 – D / J / L | ETSI TS 119 441, ETSI TS 119 442, ETSI EN 319 102-1 | Règlement d’exécution (UE) 2025/1942 en ce qui concerne les normes de référence applicables aux services de validation qualifiés |
| Service qualifié de préservation des signatures et cachets électroniques qualifiés | Art. 3 – N°16 – E | ETSI TS 119 511, ETSI TS 119 512 | Règlement d’exécution (UE) 2025/1946 en ce qui concerne les normes de référence applicables aux services qualifiés de préservation |
| Création d’horodatages électroniques qualifiés | Art. 3 – N°16 – I / J | ETSI EN 319 421, ETSI EN 319 422 | Règlement d’exécution (UE) 2025/1929 en ce qui concerne l’établissement du lien entre la date/heure et la détermination de l’exactitude des horloges. |
| Fourniture de services d’envoi recommandé électronique qualifié (ERES) | Art. 3 – N°16 – K / L | ETSI EN 319 521, ETSI EN 319 522, ETSI TS 119 461 | Règlement d’exécution (UE) 2025/1944 en ce qui concerne les normes de référence applicables aux processus d’envoi/réception et à l’interopérabilité. |
| Service qualifié de gestion de dispositifs de création de signature ou cachet à distance (Remote QSCD) | Art. 3 – N°16 – C / F | ETSI TS 119 431-1, ETSI TS 119 461 | Règlement d’exécution (UE) 2025/1567 en ce qui concerne la gestion des dispositifs de création de signature ou cachet qualifiés à distance. |
| Service qualifié d’archivage électronique (EATS) | Art. 3 – N°16 – M | CEN/TS 18170, ETSI EN 319 401 | Projet d'acte d'exécution européen spécifique en cours de finalisation sectorielle. |
| Service qualifié d’enregistrement de données dans un registre électronique (Ledgers) | Art. 3 – N°16 – N | ISO 23257:2022, ISO 23635:2022 | Règlement d’exécution (UE) 2025/2531 fixant les exigences techniques et les normes de référence relatives aux registres électroniques. |
| Service qualifié de délivrance d'attestations électroniques d'attributs (QEAA) | Art. 3 – N°16 – G | ETSI TS 119 461, ETSI EN 319 401 | Règlement d’exécution (UE) 2025/1569 définissant les exigences relatives aux attestations électroniques d'attributs qualifiées. |
| Service qualifié de validation d'attestations électroniques d'attributs | Art. 3 – N°16 – H | ETSI TS 119 441, ETSI TS 119 442 | Règlement d’exécution (UE) 2025/1569 (Exigences applicables aux processus de validation et à l'interopérabilité des structures d'attributs). |
| Fourniture et gestion du portefeuille européen d'identité numérique (EUDI Wallet) | Art. 3 – N°16 – G / H | Spécifications de l'Architecture Reference Framework (ARF) | Règlement d’exécution (UE) 2024/2979 (Intégrité et fonctionnalités fondamentales) / Règlement d’exécution (UE) 2024/2982 (Protocoles et interfaces du cadre). |
Vos questions sur la certification eIDAS
-
Quelle est la différence entre la certification, la qualification et l'évaluation au sens d'eIDAS v2 ?
La certification est la décision technique et formalisée prise par un organisme tiers indépendant comme LSTI, matérialisée par un certificat de conformité attestant du respect des normes ETSI et des exigences aux actes d'exécution du réglement eIDAS.
L'évaluation représente l'ensemble des investigations factuelles menées par l'équipe d'audit.
La qualification, quant à elle, relève de la compétence régalienne exclusive de l'autorité de supervision nationale (l'ANSSI pour la France), qui s’appuie sur le rapport d'audit positif délivré par LSTI pour inscrire officiellement le prestataire sur la Trusted List européenne.
-
À partir de quand le règlement eIDAS v2 entre-t-il en vigueur ?
Le règlement eIDAS v2 est officiellement entré en vigueur le 20 mai 2024, vingt jours après sa publication au Journal officiel de l'Union européenne. Son application technique s'est concrétisée par la suite, notamment avec la production et la publication de la majorité des actes d'exécution sectoriels à la fin de l'année 2025. Ces textes d'application rendent les nouvelles exigences obligatoires pour les Prestataires de Services de Confiance (PSCo), fixant l'échéance de leur transition définitive au 15 mai 2026. -
Quelles sont les principales différences entre eIDAS et eIDAS v2 ?
Les principales différences entre eIDAS et eIDAS v2 résident dans l'élargissement majeur des services de confiance européens. eIDAS v2 introduit le Portefeuille européen d'identité numérique (EUDI Wallet) ainsi que quatre nouveaux services qualifiés : l'archivage électronique qualifié, les attestations électroniques d'attributs (QEAA), la gestion à distance des clés cryptographiques (Remote QSCD) et les registres électroniques qualifiés (Ledgers). -
Quelles est la durée d'une certification eIDAS V2 ?
La durée de validité de la certification eIDAS v2 est fixée à 2 ans. La surveillance annuelle introduite par eIDAS v2 consiste en une obligation stricte de réaliser un audit de contrôle intermédiaire à l'échéance des 12 premiers mois afin de vérifier que le prestataire maintient un niveau de sécurité et de gouvernance conforme aux exigences tout au long de son cycle de certification. -
Quelles sont les sanctions et les risques de non-conformité pour un prestataire ne respectant pas les exigences d'eIDAS v2 ?
Les sanctions et risques de non-conformité introduits par le règlement eIDAS v2 ont été considérablement durcis pour s'aligner sur la philosophie du RGPD. En cas de manquement aux obligations de sécurité ou de gouvernance validées par l'audit, les autorités de supervision nationales (comme l'ANSSI en France) peuvent prononcer le retrait immédiat du statut "qualifié" et le bannissement de la Trusted List européenne. Sur le plan financier, les Prestataires de Services de Confiance (PSC) s'exposent à des amendes administratives pouvant atteindre jusqu'à 5 millions d'euros ou 1 % du chiffre d'affaires annuel mondial global pour les prestataires qualifiés, sans compter le risque de responsabilité civile de plein droit en cas de préjudice causé à un utilisateur. -
Quelle est la valeur légale de la signature électronique ?
Selon le règlement européen eIDAS, seule la signature électronique qualifiée (SEQ) possède une équivalence juridique automatique et incontestable. Les signatures de niveau simple et avancé ont également une valeur légale intrinsèque, mais leur admissibilité en justice nécessite de prouver la fiabilité du procédé en cas de litige. Pour garantir la sécurité juridique maximale de vos contrats, la signature doit reposer sur un certificat délivré par un Prestataire de Services de Confiance (PSCo). -
Comment un éditeur de logiciel ou une plateforme SaaS peut-elle intégrer ses services au Portefeuille européen d'identité numérique (EUDI Wallet) ?
Pour intégrer ses services au Portefeuille européen d'identité numérique (EUDI Wallet), un éditeur de logiciel ou une plateforme SaaS doit se conformer aux protocoles techniques standardisés par le Règlement d'exécution (UE) 2024/2982 et s'appuyer sur l'Architecture Reference Framework (ARF). Deux voies sont possibles : soit l'éditeur agit en tant que Partie de confiance (Relying Party) pour accepter et vérifier l'identité ou les attributs partagés par le Wallet d'un utilisateur, ce qui nécessite un enregistrement obligatoire auprès de son autorité nationale, soit il souhaite émettre des données dans le Wallet, ce qui lui impose de faire certifier son service en tant que Prestataire de Services de Confiance Qualifié (PSCo) pour la délivrance d'Attestations Électroniques d'Attributs (QEAA). -
Quelles sont les obligations de souveraineté et de localisation des données imposées par eIDAS v2 pour le stockage des archives et des clés cryptographiques ?
Les obligations de souveraineté et de localisation des données imposées par le cadre réglementaire eIDAS v2 et son Règlement d'exécution (UE) 2025/2530 interdisent le stockage des informations hautement critiques hors du territoire européen. Pour l'ensemble des services qualifiés — et de manière très stricte pour l'Archivage Électronique Qualifié (EATS) et la gestion des signatures à distance (Remote QSCD) —, les infrastructures physiques de stockage des données de confiance, les pistes d'audit immuables ainsi que les modules matériels de sécurité (HSM) contenant les clés cryptographiques de l'émetteur doivent être localisés exclusivement au sein de l'Union européenne. Cette obligation vise à protéger les données d'identité des citoyens contre l'accès par des lois extraterritoriales de pays tiers.
En savoir plus
Pourquoi choisir LSTI ?

Expertise reconnue
Avec plus de vingt ans d’expérience, LSTI accompagne plus de 300 organisations en France et en Europe en tant qu’organisme de certification et centre d’évaluation de référence, intervenant dans les domaines de la cybersécurité, de la confiance numérique et de la sécurité de l’information.

Auditeurs spécialisés
Nos équipes d’auditeurs sont composées de professionnels confirmés, maîtrisant les référentiels de cybersécurité de l’ANSSI, les pratiques de management de la sécurité de l’information et les cadres de confiance numérique européens. Leur approche garantit des évaluations exigeantes, équilibrées et adaptées aux contextes opérationnels de chaque organisation.

Tiers indépendant et accompagnement dédié
Habilité par l’ANSSI, LSTI garantit impartialité, transparence et cohérence sur l’ensemble du cycle : préparation, audits, surveillances et renouvellements. Un interlocuteur dédié assure la continuité et la lisibilité du parcours de certification.




