Trusted Lists eIDAS : ce que change le nouveau format applicable depuis le 29 avril 2026
La décision d'exécution (UE) 2025/2164 met à jour le format des Trusted Lists européennes depuis le 29 avril 2026. Décryptage de cette refonte technique, de ce qu'elle prépare pour eIDAS 2.0, et de ce que ça change concrètement quand vous devez vérifier le statut qualifié d'un horodatage ou d'un prestataire.
Un avocat reçoit une preuve adverse en pré-procès : un horodatage électronique présenté comme « qualifié au sens eIDAS ». Avant de décider s'il conteste, il doit vérifier deux choses : le service est-il vraiment dans les Trusted Lists européennes, et l'était-il à la date exacte de production de la preuve ? Le dashboard officiel sur lequel il avait l'habitude de cliquer vient de changer de format.
Ce changement n'est pas cosmétique. Depuis le 29 avril 2026, une nouvelle décision d'exécution européenne refond le standard technique des Trusted Lists eIDAS. C'est un point de plomberie réglementaire, mais il prépare l'arrivée d'eIDAS 2.0 et change ce que vous devez savoir pour vérifier un statut qualifié.
Si vous ne deviez retenir qu'une chose : les Trusted Lists restent le seul moyen fiable de vérifier qu'un service de confiance est qualifié. Le nouveau format ne change pas cette règle, il l'étend à de nouveaux services qui arrivent avec eIDAS 2.0.
Trusted Lists : c'est quoi, concrètement ?
Une Trusted List (TSL — Trust Service List) est un fichier XML signé, maintenu par chaque État membre de l'Union européenne, qui liste tous les prestataires de services de confiance qualifiés (QTSP) établis sur son territoire. La Commission européenne agrège ces 27 listes nationales dans son EU Trust Services Dashboard, une interface publique disponible à l'adresse eidas.ec.europa.eu/efda/tl-browser.
Concrètement, chaque entrée précise :
- Le prestataire (raison sociale, identifiant, contact)
- Le service (signature électronique qualifiée, horodatage qualifié, cachet, recommandé électronique, identification, etc.)
- Le statut (
granted,withdrawn,expired,recognised at national level) - Les dates d'octroi et, le cas échéant, de retrait du statut
- Les certificats utilisés par le service
C'est ce mécanisme qui donne tout son poids juridique au règlement eIDAS : un service inscrit avec le statut granted bénéficie de la présomption légale eIDAS (article 41 pour l'horodatage qualifié, article 25 pour la signature qualifiée). Hors Trusted List, pas de présomption — la preuve reste recevable, mais sans le bénéfice de la présomption.
Beaucoup de prestataires arborent un badge eIDAS sur leur site sans pour autant être qualifiés. Le seul juge de paix est l'inscription dans la Trusted List avec un statut granted actif. Tout le reste relève du marketing.
Ce que change la décision d'exécution (UE) 2025/2164
Le 28 octobre 2025, la Commission européenne a publié la décision d'exécution (UE) 2025/2164, qui met à jour les spécifications techniques communes auxquelles doivent se conformer les Trusted Lists des 27 États membres. La date d'application a été fixée au 29 avril 2026.
Trois changements principaux :
| Domaine | Avant 2026-04-29 | Depuis 2026-04-29 |
|---|---|---|
| Services listables | Liste fermée des services eIDAS 1 (signature, cachet, horodatage, recommandé, certificat web) | Extension aux nouveaux services eIDAS 2.0 (wallets, attestations d'attributs, registres électroniques qualifiés) |
| Sécurité des TSL | Format XML signé, schémas hérités | Renforcement des algorithmes de signature et de cachet utilisés sur les listes elles-mêmes (alignement crypto récent) |
| Référentiels techniques | Référence à des normes ETSI antérieures | Mise à jour des références ETSI pour suivre les évolutions techniques 2024-2025 |
Le texte intégral de la décision est consultable sur EUR-Lex : Décision d'exécution (UE) 2025/2164. Les annexes techniques renvoient aux normes ETSI applicables, dont ETSI TS 119 612 (qui définit le format des Trusted Lists).
Pourquoi maintenant ?
Le règlement eIDAS 2.0 (règlement UE 2024/1183, entré en application progressive depuis 2024) introduit de nouveaux services de confiance qualifiés qui n'existaient pas dans eIDAS 1 :
- European Digital Identity Wallets (EUDI Wallets) — portefeuilles d'identité numérique européens
- Electronic Attestations of Attributes (EAA) — attestations électroniques d'attributs (preuve d'âge, de diplôme, de permis…)
- Qualified Electronic Ledgers (QEL) — registres électroniques qualifiés (la catégorie qui pourrait, à terme, accueillir des services blockchain qualifiés)
Pour que ces services soient listables et vérifiables dans les Trusted Lists, il fallait étendre le format. C'est tout l'objet de cette refonte : poser les rails techniques avant l'arrivée des nouveaux services qualifiés.
Comment vérifier un statut qualifié en pratique
La méthode reste la même qu'avant la mise à jour, l'interface du Dashboard ayant été préservée. Voici la procédure recommandée pour un avocat, un DPO, un RSSI ou un juriste IT en 2026 :
- 1Identifier le prestataire et le service exactNe confondez pas le prestataire (entité juridique) et le service précis (ex. « horodatage électronique qualifié »). Un même prestataire peut avoir certains services qualifiés et d'autres non. Récupérez le nom commercial et idéalement l'identifiant ETSI du service.
- 2Ouvrir l'EU Trust Services DashboardRendez-vous sur eidas.ec.europa.eu/efda/tl-browser. C'est l'unique source officielle qui agrège les 27 Trusted Lists nationales en une interface unifiée.
- 3Filtrer par pays et type de serviceSélectionnez le pays d'établissement du prestataire et le type de service recherché (horodatage qualifié = QTimestamp, signature qualifiée = QSign, etc.). La liste retournée affiche tous les services correspondants avec leur statut courant.
- 4Croiser le statut avec la date de production de la preuveC'est l'étape critique. Une preuve produite le 12 mars 2025 doit être validée contre le statut du service à cette date précise — pas le statut actuel. Cliquez sur le service pour accéder à l'historique des statuts (granted, withdrawn, dates d'effet).
- 5Conserver la capture d'écran horodatéePour un dossier juridique, archivez une capture d'écran du Dashboard avec sa date de consultation. Cela documente votre vérification et constitue une pièce du dossier.
Un service peut être qualifié aujourd'hui et ne pas l'avoir été il y a deux ans (et inversement). Si vous validez une preuve ancienne, c'est le statut à la date de production qui compte, pas le statut actuel. Le retrait postérieur du statut n'est pas rétroactif.
Pourquoi ça compte même si vous n'utilisez pas un service qualifié
À première vue, si vous n'utilisez ni signature qualifiée ni horodatage qualifié, les Trusted Lists peuvent vous sembler abstraites. En pratique, elles vous concernent dès qu'un litige met en présence une preuve numérique, qu'elle vienne de vous ou de la partie adverse :
- Vous produisez une preuve issue d'un service qualifié → vous devez démontrer (ou être prêt à démontrer) que le service était listé
grantedà la bonne date. - L'adversaire produit une preuve présentée comme qualifiée → vous voudrez vérifier la même chose pour la contester si elle ne tient pas.
- Vous mélangez plusieurs sources (horodatage qualifié + horodatage blockchain non qualifié + témoignages) → le faisceau d'indices repose sur la solidité de chaque pièce. Connaître la mécanique des Trusted Lists vous aide à classer ce qui bénéficie de la présomption eIDAS et ce qui n'en bénéficie pas.
C'est aussi un signal pour les DPO et RSSI qui choisissent un prestataire dans le cadre d'un appel d'offres ou d'une revue annuelle : exiger l'inscription en Trusted List avec preuve d'historique est un critère de due diligence évident.
Et LegalStamp dans tout ça ?
Soyons clairs : LegalStamp n'est pas dans les Trusted Lists. Nous sommes un service d'horodatage électronique non qualifié au sens d'eIDAS. Nous ne prétendons pas l'être, et notre architecture suit une logique différente.
| Modèle | Tiers de confiance qualifié (QTSP) | Horodatage blockchain (LegalStamp) |
|---|---|---|
| Source de confiance | Le QTSP listé en Trusted List | Le réseau Bitcoin + le protocole OpenTimestamps |
| Vérifiabilité | Dépend de l'existence du QTSP et de la validité du certificat | Indépendante : la blockchain Bitcoin est vérifiable même si LegalStamp ferme |
| Présomption légale eIDAS | Oui (article 41 pour l'horodatage qualifié) | Non (présomption non automatique) |
| Coût à l'unité | Variable, généralement plusieurs euros à plusieurs dizaines d'euros | Quelques centimes (volume) à quelques euros (pack) |
| Reconnaissance jurisprudentielle | Établie par eIDAS | Renforcée par la décision du tribunal judiciaire de Marseille (mars 2025) |
Notre conviction : ces deux mondes sont complémentaires, pas opposés. Pour un cas qui exige strictement du qualifié — par exemple une procédure devant une autorité publique européenne qui réclame explicitement un horodatage qualifié eIDAS — il faut passer par un QTSP des Trusted Lists, point. Pour des preuves d'antériorité massives à coût raisonnable (livrables freelance, prospections designer, dépôts de manuscrits, sauvegardes contractuelles), un horodatage blockchain comme LegalStamp couvre la majorité des besoins, en s'appuyant sur l'article 41.1 d'eIDAS qui interdit d'écarter un horodatage au seul motif qu'il est non qualifié.
Pour comprendre la mécanique technique sous-jacente (SHA-256 local, ancrage Bitcoin, vérifiabilité indépendante), voyez notre page How it works.
Limites du dispositif Trusted Lists
Le dispositif n'est pas sans angles morts :
- Latence des mises à jour. Une Trusted List nationale peut mettre plusieurs jours à refléter un changement de statut (octroi, suspension, retrait). En cas de litige urgent, c'est un délai à anticiper.
- Hétérogénéité des États membres. Les 27 listes nationales suivent le même format, mais la profondeur d'information varie. Certains pays publient un historique riche, d'autres un statut courant minimal.
- Reconnaissance hors UE. Les Trusted Lists eIDAS valent dans l'UE et l'EEE. Hors de cette zone (États-Unis, Royaume-Uni post-Brexit, Asie), un service eIDAS qualifié n'a pas de statut juridique automatique — la reconnaissance dépend de conventions bilatérales ou d'une appréciation au cas par cas par le juge local.
- Périmètre eIDAS strict. Les Trusted Lists ne listent que les services au sens eIDAS. Un service utile mais d'une autre catégorie (par exemple un horodatage blockchain non qualifié) n'a pas vocation à y figurer — ce qui ne le disqualifie pas juridiquement, mais demande de le justifier autrement.
Conclusion
La décision d'exécution (UE) 2025/2164 ressemble à un changement de tuyauterie. Elle l'est. Mais elle pose les rails techniques pour que les nouveaux services qualifiés d'eIDAS 2.0 — wallets d'identité, attestations d'attributs, registres électroniques qualifiés — puissent être listés, vérifiés, et contestés dans les mêmes conditions que les services historiques.
Pour les avocats, DPO et juristes IT, le réflexe reste le même : passer systématiquement par l'EU Trust Services Dashboard pour vérifier un statut qualifié, et croiser ce statut avec la date exacte de production de la preuve. Les Trusted Lists évoluent ; la méthode pour les consulter, elle, reste stable.
Pour LegalStamp, cette mise à jour confirme indirectement notre positionnement : nous opérons dans une catégorie distincte (horodatage blockchain non qualifié), complémentaire des QTSP, et la suite eIDAS 2.0 ouvrira peut-être un jour la porte à des Qualified Electronic Ledgers — c'est-à-dire à des registres distribués qualifiés. D'ici là, nous restons honnêtes sur ce que nous sommes : un service rapide et abordable de preuve d'antériorité, vérifiable indépendamment, qui couvre la majorité des besoins concrets sans prétendre à un statut qu'il n'a pas.
FAQ
Disclaimer (information générale) : cet article est fourni à des fins pédagogiques et ne constitue pas un avis juridique. La vérification du statut qualifié d'un service de confiance dans un cadre contentieux doit être faite par un professionnel du droit, en croisant l'historique précis du Dashboard et la date de production de la preuve concernée.
Jeremy
Fondateur de LegalStamp, passionne par la blockchain et la protection des creations.
