This document is an excerpt from the EUR-Lex website
Document 02014R0910-20240520
Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC
Consolidated text: Règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE
Règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE
02014R0910 — FR — 20.05.2024 — 001.001
Ce texte constitue seulement un outil de documentation et n’a aucun effet juridique. Les institutions de l'Union déclinent toute responsabilité quant à son contenu. Les versions faisant foi des actes concernés, y compris leurs préambules, sont celles qui ont été publiées au Journal officiel de l’Union européenne et sont disponibles sur EUR-Lex. Ces textes officiels peuvent être consultés directement en cliquant sur les liens qui figurent dans ce document
|
RÈGLEMENT (UE) N o 910/2014 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 23 juillet 2014 (JO L 257 du 28.8.2014, p. 73) |
Modifié par:
|
|
|
Journal officiel |
||
|
n° |
page |
date |
||
|
RÈGLEMENT (UE) 2024/1183 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 11 avril 2024 |
L 1183 |
1 |
30.4.2024 |
|
RÈGLEMENT (UE) N o 910/2014 DU PARLEMENT EUROPÉEN ET DU CONSEIL
du 23 juillet 2014
sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE
CHAPITRE I
DISPOSITIONS GÉNÉRALES
Article premier
Objet
Le présent règlement vise à assurer le bon fonctionnement du marché intérieur et à offrir un niveau adéquat de sécurité des moyens d’identification électronique et des services de confiance utilisés dans l’ensemble de l’Union, afin de permettre et de faciliter l’exercice, par les personnes physiques et morales, du droit de participer à la société numérique en toute sécurité et d’accéder aux services publics et privés en ligne dans toute l’Union. Pour ce faire, le présent règlement:
fixe les conditions dans lesquelles les États membres reconnaissent les moyens d’identification électronique des personnes physiques et morales qui relèvent d’un schéma d’identification électronique notifié d’un autre État membre et fournissent et reconnaissent les portefeuilles européens d’identité numérique;
établit des règles applicables aux services de confiance, en particulier pour les transactions électroniques;
instaure un cadre juridique pour les signatures électroniques, les cachets électroniques, les horodatages électroniques, les documents électroniques, les services d’envoi recommandé électronique, les services de certificats pour l’authentification de site internet, l’archivage électronique, l’attestation électronique d’attributs, les dispositifs de création de signature électronique, les dispositifs de création de cachet électronique et les registres électroniques.
Article 2
Champ d’application
Article 3
Définitions
Aux fins du présent règlement, on entend par:
«identification électronique», le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une autre personne physique ou une personne morale;
«moyen d’identification électronique», un élément matériel et/ou immatériel qui contient des données d’identification personnelle et est utilisé pour l’authentification pour un service en ligne ou, le cas échéant, pour un service hors ligne;
«données d’identification personnelle», un ensemble de données qui sont délivrées conformément au droit de l’Union ou au droit national et qui permettent d’établir l’identité d’une personne physique ou morale, ou d’une personne physique représentant une autre personne physique ou une personne morale;
«schéma d’identification électronique», un système pour l’identification électronique en vertu duquel des moyens d’identification électronique sont délivrés à des personnes physiques ou morales ou à des personnes physiques représentant d’autres personnes physiques ou des personnes morales;
«authentification», un processus électronique qui permet de confirmer l’identification électronique d’une personne physique ou morale, ou de confirmer l’origine et l’intégrité de données sous forme électronique;
«utilisateur», une personne physique ou morale, ou une personne physique représentant une autre personne physique ou une personne morale, qui utilise des services de confiance ou des moyens d’identification électronique fournis conformément au présent règlement;
«partie utilisatrice», une personne physique ou morale qui se fie à une identification électronique, aux portefeuilles européens d’identité numérique ou à d’autres moyens d’identification électronique, ou à un service de confiance;
«organismes du secteur public», un État, une autorité régionale ou locale, un organisme de droit public ou une association constituée d’une ou de plusieurs de ces autorités ou d’un ou de plusieurs de ces organismes de droit public, ou une entité privée mandatée par au moins un ou une de ces autorités, organismes, ou associations pour fournir des services publics lorsqu’elle agit en vertu de ce mandat;
«organisme de droit public», un organisme au sens de l’article 2, paragraphe 1, point 4), de la directive 2014/24/UE du Parlement européen et du Conseil ( 2 );
«signataire», une personne physique qui crée une signature électronique;
«signature électronique», des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer;
«signature électronique avancée», une signature électronique qui satisfait aux exigences énoncées à l’article 26:
«signature électronique qualifiée», une signature électronique avancée qui est créée à l’aide d’un dispositif de création de signature électronique qualifié, et qui repose sur un certificat qualifié de signature électronique;
«données de création de signature électronique», des données uniques qui sont utilisées par le signataire pour créer une signature électronique;
«certificat de signature électronique», une attestation électronique qui associe les données de validation d’une signature électronique à une personne physique et confirme au moins le nom ou le pseudonyme de cette personne;
«certificat qualifié de signature électronique», un certificat de signature électronique, qui est délivré par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées à l’annexe I;
«service de confiance», un service électronique normalement fourni contre rémunération qui consiste en l’une des activités suivantes:
la délivrance de certificats de signature électronique, de certificats de cachet électronique, de certificats pour l’authentification de site internet ou de certificats pour la fourniture d’autres services de confiance;
la validation de certificats de signature électronique, de certificats de cachet électronique, de certificats pour l’authentification de site internet ou de certificats pour la fourniture d’autres services de confiance;
la création de signatures électroniques ou de cachets électroniques;
la validation de signatures électroniques ou de cachets électroniques;
la préservation de signatures électroniques, de cachets électroniques, de certificats de signature électronique ou de certificats de cachet électronique;
la gestion de dispositifs de création de signature électronique à distance ou de dispositifs de création de cachet électronique à distance;
la délivrance d’attestations électroniques d’attributs;
la validation d’attestations électroniques d’attributs;
la création d’horodatages électroniques;
la validation d’horodatages électroniques;
la fourniture de services d’envoi recommandé électronique;
la validation de données transmises au moyen de services d’envoi recommandé électronique, ainsi que de preuves connexes;
l’archivage électronique de données électroniques et de documents électroniques;
l’enregistrement de données électroniques dans un registre électronique;
«service de confiance qualifié», un service de confiance qui satisfait aux exigences du présent règlement;
«organisme d’évaluation de la conformité», un organisme d’évaluation de la conformité au sens de l’article 2, point 13), du règlement (CE) no 765/2008, qui est accrédité conformément audit règlement comme étant compétent pour effectuer l’évaluation de la conformité d’un prestataire de services de confiance qualifié et des services de confiance qualifiés qu’il fournit, ou comme étant compétent pour effectuer la certification de portefeuilles européens d’identité numérique ou de moyens d’identification électronique;
«prestataire de services de confiance», une personne physique ou morale qui fournit un ou plusieurs services de confiance, en tant que prestataire de services de confiance qualifié ou non qualifié;
«prestataire de services de confiance qualifié», un prestataire de services de confiance qui fournit un ou plusieurs services de confiance qualifiés et a obtenu de l’organe de contrôle le statut qualifié;
«produit», un dispositif matériel ou logiciel, ou les composants correspondants du dispositif matériel ou logiciel, qui sont destinés à être utilisés pour la fourniture de services d’identification électronique et de services de confiance;
«dispositif de création de signature électronique», un dispositif logiciel ou matériel configuré servant à créer une signature électronique;
«dispositif de création de signature électronique qualifié», un dispositif de création de signature électronique qui satisfait aux exigences énoncées à l’annexe II;
«dispositif de création de signature électronique qualifié à distance», un dispositif de création de signature électronique qualifié qui est géré par un prestataire de services de confiance qualifié conformément à l’article 29 bis, pour le compte d’un signataire;
«dispositif de création de cachet électronique qualifié à distance», un dispositif de création de cachet électronique qualifié qui est géré par un prestataire de services de confiance qualifié conformément à l’article 39 bis, pour le compte d’un créateur de cachet;
«créateur de cachet», une personne morale qui crée un cachet électronique;
«cachet électronique», des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique pour garantir l’origine et l’intégrité de ces dernières;
«cachet électronique avancé», un cachet électronique qui satisfait aux exigences énoncées à l’article 36;
«cachet électronique qualifié», un cachet électronique avancé qui est créé à l’aide d’un dispositif de création de cachet électronique qualifié et qui repose sur un certificat qualifié de cachet électronique;
«données de création de cachet électronique», des données uniques qui sont utilisées par le créateur du cachet électronique pour créer un cachet électronique;
«certificat de cachet électronique», une attestation électronique qui associe les données de validation d’un cachet électronique à une personne morale et confirme le nom de cette personne;
«certificat qualifié de cachet électronique», un certificat de cachet électronique, qui est délivré par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées à l’annexe III;
«dispositif de création de cachet électronique», un dispositif logiciel ou matériel configuré utilisé pour créer un cachet électronique;
«dispositif de création de cachet électronique qualifié», un dispositif de création de cachet électronique qui satisfait mutatis mutandis aux exigences fixées à l’annexe II;
«horodatage électronique», des données sous forme électronique qui associent d’autres données sous forme électronique à un instant particulier et établissent la preuve que ces dernières données existaient à cet instant;
«horodatage électronique qualifié», un horodatage électronique qui satisfait aux exigences fixées à l’article 42;
«document électronique», tout contenu conservé sous forme électronique, notamment un texte ou un enregistrement sonore, visuel ou audiovisuel;
«service d’envoi recommandé électronique», un service qui permet de transmettre des données entre des tiers par voie électronique, qui fournit des preuves concernant le traitement des données transmises, y compris la preuve de leur envoi et de leur réception, et qui protège les données transmises contre les risques de perte, de vol, d’altération ou de toute modification non autorisée;
«service d’envoi recommandé électronique qualifié», un service d’envoi recommandé électronique qui satisfait aux exigences fixées à l’article 44;
«certificat d’authentification de site internet», une attestation électronique qui permet d’authentifier un site internet et relie le site internet à la personne physique ou morale à laquelle le certificat est délivré;
«certificat qualifié d’authentification de site internet«, un certificat d’authentification de site internet, qui est délivré par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées à l’annexe IV;
«données de validation», des données qui servent à valider une signature électronique ou un cachet électronique;
«validation», le processus consistant à vérifier et à confirmer que les données sous forme électronique sont valides conformément au présent règlement;
«portefeuille européen d’identité numérique», un moyen d’identification électronique qui permet à l’utilisateur de stocker, de gérer et de valider en toute sécurité des données d’identification personnelle et des attestations électroniques d’attributs afin de les fournir aux parties utilisatrices et aux autres utilisateurs des portefeuilles européens d’identité numérique, et de signer au moyen de signatures électroniques qualifiées ou d’apposer des cachets au moyen de cachets électroniques qualifiés;
«attribut», une caractéristique, une qualité, un droit ou une autorisation d’une personne physique ou morale ou d’un objet;
«attestation électronique d’attributs», une attestation sous forme électronique qui permet l’authentification d’attributs;
«attestation électronique d’attributs qualifiée», une attestation électronique d’attributs qui est délivrée par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées à l’annexe V;
«attestation électronique d’attributs délivrée par un organisme du secteur public responsable d’une source authentique ou pour son compte», une attestation électronique d’attributs délivrée par un organisme du secteur public qui est responsable d’une source authentique ou par un organisme du secteur public qui est désigné par l’État membre pour délivrer de telles attestations d’attributs pour le compte des organismes du secteur public responsables de sources authentiques conformément à l’article 45 septies et à l’annexe VII;
«source authentique», un répertoire ou un système, administré sous la responsabilité d’un organisme du secteur public ou d’une entité privée, qui contient et fournit les attributs concernant une personne physique ou morale ou un objet et qui est considéré comme étant une source première de ces informations ou est reconnu comme authentique conformément au droit de l’Union ou au droit national, y compris les pratiques administratives;
«archivage électronique», un service assurant la réception, le stockage, la récupération et la suppression de données électroniques et de documents électroniques afin d’en garantir la durabilité et la lisibilité, ainsi que d’en préserver l’intégrité, la confidentialité et la preuve de l’origine pendant toute la période de préservation;
«service d’archivage électronique qualifié», un service d’archivage électronique qui est fourni par un prestataire de services de confiance qualifié et qui satisfait aux exigences prévues à l’article 45 undecies;
«label de confiance de l’UE pour le portefeuille d’identité numérique», une indication vérifiable, simple et reconnaissable, qui est communiquée de manière claire, selon laquelle un portefeuille européen d’identité numérique a été fourni conformément au présent règlement;
«authentification forte de l’utilisateur», une authentification reposant sur l’utilisation d’au moins deux facteurs d’authentification de différentes catégories relevant soit de la connaissance, à savoir quelque chose que seul l’utilisateur connaît, soit de la possession, à savoir quelque chose que seul l’utilisateur possède ou de l’inhérence, à savoir quelque chose que l’utilisateur est, qui sont indépendants en ce sens que l’atteinte portée à l’un ne compromet pas la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification;
«registre électronique», une séquence d’enregistrements de données électroniques qui garantit l’intégrité de ces enregistrements et l’exactitude du classement chronologique de ces enregistrements;
«registre électronique qualifié», un registre électronique qui est fourni par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées à l’article 45 terdecies;
«données à caractère personnel», toute information telle qu’elle est définie à l’article 4, point 1), du règlement (UE) 2016/679;
«mise en correspondance des identités», un processus selon lequel les données d’identification personnelle ou les moyens d’identification électronique sont mis en correspondance avec un compte existant appartenant à la même personne ou sont reliés à celui-ci;
«enregistrement de données», des données électroniques enregistrées avec des métadonnées connexes servant au traitement des données;
«mode hors ligne», en ce qui concerne l’utilisation de portefeuilles européens d’identité numérique, une interaction entre un utilisateur et un tiers dans un lieu physique, au moyen de technologies de proximité étroite, sans qu’il soit nécessaire que le portefeuille européen d’identité numérique accède à des systèmes distants par des réseaux de communication électronique aux fins de l’interaction.
Article 4
Principe du marché intérieur
Article 5
Pseudonymes utilisés dans les transactions électroniques
Sans préjudice des règles spécifiques du droit de l’Union ou du droit national exigeant des utilisateurs qu’ils s’identifient ou de l’effet juridique donné aux pseudonymes en droit national, l’utilisation de pseudonymes qui sont choisis par l’utilisateur n’est pas interdite.
CHAPITRE II
IDENTIFICATION ÉLECTRONIQUE
SECTION 1
Portefeuille européen d’identité numérique
Article 5 bis
Portefeuilles européens d’identité numérique
Les portefeuilles européens d’identité numérique sont fournis de l’une ou plusieurs des manières suivantes:
directement par un État membre;
sur mandat d’un État membre;
indépendamment d’un État membre tout en étant reconnus par cet État membre.
Les portefeuilles européens d’identité numérique permettent à l’utilisateur, d’une manière conviviale, transparente et qui garantit la traçabilité pour l’utilisateur:
de demander, d’obtenir, de sélectionner, de combiner, de stocker, de supprimer, de partager et de présenter en toute sécurité, sous le seul contrôle de l’utilisateur, des données d’identification personnelle et, lorsqu’il y a lieu, en combinaison avec les attestations électroniques d’attributs, de s’authentifier à l’égard de parties utilisatrices, en ligne et, le cas échéant, en mode hors ligne, en vue d’accéder à des services publics et privés, tout en veillant à ce qu’une divulgation sélective de données soit possible;
de générer des pseudonymes et de les stocker localement sous forme chiffrée dans le portefeuille européen d’identité numérique;
d’authentifier en toute sécurité le portefeuille européen d’identité numérique d’une autre personne et de recevoir et partager des données d’identification personnelle et des attestations électroniques d’attributs de manière sécurisée entre les deux portefeuilles européens d’identité numérique;
d’accéder à un journal de toutes les transactions effectuées avec le portefeuille européen d’identité numérique, au moyen d’un tableau de bord commun qui permet à l’utilisateur:
de consulter une liste à jour des parties utilisatrices avec lesquelles l’utilisateur a établi une connexion et, le cas échéant, de toutes les données échangées;
de demander facilement l’effacement par une partie utilisatrice de données à caractère personnel en vertu de l’article 17 du règlement (UE) 2016/679;
de signaler facilement une partie utilisatrice à l’autorité nationale chargée de la protection des données compétente, lorsqu’une demande de données présumée illégale ou suspecte est reçue;
de signer au moyen de signatures électroniques qualifiées ou d’apposer des cachets au moyen de cachets électroniques qualifiés;
de télécharger, dans la mesure où cela est techniquement possible, les données de l’utilisateur, l’attestation électronique d’attributs et des configurations;
d’exercer les droits de l’utilisateur à la portabilité des données.
En particulier, les portefeuilles européens d’identité numérique:
prennent en charge des protocoles et interfaces communs:
pour délivrer des données d’identification personnelle, des attestations électroniques d’attributs qualifiées et non qualifiées ou des certificats qualifiés et non qualifiés au portefeuille européen d’identité numérique;
pour permettre aux parties utilisatrices de demander et de valider des données d’identification personnelle et des attestations électroniques d’attributs;
pour partager avec les parties utilisatrices et pour présenter aux parties utilisatrices des données d’identification personnelle, des attestations électroniques d’attributs ou des données connexes divulguées de manière sélective, en ligne et, le cas échéant, en mode hors ligne;
pour permettre à l’utilisateur d’autoriser une interaction avec le portefeuille européen d’identité numérique et d’afficher un label de confiance de l’UE pour le portefeuille européen d’identité numérique;
pour enrôler l’utilisateur de manière sécurisée en recourant à un moyen d’identification électronique conformément à l’article 5 bis, paragraphe 24;
pour permettre l’interaction entre les portefeuilles européens d’identité numérique de deux personnes afin de recevoir, de valider et de partager des données d’identification personnelle et des attestations électroniques d’attributs de manière sécurisée;
pour authentifier et identifier des parties utilisatrices par la mise en œuvre de mécanismes d’authentification conformément à l’article 5 ter;
pour permettre aux parties utilisatrices de vérifier l’authenticité et la validité des portefeuilles européens d’identité numérique;
pour demander à une partie utilisatrice l’effacement de données à caractère personnel en vertu de l’article 17 du règlement (UE) 2016/679;
pour signaler une partie utilisatrice à l’autorité nationale chargée de la protection des données compétente lorsqu’une demande de données présumée illégale ou suspecte est reçue;
pour la création de signatures ou de cachets électroniques qualifiés au moyen de dispositifs de création de signature ou de cachet électroniques qualifiés;
ne fournissent aux prestataires de services de confiance chargés de la fourniture d’attestations électroniques d’attributs aucune information concernant l’utilisation de ces attestations électroniques;
veillent à ce que les parties utilisatrices puissent être authentifiées et identifiées par la mise en œuvre de mécanismes d’authentification conformément à l’article 5 ter;
satisfont aux exigences énoncées à l’article 8 quant au niveau de garantie élevé, tel qu’il est appliqué en particulier aux exigences concernant la preuve et la vérification d’identité, et à la gestion des moyens d’identification électronique et à l’authentification;
dans le cas de l’attestation électronique d’attributs intégrant des politiques de divulgation, mettent en œuvre le mécanisme approprié pour informer l’utilisateur que la partie utilisatrice ou l’utilisateur du portefeuille européen d’identité numérique qui demande cette attestation électronique d’attributs a l’autorisation d’accéder à cette attestation;
font en sorte que les données d’identification personnelle, qui sont disponibles dans le schéma d’identification électronique dans le cadre duquel le portefeuille européen d’identité numérique est fourni, représentent de manière univoque la personne physique, la personne morale, ou la personne physique représentant la personne physique ou morale, et soient associées à ce portefeuille européen d’identité numérique;
offrent à toutes les personnes physiques la possibilité de signer, par défaut et gratuitement, au moyen de signatures électroniques qualifiées.
Nonobstant le premier alinéa, point g), les États membres peuvent prévoir des mesures proportionnées pour faire en sorte que l’utilisation gratuite de signatures électroniques qualifiées par des personnes physiques soit limitée à des fins non professionnelles.
Les États membres fournissent gratuitement des mécanismes de validation afin de:
veiller à ce que l’authenticité et la validité des portefeuilles européens d’identité numérique puissent être vérifiées;
permettre aux utilisateurs de vérifier l’authenticité et la validité de l’identité des parties utilisatrices enregistrées conformément à l’article 5 ter.
Les États membres veillent à ce que la validité du portefeuille européen d’identité numérique puisse être révoquée dans les circonstances suivantes:
à la demande explicite de l’utilisateur;
lorsque la sécurité du portefeuille européen d’identité numérique a été compromise;
en cas de décès de l’utilisateur ou de cessation d’activité de la personne morale.
Le cadre technique du portefeuille européen d’identité numérique:
ne permet pas aux fournisseurs d’attestations électroniques d’attributs ou à toute autre partie, après la délivrance de l’attestation d’attributs, d’obtenir des données permettant de suivre, de relier ou de corréler les transactions ou le comportement de l’utilisateur, ou de prendre connaissance des transactions ou du comportement de l’utilisateur d’une autre manière, sauf autorisation expresse de l’utilisateur;
permet de recourir à des techniques de protection de la vie privée qui garantissent l’impossibilité d’établir des liens, lorsque l’attestation d’attributs n’exige pas l’identification de l’utilisateur.
Les États membres notifient à la Commission, dans les meilleurs délais, des informations concernant:
l’organisme chargé d’établir et de tenir à jour la liste des parties utilisatrices enregistrées qui se fient aux portefeuilles européens d’identité numérique conformément à l’article 5 ter, paragraphe 5, et l’endroit où se trouve cette liste;
les organismes chargés de fournir les portefeuilles européens d’identité numérique conformément à l’article 5 bis, paragraphe 1;
les organismes chargés de veiller à ce que les données d’identification personnelle soient associées au portefeuille européen d’identité numérique conformément à l’article 5 bis, paragraphe 5, point f);
le mécanisme permettant de valider les données d’identification personnelle visées à l’article 5 bis, paragraphe 5, point f), ainsi que l’identité des parties utilisatrices;
le mécanisme permettant de valider l’authenticité et la validité des portefeuilles européens d’identité numérique.
La Commission met les informations notifiées en vertu du premier alinéa à la disposition du public par un canal sécurisé, sous une forme portant une signature électronique ou un cachet électronique adaptée au traitement automatisé.
Article 5 ter
Parties utilisatrices du portefeuille européen d’identité numérique
La procédure d’enregistrement présente un bon rapport coût-efficacité et est proportionnée au risque. La partie utilisatrice fournit au moins:
les informations nécessaires à l’authentification des portefeuilles européens d’identité numérique, ce qui comprend au minimum:
l’État membre dans lequel la partie utilisatrice est établie; et
le nom de la partie utilisatrice et, le cas échéant, son numéro d’enregistrement tel qu’il figure dans un registre officiel, ainsi que les données d’identification de ce registre officiel;
les coordonnées de la partie utilisatrice;
l’utilisation prévue des portefeuilles européens d’identité numérique, y compris une indication des données que la partie utilisatrice doit demander aux utilisateurs.
Article 5 quater
Certification des portefeuilles européens d’identité numérique
Article 5 quinquies
Publication d’une liste des portefeuilles européens d’identité numérique certifiés
Sans préjudice de l’article 5 bis, paragraphe 18, les informations fournies par les États membres visées au paragraphe 1 du présent article comprennent au moins:
le certificat et le rapport d’évaluation de la certification du portefeuille européen d’identité numérique certifié;
une description du schéma d’identification électronique dans le cadre duquel le portefeuille européen d’identité numérique est fourni;
le régime de contrôle applicable et des informations sur le régime de responsabilité en ce qui concerne la partie fournissant le portefeuille européen d’identité numérique;
l’autorité ou les autorités responsables du schéma d’identification électronique;
les dispositions concernant la suspension ou la révocation du schéma d’identification électronique ou de l’authentification, ou des parties compromises concernées.
Article 5 sexies
Atteinte à la sécurité des portefeuilles européens d’identité numérique
Lorsque la gravité de l’atteinte à la sécurité ou de l’altération visées au premier alinéa le justifie, l’État membre retire les portefeuilles européens d’identité numérique dans les meilleurs délais.
L’État membre en informe les utilisateurs affectés, les points de contact uniques désignés en vertu de l’article 46 quater, paragraphe 1, les parties utilisatrices et la Commission.
Article 5 septies
Recours transfrontière aux portefeuilles européens d’identité numérique
SECTION 2
Schémas d’identification électronique
Article 6
Reconnaissance mutuelle
Lorsqu’une identification électronique à l’aide d’un moyen d’identification électronique et d’une authentification est exigée en vertu du droit national ou de pratiques administratives nationales pour accéder à un service en ligne fourni par un organisme du secteur public dans un État membre, le moyen d’identification électronique délivré dans un autre État membre est reconnu dans le premier État membre aux fins de l’authentification transfrontalière pour ce service en ligne, à condition que les conditions suivantes soient remplies:
la délivrance de ce moyen d’identification électronique relève d’un schéma d’identification électronique qui figure sur la liste publiée par la Commission en vertu de l’article 9;
le niveau de garantie de ce moyen d’identification électronique correspond à un niveau de garantie égal ou supérieur à celui requis par l’organisme du secteur public concerné pour accéder à ce service en ligne dans le premier État membre, à condition que le niveau de garantie de ce moyen d’identification électronique corresponde au niveau de garantie substantiel ou élevé;
l’organisme du secteur public concerné utilise le niveau de garantie substantiel ou élevé pour ce qui concerne l’accès à ce service en ligne.
Cette reconnaissance intervient au plus tard douze mois après la publication par la Commission de la liste visée au point a) du premier alinéa.
Article 7
Éligibilité pour la notification des schémas d’identification électronique
Un schéma d’identification électronique est éligible aux fins de notification en vertu de l’article 9, paragraphe 1, si toutes les conditions suivantes sont remplies:
les moyens d’identification électronique relevant du schéma d’identification électronique sont délivrés:
par l’État membre notifiant;
dans le cadre d’un mandat de l’État membre notifiant; ou
indépendamment de l’État membre notifiant et sont reconnus par cet État membre;
les moyens d’identification électronique relevant du schéma d’identification électronique peuvent être utilisés pour accéder au moins à un service qui est fourni par un organisme du secteur public et qui exige l’identification électronique dans l’État membre notifiant;
le schéma d’identification électronique et les moyens d’identification électronique délivrés dans ce cadre répondent aux exigences d’au moins un des niveaux de garantie prévus dans l’acte d’exécution visé à l’article 8, paragraphe 3;
l’État membre notifiant veille à ce que les données d’identification personnelle représentant de manière univoque la personne en question soient attribuées conformément aux spécifications techniques, aux normes et aux procédures pour le niveau de garantie concerné prévues dans l’acte d’exécution visé à l’article 8, paragraphe 3, à la personne physique ou morale visée à l’article 3, point 1), au moment de la délivrance du moyen d’identification électronique relevant de ce schéma;
la partie délivrant le moyen d’identification électronique relevant de ce schéma veille à ce que le moyen d’identification électronique soit attribué à la personne visée au point d) du présent article conformément aux spécifications techniques, aux normes et aux procédures pour le niveau de garantie concerné prévues dans l’acte d’exécution visé à l’article 8, paragraphe 3;
l’État membre notifiant veille à ce qu’une authentification en ligne soit disponible afin de permettre à toute partie utilisatrice établie sur le territoire d’un autre État membre de confirmer les données d’identification personnelle reçues sous forme électronique.
Pour les parties utilisatrices autres que des organismes du secteur public, l’État membre notifiant peut définir les conditions d’accès à cette authentification. Cette authentification transfrontalière est fournie gratuitement lorsqu’elle est effectuée en liaison avec un service en ligne fourni par un organisme du secteur public.
Les États membres n’imposent aucune exigence technique disproportionnée aux parties utilisatrices qui envisagent de procéder à cette authentification, lorsque de telles exigences empêchent ou entravent sensiblement l’interopérabilité des schémas d’identification électronique notifiés;
six mois au moins avant la notification en vertu de l’article 9, paragraphe 1, l’État membre notifiant fournit aux autres États membres aux fins de l’article 12, paragraphe 5, une description de ce schéma conformément aux modalités de procédure établies par les actes d’exécution adoptés en vertu de l’article 12, paragraphe 6;
le schéma d’identification électronique satisfait aux exigences de l’acte d’exécution visé à l’article 12, paragraphe 8.
Article 8
Niveaux de garantie des schémas d’identification électronique
Les niveaux de garantie faible, substantiel et élevé satisfont, respectivement, aux critères suivants:
le niveau de garantie faible renvoie à un moyen d’identification électronique dans le cadre d’un schéma d’identification électronique qui accorde un degré limité de fiabilité à l’identité revendiquée ou prétendue d’une personne, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l’objectif est de réduire le risque d’utilisation abusive ou d’altération de l’identité;
le niveau de garantie substantiel renvoie à un moyen d’identification électronique dans le cadre d’un schéma d’identification électronique qui accorde un degré substantiel de fiabilité à l’identité revendiquée ou prétendue d’une personne, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l’objectif est de réduire substantiellement le risque d’utilisation abusive ou d’altération de l’identité;
le niveau de garantie élevé renvoie à un moyen d’identification électronique dans le cadre d’un schéma d’identification électronique qui accorde un niveau de fiabilité à l’identité revendiquée ou prétendue d’une personne plus élevé qu’un moyen d’identification électronique ayant le niveau de garantie substantiel, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l’objectif est d’empêcher l’utilisation abusive ou l’altération de l’identité.
Ces spécifications techniques, normes et procédures minimales sont fixées par référence à la fiabilité et à la qualité des éléments suivants:
la procédure visant à prouver et vérifier l’identité des personnes physiques ou morales demandant la délivrance de moyens d’identification électronique;
la procédure de délivrance des moyens d’identification électronique demandés;
le mécanisme d’authentification au moyen duquel la personne physique ou morale utilise le moyen d’identification électronique pour confirmer son identité à une partie utilisatrice;
l’entité délivrant les moyens d’identification électronique;
tout autre organisme associé à la demande de délivrance de moyens d’identification électronique; et
les spécifications techniques et de sécurité des moyens d’identification électronique délivrés.
Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 9
Notification
L’État membre notifiant notifie les informations suivantes à la Commission et lui communique toute modification ultérieure qui leur est apportée dans les meilleurs délais:
une description du schéma d’identification électronique, y compris ses niveaux de garantie et l’entité ou les entités qui délivrent les moyens d’identification électronique relevant de ce schéma;
le régime de contrôle applicable et des informations sur la responsabilité en ce qui concerne les aspects suivants:
la partie qui délivre le moyen d’identification électronique; et
la partie qui gère la procédure d’authentification;
l’autorité ou les autorités responsables du schéma d’identification électronique;
des informations sur l’entité ou les entités qui gèrent l’enregistrement des données d’identification personnelle uniques;
une description de la façon dont il est satisfait aux exigences énoncées dans l’acte d’exécution visé à l’article 12, paragraphe 8;
une description de l’authentification visée à l’article 7, point f);
les dispositions concernant la suspension ou la révocation du schéma d’identification électronique notifié, de l’authentification ou des parties compromises concernées.
Article 10
Atteinte à la sécurité des schémas d’identification électronique
La Commission publie, dans les meilleurs délais, au Journal officiel de l’Union européenne, les modifications correspondantes apportées à la liste visée à l’article 9, paragraphe 2.
Article 11
Responsabilité
Article 11 bis
Mise en correspondance des identités transfrontière
Article 12
Interopérabilité
Le cadre d’interopérabilité satisfait aux critères suivants:
il vise à être neutre du point de vue technologique et n’opère pas de discrimination entre l’une ou l’autre des solutions techniques nationales particulières destinées à l’identification électronique au sein d’un État membre;
il suit les normes européennes et internationales, dans la mesure du possible;
il facilite la mise en œuvre de la protection de la vie privée et de la sécurité dès la conception.
▼M1 —————
Le cadre d’interopérabilité est composé:
d’une référence aux exigences techniques minimales liées aux niveaux de garantie prévus à l’article 8;
d’une table de correspondance entre les niveaux de garantie nationaux des schémas d’identification électronique notifiés et les niveaux de garantie au titre de l’article 8;
d’une référence aux exigences techniques minimales en matière d’interopérabilité;
d’une référence à un ensemble minimal de données d’identification personnelle nécessaire pour représenter de manière univoque une personne physique ou morale, ou une personne physique représentant une autre personne physique ou une personne morale, qui est disponible dans les schémas d’identification électronique;
de règles de procédure;
de dispositions pour le règlement des litiges; et
de normes opérationnelles communes de sécurité.
▼M1 —————
Article 12 bis
Certification des schémas d’identification électronique
Article 12 ter
Accès aux caractéristiques matérielles et logicielles
Lorsque les fournisseurs de portefeuilles européens d’identité numérique et les émetteurs de moyens d’identification électronique notifiés qui agissent à titre commercial ou professionnel et utilisent des services de plateforme essentiels au sens de l’article 2, point 2), du règlement (UE) 2022/1925 du Parlement européen et du Conseil ( 7 ) aux fins ou dans le cadre de la fourniture, à des utilisateurs finaux, de services liés à un portefeuille européen d’identité numérique et de moyens d’identification électronique sont des entreprises utilisatrices au sens de l’article 2, point 21), dudit règlement, les contrôleurs d’accès leur permettent notamment d’interopérer effectivement avec le même système d’exploitation, les mêmes caractéristiques matérielles et logicielles et, aux fins de l’interopérabilité, d’accéder effectivement à ce même système et à ces mêmes caractéristiques. Cette interopérabilité et cet accès effectifs sont permis gratuitement, et ce, que les caractéristiques matérielles ou logicielles fassent partie ou non du système d’exploitation, qu’elles soient disponibles ou non pour ce contrôleur d’accès ou qu’elles soient utilisées ou non par ce contrôleur d’accès dans le cadre de la fourniture de tels services, au sens de l’article 6, paragraphe 7, du règlement (UE) 2022/1925. Le présent article est sans préjudice de l’article 5 bis, paragraphe 14, du présent règlement.
CHAPITRE III
SERVICES DE CONFIANCE
SECTION 1
Dispositions générales
Article 13
Responsabilité et charge de la preuve
Il incombe à la personne physique ou morale qui invoque le dommage visé au premier alinéa de prouver que le prestataire de services de confiance non qualifié a agi intentionnellement ou par négligence.
Un prestataire de services de confiance qualifié est présumé avoir agi intentionnellement ou par négligence à moins qu’il ne prouve que le dommage visé au premier alinéa a été causé sans intention ni négligence de sa part.
Article 14
Aspects internationaux
Les actes d’exécution visés au premier alinéa sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 15
Accessibilité pour les personnes handicapées et les personnes ayant des besoins particuliers
Les moyens d’identification électronique, les services de confiance et les produits destinés à un utilisateur final qui sont utilisés pour la fourniture de ces services sont mis à disposition dans un langage clair et compréhensible, conformément à la convention des Nations unies relative aux droits des personnes handicapées et aux exigences en matière d’accessibilité prévues par la directive (UE) 2019/882, ce qui profite également aux personnes présentant des limitations fonctionnelles, telles que les personnes âgées, et les personnes ayant un accès limité aux technologies numériques.
Article 16
Sanctions
Les États membres veillent à ce que les infractions au présent règlement commises par des prestataires de services de confiance qualifiés et non qualifiés soient soumises à des amendes administratives d’un montant maximal s’élevant au moins à:
5 000 000 EUR lorsque le prestataire de services de confiance est une personne physique; ou
lorsque le prestataire de services de confiance est une personne morale, 5 000 000 EUR ou 1 % du chiffre d’affaires annuel mondial total de l’entreprise à laquelle le prestataire de services de confiance appartenait lors de l’exercice précédant l’année au cours de laquelle l’infraction a été commise, le montant le plus élevé étant retenu.
SECTION 2
Services de confiance non qualifiés
▼M1 —————
Article 19
Exigences de sécurité applicables aux prestataires de services de confiance
Lorsque l’atteinte à la sécurité ou la perte d’intégrité est susceptible de porter préjudice à une personne physique ou morale à laquelle le service de confiance a été fourni, le prestataire de services de confiance notifie aussi, dans les meilleurs délais, à la personne physique ou morale l’atteinte à la sécurité ou la perte d’intégrité.
Le cas échéant, notamment lorsqu’une atteinte à la sécurité ou une perte d’intégrité concerne deux États membres ou plus, l’organe de contrôle notifié informe les organes de contrôle des autres États membres concernés ainsi que l'ENISA.
L’organe de contrôle notifié informe le public ou exige du prestataire de services de confiance qu’il le fasse, dès lors qu’il constate qu’il est dans l’intérêt public de divulguer l’atteinte à la sécurité ou la perte d’intégrité.
La Commission peut, au moyen d’actes d’exécution:
préciser davantage les mesures visées au paragraphe 1; et
définir les formats et procédures, y compris les délais, applicables aux fins du paragraphe 2.
Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 19 bis
Exigences applicables aux prestataires de services de confiance non qualifiés
Un prestataire de services de confiance non qualifié qui fournit des services de confiance non qualifiés:
se dote des procédures appropriées et prend les mesures correspondantes pour gérer les risques juridiques, commerciaux et opérationnels ainsi que les autres risques directs ou indirects liés à la fourniture des services de confiance non qualifiés, lesquelles comprennent au moins, nonobstant l’article 21 de la directive (UE) 2022/2555, les mesures qui ont trait:
aux procédures d’enregistrement et d’enrôlement pour un service de confiance;
aux vérifications procédurales ou administratives nécessaires pour fournir des services de confiance;
à la gestion et la mise en œuvre des services de confiance;
notifie à l’organe de contrôle, aux personnes affectées identifiables, au public si cela est dans l’intérêt public et, le cas échéant, à d’autres autorités compétentes concernées, toute atteinte à la sécurité ou perturbation dans la fourniture du service ou la mise en œuvre des mesures visées au point a), i), ii) ou iii), ayant une incidence importante sur le service de confiance fourni ou sur les données à caractère personnel qui y sont conservées, dans les meilleurs délais et, en tout état de cause, au plus tard vingt-quatre heures à compter du moment où il a eu connaissance d’une atteinte à la sécurité ou d’une perturbation.
SECTION 3
Services de confiance qualifiés
Article 20
Contrôle des prestataires de services de confiance qualifiés
Si ce prestataire ne remédie pas au manquement et, le cas échéant, dans le délai fixé par l’organe de contrôle, ce dernier, lorsque cela est justifié en particulier par l’ampleur, la durée et les conséquences de ce manquement, retire le statut qualifié à ce prestataire ou au service affecté qu’il fournit.
Au plus tard le 21 mai 2025, la Commission établit, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables à ce qui suit:
l’accréditation des organismes d’évaluation de la conformité et le rapport d’évaluation de la conformité visé au paragraphe 1;
les exigences en matière d’audit en application desquelles les organismes d’évaluation de la conformité effectuent leur évaluation de la conformité, y compris une évaluation composite, des prestataires de services de confiance qualifiés visés au paragraphe 1;
les systèmes d’évaluation de la conformité utilisés par les organismes d’évaluation de la conformité pour effectuer l’évaluation de la conformité des prestataires de services de confiance qualifiés et pour fournir le rapport visé au paragraphe 1.
Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 21
Lancement d’un service de confiance qualifié
Afin de vérifier que le prestataire de services de confiance respecte les exigences énoncées à l’article 21 de la directive (UE) 2022/2555, l’organe de contrôle demande aux autorités compétentes désignées ou établies en vertu de l’article 8, paragraphe 1, de ladite directive de mener les actions de supervision nécessaires à cet égard et de fournir des informations sur leur résultat dans les meilleurs délais et, en tout état de cause, dans un délai de deux mois à compter de la réception de cette demande. Si la vérification n’est pas terminée dans un délai de deux mois à compter de la notification, ces autorités compétentes en informent l’organe de contrôle en précisant les raisons du retard et le délai nécessaire pour terminer la vérification.
Si l’organe de contrôle conclut que le prestataire de services de confiance et les services de confiance qu’il fournit respectent les exigences énoncées dans le présent règlement, il accorde le statut qualifié au prestataire de services de confiance et aux services de confiance qu’il fournit et en informe l’organisme visé à l’article 22, paragraphe 3, aux fins de la mise à jour des listes de confiance visées à l’article 22, paragraphe 1, au plus tard trois mois après la notification effectuée conformément au paragraphe 1 du présent article.
Si la vérification n’est pas terminée dans un délai de trois mois à compter de la notification, l’organe de contrôle en informe le prestataire de services de confiance en précisant les raisons du retard et le délai nécessaire pour terminer la vérification.
Article 22
Listes de confiance
Article 23
Label de confiance de l’Union pour les services de confiance qualifiés
Article 24
Exigences applicables aux prestataires de services de confiance qualifiés
Le prestataire de services de confiance qualifié procède, par des moyens appropriés, à la vérification de l’identité visée au paragraphe 1, soit directement, soit en ayant recours à un tiers, selon l’une des méthodes suivantes ou, lorsque cela est nécessaire, une combinaison de ces méthodes, conformément aux actes d’exécution visés au paragraphe 1 quater:
au moyen du portefeuille européen d’identité numérique ou d’un moyen d’identification électronique notifié qui satisfait aux exigences énoncées à l’article 8 en ce qui concerne le niveau de garantie élevé;
au moyen d’un certificat de signature électronique qualifiée ou de cachet électronique qualifié, délivré conformément au point a), c) ou d);
à l’aide d’autres méthodes d’identification qui garantissent l’identification d’une personne avec un degré de confiance élevé et dont la conformité est confirmée par un organisme d’évaluation de la conformité;
au moyen de la présence en personne de la personne physique ou d’un représentant autorisé de la personne morale, en recourant aux preuves et procédures appropriées, conformément au droit national.
Le prestataire de services de confiance qualifié procède, par des moyens appropriés, à la vérification des attributs visés au paragraphe 1, soit directement, soit en ayant recours à un tiers, selon l’une des méthodes suivantes ou, lorsque cela est nécessaire, une combinaison de ces méthodes, conformément aux actes d’exécution visés au paragraphe 1 quater:
au moyen du portefeuille européen d’identité numérique ou d’un moyen d’identification électronique notifié qui satisfait aux exigences énoncées à l’article 8 en ce qui concerne le niveau de garantie élevé;
au moyen d’un certificat de signature électronique qualifiée ou de cachet électronique qualifié, délivré conformément au paragraphe 1 bis, point a), c) ou d);
au moyen d’une attestation électronique d’attributs qualifiée;
à l’aide d’autres méthodes qui garantissent une vérification des attributs avec un degré de confiance élevé et dont la conformité est confirmée par un organisme d’évaluation de la conformité;
au moyen de la présence en personne de la personne physique ou d’un représentant autorisé de la personne morale, en recourant aux preuves et procédures appropriées, conformément au droit national.
Un prestataire de services de confiance qualifié qui fournit des services de confiance qualifiés:
informe l’organe de contrôle au moins un mois avant la mise en œuvre de toute modification dans la fourniture de ses services de confiance qualifiés, ou au moins trois mois à l’avance s’il compte cesser ces activités;
emploie du personnel et, le cas échéant, des sous-traitants qui possèdent l’expertise, la fiabilité, l’expérience et les qualifications nécessaires, qui ont reçu une formation appropriée en ce qui concerne les règles en matière de sécurité et de protection des données à caractère personnel et appliquent des procédures administratives et de gestion correspondant à des normes européennes ou internationales;
en ce qui concerne le risque de responsabilité pour dommages conformément à l’article 13, maintient des ressources financières suffisantes et/ou contracte une assurance responsabilité appropriée, conformément au droit national;
avant d’établir une relation contractuelle, informe, de manière claire, exhaustive et aisément accessible, dans un espace accessible au public et de manière individuelle, toute personne désireuse d’utiliser un service de confiance qualifié des conditions précises relatives à l’utilisation de ce service, y compris toute limite quant à son utilisation;
utilise des systèmes et des produits fiables qui sont protégés contre les modifications et assure la sécurité technique et la fiabilité des processus qu’ils prennent en charge, y compris en ayant recours à des techniques cryptographiques appropriées;
utilise des systèmes fiables pour stocker les données qui lui sont fournies, sous une forme vérifiable de manière que:
les données ne soient publiquement disponibles pour des traitements qu’après avoir obtenu le consentement de la personne concernée par ces données;
seules des personnes autorisées puissent introduire des données et modifier les données conservées;
l’authenticité des données puisse être vérifiée.
nonobstant l’article 21 de la directive (UE) 2022/2555, se dote des procédures appropriées et prend les mesures correspondantes pour gérer les risques juridiques, commerciaux et opérationnels ainsi que les autres risques directs ou indirects liés à la fourniture du service de confiance qualifié, y compris, au moins, des mesures ayant trait:
aux procédures d’enregistrement et d’enrôlement pour un service;
aux vérifications procédurales ou administratives;
à la gestion et à la mise en œuvre des services.
notifie à l’organe de contrôle, aux personnes affectées identifiables, à d’autres organismes compétents concernés le cas échéant et, à la demande de l’organe de contrôle, au public si cela est dans l’intérêt public, toute atteinte à la sécurité ou perturbation dans la fourniture du service ou la mise en œuvre des mesures visées au point f bis), i), ii) ou iii), ayant une incidence importante sur le service de confiance fourni ou sur les données à caractère personnel qui y sont conservées, dans les meilleurs délais et en tout état de cause dans les vingt-quatre heures à compter de l’incident;
prend des mesures appropriées contre la falsification, le vol ou le détournement de données ou le fait d’effacer, de modifier ou de rendre inaccessibles des données sans en avoir le droit;
enregistre et maintient accessibles aussi longtemps que nécessaire après que les activités du prestataire de services de confiance qualifié ont cessé, toutes les informations pertinentes concernant les données délivrées et reçues par le prestataire de services de confiance qualifié, aux fins de pouvoir fournir des preuves en justice et aux fins d’assurer la continuité du service. Ces enregistrements peuvent être effectués par voie électronique;
a un plan actualisé d’arrêt d’activité afin d’assurer la continuité du service conformément à des dispositions qui sont vérifiées par l’organe de contrôle en vertu de l’article 46 ter, paragraphe 4, point i);
▼M1 —————
au cas où le prestataire de services de confiance qualifié délivre des certificats qualifiés, établit et tient à jour une base de données relative aux certificats.
L’organe de contrôle peut demander des informations en plus de celles notifiées conformément au point a) du premier alinéa ou le résultat d’une évaluation de la conformité, et peut assortir de conditions l’octroi de l’autorisation de mettre en œuvre les modifications qu’il est envisagé d’apporter aux services de confiance qualifiés. Si la vérification n’est pas terminée dans un délai de trois mois à compter de la notification, l’organe de contrôle en informe le prestataire de services de confiance en précisant les raisons du retard et le délai nécessaire pour terminer la vérification.
Article 24 bis
Reconnaissance des services de confiance qualifiés
SECTION 4
Signatures électroniques
Article 25
Effets juridiques des signatures électroniques
▼M1 —————
Article 26
Exigences relatives à une signature électronique avancée
Une signature électronique avancée satisfait aux exigences suivantes:
être liée au signataire de manière univoque;
permettre d’identifier le signataire;
avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif; et
être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.
Article 27
Signatures électroniques dans les services publics
▼M1 —————
Article 28
Certificats qualifiés de signature électronique
Sous réserve des conditions suivantes, les États membres peuvent établir des règles nationales relatives à la suspension temporaire d’un certificat qualifié de signature électronique:
si un certificat qualifié de signature électronique a été temporairement suspendu, ce certificat perd sa validité pendant la période de suspension.
la période de suspension est clairement indiquée dans la base de données relative aux certificats et le statut de suspension est visible, pendant la période de suspension, auprès du service fournissant les informations sur le statut du certificat.
Article 29
Exigences applicables aux dispositifs de création de signature électronique qualifiés
Article 29 bis
Exigences applicables aux services qualifiés de gestion de dispositifs de création de signature électronique qualifiés à distance
La gestion d’un dispositif de création de signature électronique qualifié à distance en tant que service qualifié n’est effectuée que par un prestataire de services de confiance qualifié qui:
génère ou gère des données de création de signature électronique pour le compte du signataire;
nonobstant l’annexe II, point 1 d), reproduit les données de création de signature électronique uniquement à des fins de sauvegarde, sous réserve du respect des exigences suivantes:
le niveau de sécurité des ensembles de données reproduits doit être équivalent à celui des ensembles de données d’origine;
le nombre d’ensembles de données reproduits ne doit pas excéder le minimum nécessaire pour assurer la continuité du service;
respecte les exigences énoncées dans le rapport de certification du dispositif de création de signature électronique qualifié à distance concerné, délivré en vertu de l’article 30.
Article 30
Certification des dispositifs de création de signature électronique qualifiés
La certification visée au paragraphe 1 est fondée sur l’un des éléments suivants:
un processus d’évaluation de la sécurité mis en œuvre conformément à l’une des normes relatives à l’évaluation de la sécurité des produits informatiques figurant sur la liste établie conformément au deuxième alinéa; ou
un processus autre que le processus visé au point a), à condition qu’il recoure à des niveaux de sécurité comparables et que l’organisme public ou privé visé au paragraphe 1 notifie ce processus à la Commission. Ledit processus ne peut être utilisé qu’en l’absence des normes visées au point a) ou lorsqu’un processus d’évaluation de la sécurité visé au point a) est en cours.
La Commission établit, au moyen d’actes d’exécution, une liste de normes relatives à l’évaluation de la sécurité des produits informatiques visés au point a). Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 31
Publication d’une liste des dispositifs de création de signature électronique qualifiés certifiés
Article 32
Exigences applicables à la validation des signatures électroniques qualifiées
Le processus de validation d’une signature électronique qualifiée confirme la validité d’une signature électronique qualifiée à condition que:
le certificat sur lequel repose la signature ait été, au moment de la signature, un certificat qualifié de signature électronique conforme à l’annexe I;
le certificat qualifié ait été délivré par un prestataire de services de confiance qualifié et était valide au moment de la signature;
les données de validation de la signature correspondent aux données communiquées à la partie utilisatrice;
l’ensemble unique de données représentant le signataire dans le certificat soit correctement fourni à la partie utilisatrice;
l’utilisation d’un pseudonyme soit clairement indiquée à la partie utilisatrice, si un pseudonyme a été utilisé au moment de la signature;
la signature électronique ait été créée par un dispositif de création de signature électronique qualifié;
l’intégrité des données signées n’ait pas été compromise;
les exigences prévues à l’article 26 aient été satisfaites au moment de la signature.
La validation des signatures électroniques qualifiées est présumée respecter les exigences fixées au premier alinéa du présent paragraphe lorsqu’elle respecte les normes, spécifications et procédures visées au paragraphe 3.
Article 32 bis
Exigences applicables à la validation des signatures électroniques avancées reposant sur des certificats qualifiés
Le processus de validation d’une signature électronique avancée reposant sur un certificat qualifié confirme la validité d’une signature électronique avancée reposant sur un certificat qualifié, à condition que:
le certificat sur lequel repose la signature ait été, au moment de la signature, un certificat qualifié de signature électronique conforme à l’annexe I;
le certificat qualifié ait été délivré par un prestataire de services de confiance qualifié et était valide au moment de la signature;
les données de validation de la signature correspondent aux données communiquées à la partie utilisatrice;
l’ensemble unique de données représentant le signataire dans le certificat soit correctement fourni à la partie utilisatrice;
l’utilisation d’un pseudonyme soit clairement indiquée à la partie utilisatrice, si un pseudonyme a été utilisé au moment de la signature;
l’intégrité des données signées n’ait pas été compromise;
les exigences prévues à l’article 26 aient été respectées au moment de la signature.
Article 33
Service de validation qualifié des signatures électroniques qualifiées
Un service de validation qualifié des signatures électroniques qualifiées ne peut être fourni que par un prestataire de services de confiance qualifié qui:
fournit une validation en conformité avec l’article 32, paragraphe 1; et
permet aux parties utilisatrices de recevoir le résultat du processus de validation d’une manière automatisée, fiable, efficace et portant la signature électronique avancée ou le cachet électronique avancé du prestataire qui fournit le service de validation qualifié.
Article 34
Service de conservation qualifié des signatures électroniques qualifiées
SECTION 5
Cachets électroniques
Article 35
Effets juridiques des cachets électroniques
▼M1 —————
Article 36
Exigences du cachet électronique avancé
Un cachet électronique avancé satisfait aux exigences suivantes:
être lié au créateur du cachet de manière univoque;
permettre d’identifier le créateur du cachet;
avoir été créé à l’aide de données de création de cachet électronique que le créateur du cachet peut, avec un niveau de confiance élevé, utiliser sous son contrôle pour créer un cachet électronique; et
être lié aux données auxquelles il est associé de telle sorte que toute modification ultérieure des données soit détectable.
Article 37
Cachets électroniques dans les services publics
▼M1 —————
Article 38
Certificats qualifiés de cachet électronique
Sous réserve des conditions suivantes, les États membres peuvent établir des règles nationales relatives à la suspension temporaire de certificats qualifiés de cachet électronique:
si un certificat qualifié de cachet électronique a été temporairement suspendu, ce certificat perd sa validité pendant la période de suspension;
la période de suspension est clairement indiquée dans la base de données relative aux certificats et le statut de suspension est visible, pendant la période de suspension, auprès du service fournissant les informations sur le statut du certificat.
Article 39
Dispositifs de création de cachet électronique qualifiés
Article 39 bis
Exigences applicables aux services qualifiés de gestion de dispositifs de création de cachet électronique qualifiés à distance
L’article 29 bis s’applique mutatis mutandis aux services qualifiés de gestion de dispositifs de création de cachet électronique qualifiés à distance.
Article 40
Validation et conservation des cachets électroniques qualifiés
Les articles 32, 33 et 34 s’appliquent mutatis mutandis à la validation et à la conservation des cachets électroniques qualifiés.
Article 40 bis
Exigences applicables à la validation des cachets électroniques avancés reposant sur des certificats qualifiés
L’article 32 bis s’applique mutatis mutandis à la validation des cachets électroniques avancés reposant sur des certificats qualifiés.
SECTION 6
Horodatage électronique
Article 41
Effet juridique des horodatages électroniques
▼M1 —————
Article 42
Exigences applicables aux horodatages électroniques qualifiés
Un horodatage électronique qualifié satisfait aux exigences suivantes:
il lie la date et l’heure aux données de manière à raisonnablement exclure la possibilité de modification indétectable des données;
il est fondé sur une horloge exacte liée au temps universel coordonné; et
il est signé au moyen d’une signature électronique avancée ou cacheté au moyen d’un cachet électronique avancé du prestataire de services de confiance qualifié, ou par une méthode équivalente.
SECTION 7
Services d’envoi recommandé électronique
Article 43
Effet juridique d’un service d’envoi recommandé électronique
Article 44
Exigences applicables aux services d’envoi recommandé électronique qualifiés
Les services d’envoi recommandé électronique qualifiés satisfont aux exigences suivantes:
ils sont fournis par un ou plusieurs prestataires de services de confiance qualifiés;
ils garantissent l’identification de l’expéditeur avec un degré de confiance élevé;
ils garantissent l’identification du destinataire avant la fourniture des données;
l’envoi et la réception de données sont sécurisés par une signature électronique avancée ou par un cachet électronique avancé d’un prestataire de services de confiance qualifié, de manière à exclure toute possibilité de modification indétectable des données;
toute modification des données nécessaire pour l’envoi ou la réception de celles-ci est clairement signalée à l’expéditeur et au destinataire des données;
la date et l’heure d’envoi, de réception et toute modification des données sont indiquées par un horodatage électronique qualifié.
Dans le cas où les données sont transférées entre deux prestataires de services de confiance qualifiés ou plus, les exigences fixées aux points a) à f) s’appliquent à tous les prestataires de services de confiance qualifiés.
SECTION 8
Authentification de site internet
Article 45
Exigences applicables aux certificats qualifiés d’authentification de site internet
Article 45 bis
Mesures conservatoires en matière de cybersécurité
SECTION 9
Attestation électronique d’attributs
Article 45 ter
Effets juridiques de l’attestation électronique d’attributs
Article 45 quater
Attestation électronique d’attributs dans les services publics
Lorsqu’une identification électronique à l’aide d’un moyen d’identification électronique et d’une authentification est exigée par application du droit national pour accéder à un service en ligne fourni par un organisme du secteur public, les données d’identification personnelle dans l’attestation électronique d’attributs ne se substituent pas à l’identification électronique à l’aide d’un moyen d’identification électronique et à l’authentification pour une identification électronique, à moins que cela ne soit expressément autorisé par l’État membre. En pareil cas, les attestations électroniques d’attributs qualifiées délivrées dans d’autres États membres sont également acceptées.
Article 45 quinquies
Exigences applicables aux attestations électroniques d’attributs qualifiées
Article 45 sexies
Vérification des attributs par rapport aux sources authentiques
Article 45 septies
Exigences applicables aux attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte
Une attestation électronique d’attributs délivrée par un organisme du secteur public responsable d’une source authentique ou pour son compte satisfait aux exigences suivantes:
celles prévues à l’annexe VII;
le certificat qualifié à l’appui de la signature électronique qualifiée ou du cachet électronique qualifié de l’organisme du secteur public visé à l’article 3, point 46, identifié en tant qu’émetteur visé à l’annexe VII, point b), contenant un ensemble spécifique d’attributs certifiés sous une forme adaptée au traitement automatisé et:
indiquant que l’organisme émetteur est établi, conformément au droit de l’Union ou au droit national, comme étant le responsable de la source authentique sur la base de laquelle l’attestation électronique d’attributs est délivrée ou en tant qu’organisme désigné pour agir pour son compte;
fournissant un ensemble de données représentant sans ambiguïté la source authentique visée au point i); et
identifiant le droit de l’Union ou le droit national visé au point i).
Article 45 octies
Délivrance d’attestations électroniques d’attributs aux portefeuilles européens d’identité numérique
Article 45 nonies
Règles supplémentaires applicables à la fourniture de services d’attestation électronique d’attributs
SECTION 10
Services d’archivage électronique
Article 45 decies
Effet juridique des services d’archivage électronique
Article 45 undecies
Exigences applicables aux services d’archivage électronique qualifiés
Les services d’archivage électronique qualifiés satisfont aux exigences suivantes:
ils sont fournis par des prestataires de services de confiance qualifiés;
ils utilisent des procédures et des technologies pouvant assurer la durabilité et la lisibilité des données électroniques et des documents électroniques au-delà de la période de validité technologique et au moins tout au long de la période de préservation légale ou contractuelle, tout en préservant leur intégrité et l’exactitude de leur origine;
ils garantissent que ces données électroniques et ces documents électroniques sont préservés de manière à être protégés contre les pertes et les altérations, à l’exception des modifications concernant leur support ou leur format électronique;
ils permettent aux parties utilisatrices autorisées de recevoir un rapport de manière automatisée confirmant que des données électroniques et des documents électroniques extraits d’une archive électronique qualifiée bénéficient d’une présomption quant à l’intégrité des données depuis le début de la période de préservation jusqu’au moment de l’extraction.
Le rapport visé au premier alinéa, point d), est fourni de manière fiable et efficace, et il porte la signature électronique qualifiée ou le cachet électronique qualifié du prestataire du service d’archivage électronique qualifié.
SECTION 11
Registres électroniques
Article 45 duodecies
Effets juridiques des registres électroniques
Article 45 terdecies
Exigences applicables aux registres électroniques qualifiés
Les registres électroniques qualifiés satisfont aux exigences suivantes:
ils sont créés et gérés par un ou plusieurs prestataires de services de confiance qualifiés;
ils établissent l’origine des enregistrements de données dans le registre;
ils garantissent le classement chronologique séquentiel unique des enregistrements de données dans le registre;
ils enregistrent les données de telle sorte que toute modification ultérieure des données est immédiatement détectable, assurant ainsi leur intégrité dans le temps.
CHAPITRE IV
DOCUMENTS ÉLECTRONIQUES
Article 46
Effets juridiques des documents électroniques
L’effet juridique et la recevabilité d’un document électronique comme preuve en justice ne peuvent être refusés au seul motif que ce document se présente sous une forme électronique.
CHAPITRE IV BIS
CADRE DE GOUVERNANCE
Article 46 bis
Contrôle du cadre pour les portefeuilles européens d’identité numérique
Les organes de contrôle désignés en vertu du premier alinéa sont investis des pouvoirs nécessaires et dotés des ressources adéquates pour leur permettre d’accomplir leurs tâches de manière effective, efficace et indépendante.
Le rôle des organes de contrôle désignés en vertu du paragraphe 1 consiste:
à contrôler les fournisseurs de portefeuilles européens d’identité numérique établis sur le territoire de l’État membre qui a procédé à la désignation et à s’assurer, au moyen d’activités de contrôle a priori et a posteriori, que ces fournisseurs et les portefeuilles européens d’identité numérique qu’ils fournissent satisfont aux exigences fixées dans le présent règlement;
à prendre des mesures, si nécessaire, en ce qui concerne les fournisseurs de portefeuilles européens d’identité numérique établis sur le territoire de l’État membre qui a procédé à la désignation, au moyen d’activités de contrôle a posteriori, lorsqu’ils sont informés que les fournisseurs ou les portefeuilles européens d’identité numérique qu’ils fournissent enfreignent le présent règlement.
Les tâches des organes de contrôle désignés en vertu du paragraphe 1 consistent notamment:
à coopérer avec d’autres organes de contrôle et à leur apporter assistance conformément aux articles 46 quater et 46 sexies;
à demander les informations nécessaires pour contrôler le respect du présent règlement;
à informer les autorités compétentes concernées, désignées ou établies en vertu de l’article 8, paragraphe 1, de la directive (UE) 2022/2555, des États membres concernés de toute atteinte à la sécurité importante ou perte d’intégrité dont ils prennent connaissance dans l’exécution de leurs tâches et, en cas d’atteinte à la sécurité importante ou de perte d’intégrité qui concerne d’autres États membres, à informer le point de contact unique, désigné ou établi en vertu de l’article 8, paragraphe 3, de la directive (UE) 2022/2555, de l’État membre concerné et les points de contact uniques, désignés en vertu de l’article 46 quater, paragraphe 1, du présent règlement, dans les autres États membres concernés, et à informer le public ou à exiger des fournisseurs de portefeuilles européens d’identité numérique qu’ils procèdent à cette information, lorsque l’organe de contrôle constate qu’il serait dans l’intérêt public de divulguer l’atteinte à la sécurité ou la perte d’intégrité;
à effectuer des inspections sur place et des contrôles hors site;
à exiger que les fournisseurs de portefeuilles européens d’identité numérique remédient à tout manquement aux exigences fixées dans le présent règlement;
à suspendre ou à annuler l’enregistrement et l’inclusion des parties utilisatrices dans le mécanisme visé à l’article 5 ter, paragraphe 7, en cas d’utilisation illégale ou frauduleuse du portefeuille européen d’identité numérique;
à coopérer avec les autorités de contrôle compétentes instituées en vertu de l’article 51 du règlement (UE) 2016/679, en particulier en les informant dans les meilleurs délais lorsqu’il apparaît que les règles en matière de protection des données à caractère personnel ont été enfreintes, et en cas d’atteintes à la sécurité dont il apparaît qu’elles constituent des violations de données à caractère personnel.
Article 46 ter
Contrôle des services de confiance
Les organes de contrôle désignés en vertu du premier alinéa sont investis des pouvoirs nécessaires et dotés des ressources adéquates pour l’accomplissement de leurs tâches.
Le rôle des organes de contrôle désignés en vertu du paragraphe 1 consiste:
à contrôler les prestataires de services de confiance qualifiés établis sur le territoire de l’État membre qui a procédé à la désignation, et à s’assurer, au moyen d’activités de contrôle a priori et a posteriori, que ces prestataires de services de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent satisfont aux exigences fixées dans le présent règlement;
à prendre des mesures, si nécessaire, en ce qui concerne les prestataires de services de confiance non qualifiés établis sur le territoire de l’État membre qui a procédé à la désignation, au moyen d’activités de contrôle a posteriori, lorsqu’ils sont informés que ces prestataires de services de confiance non qualifiés ou les services de confiance qu’ils fournissent ne satisferaient pas aux exigences fixées dans le présent règlement.
Les tâches des organes de contrôle désignés en vertu du paragraphe 1 consistent notamment:
à informer les autorités compétentes concernées, désignées ou établies en vertu de l’article 8, paragraphe 1, de la directive (UE) 2022/2555, des États membres concernés de toute atteinte à la sécurité importante ou de perte d’intégrité dont ils prennent connaissance dans l’exécution de leurs tâches et, en cas d’atteinte à la sécurité importante ou de perte d’intégrité qui concerne d’autres États membres, à informer le point de contact unique, désigné ou établi en vertu de l’article 8, paragraphe 3, de la directive (UE) 2022/2555, de l’État membre concerné et les points de contact uniques, désignés en vertu de l’article 46 quater, paragraphe 1, du présent règlement, dans les autres États membres concernés, et à informer le public ou à exiger du prestataire de services de confiance qu’il procède à cette information, lorsque l’organe de contrôle constate qu’il serait dans l’intérêt public de divulguer l’atteinte à la sécurité ou la perte d’intégrité;
à coopérer avec d’autres organes de contrôle et à leur apporter assistance conformément aux articles 46 quater et 46 sexies;
à analyser les rapports d’évaluation de la conformité visés à l’article 20, paragraphe 1, et à l’article 21, paragraphe 1;
à présenter un rapport à la Commission sur ses principales activités conformément au paragraphe 6 du présent article;
à procéder à des audits ou à demander à un organisme d’évaluation de la conformité d’effectuer une évaluation de la conformité des prestataires de services de confiance qualifiés conformément à l’article 20, paragraphe 2;
à coopérer avec les autorités de contrôle compétentes instituées en vertu de l’article 51 du règlement (UE) 2016/679, en particulier en les informant, dans les meilleurs délais, lorsqu’il apparaît que les règles en matière de protection des données à caractère personnel ont été violées, et en cas d’atteintes à la sécurité dont il apparaît qu’elles constituent des violations de données à caractère personnel;
à accorder le statut qualifié aux prestataires de services de confiance et aux services qu’ils fournissent et à retirer ce statut conformément aux articles 20 et 21;
à informer l’organisme chargé de la liste nationale de confiance visée à l’article 22, paragraphe 3, de ses décisions d’accorder ou de retirer le statut qualifié, à moins que cet organisme ne soit également l’organe de contrôle désigné en vertu du paragraphe 1 du présent article;
à vérifier l’existence et l’application correcte de dispositions relatives aux plans d’arrêt d’activité lorsque le prestataire de services de confiance qualifié cesse son activité, y compris la façon dont les informations restent accessibles conformément à l’article 24, paragraphe 2, point h);
à exiger que les prestataires de services de confiance remédient à tout manquement aux exigences fixées dans le présent règlement;
à enquêter sur les plaintes introduites par les fournisseurs de navigateurs internet en application de l’article 45 bis et à prendre des mesures si nécessaire.
Article 46 quater
Points de contact uniques
Article 46 quinquies
Assistance mutuelle
L’assistance mutuelle implique au moins que:
l’organe de contrôle qui applique des mesures de contrôle et d’exécution dans un État membre informe et consulte l’organe de contrôle de l’autre État membre concerné;
un organe de contrôle peut demander à l’organe de contrôle d’un autre État membre concerné de prendre des mesures de contrôle ou d’exécution, y compris, par exemple, introduire une demande d’inspection liée aux rapports d’évaluation de la conformité visés aux articles 20 et 21 en ce qui concerne la fourniture de services de confiance;
le cas échéant, les organes de contrôle peuvent mener des enquêtes conjointes avec les organes de contrôle d’autres États membres.
Les modalités et procédures concernant les actions conjointes visées au premier alinéa sont approuvées et établies par les États membres concernés conformément à leur droit national.
Un organe de contrôle saisi d’une demande d’assistance peut refuser cette demande sur la base d’un des motifs suivants:
l’assistance demandée n’est pas proportionnée aux activités de contrôle de l’organe de contrôle effectuées conformément aux articles 46 bis et 46 ter;
l’organe de contrôle n’est pas compétent pour fournir l’assistance demandée;
la fourniture de l’assistance demandée serait incompatible avec le présent règlement.
Article 46 sexies
Groupe de coopération européen en matière d’identité numérique
Le groupe de coopération est chargé des tâches suivantes:
échanger des conseils et coopérer avec la Commission sur les nouvelles initiatives politiques dans le domaine des portefeuilles d’identité numérique, des moyens d’identification électronique et des services de confiance;
conseiller la Commission, le cas échéant, à un stade précoce de la préparation de projets d’actes d’exécution et d’actes délégués à adopter en application du présent règlement;
afin d’aider les organes de contrôle dans la mise en œuvre des dispositions du présent règlement:
échanger des bonnes pratiques et des informations concernant la mise en œuvre des dispositions du présent règlement;
évaluer les évolutions pertinentes dans les secteurs du portefeuille d’identité numérique, de l’identification électronique et des services de confiance;
organiser des réunions conjointes avec les parties intéressées de toute l’Union en vue de discuter des activités menées par le groupe de coopération et de recueillir des contributions sur les nouveaux enjeux stratégiques;
procéder, avec le soutien de l’ENISA, à des échanges de vues, de bonnes pratiques et d’informations sur des aspects pertinents pour la cybersécurité concernant les portefeuilles européens d’identité numérique, les schémas d’identification électronique et les services de confiance;
échanger des bonnes pratiques en ce qui concerne l’élaboration et la mise en œuvre de politiques relatives à la notification des atteintes à la sécurité, et les mesures communes visées aux articles 5 sexies et 10;
organiser des réunions conjointes avec le groupe de coopération SRI institué en vertu de l’article 14, paragraphe 1, de la directive (UE) 2022/2555 afin d’échanger des informations pertinentes relatives aux cybermenaces, incidents, vulnérabilités, initiatives de sensibilisation, formations, exercices et compétences, renforcement des capacités, capacités en matière de normes et de spécifications techniques, ainsi qu’aux normes et spécifications techniques, en lien avec les services de confiance et l’identification électronique;
examiner, à la demande d’un organe de contrôle, les demandes spécifiques d’assistance mutuelle visées à l’article 46 quinquies;
faciliter l’échange d’informations entre les organes de contrôle en fournissant des orientations relatives aux aspects organisationnels et aux procédures concernant l’assistance mutuelle visée à l’article 46 quinquies;
organiser des examens par les pairs des schémas d’identification électronique devant être notifiés au titre du présent règlement.
CHAPITRE V
DÉLÉGATIONS DE POUVOIR ET DISPOSITIONS D’EXÉCUTION
Article 47
Exercice de la délégation
Article 48
Comité
CHAPITRE VI
DISPOSITIONS FINALES
Article 48 bis
Exigences en matière de rapports
Les statistiques recueillies conformément au paragraphe 1 incluent les éléments suivants:
le nombre de personnes physiques et morales ayant un portefeuille européen d’identité numérique valide;
le type et le nombre de services acceptant l’utilisation du portefeuille européen d’identité numérique;
le nombre de plaintes d’utilisateurs et d’incidents relatifs à la protection des consommateurs ou à la protection des données concernant les parties utilisatrices et les services de confiance qualifiés;
un rapport de synthèse comprenant les données relatives aux incidents empêchant l’utilisation du portefeuille européen d’identité numérique;
une synthèse des incidents de sécurité et violations de données importantes ainsi que des utilisateurs de portefeuilles européens d’identité numérique ou de service de confiance qualifié affectés.
Article 49
Réexamen
Article 50
Abrogation
Article 51
Mesures transitoires
Article 52
Entrée en vigueur
Le présent règlement est applicable à partir du 1er juillet 2016, à l’exception des dispositions suivantes:
l’article 8, paragraphe 3, l’article 9, paragraphe 5, l’article 12, paragraphes 2 à 9, l’article 17, paragraphe 8, l’article 19, paragraphe 4, l’article 20, paragraphe 4, l’article 21, paragraphe 4, l’article 22, paragraphe 5, l’article 23, paragraphe 3, l’article 24, paragraphe 5, l’article 27, paragraphes 4 et 5, l’article 28, paragraphe 6, l’article 29, paragraphe 2, l’article 30, paragraphes 3 et 4, l’article 31, paragraphe 3, l’article 32, paragraphe 3, l’article 33, paragraphe 2, l’article 34, paragraphe 2, l’article 37, paragraphes 4 et 5, l’article 38, paragraphe 6, l’article 42, paragraphe 2, l’article 44, paragraphe 2, l’article 45, paragraphe 2, et les articles 47 et 48 sont applicables à partir du 17 septembre 2014;
l’article 7, l’article 8, paragraphes 1 et 2, les articles 9, 10, 11, et l’article 12, paragraphe 1, sont applicables à compter de la date d’application des actes d’exécution visés à l’article 8, paragraphe 3, et à l’article 12, paragraphe 8;
l’article 6 s’applique après trois ans à compter de la date d’application des actes d’exécution visés à l’article 8, paragraphe 3 et à l’article 12, paragraphe 8.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
ANNEXE I
EXIGENCES APPLICABLES AUX CERTIFICATS QUALIFIÉS DE SIGNATURE ÉLECTRONIQUE
Les certificats qualifiés de signature électronique contiennent:
une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié de signature électronique;
un ensemble de données représentant sans ambiguïté le prestataire de services de confiance qualifié délivrant les certificats qualifiés, comprenant au moins l’État membre dans lequel ce prestataire est établi, et:
au moins le nom du signataire ou un pseudonyme; si un pseudonyme est utilisé, cela est clairement indiqué;
des données de validation de la signature électronique qui correspondent aux données de création de la signature électronique;
des précisions sur le début et la fin de la période de validité du certificat;
le code d’identité du certificat, qui doit être unique pour le prestataire de services de confiance qualifié;
la signature électronique avancée ou le cachet électronique avancé du prestataire de services de confiance qualifié délivrant le certificat;
l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature électronique avancée ou le cachet électronique avancé mentionnés au point g);
les informations ou l’emplacement des services qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié;
lorsque les données de création de la signature électronique associées aux données de validation de la signature électronique se trouvent dans un dispositif de création de signature électronique qualifié, une mention l’indiquant, au moins sous une forme adaptée au traitement automatisé.
ANNEXE II
EXIGENCES APPLICABLES AUX DISPOSITIFS DE CRÉATION DE SIGNATURE ÉLECTRONIQUE QUALIFIÉS
1. Les dispositifs de création de signature électronique qualifiés garantissent au moins, par des moyens techniques et des procédures appropriés, que:
la confidentialité des données de création de signature électronique utilisées pour créer la signature électronique est suffisamment assurée;
les données de création de signature électronique utilisées pour créer la signature électronique ne peuvent être pratiquement établies qu’une seule fois;
l’on peut avoir l’assurance suffisante que les données de création de signature électronique utilisées pour créer la signature électronique ne peuvent être trouvées par déduction et que la signature électronique est protégée de manière fiable contre toute falsification par les moyens techniques actuellement disponibles;
les données de création de signature électronique utilisées pour créer la signature électronique peuvent être protégées de manière fiable par le signataire légitime contre leur utilisation par d’autres.
2. Les dispositifs de création de signature électronique qualifiés ne modifient pas les données à signer et n’empêchent pas la présentation de ces données au signataire avant la signature.
▼M1 —————
ANNEXE III
EXIGENCES APPLICABLES AUX CERTIFICATS QUALIFIÉS DE CACHET ÉLECTRONIQUE
Les certificats qualifiés de cachet électronique contiennent:
une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié de cachet électronique;
un ensemble de données représentant sans ambiguïté le prestataire de services de confiance qualifié délivrant les certificats qualifiés, comprenant au moins l’État membre dans lequel ce prestataire est établi et:
au moins le nom du créateur du cachet et, le cas échéant, son numéro d’immatriculation tels qu’ils figurent dans les registres officiels;
des données de validation du cachet électronique, qui correspondent aux données de création du cachet électronique;
des précisions sur le début et la fin de la période de validité du certificat;
le code d’identité du certificat, qui doit être unique pour le prestataire de services de confiance qualifié;
la signature électronique avancée ou le cachet électronique avancé du prestataire de services de confiance qualifié délivrant le certificat;
l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature électronique avancée ou le cachet électronique avancé mentionnés au point g);
les informations ou l’emplacement des services qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié;
lorsque les données de création du cachet électronique associées aux données de validation du cachet électronique se trouvent dans un dispositif de création de cachet électronique qualifié, une mention l’indiquant, au moins sous une forme adaptée au traitement automatisé.
ANNEXE IV
EXIGENCES APPLICABLES AUX CERTIFICATS QUALIFIÉS D’AUTHENTIFICATION DE SITE INTERNET
Les certificats qualifiés d’authentification de site internet contiennent:
une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié d’authentification de site internet;
un ensemble de données représentant sans ambiguïté le prestataire de services de confiance qualifié délivrant les certificats qualifiés, comprenant au moins l’État membre dans lequel ce prestataire est établi et:
pour les personnes physiques: au moins le nom de la personne à qui le certificat a été délivré ou un pseudonyme; si un pseudonyme est utilisé, cela est clairement indiqué;
pour les personnes morales: un ensemble unique de données représentant sans ambiguïté la personne morale à laquelle le certificat est délivré, comprenant au moins le nom de la personne morale à laquelle le certificat est délivré et, le cas échéant, le numéro d’immatriculation, tels qu’ils figurent dans les registres officiels;
des éléments de l’adresse, dont au moins la ville et l’État, de la personne physique ou morale à laquelle le certificat est délivré et, le cas échéant, ces éléments tels qu’ils figurent dans les registres officiels;
le(s) nom(s) de domaine exploité(s) par la personne physique ou morale à laquelle le certificat est délivré;
des précisions sur le début et la fin de la période de validité du certificat;
le code d’identité du certificat, qui doit être unique pour le prestataire de services de confiance qualifié;
la signature électronique avancée ou le cachet électronique avancé du prestataire de services de confiance qualifié délivrant le certificat;
l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature électronique avancée ou le cachet électronique avancé visés au point h);
les informations ou l’emplacement des services de statut de validité des certificats qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié.
ANNEXE V
EXIGENCES APPLICABLES AUX ATTESTATIONS ÉLECTRONIQUES D’ATTRIBUTS QUALIFIÉES
L’attestation électronique d’attributs qualifiée contient:
une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que l’attestation a été délivrée comme attestation électronique d’attributs qualifiée;
un ensemble de données représentant sans ambiguïté le prestataire de services de confiance qualifié délivrant l’attestation électronique d’attributs qualifiée, comprenant au moins l’État membre dans lequel ce prestataire est établi et:
pour une personne morale: le nom et, le cas échéant, le numéro d’immatriculation tels qu’ils figurent dans les registres officiels;
pour une personne physique: le nom de la personne;
un ensemble de données représentant sans ambiguïté l’entité à laquelle se rapportent les attributs attestés; si un pseudonyme est utilisé, cela est clairement indiqué;
l’attribut ou les attributs attestés, y compris, le cas échéant, les informations nécessaires pour déterminer la portée de ces attributs;
des précisions sur le début et la fin de la période de validité de l’attestation;
le code d’identité de l’attestation, qui doit être unique pour le prestataire de services de confiance qualifié et, le cas échéant, la mention du schéma d’attestations dont relève l’attestation d’attributs;
la signature électronique qualifiée ou le cachet électronique qualifié du prestataire de services de confiance qualifié délivrant l’attestation;
l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature électronique qualifiée ou le cachet électronique qualifié mentionnés au point g);
les informations ou l’emplacement des services qui peuvent être utilisés pour connaître le statut de validité de l’attestation qualifiée.
ANNEXE VI
LISTE MINIMALE D’ATTRIBUTS
En application de l’article 45 sexies, les États membres veillent à prendre les mesures nécessaires pour permettre aux prestataires de services de confiance qualifiés chargés de la fourniture d’attestations électroniques d’attributs de vérifier par des moyens électroniques, à la demande de l’utilisateur, l’authenticité des attributs suivants, par rapport à la source authentique pertinente au niveau national ou via des intermédiaires désignés reconnus au niveau national, conformément au droit de l’Union ou au droit national, et lorsque ces attributs s’appuient sur des sources authentiques dans le secteur public:
l’adresse;
l’âge;
le sexe;
l’état civil;
la composition de famille;
la nationalité ou la citoyenneté;
les diplômes, titres et certificats du système éducatif;
les diplômes, titres et certificats professionnels;
les pouvoirs et les mandats pour la représentation de personnes physiques ou morales;
les permis et licences publiques;
pour les personnes morales, les données financières et les données relatives aux sociétés.
ANNEXE VII
EXIGENCES APPLICABLES À L’ATTESTATION ÉLECTRONIQUE D’ATTRIBUTS DÉLIVRÉE PAR UN ORGANISME DU SECTEUR PUBLIC RESPONSABLE D’UNE SOURCE AUTHENTIQUE OU POUR SON COMPTE
Une attestation électronique d’attributs délivrée par un organisme du secteur public responsable d’une source authentique ou pour son compte contient:
une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que l’attestation a été délivrée en tant qu’attestation électronique d’attributs délivrée par un organisme du secteur public responsable d’une source authentique ou pour son compte;
un ensemble de données représentant sans ambiguïté l’organisme du secteur public délivrant l’attestation électronique d’attributs, comprenant au moins l’État membre dans lequel cet organisme du secteur public est établi et son nom, ainsi que, le cas échéant, son numéro d’immatriculation tels qu’ils figurent dans les registres officiels;
un ensemble de données représentant sans ambiguïté l’entité à laquelle se rapportent les attributs attestés; si un pseudonyme est utilisé, cela est clairement indiqué;
l’attribut ou les attributs attestés, y compris, le cas échéant, les informations nécessaires pour déterminer la portée de ces attributs;
des précisions sur le début et la fin de la période de validité de l’attestation;
le code d’identité de l’attestation, qui doit être unique pour l’organisme du secteur public qui délivre l’attestation et, le cas échéant, la mention du schéma d’attestations dont relève l’attestation d’attributs;
la signature électronique qualifiée ou le cachet électronique qualifié de l’organisme délivrant l’attestation;
l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature électronique qualifiée ou le cachet électronique qualifié mentionnés au point g);
les informations ou l’emplacement des services qui peuvent être utilisés pour connaître le statut de validité de l’attestation.
( 1 ) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
( 2 ) Directive 2014/24/UE du Parlement européen et du Conseil du 26 février 2014 sur la passation des marchés publics et abrogeant la directive 2004/18/CE (JO L 94 du 28.3.2014, p. 65).
( 3 ) Directive (UE) 2019/882 du Parlement européen et du Conseil du 17 avril 2019 relative aux exigences en matière d’accessibilité applicables aux produits et services (JO L 151 du 7.6.2019, p. 70).
( 4 ) Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15).
( 5 ) Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).
( 6 ) Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) (JO L 277 du 27.10.2022, p. 1).
( 7 ) Règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) (JO L 265 du 12.10.2022, p. 1).
( 8 ) Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80).