This document is an excerpt from the EUR-Lex website
Document 32024R1183
Regulation (EU) 2024/1183 of the European Parliament and of the Council of 11 April 2024 amending Regulation (EU) No 910/2014 as regards establishing the European Digital Identity Framework
Règlement (UE) 2024/1183 du Parlement européen et du Conseil du 11 avril 2024 modifiant le règlement (UE) n° 910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique
Règlement (UE) 2024/1183 du Parlement européen et du Conseil du 11 avril 2024 modifiant le règlement (UE) n° 910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique
PE/68/2023/REV/1
JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
Journal officiel |
FR Série L |
2024/1183 |
30.4.2024 |
RÈGLEMENT (UE) 2024/1183 DU PARLEMENT EUROPÉEN ET DU CONSEIL
du 11 avril 2024
modifiant le règlement (UE) no 910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 114,
vu la proposition de la Commission européenne,
après transmission du projet d’acte législatif aux parlements nationaux,
vu l’avis du Comité économique et social européen (1),
vu l’avis du Comite des régions (2),
statuant conformément à la procédure législative ordinaire (3),
considérant ce qui suit:
(1) |
Dans sa communication du 19 février 2020 intitulée «Façonner l’avenir numérique de l’Europe», la Commission annonce une révision du règlement (UE) no 910/2014 du Parlement européen et du Conseil (4) en vue d’en améliorer l’efficacité, d’étendre ses avantages au secteur privé et de promouvoir une identité numérique fiable pour tous les Européens. |
(2) |
Dans ses conclusions des 1er et 2 octobre 2020, le Conseil européen a invité la Commission à proposer la mise en place, à l’échelle de l’UE, d’un cadre pour une identification électronique publique sécurisée, y compris des signatures numériques interopérables, qui permette aux personnes d’exercer un contrôle sur leur identité et leurs données en ligne et donne accès à des services numériques publics, privés et transfrontières. |
(3) |
Le programme d’action pour la décennie numérique à l’horizon 2030, établi par la décision (UE) 2022/2481 du Parlement européen et du Conseil (5), fixe les objectifs et cibles numériques d’un cadre de l’Union qui, d’ici à 2030, visent à conduire au déploiement à grande échelle d’une identité numérique fiable utilisée sur une base volontaire et contrôlée par l’utilisateur, qui soit reconnue dans l’ensemble de l’Union et permette à chaque utilisateur d’avoir un contrôle sur ses données dans le cadre de ses interactions en ligne. |
(4) |
La «Déclaration européenne sur les droits et principes numériques pour la décennie numérique», proclamée par le Parlement européen, le Conseil et la Commission (6) (ci-après dénommée «déclaration»), souligne le droit de toute personne à avoir accès à des technologies, produits et services numériques qui sont, dès la conception, sûrs, sécurisés et respectueux de la vie privée. Cela signifie notamment veiller à offrir à toutes les personnes vivant au sein de l’Union une identité numérique accessible, sûre et fiable, qui donne accès à un large éventail de services en ligne et hors ligne, en étant protégées contre les risques liés à la cybersécurité et la cybercriminalité, y compris les violations de données et l’usurpation ou la manipulation d’identité. La déclaration souligne également que toute personne a droit à la protection de ses données à caractère personnel. Ce droit comprend le contrôle sur la façon dont les données sont utilisées et sur les personnes avec qui elles sont partagées. |
(5) |
Les citoyens de l’Union et les résidents de l’Union devraient avoir le droit à une identité numérique qui soit sous leur contrôle exclusif et qui leur permette d’exercer leurs droits dans l’environnement numérique et de participer à l’économie numérique. Pour atteindre cet objectif, il convient d’établir un cadre européen relatif à une identité numérique permettant aux citoyens de l’Union et aux résidents de l’Union d’accéder à des services publics et privés en ligne et hors ligne dans l’ensemble de l’Union. |
(6) |
Un cadre harmonisé en matière d’identité numérique devrait contribuer à créer une Union plus intégrée d’un point de vue numérique, en réduisant les barrières numériques entre les États membres et en donnant aux citoyens de l’Union et aux résidents de l’Union les moyens de bénéficier des avantages liés à la transition numérique, tout en améliorant la transparence et la protection de leurs droits. |
(7) |
Une approche plus harmonisée de l’identification électronique devrait réduire les risques et les coûts engendrés par la fragmentation actuelle due au recours à des solutions nationales divergentes ou, dans certains États membres, à l’absence de telles solutions d’identification électronique. Une telle approche devrait renforcer le marché intérieur en permettant aux citoyens de l’Union, aux résidents de l’Union, au sens du droit national, et aux entreprises de s’identifier et de fournir une authentification de leur identité en ligne et hors ligne de manière sûre, fiable, conviviale, pratique, accessible et harmonisée, et ce dans toute l’Union. Le portefeuille européen d’identité numérique devrait fournir aux personnes physiques et morales dans toute l’Union un moyen d’identification électronique harmonisé permettant l’authentification et le partage des données liées à leur identité. Chacun devrait être en mesure d’accéder en toute sécurité aux services publics et privés en ayant recours à un écosystème amélioré de services de confiance et à des preuves d’identité et des attestations électroniques d’attributs vérifiées, comme des qualifications académiques, y compris les diplômes universitaires, ou autres titres éducatifs ou professionnels. Le cadre européen relatif à une identité numérique est destiné à permettre de passer d’un recours aux seules solutions nationales d’identité numérique à la fourniture d’attestations électroniques d’attributs valides et légalement reconnues à travers l’Union. Les fournisseurs d’attestations électroniques d’attributs devraient bénéficier d’un ensemble de règles clair et uniforme, tandis que les administrations publiques devraient pouvoir se fier à des documents électroniques dans un format donné. |
(8) |
Plusieurs États membres ont mis en œuvre des moyens d’identification électronique et ont recours à ces moyens, qui sont acceptés par les prestataires de services dans l’Union. En outre, des investissements ont été réalisés dans des solutions tant nationales que transfrontalières sur la base du règlement (UE) no 910/2014, y compris pour l’interopérabilité des schémas d’identification électronique notifiés prévus par ledit règlement. Afin d’assurer la complémentarité et l’adoption rapide des portefeuilles européens d’identité numérique par les utilisateurs actuels des moyens d’identification électronique notifiés et de minimiser l’incidence sur les prestataires de services existants, il est escompté que les portefeuilles européens d’identité numérique mettent à profit l’expérience acquise avec les moyens d’identification électronique existants et l’infrastructure des schémas d’identification électronique notifiés déployée au niveau de l’Union et au niveau national. |
(9) |
Le règlement (UE) 2016/679 du Parlement européen et du Conseil (7) et, le cas échéant, la directive 2002/58/CE du Parlement européen et du Conseil (8) s’appliquent à toutes les activités de traitement de données à caractère personnel au titre du règlement (UE) no 910/2014. Les solutions fournies au titre du cadre d’interopérabilité prévu par le présent règlement respectent également ces règles. Le droit de l’Union en matière de protection des données prévoit des principes en matière de protection des données, tels que les principes de minimisation des données et de limitation des finalités et les obligations qui y sont liées, telle que la protection des données dès la conception et par défaut. |
(10) |
Pour soutenir la compétitivité des entreprises de l’Union, les prestataires de services tant en ligne qu’hors ligne devraient pouvoir s’appuyer sur des solutions d’identité numérique reconnues dans toute l’Union, indépendamment de l’État membre dans lequel ces solutions sont fournies, et bénéficier ainsi d’une approche harmonisée à l’échelle de l’Union en matière de confiance, de sécurité et d’interopérabilité. Tant les utilisateurs que les prestataires de services devraient pouvoir bénéficier d’attestations électroniques d’attributs ayant la même valeur juridique dans l’ensemble de l’Union. Un cadre harmonisé en matière d’identité numérique est destiné à créer de la valeur économique en facilitant l’accès aux biens et aux services, en réduisant sensiblement les coûts opérationnels liés aux procédures d’identification et d’authentification électroniques, par exemple lors de l’enrôlement de nouveaux clients, et en réduisant le risque de cybercriminalité, telle que l’usurpation d’identité, le vol de données et la fraude en ligne, soutenant ainsi les gains d’efficacité et la transformation numérique en toute sécurité des micro, petites et moyennes entreprises (PME) de l’Union. |
(11) |
Les portefeuilles européens d’identité numérique devraient faciliter l’application du principe de la transmission unique d’informations, ce qui réduirait la charge administrative et soutiendrait la mobilité transfrontière des citoyens de l’Union et des résidents de l’Union ainsi que des entreprises dans l’ensemble de l’Union, et favoriserait le développement de services d’administration en ligne interopérables dans l’ensemble de l’Union. |
(12) |
Le règlement (UE) 2016/679, le règlement (UE) 2018/1725 du Parlement européen et du Conseil (9) et la directive 2002/58/CE s’appliquent au traitement de données à caractère personnel effectué en application du présent règlement. Par conséquent, le présent règlement devrait prévoir des garanties spécifiques pour empêcher les fournisseurs de moyens d’identification électronique et d’attestations électroniques d’attributs de combiner des données à caractère personnel obtenues lors de la fourniture d’autres services avec des données à caractère personnel traitées pour fournir des services relevant du champ d’application du présent règlement. Les données à caractère personnel liées à la fourniture des portefeuilles européens d’identité numérique devraient être maintenues séparées, de manière logique, de toute autre donnée détenue par le fournisseur du portefeuille européen d’identité numérique. Le présent règlement ne devrait pas empêcher les fournisseurs de portefeuilles européens d’identité numérique d’appliquer des mesures techniques supplémentaires qui contribuent à la protection des données à caractère personnel, telles que la séparation physique des données à caractère personnel liées à la fourniture des portefeuilles européens d’identité numérique de toute autre donnée détenue par le fournisseur. Sans préjudice du règlement (UE) 2016/679, le présent règlement précise davantage l’application des principes de limitation des finalités, de minimisation des données et de protection des données dès la conception et par défaut. |
(13) |
Les portefeuilles européens d’identité numérique devraient intégrer dans leur conception une fonction de tableau de bord commun pour garantir un niveau plus élevé de transparence, de protection de la vie privée et de contrôle des utilisateurs sur leurs données à caractère personnel. Cette fonction devrait proposer une interface simple et conviviale comportant une vue d’ensemble de toutes les parties utilisatrices avec lesquelles l’utilisateur partage des données, y compris des attributs, ainsi que le type de données partagées avec chaque partie utilisatrice. Elle devrait permettre aux utilisateurs de suivre toutes les transactions exécutées au moyen du portefeuille européen d’identité numérique, en fournissant au moins les données suivantes: l’heure et la date de la transaction, l’identification de la contrepartie, les données à caractère personnel demandées et les données partagées. Ces informations devraient être conservées même si la transaction n’a pas été conclue. Il ne devrait pas être possible de contester l’authenticité des informations contenues dans l’historique des transactions. Cette fonction devrait être active par défaut. Elle devrait permettre aux utilisateurs de demander facilement l’effacement immédiat, par une partie utilisatrice, de données à caractère personnel en vertu de l’article 17 du règlement (UE) 2016/679 et de signaler facilement la partie utilisatrice à l’autorité nationale chargée de la protection des données compétente, directement par l’intermédiaire du portefeuille européen d’identité numérique, lorsqu’une demande présumée illégale ou suspecte de données à caractère personnel est reçue. |
(14) |
Les États membres devraient intégrer différentes technologies de protection de la vie privée, telles que la preuve à divulgation nulle de connaissance, dans le portefeuille européen d’identité numérique. Ces méthodes cryptographiques devraient permettre à une partie utilisatrice de valider la véracité d’une déclaration donnée fondée sur les données d’identification personnelle et l’attestation d’attributs, sans révéler aucune donnée sur laquelle cette déclaration est fondée, préservant ainsi la vie privée de l’utilisateur. |
(15) |
Le présent règlement définit les conditions harmonisées pour l’établissement d’un cadre pour les portefeuilles européens d’identité numérique devant être fournis par les États membres. Tous les citoyens de l’Union, et les résidents de l’Union au sens du droit national, devraient être habilités à demander, sélectionner, combiner, stocker, supprimer, partager et présenter de manière sécurisée des données relatives à leur identité et à demander l’effacement de leurs données à caractère personnel d’une manière conviviale et pratique, sous le contrôle exclusif de l’utilisateur, tout en permettant la divulgation sélective de données à caractère personnel. Le présent règlement reflète les valeurs européennes partagées et respecte les droits fondamentaux, les garanties et la responsabilité juridique, protégeant ainsi les sociétés démocratiques, les citoyens de l’Union et les résidents de l’Union. Il convient de développer les technologies utilisées pour parvenir à ces objectifs de manière à atteindre le niveau le plus élevé de sécurité, de respect de la vie privée, de confort d’utilisation, d’accessibilité et de facilité d’utilisation, ainsi qu’une interopérabilité homogène. Les États membres devraient garantir à tous leurs citoyens et résidents l’égalité d’accès à l’identification électronique. Les États membres ne devraient pas limiter, directement ou indirectement, l’accès aux services publics ou privés des personnes physiques ou morales qui ne choisissent pas d’utiliser des portefeuilles européens d’identité numérique, et devraient mettre à disposition des solutions de substitution appropriées. |
(16) |
Les États membres devraient s’appuyer sur les possibilités offertes par le présent règlement pour fournir, sous leur responsabilité, des portefeuilles européens d’identité numérique destinés à être utilisés par les personnes physiques et morales résidant sur leur territoire. Afin d’offrir une marge de manœuvre aux États membres et de tirer parti de la technologie de pointe, le présent règlement devrait permettre que les portefeuilles européens d’identité numérique soient fournis directement par un État membre, sur mandat d’un État membre, ou indépendamment d’un État membre, tout en étant reconnus par cet État membre. |
(17) |
Aux fins de l’enregistrement, les parties utilisatrices devraient fournir les informations nécessaires pour permettre leur identification et leur authentification électroniques vis-à-vis des portefeuilles européens d’identité numérique. Lorsqu’elles déclarent leur utilisation prévue du portefeuille européen d’identité numérique, les parties utilisatrices devraient fournir des informations sur les données éventuelles qu’elles demanderont afin de fournir leurs services et sur les motifs de la demande. L’enregistrement des parties utilisatrices facilite la vérification par les États membres de la licéité des activités des parties utilisatrices au regard du droit de l’Union. L’obligation d’enregistrement prévue dans le présent règlement devrait être sans préjudice des obligations prévues par d’autres dispositions du droit de l’Union ou du droit national, par exemple en ce qui concerne les informations à fournir aux personnes concernées en vertu du règlement (UE) 2016/679. Les parties utilisatrices devraient respecter les garanties prévues par les articles 35 et 36 dudit règlement, en particulier en réalisant des analyses d’impact relatives à la protection des données et en consultant les autorités chargées de la protection des données compétentes préalablement au traitement des données lorsque les analyses d’impact relatives à la protection des données indiquent que le traitement entraînerait un risque élevé. Ces garanties devraient favoriser le traitement licite des données à caractère personnel par les parties utilisatrices, en particulier en ce qui concerne des catégories particulières de données, telles que les données de santé. L’enregistrement des parties utilisatrices est destiné à accroître la transparence et à renforcer la confiance dans l’utilisation des portefeuilles européens d’identité numérique. Il convient que l’enregistrement n’entraîne pas de coûts excessifs et soit proportionné aux risques associés afin d’assurer son adoption par les prestataires de services. Dans ce contexte, l’enregistrement devrait prévoir l’utilisation de procédures automatisées, y compris le recours à des registres existants et leur utilisation par les États membres, et il ne devrait pas comporter de procédure d’autorisation préalable. La procédure d’enregistrement devrait permettre une diversité de cas d’utilisation qui peuvent varier en ce qui concerne le mode de fonctionnement, que ce soit en ligne ou en mode hors ligne, ou l’exigence d’authentifier les dispositifs aux fins de l’interface avec le portefeuille européen d’identité numérique. L’enregistrement devrait s’appliquer exclusivement aux parties utilisatrices fournissant des services au moyen d’une interaction numérique. |
(18) |
La protection des citoyens de l’Union et des résidents de l’Union contre l’utilisation non autorisée ou frauduleuse des portefeuilles européens d’identité numérique revêt la plus haute importance pour assurer la confiance dans les portefeuilles européens d’identité numérique et leur adoption à grande échelle. Les utilisateurs devraient bénéficier d’une protection effective contre de telles utilisations abusives. En particulier, lorsque les faits constitutifs d’une utilisation frauduleuse ou autrement illégale d’un portefeuille européen d’identité numérique sont établis par une autorité judiciaire nationale dans le cadre d’une autre procédure, les organes de contrôle responsables des émetteurs de portefeuilles européens d’identité numérique devraient, après notification, prendre les mesures nécessaires pour faire en sorte que l’enregistrement de la partie utilisatrice et l’inclusion des parties utilisatrices dans le mécanisme d’authentification soient révoqués ou suspendus jusqu’à ce que l’autorité notifiante confirme qu’il a été remédié aux irrégularités constatées. |
(19) |
Tous les portefeuilles européens d’identité numérique devraient permettre aux utilisateurs de s’identifier et de s’authentifier par voie électronique en ligne et en mode hors ligne, par-delà les frontières, pour accéder à un large éventail de services publics et privés. Sans préjudice des prérogatives des États membres en ce qui concerne l’identification de leurs citoyens et résidents, les portefeuilles européens d’identité numérique peuvent aussi répondre aux besoins institutionnels des administrations publiques, des organisations internationales et des institutions, organes et organismes de l’Union. L’authentification en mode hors ligne serait importante dans de nombreux secteurs, y compris dans le secteur de la santé, où les services sont souvent fournis par interaction directe et où la vérification de l’authenticité des prescriptions électroniques devrait pouvoir être effectuée à l’aide de codes QR ou de technologies similaires. En s’appuyant sur le niveau de garantie élevé en ce qui concerne les schémas d’identification électronique, les portefeuilles européens d’identité numérique devraient bénéficier du potentiel offert par des solutions infalsifiables, telles que des éléments sécurisés, pour se conformer aux exigences de sécurité prévues par le présent règlement. Les portefeuilles européens d’identité numérique devraient aussi permettre aux utilisateurs de créer et d’utiliser des signatures et cachets électroniques qualifiés qui sont acceptés dans toute l’Union. Une fois enrôlées dans un portefeuille européen d’identité numérique, les personnes physiques devraient pouvoir utiliser celui-ci pour signer au moyen de signatures électroniques qualifiées, par défaut et gratuitement, sans devoir passer par des procédures administratives supplémentaires. Les utilisateurs devraient pouvoir signer ou apposer des cachets sur des déclarations ou attributs autodéclarés. Afin de permettre aux personnes et aux entreprises de toute l’Union de bénéficier des avantages liés à la simplification et à la réduction des coûts, notamment en accordant des pouvoirs de représentation et des mandats électroniques, les États membres devraient fournir des portefeuilles européens d’identité numérique qui reposent sur des normes communes et des spécifications techniques afin de garantir une interopérabilité homogène et d’accroître dûment la sécurité informatique, de renforcer la résilience face aux cyberattaques et de réduire ainsi significativement les risques potentiels que présente la transition numérique en cours pour les citoyens et résidents de l’Union et les entreprises. Seules les autorités compétentes des États membres peuvent établir l’identité d’une personne avec un niveau élevé de fiabilité et, partant, garantir que la personne revendiquant ou affirmant une identité particulière est effectivement la personne qu’elle prétend être. Il est donc nécessaire que la fourniture des portefeuilles européens d’identité numérique repose sur l’identité juridique des citoyens de l’Union et des résidents de l’Union ou des personnes morales. Le recours à l’identité juridique ne devrait pas empêcher les utilisateurs de portefeuilles européens d’identité numérique d’accéder aux services sous un pseudonyme, dès lors que l’identité juridique n’est pas requise pour l’authentification. La confiance dans les portefeuilles européens d’identité numérique serait renforcée si les entités qui les délivrent et les gèrent étaient tenues de mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir le niveau de sécurité le plus élevé qui soit proportionné aux risques posés pour les droits et libertés des personnes physiques, conformément au règlement (UE) 2016/679. |
(20) |
L’utilisation d’une signature électronique qualifiée à des fins non professionnelles devrait être gratuite pour toutes les personnes physiques. Les États membres devraient avoir la possibilité de prévoir des mesures pour empêcher l’utilisation gratuite de signatures électroniques qualifiées à des fins professionnelles par des personnes physiques, tout en veillant à ce que ces mesures soient proportionnées aux risques identifiés et justifiées. |
(21) |
Il est utile de faciliter l’adoption et l’utilisation des portefeuilles européens d’identité numérique en les intégrant de manière homogène à l’écosystème des services numériques publics et privés déjà mis en œuvre au niveau national, local ou régional. Pour atteindre cet objectif, les États membres devraient avoir la possibilité de prévoir des mesures juridiques et organisationnelles en vue d’offrir une plus grande souplesse aux fournisseurs de portefeuilles européens d’identité numérique et de permettre des fonctionnalités supplémentaires des portefeuilles européens d’identité numérique par rapport à celles prévues par le présent règlement, y compris au moyen d’une interopérabilité accrue avec les moyens d’identification électronique nationaux existants. De telles fonctionnalités supplémentaires ne devraient en aucun cas nuire à la fourniture des fonctions essentielles des portefeuilles européens d’identité numérique prévues par le présent règlement, ni conduire à la promotion de solutions nationales existantes aux dépens des portefeuilles européens d’identité numérique. Étant donné qu’elles dépassent le cadre du présent règlement, ces fonctionnalités supplémentaires ne bénéficient pas des dispositions relatives au recours transfrontière aux portefeuilles européens d’identité numérique prévues dans le présent règlement. |
(22) |
Les portefeuilles européens d’identité numérique devraient comporter une fonctionnalité permettant de générer des pseudonymes choisis et gérés par l’utilisateur pour s’authentifier lorsqu’ils accèdent à des services en ligne. |
(23) |
Afin d’atteindre un niveau élevé de sécurité et de fiabilité, le présent règlement établit les exigences applicables aux portefeuilles européens d’identité numérique. La conformité des portefeuilles européens d’identité numérique avec ces exigences devrait être certifiée par des organismes d’évaluation de la conformité accrédités désignés par les États membres. |
(24) |
Afin d’éviter les approches divergentes et d’harmoniser la mise en œuvre des exigences établies par le présent règlement, la Commission devrait, aux fins de certifier les portefeuilles européens d’identité numérique, adopter des actes d’exécution visant à établir une liste de normes de référence et, lorsque cela est nécessaire, établir des spécifications et des procédures aux fins de formuler les spécifications techniques détaillées de ces exigences. Dans la mesure où la certification de la conformité des portefeuilles européens d’identité numérique avec les exigences de cybersécurité applicables n’est pas couverte par les schémas de certification de cybersécurité existants visés dans le présent règlement, et en ce qui concerne les exigences autres que les exigences de cybersécurité applicables aux portefeuilles européens d’identité numérique, il convient que les États membres établissent des schémas de certification nationaux conformément aux exigences harmonisées établies dans le présent règlement et adoptées en vertu de celui-ci. Les États membres devraient transmettre leurs projets de schémas de certification nationaux au groupe de coopération européen en matière d’identité numérique, lequel devrait pouvoir émettre des avis et des recommandations. |
(25) |
La certification de conformité avec les exigences de cybersécurité établies dans le présent règlement devrait, lorsque ceux-ci sont disponibles, s’appuyer sur les schémas européens de certification de cybersécurité applicables établis en vertu du règlement (UE) 2019/881 du Parlement européen et du Conseil (10), qui instaure un cadre européen de certification de cybersécurité facultatif pour les produits, processus et services TIC. |
(26) |
Afin d’évaluer et d’atténuer en permanence les risques liés à la sécurité, les portefeuilles européens d’identité numérique certifiés devraient faire l’objet d’évaluations régulières des vulnérabilités visant à déceler toute vulnérabilité dans les composants certifiés liés au produit, les composants certifiés liés aux processus et les composants certifiés liés au service du portefeuille européen d’identité numérique. |
(27) |
En protégeant les utilisateurs et les entreprises contre les risques de cybersécurité, les exigences essentielles en matière de cybersécurité énoncées dans le présent règlement contribuent également à renforcer la protection des données à caractère personnel et de la vie privée des personnes. Des synergies en matière de normalisation et de certification sur les aspects de la cybersécurité devraient être envisagées dans le cadre de la coopération entre la Commission, les organisations européennes de normalisation, l’Agence de l’Union européenne pour la cybersécurité (ENISA), le comité européen de la protection des données institué par le règlement (UE) 2016/679 et les autorités nationales de contrôle de la protection des données. |
(28) |
L’enrôlement des citoyens de l’Union et des résidents dans l’Union pour le portefeuille européen d’identité numérique devrait être facilité en s’appuyant sur des moyens d’identification électronique délivrés au niveau de garantie élevé. Il convient de n’avoir recours aux moyens d’identification électronique délivrés au niveau de garantie substantiel que lorsque des spécifications techniques harmonisées et des procédures harmonisées utilisant des moyens d’identification électronique délivrés au niveau de garantie substantiel combinés à des moyens complémentaires de vérification de l’identité permettront de satisfaire aux exigences énoncées dans le présent règlement en ce qui concerne le niveau de garantie élevé. Ces moyens complémentaires devraient être fiables et faciles à utiliser et pourraient se fonder sur la possibilité d’utiliser des procédures d’enrôlement à distance, des certificats qualifiés appuyés par des signatures électroniques qualifiées, une attestation électronique d’attributs qualifiée ou une combinaison de ces éléments. Afin de garantir une adoption suffisante des portefeuilles européens d’identité numérique, il convient de définir, dans des actes d’exécution, des spécifications techniques harmonisées et des procédures harmonisées pour l’enrôlement des utilisateurs à l’aide de moyens d’identification électronique, y compris ceux délivrés au niveau de garantie substantiel. |
(29) |
L’objectif du présent règlement est de fournir à l’utilisateur un portefeuille européen d’identité numérique entièrement mobile, sécurisé et convivial. À titre de mesure transitoire jusqu’à la mise à disposition de solutions infalsifiables certifiées, telles que des éléments sécurisés dans les appareils des utilisateurs, les portefeuilles européens d’identité numérique devraient pouvoir s’appuyer sur des éléments sécurisés externes certifiés pour la protection du contenu cryptographique et d’autres données sensibles ou sur des moyens d’identification électroniques notifiés au niveau de garantie élevé afin de démontrer la conformité avec les exigences pertinentes du présent règlement en ce qui concerne le niveau de garantie du portefeuille européen d’identité numérique. Le présent règlement devrait s’entendre sans préjudice des conditions nationales en ce qui concerne la délivrance et l’utilisation d’un élément sécurisé externe certifié lorsque la mesure transitoire dépend d’un tel élément. |
(30) |
Les portefeuilles européens d’identité numérique devraient garantir le niveau de protection et de sécurité des données le plus élevé possible aux fins de l’identification et de l’authentification électroniques pour faciliter l’accès aux services publics et privés, que ces données soient stockées localement ou à l’aide de solutions en nuage, en tenant dûment compte des différents niveaux de risque. |
(31) |
Les portefeuilles européens d’identité numérique devraient être sécurisés dès la conception et devraient mettre en œuvre des éléments de sécurité avancés afin d’offrir une protection contre l’usurpation d’identité et autre vol de données, le déni de service et toute autre cybermenace. Cette sécurité devrait comprendre des méthodes de chiffrement et de stockage de pointe, qui ne sont accessibles qu’à l’utilisateur et ne peuvent être déchiffrées que par lui, et qui s’appuient sur une communication chiffrée de bout en bout avec les autres portefeuilles européens d’identité numérique et les parties utilisatrices. En outre, les portefeuilles européens d’identité numérique devraient exiger une confirmation sécurisée, explicite et active par l’utilisateur pour les opérations effectuées au moyen des portefeuilles européens d’identité numérique. |
(32) |
L’utilisation gratuite de portefeuilles européens d’identité numérique ne devrait pas entraîner le traitement de données au-delà des données qui sont nécessaires à la fourniture des services liés aux portefeuilles européens d’identité numérique. Le présent règlement ne devrait pas autoriser le traitement de données à caractère personnel stockées dans le portefeuille européen d’identité numérique ou résultant de l’utilisation de celui-ci par le fournisseur du portefeuille européen d’identité numérique à des fins autres que la fourniture de services liés aux portefeuilles européens d’identité numérique. Afin d’assurer la protection de la vie privée, les fournisseurs de portefeuilles européens d’identité numérique devraient veiller à ce que les données ne soient pas observables, en ne collectant pas de données et en n’ayant pas connaissance des transactions effectuées par les utilisateurs du portefeuille européen d’identité numérique. Ce caractère non observable signifie que les fournisseurs ne sont pas en mesure de voir le détail des transactions effectuées par l’utilisateur. Toutefois, dans des cas particuliers, sur la base du consentement préalable explicite de l’utilisateur pour chacun de ces cas particuliers, et dans le plein respect du règlement (UE) 2016/679, les fournisseurs de portefeuilles européens d’identité numérique pourraient se voir accorder l’accès aux informations nécessaires à la fourniture d’un service particulier lié aux portefeuilles européens d’identité numérique. |
(33) |
La transparence des portefeuilles européens d’identité numérique et la responsabilité des fournisseurs sont des éléments essentiels pour créer une confiance sociale et susciter l’acceptation du cadre. Par conséquent, le fonctionnement des portefeuilles européens d’identité numérique devrait être transparent et, en particulier, permettre un traitement vérifiable des données à caractère personnel. À cette fin, les États membres devraient divulguer le code source des composants logiciels de l’application utilisateur des portefeuilles européens d’identité numérique, y compris ceux qui sont liés au traitement des données à caractère personnel et des données des personnes morales. La publication de ce code source sous une licence à code source ouvert (open source) devrait permettre à la société, y compris les utilisateurs et les développeurs, de comprendre le fonctionnement du code, d’en faire l’audit et de l’examiner. Cela permettrait d’accroître la confiance des utilisateurs dans l’écosystème et de contribuer à la sécurité des portefeuilles européens d’identité numérique en offrant à quiconque la possibilité de signaler des vulnérabilités et des erreurs dans le code. Dans l’ensemble, cela devrait inciter les fournisseurs à fournir et à maintenir un produit hautement sécurisé. Toutefois, dans certains cas, la divulgation du code source des bibliothèques utilisées, du canal de communication ou d’autres éléments qui ne sont pas hébergés sur le dispositif de l’utilisateur pourrait être limitée par les États membres, pour des motifs dûment justifiés, en particulier à des fins de sécurité publique. |
(34) |
L’utilisation de portefeuilles européens d’identité numérique ainsi que l’arrêt de leur utilisation devraient constituer un droit et un choix exclusif des utilisateurs. Les États membres devraient mettre au point des procédures simples et sécurisées permettant aux utilisateurs de demander la révocation immédiate de la validité des portefeuilles européens d’identité numérique, notamment en cas de perte ou de vol. Lors du décès de l’utilisateur ou de la cessation d’activité d’une personne morale, il devrait exister un mécanisme permettant à l’autorité responsable du règlement de la succession de la personne physique ou des actifs de la personne morale de demander la révocation immédiate des portefeuilles européens d’identité numérique. |
(35) |
Afin de favoriser l’adoption des portefeuilles européens d’identité numérique et l’utilisation accrue des identités numériques, les États membres ne devraient pas seulement promouvoir les avantages des services concernés, mais ils devraient également, en coopération avec le secteur privé, les chercheurs et le monde universitaire, élaborer des programmes de formation visant à renforcer les compétences numériques de leurs citoyens et résidents, en particulier pour les groupes vulnérables, tels que les personnes handicapées et les personnes âgées. Les États membres devraient également sensibiliser aux avantages et aux risques des portefeuilles européens d’identité numérique au moyen de campagnes de communication. |
(36) |
Afin de veiller à ce que le cadre européen relatif à une identité numérique soit ouvert à l’innovation et aux évolutions technologiques, et capable de résister à l’épreuve du temps, les États membres sont encouragés, conjointement, à mettre en place des «bacs à sable» pour mettre à l’essai des solutions innovantes dans un environnement contrôlé et sécurisé, en particulier dans le but d’améliorer la fonctionnalité, la protection des données à caractère personnel, la sécurité et l’interopérabilité des solutions, et d’inspirer les futures mises à jour des références techniques et des exigences légales. Cet environnement devrait favoriser la participation des PME, des start-up et des innovateurs et chercheurs, ainsi que des parties prenantes concernées du secteur. Ces initiatives devraient contribuer à la conformité réglementaire et à la robustesse technique des portefeuilles européens d’identité numérique devant être fournis aux citoyens de l’Union et aux résidents de l’Union ainsi qu’à renforcer cette conformité et cette robustesse, ce qui permettra de prévenir le développement de solutions qui ne respectent pas le droit de l’Union en matière de protection des données ou qui présentent des vulnérabilités en matière de sécurité. |
(37) |
Le règlement (UE) 2019/1157 du Parlement européen et du Conseil (11) renforce la sécurité des cartes d’identité par la mise en place d’éléments de sécurité renforcés au plus tard en août 2021. Les États membres devraient envisager la possibilité de notifier ces cartes dans le cadre des schémas d’identification électronique afin d’étendre la disponibilité transfrontière des moyens d’identification électronique. |
(38) |
Le processus de notification des schémas d’identification électronique devrait être simplifié et accéléré afin de promouvoir l’accès à des solutions d’authentification et d’identification pratiques, fiables, sécurisées et innovantes et, le cas échéant, d’encourager les fournisseurs d’identité privés à proposer des schémas d’identification électronique aux autorités des États membres pour notification en tant que schémas nationaux d’identification électronique au titre du règlement (UE) no 910/2014. |
(39) |
La rationalisation des procédures actuelles de notification et d’examen par les pairs empêchera les approches hétérogènes de l’évaluation des différents schémas d’identification électronique notifiés et facilitera l’instauration de la confiance entre les États membres. De nouveaux mécanismes simplifiés sont destinés à favoriser la coopération entre les États membres en ce qui concerne la sécurité et l’interopérabilité de leurs schémas d’identification électronique notifiés. |
(40) |
Les États membres devraient bénéficier de nouveaux outils souples pour ce qui est de garantir le respect des exigences du présent règlement et des actes d’exécution adoptés en vertu de celui-ci. Le présent règlement devrait permettre aux États membres d’utiliser les rapports et évaluations, réalisés par des organismes d’évaluation de la conformité accrédités, comme cela est prévu dans le cadre des schémas de certification à mettre en place au niveau de l’Union au titre du règlement (UE) 2019/881, afin d’étayer leurs demandes concernant l’alignement des schémas ou de certaines parties de ceux-ci avec le règlement (UE) no 910/2014. |
(41) |
Les prestataires de services publics utilisent les données d’identification personnelle rendues disponibles par des moyens d’identification électronique au titre du règlement (UE) no 910/2014 afin d’établir une correspondance entre l’identité électronique des utilisateurs d’autres États membres et les données d’identification personnelle fournies à ces utilisateurs dans l’État membre qui procède à la mise en correspondance transfrontière des identités. Toutefois, dans de nombreux cas, malgré l’utilisation de l’ensemble minimal de données fourni au titre des schémas d’identification électronique notifiés, des informations supplémentaires sur l’utilisateur et des procédures d’identification uniques complémentaires spécifiques devant être menées au niveau national sont nécessaires pour assurer la mise en correspondance correcte des identités lorsque les États membres agissent en tant que parties utilisatrices. Afin de rendre encore plus facile l’utilisation des moyens d’identification électronique, de fournir de meilleurs services publics en ligne et de renforcer la sécurité juridique en ce qui concerne l’identité électronique des utilisateurs, le règlement (UE) no 910/2014 devrait exiger des États membres qu’ils prennent des mesures en ligne spécifiques pour assurer une mise en correspondance des identités sans équivoque lorsque les utilisateurs ont l’intention d’accéder en ligne à des services publics transfrontières. |
(42) |
Lors du développement des portefeuilles européens d’identité numérique, il est essentiel de tenir compte des besoins des utilisateurs. Des cas d’utilisation significatifs et des services en ligne s’appuyant sur les portefeuilles européens d’identité numérique devraient être disponibles. Afin de faciliter l’utilisation pour les utilisateurs et de garantir la disponibilité transfrontière de ces services, il est important de prendre des mesures pour encourager une approche similaire en ce qui concerne la conception, le développement et la mise en œuvre des services en ligne dans tous les États membres. Des lignes directrices non contraignantes sur la manière de concevoir, de développer et de mettre en œuvre des services en ligne s’appuyant sur des portefeuilles européens d’identité numérique pourraient constituer un outil utile pour atteindre cet objectif. Ces lignes directrices devraient être élaborées en tenant dûment compte du cadre d’interopérabilité de l’Union. Les États membres devraient jouer un rôle de premier plan dans l’adoption de ces lignes directrices. |
(43) |
Conformément à la directive (UE) 2019/882 du Parlement européen et du Conseil (12), les personnes handicapées devraient pouvoir utiliser, dans les mêmes conditions que les autres utilisateurs, les portefeuilles européens d’identité numérique, les services de confiance et les produits destinés à un utilisateur final qui servent à fournir ces services. |
(44) |
Afin de garantir l’application effective du présent règlement, il convient d’établir un seuil minimal pour le montant maximal des amendes administratives pour les prestataires de services de confiance tant qualifiés que non qualifiés. Les États membres devraient prévoir des sanctions effectives, proportionnées et dissuasives. Lors de la détermination des sanctions, il convient de tenir dûment compte de la taille des entités concernées, de leur modèle économique et de la gravité des infractions. |
(45) |
Les États membres devraient établir des règles relatives aux sanctions applicables aux infractions telles que les pratiques directes ou indirectes entraînant une confusion entre les services de confiance non qualifiés et qualifiés ou l’utilisation abusive du label de confiance de l’UE par des prestataires de services de confiance non qualifiés. Le label de confiance de l’UE ne devrait pas être utilisé dans des conditions qui, directement ou indirectement donnent l’impression que des services de confiance non qualifiés proposés par ces prestataires sont qualifiés. |
(46) |
Le présent règlement ne devrait pas couvrir les aspects relatifs à la conclusion et à la validité des contrats ou autres obligations juridiques lorsque des exigences d’ordre formel sont établies par le droit de l’Union ou le droit national. En outre, il ne devrait pas porter atteinte à des exigences nationales d’ordre formel relatives aux registres publics, notamment les registres du commerce et les registres fonciers. |
(47) |
La fourniture et l’utilisation de services de confiance, ainsi que les avantages apportés en termes de commodité et de sécurité juridique dans le contexte des transactions transfrontières, en particulier lorsque des services de confiance qualifiés sont utilisés, revêtent une importance croissante pour le commerce et la coopération sur le plan international. Les partenaires internationaux de l’Union mettent en place des cadres de confiance inspirés du règlement (UE) no 910/2014. Afin de faciliter la reconnaissance des services de confiance qualifiés et de leurs prestataires, la Commission peut adopter des actes d’exécution pour définir les conditions dans lesquelles les cadres de confiance de pays tiers pourraient être considérés comme équivalents au cadre de confiance pour les services de confiance qualifiés et leurs prestataires prévu par le présent règlement. Une telle approche devrait compléter la possibilité de reconnaissance mutuelle des services de confiance et de leurs prestataires établis dans l’Union et dans les pays tiers conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne. Lors de la définition des conditions dans lesquelles les cadres de confiance de pays tiers pourraient être considérés comme équivalents au cadre de confiance pour les services de confiance qualifiés et leurs prestataires au titre du règlement (UE) no 910/2014, il convient également de veiller au respect des dispositions pertinentes de la directive (UE) 2022/2555 du Parlement européen et du Conseil (13) et du règlement (UE) 2016/679, ainsi qu’à l’utilisation de listes de confiance en tant qu’éléments essentiels pour instaurer la confiance. |
(48) |
Le présent règlement devrait favoriser le choix et la possibilité de changer de portefeuille européen d’identité numérique lorsqu’un État membre a approuvé plus d’une solution de portefeuille européen d’identité numérique sur son territoire. Afin d’éviter les effets de verrouillage dans de telles situations, lorsque cela est techniquement possible, les fournisseurs de portefeuilles européens d’identité numérique devraient garantir la portabilité effective des données à la demande des utilisateurs de portefeuilles européens d’identité numérique et ne devraient pas être autorisés à recourir à des obstacles contractuels, économiques ou techniques pour empêcher ou décourager un changement effectif de portefeuille européen d’identité numérique. |
(49) |
Afin de garantir le bon fonctionnement des portefeuilles européens d’identité numérique, les fournisseurs de portefeuilles européens d’identité numérique ont besoin d’une interopérabilité effective et de conditions équitables, raisonnables et non discriminatoires pour que les portefeuilles européens d’identité numérique puissent accéder à des fonctionnalités matérielles et logicielles spécifiques des appareils mobiles. Ces composants pourraient notamment comprendre des antennes de communication en champ proche et des éléments sécurisés, y compris des cartes à circuit intégré universelles, des éléments sécurisés embarqués, des cartes microSD et le Bluetooth à basse consommation. L’accès à ces composants pourrait être contrôlé par les opérateurs de réseaux mobiles et les fabricants d’équipements. Par conséquent, lorsque cela est nécessaire pour fournir les services des portefeuilles européens d’identité numérique, les fabricants d’équipements d’origine d’appareils mobiles ou les fournisseurs de services de communications électroniques ne devraient pas refuser l’accès à ces composants. En outre, les entreprises désignées comme contrôleurs d’accès pour les services de plateforme essentiels, dont la liste est établie par la Commission en vertu du règlement (UE) 2022/1925 du Parlement européen et du Conseil (14), devraient rester soumises aux dispositions spécifiques dudit règlement, sur la base de son article 6, paragraphe 7. |
(50) |
Afin de rationaliser les obligations imposées aux prestataires de services de confiance en matière de cybersécurité et de permettre à ces prestataires et à leurs autorités compétentes respectives de bénéficier du cadre juridique établi par la directive (UE) 2022/2555, les services de confiance sont tenus de prendre les mesures techniques et organisationnelles appropriées en vertu de ladite directive, notamment des mesures visant à faire face aux défaillances du système, aux erreurs humaines, aux actions malveillantes ou aux phénomènes naturels, pour gérer les risques pesant sur la sécurité des réseaux et des systèmes d’information utilisés par ces prestataires pour fournir leurs services, ainsi que de notifier les incidents importants et les cybermenaces conformément à ladite directive. En ce qui concerne le signalement des incidents, les prestataires de services de confiance devraient notifier tout incident ayant des répercussions significatives sur la fourniture de leurs services, y compris les incidents causés par le vol ou la perte d’appareils, l’endommagement de câbles réseaux ou les incidents survenant dans le cadre de l’identification des personnes. Les exigences en matière de gestion des risques liés à la cybersécurité et les obligations d’information prévues par la directive (UE) 2022/2555 devraient être considérées comme étant complémentaires aux exigences imposées aux prestataires de services de confiance au titre du présent règlement. Le cas échéant, les autorités compétentes désignées en vertu de la directive (UE) 2022/2555 devraient continuer à appliquer les pratiques ou orientations nationales établies en ce qui concerne la mise en œuvre des exigences en matière de sécurité et d’information et le contrôle du respect de ces exigences en vertu du règlement (UE) no 910/2014. Le présent règlement ne porte pas atteinte à l’obligation de notification des violations de données à caractère personnel en vertu du règlement (UE) 2016/679. |
(51) |
Une attention particulière devrait être accordée à l’instauration d’une coopération efficace entre les organes de contrôle désignés en vertu de l’article 46 ter du règlement (UE) no 910/2014 et les autorités compétentes désignées ou établies en vertu de l’article 8, paragraphe 1, de la directive (UE) 2022/2555. Lorsqu’un tel organe de contrôle est différent d’une telle autorité compétente, ils devraient coopérer étroitement, en temps utile, en échangeant les informations pertinentes afin de garantir un contrôle efficace et le respect, par les prestataires de services de confiance, des exigences énoncées dans le règlement (UE) no 910/2014 et dans la directive (UE) 2022/2555. En particulier, les organes de contrôle désignés en vertu du règlement (UE) no 910/2014 devraient être habilités à demander aux autorités compétentes désignées ou établies en vertu de la directive (UE) 2022/2555 de fournir les informations pertinentes nécessaires pour accorder le statut qualifié et pour mener des actions de supervision visant à vérifier le respect, par les prestataires de services de confiance, des exigences pertinentes prévues par la directive (UE) 2022/2555, ou à leur demander de remédier aux manquements. |
(52) |
Il est essentiel de prévoir un cadre juridique facilitant la reconnaissance transfrontière entre les systèmes juridiques nationaux existants en matière de services d’envoi recommandé électronique. Ce cadre pourrait également ouvrir de nouvelles possibilités de commercialisation permettant aux prestataires de services de confiance de l’Union d’offrir de nouveaux services d’envoi recommandé électronique à l’échelle de l’Union. Afin de veiller à ce que les données utilisant un service d’envoi recommandé électronique qualifié soient fournies au bon destinataire, les services d’envoi recommandé électronique qualifiés devraient garantir avec une certitude absolue l’identification du destinataire, tandis qu’un degré de confiance élevé suffirait en ce qui concerne l’identification de l’expéditeur. Les États membres devraient encourager les fournisseurs de services d’envoi recommandé électronique qualifiés à rendre leurs services interopérables avec les services d’envoi recommandé électronique qualifiés fournis par d’autres prestataires de services de confiance qualifiés afin de pouvoir facilement transférer les données faisant l’objet d’un envoi recommandé électronique entre deux ou plusieurs prestataires de services de confiance qualifiés et de promouvoir des pratiques loyales dans le marché intérieur. |
(53) |
Dans la plupart des cas, les citoyens de l’Union et les résidents de l’Union ne peuvent pas échanger des informations numériques relatives à leur identité, telles que leur adresse, leur âge et leurs qualifications professionnelles, leur permis de conduire et autres licences et données de paiement, par-delà les frontières, en toute sécurité et avec un niveau élevé de protection des données. |
(54) |
Il devrait être possible de délivrer et de traiter des attributs électroniques fiables et de contribuer à réduire la charge administrative, en donnant aux citoyens de l’Union et aux résidents de l’Union les moyens de les utiliser dans le cadre de leurs transactions privées et publiques. Les citoyens de l’Union et les résidents de l’Union devraient, par exemple, être en mesure de prouver qu’ils détiennent un permis de conduire en cours de validité délivré par une autorité d’un État membre et les autorités compétentes d’autres États membres devraient pouvoir le vérifier et s’y fier. Ils devraient aussi pouvoir avoir recours à leurs identifiants de sécurité sociale ou à de futurs documents de voyage numériques dans un contexte transfrontière. |
(55) |
Tout prestataire de services qui délivre des attributs attestés sous forme électronique tels que des diplômes, des licences, des certificats de naissance ou des pouvoirs et mandats pour représenter des personnes physiques ou morales ou agir pour leur compte devrait être considéré comme un prestataire de services de confiance chargé de la fourniture d’attestations électroniques d’attributs. Une attestation électronique d’attributs ne devrait pas être privée d’effet juridique au motif qu’elle se présente sous une forme électronique ou qu’elle ne satisfait pas à toutes les exigences de l’attestation électronique d’attributs qualifiée. Il convient d’établir des exigences générales visant à garantir qu’une attestation électronique d’attributs qualifiée produit un effet juridique équivalent à celui des attestations délivrées légalement sur papier. Toutefois, ces exigences devraient s’appliquer sans préjudice du droit de l’Union ou du droit national définissant des exigences sectorielles supplémentaires en ce qui concerne la forme ayant des effets juridiques sous-jacents et, en particulier, la reconnaissance transfrontière des attestations électroniques d’attributs qualifiées, le cas échéant. |
(56) |
La large disponibilité et la grande facilité d’utilisation des portefeuilles européens d’identité numérique devraient renforcer leur acceptation tant par les particuliers que par les prestataires de services privés et la confiance que ceux-ci leur accordent. Par conséquent, les parties utilisatrices privées qui fournissent des services, par exemple dans les domaines des transports, de l’énergie, des services bancaires et financiers, de la sécurité sociale, de la santé, de l’eau potable, des services postaux, des infrastructures numériques, des télécommunications ou de l’éducation, devraient accepter l’utilisation des portefeuilles européens d’identité numérique pour la fourniture de services lorsque le droit de l’Union ou le droit national, ou une obligation contractuelle, exige une authentification forte des utilisateurs pour l’identification en ligne. Toute demande émanant de la partie utilisatrice visant à obtenir des informations de la part de l’utilisateur d’un portefeuille européen d’identification numérique devrait être nécessaire à l’utilisation prévue dans un cas donné et proportionnée à une telle utilisation, devrait respecter le principe de minimisation des données et devrait garantir la transparence en ce qui concerne les données qui sont partagées et les fins auxquelles elles le sont. Afin de faciliter l’utilisation et l’acceptation des portefeuilles européens d’identité numérique, il convient de tenir compte lors de leur déploiement des normes et spécifications largement acceptées du secteur. |
(57) |
Lorsque de très grandes plateformes en ligne au sens de l’article 33, paragraphe 1, du règlement (UE) 2022/2065 du Parlement européen et du Conseil (15) exigent des utilisateurs qu’ils s’authentifient pour accéder à des services en ligne, ces plateformes devraient être tenues d’accepter l’utilisation de portefeuilles européens d’identité numérique à la demande volontaire de l’utilisateur. Les utilisateurs ne devraient pas être tenus d’utiliser un portefeuille européen d’identité numérique pour accéder à des services privés et ne devraient pas être limités ou entravés dans leur accès aux services au motif qu’ils n’utilisent pas de portefeuille européen d’identité numérique. Toutefois, si les utilisateurs le souhaitent, les très grandes plateformes en ligne devraient les accepter à cette fin, tout en respectant le principe de minimisation des données et le droit des utilisateurs d’utiliser des pseudonymes librement choisis. Eu égard à l’importance des très grandes plateformes en ligne, en raison de leur audience, exprimée notamment en nombre de destinataires du service et de transactions économiques, l’obligation d’accepter les portefeuilles européens d’identité numérique est nécessaire pour renforcer la protection des utilisateurs contre la fraude et garantir un niveau élevé de protection des données. |
(58) |
Il convient d’élaborer des codes de conduite au niveau de l’Union afin de contribuer à étendre la disponibilité et à renforcer la facilité d’utilisation des moyens d’identification électronique, notamment des portefeuilles européens d’identité numérique relevant du champ d’application du présent règlement. Les codes de conduite devraient faciliter une large acceptation des moyens d’identification électronique, y compris des portefeuilles européens d’identité numérique, par les prestataires de services qui ne sont pas considérés comme de très grandes plateformes et qui ont recours à des services d’identification électronique tiers pour l’authentification des utilisateurs. |
(59) |
La divulgation sélective est un concept permettant au propriétaire des données de ne divulguer que certaines parties d’un ensemble de données plus large, afin que l’entité destinataire n’obtienne que les informations qui sont nécessaires pour la fourniture d’un service demandé par un utilisateur. Les portefeuilles européens d’identité numérique devraient permettre, sur le plan technique, la divulgation sélective des attributs aux parties utilisatrices. Il devrait être techniquement possible pour l’utilisateur de divulguer les attributs de manière sélective, y compris à partir d’attestations électroniques multiples et distinctes, ainsi que de les combiner et de les présenter de manière homogène aux parties utilisatrices. Cette fonctionnalité devrait devenir un élément de conception de base des portefeuilles européens d’identité numérique, renforçant ainsi la commodité et la protection des données à caractère personnel, notamment pour ce qui est de la minimisation des données. |
(60) |
À moins que des règles spécifiques du droit de l’Union ou du droit national n’exigent des utilisateurs qu’ils s’identifient, l’accès aux services au moyen d’un pseudonyme ne devrait pas être interdit. |
(61) |
Les attributs fournis par les prestataires de services de confiance qualifiés dans le cadre d’une attestation d’attributs qualifiée devraient faire l’objet d’une vérification par rapport aux sources authentiques, effectuée soit directement par le prestataire de services de confiance qualifié, soit en ayant recours à des intermédiaires désignés reconnus au niveau national conformément au droit de l’Union ou au droit national aux fins de l’échange sécurisé d’attributs attestés entre les fournisseurs de services d’identité ou d’attestations d’attributs et les parties utilisatrices. Les États membres devraient mettre en place des mécanismes appropriés au niveau national pour garantir que les prestataires de services de confiance qualifiés délivrant des attestations électroniques d’attributs qualifiées sont en mesure, sur la base du consentement de la personne à laquelle l’attestation est délivrée, de vérifier l’authenticité des attributs en s’appuyant sur des sources authentiques. Ces mécanismes appropriés devraient pouvoir inclure le recours à des intermédiaires spécifiques ou à des solutions techniques conformément au droit national permettant l’accès à des sources authentiques. Garantir la disponibilité d’un mécanisme permettant la vérification des attributs par rapport à des sources authentiques est destiné à faciliter le respect, par les prestataires de services de confiance qualifiés chargés de la fourniture d’attestations électroniques d’attributs qualifiées, des obligations qui leur incombent au titre du règlement (UE) no 910/2014. Une nouvelle annexe de ce règlement devrait contenir une liste des catégories d’attributs pour lesquelles les États membres doivent veiller à ce que des mesures soient prises afin de permettre aux fournisseurs qualifiés d’attestations électroniques d’attributs de vérifier par voie électronique, à la demande de l’utilisateur, leur authenticité par rapport à la source authentique pertinente. |
(62) |
L’identification électronique sécurisée et la fourniture d’attestations d’attributs devraient offrir davantage de souplesse et de solutions au secteur des services financiers en ce qui concerne l’identification des clients et l’échange des attributs spécifiques nécessaires pour respecter, par exemple, les obligations de vigilance à l’égard de la clientèle prévues par un futur règlement établissant l’autorité de lutte contre le blanchiment de capitaux et les exigences en matière d’adéquation découlant du droit en matière de protection des investisseurs, ou pour permettre le respect d’exigences en matière d’authentification forte du client pour l’identification en ligne à des fins de connexion au compte et d’exécution de transactions dans le domaine des services de paiement. |
(63) |
L’effet juridique produit par une signature électronique ne peut pas être contesté au motif que celle-ci se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée. Toutefois, l’effet juridique des signatures électroniques doit être établi par le droit national, sauf en ce qui concerne les obligations prévues par le présent règlement selon lesquelles l’effet juridique d’une signature électronique qualifiée doit être considéré comme équivalent à celui d’une signature manuscrite. Lorsqu’ils déterminent les effets juridiques des signatures électroniques, les États membres devraient tenir compte du principe de proportionnalité entre la valeur juridique du document à signer et le niveau de sécurité et le coût que nécessite une signature électronique. Afin d’améliorer l’accessibilité des signatures électroniques et d’élargir leur utilisation, les États membres sont encouragés à envisager l’utilisation de signatures électroniques avancées dans les transactions quotidiennes pour lesquelles elles assurent un niveau suffisant de sécurité et de confiance. |
(64) |
Afin de garantir la cohérence des pratiques de certification dans l’ensemble de l’Union, la Commission devrait publier des lignes directrices sur la certification et le renouvellement de la certification des dispositifs de création de signature électronique qualifiés et des dispositifs de création de cachet électronique qualifiés, y compris leur validité et leurs limitations dans le temps. Le présent règlement n’empêche pas les organismes publics ou privés qui disposent de dispositifs de création de signature électronique qualifiés certifiés de renouveler temporairement la certification de ces dispositifs pour une période de certification de courte durée, sur la base des résultats du précédent processus de certification, lorsqu’un tel renouvellement de certification ne peut pas être effectué dans le délai fixé légalement pour une raison autre qu’une atteinte à la sécurité ou un incident de sécurité, sans préjudice de l’obligation de procéder à une évaluation des vulnérabilités et sans préjudice des pratiques de certification applicables. |
(65) |
La délivrance de certificats d’authentification de site internet est destinée à offrir aux utilisateurs un niveau élevé de confiance quant à l’identité de l’entité qui se cache derrière ce site, quelle que soit la plateforme utilisée pour afficher cette identité. Ces certificats devraient contribuer à instaurer un climat de confiance pour la réalisation de transactions commerciales en ligne, les utilisateurs tendant à se fier à un site internet qui a été authentifié. L’utilisation de ces certificats par les sites internet devrait être volontaire. Pour que l’authentification de site internet devienne un moyen de renforcer la confiance, d’améliorer l’expérience de l’utilisateur et de favoriser la croissance dans le marché intérieur, le présent règlement établit un cadre de confiance comprenant des obligations minimales de sécurité et de responsabilité pour les fournisseurs de certificats qualifiés d’authentification de site internet et des exigences applicables à la délivrance de ces certificats. Les listes de confiance nationales devraient confirmer le statut qualifié des services d’authentification de site internet et de leurs prestataires de services de confiance, y compris le respect intégral par ceux-ci des exigences du présent règlement en ce qui concerne la délivrance de certificats qualifiés d’authentification de site internet. La reconnaissance des certificats qualifiés d’authentification de site internet signifie que les fournisseurs de navigateurs internet ne devraient pas contester l’authenticité des certificats qualifiés d’authentification de site internet au seul motif qu’ils attestent le lien entre le nom de domaine du site internet et la personne physique ou morale à laquelle le certificat est délivré ou qu’ils confirment l’identité de cette personne. Les fournisseurs de navigateurs internet devraient afficher, pour l’utilisateur final, les données d’identité certifiées et les autres attributs attestés de manière conviviale dans l’environnement du navigateur, par les moyens techniques de leur choix. À cette fin, les fournisseurs de navigateurs internet devraient veiller à assurer la compatibilité et l’interopérabilité avec les certificats qualifiés d’authentification de site internet délivrés dans le respect intégral du présent règlement. L’obligation de reconnaissance, d’interopérabilité et de compatibilité des certificats qualifiés pour l’authentification de site internet n’affecte pas la liberté des fournisseurs de navigateurs internet d’assurer la sécurité sur internet, l’authentification de domaine et le cryptage du trafic internet de la manière et au moyen de la technologie qu’ils considèrent les plus appropriées. Afin de contribuer à la sécurité en ligne des utilisateurs finaux, les fournisseurs de navigateurs internet devraient, dans des circonstances exceptionnelles, être en mesure de prendre des mesures conservatoires à la fois nécessaires et proportionnées en réaction à des préoccupations justifiées concernant des atteintes à la sécurité ou la perte d’intégrité d’un certificat ou d’un ensemble de certificats identifiés. Lorsqu’ils prennent de telles mesures conservatoires, les fournisseurs de navigateurs internet devraient notifier, dans les meilleurs délais, à la Commission, à l’organe de contrôle national, à l’entité à laquelle le certificat a été délivré et au prestataire de services de confiance qualifié qui a délivré ce certificat ou cet ensemble de certificats, toute préoccupation concernant une telle atteinte à la sécurité ou perte d’intégrité, ainsi que les mesures prises concernant le certificat unique ou l’ensemble de certificats. Ces mesures devraient être sans préjudice de l’obligation faite aux fournisseurs de navigateurs internet de reconnaître les certificats qualifiés d’authentification de site internet conformément aux listes de confiance nationales. Afin de protéger davantage les citoyens de l’Union et les résidents de l’Union et de promouvoir l’utilisation de certificats qualifiés d’authentification de site internet, les autorités publiques des États membres devraient envisager d’intégrer à leurs sites internet les certificats qualifiés d’authentification de site internet. Les mesures prévues par le présent règlement qui visent à accroître la cohérence entre les approches et pratiques divergentes des États membres en ce qui concerne les procédures de contrôle sont destinées à renforcer la confiance dans la sécurité, la qualité et la disponibilité des certificats qualifiés d’authentification de site internet. |
(66) |
De nombreux États membres ont introduit des exigences nationales pour les services fournissant un archivage électronique sécurisé et fiable afin de permettre la préservation à long terme des données et documents électroniques et des services de confiance associés. Pour garantir la sécurité juridique, la confiance et l’harmonisation entre les États membres, il convient d’établir un cadre juridique pour les services d’archivage électronique qualifiés, s’inspirant du cadre des autres services de confiance défini dans le présent règlement. Le cadre juridique applicable aux services d’archivage électronique qualifiés devrait offrir aux prestataires de services de confiance et aux utilisateurs une boîte à outils efficace comprenant des exigences fonctionnelles pour les services d’archivage électronique, ainsi que des effets juridiques clairs lorsqu’un service d’archivage électronique qualifié est utilisé. Ces dispositions devraient s’appliquer aux données électroniques et aux documents électroniques créés sous une forme électronique, ainsi qu’aux documents papier qui ont été scannés et numérisés. En tant que de besoin, ces dispositions devraient permettre que les données et documents électroniques préservés soient portés sur différents supports ou convertis en différents formats afin d’étendre leur durabilité et leur lisibilité au-delà de la période de validité technologique, tout en évitant les pertes et les altérations dans la mesure du possible. Lorsque les données et les documents électroniques soumis au service d’archivage électronique contiennent une ou plusieurs signatures électroniques qualifiées ou un ou plusieurs cachets électroniques qualifiés, le service devrait utiliser des procédures et des technologies permettant d’étendre leur fiabilité sur toute la période de préservation de ces données, en s’appuyant éventuellement sur l’utilisation d’autres services de confiance qualifiés établis par le présent règlement. Afin de créer des preuves de préservation dans les cas où des signatures électroniques, des cachets électroniques ou des horodatages électroniques sont utilisés, il convient d’utiliser des services de confiance qualifiés. Pour autant que les services d’archivage électronique ne sont pas harmonisés par le présent règlement, les États membres devraient avoir la possibilité de maintenir ou d’introduire des dispositions nationales, conformément au droit de l’Union, relatives à ces services, telles que des dispositions spécifiques pour les services intégrés dans une organisation et utilisés uniquement pour les archives internes de cette organisation. Le présent règlement ne devrait pas opérer de distinction entre les données électroniques et les documents électroniques créés sous une forme électronique et les documents physiques qui ont été numérisés. |
(67) |
Les activités des institutions nationales d’archives et de la mémoire, en leur qualité d’organisations dédiées à la préservation du patrimoine documentaire dans l’intérêt public, sont généralement réglementées dans le droit national et ces institutions ne fournissent pas nécessairement de services de confiance au sens du présent règlement. Dans la mesure où ces institutions ne fournissent pas de tels services de confiance, le présent règlement est sans préjudice de leur fonctionnement. |
(68) |
Les registres électroniques consistent en une séquence d’enregistrements de données électroniques qui devrait garantir l’intégrité de ces données et l’exactitude de leur classement chronologique. Les registres électroniques devraient établir une séquence chronologique des enregistrements de données. En combinaison avec d’autres technologies, ils devraient contribuer à trouver des solutions pour des services publics plus efficaces et porteurs de transformation, tels que le vote électronique, la coopération transfrontière des autorités douanières, la coopération transfrontière des établissements universitaires et l’enregistrement de la propriété de biens immobiliers dans des registres fonciers décentralisés. Les registres électroniques qualifiés devraient créer une présomption légale quant au classement chronologique séquentiel unique et précis et à l’intégrité des enregistrements de données dans le registre. En raison de leurs spécificités, telles que le classement chronologique séquentiel des enregistrements de données, les registres électroniques devraient être distingués des autres services de confiance tels que les horodatages électroniques et les services d’envoi recommandé électronique. Afin de garantir la sécurité juridique et de promouvoir l’innovation, il convient d’établir à l’échelle de l’Union un cadre juridique prévoyant la reconnaissance transfrontière de services de confiance pour l’enregistrement des données dans les registres électroniques qualifiés. Cela devrait suffire à éviter que le même actif numérique soit copié et vendu plus d’une fois à différentes parties. Le processus de création et de mise à jour d’un registre électronique dépend du type de registre utilisé, à savoir s’il est centralisé ou distribué. Le présent règlement devrait garantir la neutralité technologique, c’est-à-dire ne favoriser ni ne discriminer aucune technologie utilisée pour mettre en œuvre le nouveau service de confiance pour les registres électroniques. En outre, les indicateurs de durabilité relatifs à toute incidence négative sur le climat ou à d’autres incidences négatives liées à l’environnement devraient être pris en compte par la Commission, au moyen de méthodes adéquates, lors de l’élaboration des actes d’exécution précisant les exigences applicables aux registres électroniques qualifiés. |
(69) |
Le rôle des prestataires de services de confiance pour les registres électroniques devrait consister à vérifier l’enregistrement séquentiel des données dans le registre. Le présent règlement est sans préjudice des obligations légales des utilisateurs des registres électroniques prévues par le droit de l’Union ou le droit national. Par exemple, les cas d’utilisation nécessitant le traitement de données à caractère personnel devraient respecter le règlement (UE) 2016/679 et les cas d’utilisation liés aux services financiers devraient respecter le droit de l’Union applicable en matière de services financiers. |
(70) |
Afin d’éviter la fragmentation du marché intérieur et les obstacles sur ce marché dus à des normes et restrictions techniques divergentes, et d’assurer un processus coordonné pour éviter de porter atteinte à la mise en œuvre du cadre européen relatif à une identité numérique, il y a lieu d’instaurer un processus de coopération étroite et structurée entre la Commission, les États membres, la société civile, le monde universitaire et le secteur privé. Pour atteindre cet objectif, les États membres et la Commission devraient coopérer dans le cadre défini dans la recommandation (UE) 2021/946 de la Commission (16) afin de définir une boîte à outils commune de l’Union pour le cadre européen relatif à une identité numérique. Dans ce contexte, les États membres devraient convenir d’une architecture technique et un cadre de référence complets, un ensemble de normes communes et de références techniques, y compris les normes existantes reconnues, ainsi qu’un ensemble de lignes directrices et de descriptions des bonnes pratiques couvrant au moins toutes les fonctionnalités et l’interopérabilité des portefeuilles européens d’identité numérique, notamment les signatures électroniques, ainsi que des prestataires de services de confiance qualifiés chargés de la fourniture d’attestation électronique d’attributs, comme le prévoit le présent règlement. Dans ce contexte, les États membres devraient également convenir d’éléments communs concernant un modèle économique et une structure tarifaire pour les portefeuilles européens d’identité numérique, afin de faciliter leur adoption, en particulier par les PME dans un contexte transfrontière. Le contenu de la boîte à outils devrait continuer à évoluer parallèlement au débat et au processus d’adoption du cadre européen relatif à une identité numérique et tenir compte de leurs résultats. |
(71) |
Le présent règlement prévoit un niveau harmonisé de qualité, de fiabilité et de sécurité des services de confiance qualifiés, quel que soit le lieu où les opérations sont menées. Ainsi, un prestataire de services de confiance qualifié devrait être autorisé à externaliser ses opérations liées à la fourniture d’un service de confiance qualifié dans un pays tiers, lorsque ce pays tiers fournit des garanties adéquates pour que les activités de contrôle et les audits puissent être exécutés comme si ces opérations étaient menées dans l’Union. Lorsque le respect du présent règlement ne peut être pleinement garanti, les organes de contrôle devraient être en mesure d’adopter des mesures proportionnées et justifiées, y compris le retrait du statut de service qualifié du service de confiance fourni. |
(72) |
Pour garantir la sécurité juridique concernant la validité des signatures électroniques avancées reposant sur des certificats qualifiés, il est essentiel de préciser l’évaluation par la partie utilisatrice qui procède à la validation de cette signature électronique avancée reposant sur des certificats qualifiés. |
(73) |
Les prestataires de services de confiance devraient utiliser des méthodes cryptographiques reflétant les bonnes pratiques en cours et la mise en œuvre fiable de ces algorithmes afin de garantir la sécurité et la fiabilité de leurs services de confiance. |
(74) |
Le présent règlement impose aux prestataires de services de confiance qualifiés l’obligation de vérifier l’identité d’une personne physique ou morale à laquelle le certificat qualifié ou l’attestation électronique d’attributs qualifiée est délivré sur la base de diverses méthodes harmonisées dans l’ensemble de l’Union. Pour veiller à ce que les certificats qualifiés et les attestations électroniques d’attributs qualifiées soient délivrés à la personne à laquelle ils appartiennent et qu’ils attestent l’ensemble correct et unique de données représentant l’identité de cette personne, les prestataires de services de confiance qualifiés délivrant des certificats qualifiés ou délivrant des attestations électroniques d’attributs qualifiées devraient, au moment de la délivrance de ces certificats et attestations, garantir avec une certitude absolue l’identification de cette personne. Par ailleurs, outre la vérification obligatoire de l’identité de la personne, s’il y a lieu pour la délivrance de certificats qualifiés et lors de la délivrance d’une attestation électronique d’attributs qualifiée, les prestataires de services de confiance qualifiés devraient garantir avec une certitude absolue l’exactitude des attributs attestés de la personne à laquelle le certificat qualifié ou l’attestation électronique d’attributs qualifiée est délivré. Ces obligations de résultat et de certitude absolue lorsqu’il s’agit de vérifier les données attestées devraient être appuyées par des moyens appropriés, y compris par le recours à une ou, au besoin, une combinaison de méthodes spécifiques prévues par le présent règlement. Il devrait être possible de combiner ces méthodes afin de fournir une base appropriée pour la vérification de l’identité de la personne à laquelle le certificat qualifié ou une attestation électronique d’attributs qualifiée est délivré. Une telle combinaison devrait pouvoir inclure le recours à des moyens d’identification électronique qui répondent aux exigences d’un niveau de garantie substantiel en combinaison avec d’autres moyens de vérification de l’identité. Cette identification électronique permettrait de satisfaire aux exigences harmonisées énoncées dans le présent règlement en ce qui concerne le niveau de garantie élevé, dans le cadre d’autres procédures à distance harmonisées, garantissant une identification avec un degré de confiance élevé. Ces méthodes devraient comprendre la possibilité, pour le prestataire de services de confiance qualifié délivrant une attestation électronique d’attributs qualifiée, de vérifier les attributs devant être attestés par des moyens électroniques à la demande de l’utilisateur, conformément au droit de l’Union ou au droit national, y compris par rapport à des sources authentiques. |
(75) |
Afin de maintenir le présent règlement en adéquation avec les évolutions générales et de suivre les meilleures pratiques sur le marché intérieur, les actes délégués et les actes d’exécution adoptés par la Commission devraient être réexaminés et, si besoin, mis à jour régulièrement. L’évaluation de la nécessité de ces mises à jour devrait tenir compte des nouvelles technologies, pratiques, normes ou spécifications techniques. |
(76) |
Étant donné que les objectifs du présent règlement, à savoir la mise en place, à l’échelle de l’Union, d’un cadre européen relatif à une identité numérique et d’un cadre pour les services de confiance, ne peuvent pas être atteints de manière suffisante par les États membres mais peuvent, en raison de leurs dimensions et de leurs effets, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre ces objectifs. |
(77) |
Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725. |
(78) |
Il convient, dès lors, de modifier le règlement (UE) no 910/2014 en conséquence, |
ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Modifications du règlement (UE) no 910/2014
Le règlement (UE) no 910/2014 est modifié comme suit:
1) |
L’article 1er est remplacé par le texte suivant: «Article premier Objet Le présent règlement vise à assurer le bon fonctionnement du marché intérieur et à offrir un niveau adéquat de sécurité des moyens d’identification électronique et des services de confiance utilisés dans l’ensemble de l’Union, afin de permettre et de faciliter l’exercice, par les personnes physiques et morales, du droit de participer à la société numérique en toute sécurité et d’accéder aux services publics et privés en ligne dans toute l’Union. Pour ce faire, le présent règlement:
|
2) |
L’article 2 est modifié comme suit:
|
3) |
L’article 3 est modifié comme suit:
|
4) |
L’article 5 est remplacé par le texte suivant: «Article 5 Pseudonymes utilisés dans les transactions électroniques Sans préjudice des règles spécifiques du droit de l’Union ou du droit national exigeant des utilisateurs qu’ils s’identifient ou de l’effet juridique donné aux pseudonymes en droit national, l’utilisation de pseudonymes qui sont choisis par l’utilisateur n’est pas interdite.». |
5) |
Au chapitre II, la section suivante est insérée: «SECTION 1 PORTEFEUILLE EUROPÉEN D’IDENTITÉ NUMÉRIQUE Article 5 bis Portefeuilles européens d’identité numérique 1. Afin de garantir à toutes les personnes physiques et morales dans l’Union un accès transfrontière sécurisé, fiable et continu à des services publics et privés, tout en exerçant un contrôle total sur leurs données, chaque État membre fournit au moins un portefeuille européen d’identité numérique dans un délai de vingt-quatre mois à compter de la date d’entrée en vigueur des actes d’exécution visés au paragraphe 23 du présent article et à l’article 5 quater, paragraphe 6. 2. Les portefeuilles européens d’identité numérique sont fournis de l’une ou plusieurs des manières suivantes:
3. Le code source des composants logiciels de l’application des portefeuilles européens d’identité numérique fait l’objet d’une licence à code source ouvert (open source). Les États membres peuvent prévoir que, pour des raisons dûment justifiées, le code source de composants spécifiques autres que ceux installés sur les dispositifs utilisateurs n’est pas divulgué. 4. Les portefeuilles européens d’identité numérique permettent à l’utilisateur, d’une manière conviviale, transparente et qui garantit la traçabilité pour l’utilisateur:
5. En particulier, les portefeuilles européens d’identité numérique:
Nonobstant le premier alinéa, point g), les États membres peuvent prévoir des mesures proportionnées pour faire en sorte que l’utilisation gratuite de signatures électroniques qualifiées par des personnes physiques soit limitée à des fins non professionnelles. 6. Les États membres informent les utilisateurs, dans les meilleurs délais, de toute atteinte à la sécurité susceptible d’avoir compromis, en tout ou en partie, leur portefeuille européen d’identité numérique ou son contenu, en particulier en cas de suspension ou de révocation de leur portefeuille européen d’identité numérique en vertu de l’article 5 sexies. 7. Sans préjudice de l’article 5 septies, les États membres peuvent prévoir, conformément au droit national, des fonctionnalités supplémentaires pour les portefeuilles européens d’identité numérique, y compris l’interopérabilité avec des moyens d’identification électronique nationaux existants. Ces fonctionnalités supplémentaires respectent le présent article. 8. Les États membres fournissent gratuitement des mécanismes de validation afin de:
9. Les États membres veillent à ce que la validité du portefeuille européen d’identité numérique puisse être révoquée dans les circonstances suivantes:
10. Les fournisseurs de portefeuilles européens d’identité numérique garantissent que les utilisateurs peuvent facilement demander une assistance technique et signaler des problèmes techniques ou tout autre incident ayant une incidence négative sur l’utilisation des portefeuilles européens d’identité numérique. 11. Les portefeuilles européens d’identité numérique sont fournis dans le cadre d’un schéma d’identification électronique de niveau de garantie élevé. 12. Les portefeuilles européens d’identité numérique garantissent la sécurité dès la conception. 13. La délivrance, l’utilisation et la révocation des portefeuilles européens d’identité numérique sont gratuites pour toutes les personnes physiques. 14. Les utilisateurs exercent un contrôle total sur l’utilisation de leur portefeuille européen d’identité numérique et des données qui y figurent. Le fournisseur du portefeuille européen d’identité numérique ne collecte pas les informations sur l’utilisation du portefeuille européen d’identité numérique qui ne sont pas nécessaires à la fourniture des services liés au portefeuille européen d’identité numérique, et il ne combine pas non plus des données d’identification personnelle ou d’autres données à caractère personnel stockées ou relatives à l’utilisation du portefeuille européen d’identité numérique avec des données à caractère personnel provenant de tout autre service offert par ce fournisseur ou de services tiers qui ne sont pas nécessaires à la fourniture des services liés au portefeuille européen d’identité numérique, à moins que l’utilisateur n’ait fait expressément la demande contraire. Les données à caractère personnel relatives à la fourniture du portefeuille européen d’identité numérique sont maintenues séparées, de manière logique, de toute autre donnée détenue par le fournisseur du portefeuille européen d’identité numérique. Si le portefeuille européen d’identité numérique est fourni par des parties privées conformément au paragraphe 2, points b) et c), du présent article, les dispositions de l’article 45 nonies, paragraphe 3, s’appliquent mutatis mutandis. 15. L’utilisation des portefeuilles européens d’identité numérique a lieu sur une base volontaire. Les personnes physiques ou morales qui n’utilisent pas les portefeuilles européens d’identité numérique ne sont en aucune façon limitées ou désavantagées dans l’accès aux services publics et privés, l’accès au marché du travail et la liberté d’entreprise. Il reste possible d’accéder aux services publics et privés par d’autres moyens d’identification et d’authentification existants. 16. Le cadre technique du portefeuille européen d’identité numérique:
17. Tout traitement de données à caractère personnel effectué par les États membres ou pour leur compte par des organismes ou des parties responsables de la fourniture des portefeuilles européens d’identité numérique en tant que moyen d’identification électronique est effectué dans le respect de mesures appropriées et efficaces de protection des données. La conformité de ce traitement avec le règlement (UE) 2016/679 est démontrée. Les États membres peuvent introduire des dispositions nationales visant à préciser davantage l’application de ces mesures. 18. Les États membres notifient à la Commission, dans les meilleurs délais, des informations concernant:
La Commission met les informations notifiées en vertu du premier alinéa à la disposition du public par un canal sécurisé, sous une forme portant une signature électronique ou un cachet électronique adaptée au traitement automatisé. 19. Sans préjudice du paragraphe 22 du présent article, l’article 11 s’applique mutatis mutandis au portefeuille européen d’identité numérique. 20. L’article 24, paragraphe 2, points b) et d) à h), s’applique mutatis mutandis aux fournisseurs de portefeuilles européens d’identité numérique. 21. Les portefeuilles européens d’identité numérique sont rendus accessibles pour une utilisation par les personnes handicapées, sur un pied d’égalité avec les autres utilisateurs, conformément à la directive (UE) 2019/882 du Parlement européen et du Conseil (*2). 22. Aux fins de la fourniture des portefeuilles européens d’identité numérique, les portefeuilles européens d’identité numérique et les schémas d’identification électronique dans le cadre desquels ils sont fournis ne sont pas soumis aux exigences prévues aux articles 7, 9, 10, 12 et 12 bis. 23. Au plus tard le 21 novembre 2024, la Commission établit, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables aux exigences visées aux paragraphes 4, 5, 8 et 18 du présent article en ce qui concerne la mise en œuvre du portefeuille européen d’identité numérique. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2. 24. La Commission établit, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, des spécifications et des procédures afin de faciliter l’enrôlement des utilisateurs pour le portefeuille européen d’identité numérique soit par des moyens d’identification électronique conformes au niveau de garantie élevé, soit par des moyens d’identification électronique conformes au niveau de garantie substantiel combinés avec des procédures d’enrôlement à distance supplémentaires qui, conjointement, répondent aux exigences du niveau de garantie élevé. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2. Article 5 ter Parties utilisatrices du portefeuille européen d’identité numérique 1. Lorsqu’une partie utilisatrice a l’intention de recourir à des portefeuilles européens d’identité numérique pour la fourniture de services publics ou privés au moyen d’une interaction numérique, elle s’enregistre dans l’État membre dans lequel elle est établie. 2. La procédure d’enregistrement présente un bon rapport coût-efficacité et est proportionnée au risque. La partie utilisatrice fournit au moins:
3. Les parties utilisatrices ne demandent pas aux utilisateurs de fournir d’autres données que celles indiquées en vertu du paragraphe 2, point c). 4. Les paragraphes 1 et 2 sont sans préjudice du droit de l’Union ou du droit national applicable à la fourniture de services spécifiques. 5. Les États membres mettent les informations visées au paragraphe 2 à la disposition du public en ligne, sous une forme portant une signature électronique ou un cachet électronique adaptée au traitement automatisé. 6. Les parties utilisatrices enregistrées conformément au présent article informent les États membres dans les meilleurs délais de toute modification apportée aux informations fournies dans l’enregistrement en vertu du paragraphe 2. 7. Les États membres fournissent un mécanisme commun permettant l’identification et l’authentification des parties utilisatrices, conformément à l’article 5 bis, paragraphe 5, point c). 8. Lorsque des parties utilisatrices ont l’intention de recourir à des portefeuilles européens d’identité numérique, elles s’identifient auprès de l’utilisateur. 9. Les parties utilisatrices sont chargées d’effectuer la procédure d’authentification et de validation des données d’identification personnelle et de l’attestation électronique d’attributs demandées aux portefeuilles européens d’identité numérique. Les parties utilisatrices ne refusent pas l’utilisation de pseudonymes lorsque l’identification de l’utilisateur n’est pas requise par le droit de l’Union ou le droit national. 10. Les intermédiaires agissant pour le compte de parties utilisatrices sont réputés être des parties utilisatrices et ne conservent pas de données sur le contenu de la transaction. 11. Au plus tard le 21 novembre 2024, la Commission établit les spécifications techniques et les procédures applicables aux exigences visées aux paragraphes 2, 5 et 6 à 9 du présent article, au moyen d’actes d’exécution relatifs à la mise en œuvre des portefeuilles européens d’identité numérique, conformément à l’article 5 bis, paragraphe 23. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2. Article 5 quater Certification des portefeuilles européens d’identité numérique 1. La conformité des portefeuilles européens d’identité numérique et du schéma d’identification électronique dans le cadre duquel ils sont fournis avec les exigences énoncées à l’article 5 bis, paragraphes 4, 5 et 8, avec l’exigence de séparation logique prévue à l’article 5 bis, paragraphe 14, et, le cas échéant, avec les normes et spécifications techniques visées à l’article 5 bis, paragraphe 24, est certifiée par des organismes d’évaluation de la conformité désignés par les États membres. 2. La certification de la conformité des portefeuilles européens d’identité numérique avec les exigences visées au paragraphe 1 du présent article, ou avec des parties de celles-ci, qui sont pertinentes en matière de cybersécurité, est effectuée conformément aux schémas de certification de cybersécurité européens adoptés en vertu du règlement (UE) 2019/881 du Parlement européen et du Conseil (*3) et visés dans les actes d’exécution visés au paragraphe 6 du présent article. 3. Pour les exigences visées au paragraphe 1 du présent article qui ne sont pas pertinentes en matière de cybersécurité et, pour les exigences visées au paragraphe 1 du présent article qui sont pertinentes en matière de cybersécurité, dans la mesure où les schémas de certification de cybersécurité visés au paragraphe 2 du présent article ne couvrent pas, ou ne couvrent que partiellement, ces exigences en matière de cybersécurité, les États membres établissent, également pour ces exigences, des schémas nationaux de certification conformément aux exigences énoncées dans les actes d’exécution visés au paragraphe 6 du présent article. Les États membres transmettent leurs projets de schémas nationaux de certification au groupe de coopération européen en matière d’identité numérique institué en vertu de l’article 46 sexies, paragraphe 1 (ci-après dénommé “groupe de coopération”). Le groupe de coopération peut émettre des avis et des recommandations. 4. La certification en vertu du paragraphe 1 est valable pour une durée maximale de cinq ans, à condition qu’une évaluation des vulnérabilités soit effectuée tous les deux ans. Si une vulnérabilité est décelée et n’est pas corrigée en temps utile, la certification est annulée. 5. Le respect des exigences énoncées à l’article 5 bis du présent règlement relatives au traitement des données à caractère personnel peut être certifié en vertu du règlement (UE) 2016/679. 6. Au plus tard le 21 novembre 2024, la Commission établit, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables à la certification des portefeuilles européens d’identité numérique visée aux paragraphes 1, 2 et 3 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2. 7. Les États membres communiquent à la Commission le nom et l’adresse des organismes d’évaluation de la conformité visés au paragraphe 1. La Commission met ces informations à la disposition de tous les États membres. 8. La Commission est habilitée à adopter, conformément à l’article 47, des actes délégués définissant les critères spécifiques auxquels doivent répondre les organismes d’évaluation de la conformité désignés visés au paragraphe 1 du présent article. Article 5 quinquies Publication d’une liste des portefeuilles européens d’identité numérique certifiés 1. Les États membres informent la Commission et le groupe de coopération établi en vertu de l’article 46 sexies, paragraphe 1, dans les meilleurs délais, des portefeuilles européens d’identité numérique qui ont été fournis en application de l’article 5 bis et certifiés par les organismes d’évaluation de la conformité visés à l’article 5 quater, paragraphe 1. Ils informent, dans les meilleurs délais, la Commission et le groupe de coopération établi en vertu de l’article 46 sexies, paragraphe 1, de l’annulation d’une certification et indiquent les raisons de cette annulation. 2. Sans préjudice de l’article 5 bis, paragraphe 18, les informations fournies par les États membres visées au paragraphe 1 du présent article comprennent au moins:
3. Sur la base des informations reçues en vertu du paragraphe 1, la Commission établit, publie au Journal officiel de l’Union européenne et tient à jour, sous une forme lisible par machine, une liste des portefeuilles européens d’identité numérique certifiés. 4. Un État membre peut soumettre à la Commission une demande visant à retirer un portefeuille européen d’identité numérique et le schéma d’identification électronique dans le cadre duquel il est fourni de la liste visée au paragraphe 3. 5. En cas de modification des informations fournies en vertu du paragraphe 1, l’État membre fournit à la Commission des informations actualisées. 6. La Commission tient à jour la liste visée au paragraphe 3 en publiant au Journal officiel de l’Union européenne les modifications correspondantes de la liste dans un délai d’un mois à compter de la réception d’une demande formulée en vertu du paragraphe 4 ou d’informations actualisées en vertu du paragraphe 5. 7. Au plus tard le 21 novembre 2024, la Commission établit les formats et les procédures applicables aux fins des paragraphes 1, 4 et 5 du présent article au moyen d’actes d’exécution relatifs à la mise en œuvre des portefeuilles européens d’identité numérique, conformément à l’article 5 bis, paragraphe 23. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2. Article 5 sexies Atteinte à la sécurité des portefeuilles européens d’identité numérique 1. En cas d’atteinte aux portefeuilles européens d’identité numérique fournis en vertu de l’article 5 bis, aux mécanismes de validation visés à l’article 5 bis, paragraphe 8, ou au schéma d’identification électronique dans le cadre duquel les portefeuilles européens d’identité numérique sont fournis, ou d’altération partielle des uns ou des autres, d’une manière qui affecte leur fiabilité ou la fiabilité d’autres portefeuilles européens d’identité numérique, l’État membre qui a fourni les portefeuilles européens d’identité numérique suspend, dans les meilleurs délais, la fourniture et l’utilisation des portefeuilles européens d’identité numérique. Lorsque la gravité de l’atteinte à la sécurité ou de l’altération visées au premier alinéa le justifie, l’État membre retire les portefeuilles européens d’identité numérique dans les meilleurs délais. L’État membre en informe les utilisateurs affectés, les points de contact uniques désignés en vertu de l’article 46 quater, paragraphe 1, les parties utilisatrices et la Commission. 2. S’il n’est pas remédié à l’atteinte à la sécurité ou à l’altération visées au paragraphe 1, premier alinéa, du présent article, dans un délai de trois mois à compter de la suspension, l’État membre qui a fourni les portefeuilles européens d’identité numérique retire les portefeuilles européens d’identité numérique et révoque leur validité. L’État membre informe les utilisateurs affectés, les points de contact uniques désignés en vertu de l’article 46 quater, paragraphe 1, les parties utilisatrices et la Commission de ce retrait en conséquence. 3. Lorsqu’il a été remédié à l’atteinte à la sécurité ou à l’altération visées au paragraphe 1, premier alinéa, du présent article, l’État membre de fourniture rétablit la fourniture et l’utilisation des portefeuilles européens d’identité numérique et informe les utilisateurs affectés et les parties utilisatrices, les points de contact uniques désignés en vertu de l’article 46 quater, paragraphe 1, et la Commission dans les meilleurs délais. 4. La Commission publie, dans les meilleurs délais, au Journal officiel de l’Union européenne les modifications correspondantes apportées à la liste prévue à l’article 5 quinquies. 5. Au plus tard le 21 novembre 2024, la Commission établit, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables aux mesures visées aux paragraphes 1, 2 et 3 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2. Article 5 septies Recours transfrontière aux portefeuilles européens d’identité numérique 1. Lorsque les États membres exigent une identification et une authentification électroniques pour accéder à un service en ligne fourni par un organisme du secteur public, ils acceptent également les portefeuilles européens d’identité numérique qui sont fournis conformément au présent règlement. 2. Lorsque le droit de l’Union ou le droit national exige des parties utilisatrices privées fournissant des services, exception faite des microentreprises et des petites entreprises telles qu’elles sont définies à l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission (*4), qu’elles utilisent une authentification forte de l’utilisateur pour l’identification en ligne, ou lorsqu’une identification forte de l’utilisateur est imposée pour l’identification en ligne au titre d’une obligation contractuelle, y compris dans les domaines des transports, de l’énergie, de la banque, des services financiers, de la sécurité sociale, de la santé, de l’eau potable, des services postaux, des infrastructures numériques, de l’éducation ou des télécommunications, ces parties utilisatrices privées acceptent également, au plus tard trente-six mois à compter de la date d’entrée en vigueur des actes d’exécution visés à l’article 5 bis, paragraphe 23, et à l’article 5 quater, paragraphe 6, et uniquement à la demande volontaire de l’utilisateur, les portefeuilles européens d’identité numérique qui sont fournis conformément au présent règlement. 3. Lorsque les fournisseurs de très grandes plateformes en ligne, visées à l’article 33 du règlement (UE) 2022/2065 du Parlement européen et du Conseil (*5), exigent de l’utilisateur qu’il s’authentifie pour accéder à des services en ligne, ils acceptent et facilitent également l’utilisation des portefeuilles européens d’identité numérique qui sont fournis conformément au présent règlement pour l’authentification de l’utilisateur, uniquement à la demande volontaire de celui-ci et en ce qui concerne les données minimales nécessaires pour le service en ligne particulier pour lequel l’authentification est demandée. 4. En coopération avec les États membres, la Commission facilite l’élaboration de codes de conduite en étroite collaboration avec toutes les parties prenantes concernées, y compris la société civile, afin de contribuer à étendre la disponibilité et à renforcer la facilité d’utilisation des portefeuilles européens d’identité numérique relevant du champ d’application du présent règlement, et d’encourager les prestataires de services à achever l’élaboration de codes de conduite. 5. Dans les vingt-quatre mois suivant le déploiement des portefeuilles européens d’identité numérique, la Commission évalue la demande de portefeuilles européens d’identité numérique, leur disponibilité et leur facilité d’utilisation, en tenant compte de critères tels que l’adoption par les utilisateurs, la présence transfrontière de prestataires de services, les évolutions technologiques, l’évolution des modes d’utilisation et la demande des consommateurs. (*2) Directive (UE) 2019/882 du Parlement européen et du Conseil du 17 avril 2019 relative aux exigences en matière d’accessibilité applicables aux produits et services (JO L 151 du 7.6.2019, p. 70)." (*3) Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15)." (*4) Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36)." (*5) Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) (JO L 277 du 27.10.2022, p. 1).»." |
6) |
L’intitulé suivant est inséré avant l’article 6: «SECTION 2 SCHÉMAS D’IDENTIFICATION ÉLECTRONIQUE». |
7) |
À l’article 7, le point g) est remplacé par le texte suivant:
|
8) |
À l’article 8, paragraphe 3, le premier alinéa est remplacé par le texte suivant: «3 Au plus tard le 18 septembre 2015, compte tenu des normes internationales pertinentes et sous réserve du paragraphe 2, la Commission fixe, au moyen d’actes d’exécution, les spécifications techniques, normes et procédures minimales sur la base desquelles les niveaux de garantie faible, substantiel et élevé sont précisés pour les moyens d’identification électronique.». |
9) |
À l’article 9, les paragraphes 2 et 3 sont remplacés par le texte suivant: «2. La Commission publie au Journal officiel de l’Union européenne, dans les meilleurs délais, la liste des schémas d’identification électronique qui ont été notifiés en application du paragraphe 1 ainsi que les informations essentielles concernant ces schémas. 3. La Commission publie au Journal officiel de l’Union européenne les modifications apportées à la liste visée au paragraphe 2 dans un délai d’un mois à compter de la date de réception de cette notification.». |
10) |
À l’article 10, le titre est remplacé par le texte suivant: «Atteinte à la sécurité des schémas d’identification électronique». |
11) |
L’article suivant est inséré: «Article 11 bis Mise en correspondance des identités transfrontière 1. Lorsqu’ils agissent en tant que parties utilisatrices pour des services transfrontières, les États membres veillent à une mise en correspondance des identités sans équivoque pour les personnes physiques utilisant des moyens d’identification électroniques notifiés ou des portefeuilles européens d’identité numérique. 2. Les États membres prévoient des mesures techniques et organisationnelles pour garantir un niveau élevé de protection des données à caractère personnel utilisées pour la mise en correspondance des identités ainsi que pour empêcher le profilage des utilisateurs. 3. Au plus tard le 21 novembre 2024, la Commission établit, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables aux exigences visées au paragraphe 1 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.». |
12) |
L’article 12 est modifié comme suit:
|
13) |
Les articles suivants sont insérés au chapitre II: «Article 12 bis Certification des schémas d’identification électronique 1. La conformité des schémas d’identification électronique devant être notifiés avec les exigences en matière de cybersécurité prévues dans le présent règlement, y compris la conformité avec les exigences pertinentes en matière de cybersécurité prévues à l’article 8, paragraphe 2, concernant les niveaux de garantie des schémas d’identification électronique, est certifiée par les organismes d’évaluation de la conformité désignés par les États membres. 2. La certification prévue au paragraphe 1 du présent article est effectuée dans le cadre d’un schéma de certification de cybersécurité pertinent conformément au règlement (UE) 2019/881 ou de parties d’un tel schéma, pour autant que le certificat de cybersécurité ou des parties de celui-ci couvrent ces exigences en matière de cybersécurité. 3. La certification prévue au paragraphe 1 est valable pour une durée maximale de cinq ans, à condition qu’une évaluation des vulnérabilités soit effectuée tous les deux ans. Si une vulnérabilité est décelée et n’est pas corrigée dans un délai de trois mois à compter du moment où elle a été décelée, la certification est annulée. 4. Nonobstant le paragraphe 2, les États membres peuvent, conformément audit paragraphe, demander à un État membre notifiant des informations supplémentaires sur les schémas d’identification électronique ou une partie de ceux-ci qui ont été certifiés. 5. L’évaluation par les pairs des schémas d’identification électronique prévue à l’article 12, paragraphe 5, ne s’applique pas aux schémas d’identification électronique ni à des parties de tels schémas qui ont été certifiés conformément au paragraphe 1 du présent article. Les États membres peuvent utiliser un certificat ou une déclaration de conformité, délivrés conformément à un schéma de certification pertinent ou à des parties de tels schémas, aux exigences autres que les exigences en matière de cybersécurité énoncées à l’article 8, paragraphe 2, concernant le niveau de garantie des schémas d’identification électronique. 6. Les États membres communiquent à la Commission le nom et l’adresse des organismes d’évaluation de la conformité visés au paragraphe 1. La Commission met ces informations à la disposition de tous les États membres. Article 12 ter Accès aux caractéristiques matérielles et logicielles Lorsque les fournisseurs de portefeuilles européens d’identité numérique et les émetteurs de moyens d’identification électronique notifiés qui agissent à titre commercial ou professionnel et utilisent des services de plateforme essentiels au sens de l’article 2, point 2), du règlement (UE) 2022/1925 du Parlement européen et du Conseil (*6) aux fins ou dans le cadre de la fourniture, à des utilisateurs finaux, de services liés à un portefeuille européen d’identité numérique et de moyens d’identification électronique sont des entreprises utilisatrices au sens de l’article 2, point 21), dudit règlement, les contrôleurs d’accès leur permettent notamment d’interopérer effectivement avec le même système d’exploitation, les mêmes caractéristiques matérielles et logicielles et, aux fins de l’interopérabilité, d’accéder effectivement à ce même système et à ces mêmes caractéristiques. Cette interopérabilité et cet accès effectifs sont permis gratuitement, et ce, que les caractéristiques matérielles ou logicielles fassent partie ou non du système d’exploitation, qu’elles soient disponibles ou non pour ce contrôleur d’accès ou qu’elles soient utilisées ou non par ce contrôleur d’accès dans le cadre de la fourniture de tels services, au sens de l’article 6, paragraphe 7, du règlement (UE) 2022/1925. Le présent article est sans préjudice de l’article 5 bis, paragraphe 14, du présent règlement. (*6) Règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) (JO L 265 du 12.10.2022, p. 1).»." |
14) |
À l’article 13, le paragraphe 1 est remplacé par le texte suivant: «1. Nonobstant le paragraphe 2 du présent article, et sans préjudice du règlement (UE) 2016/679, les prestataires de services de confiance sont responsables des dommages causés intentionnellement ou par négligence à toute personne physique ou morale en raison d’un manquement aux obligations prévues par le présent règlement. Toute personne physique ou morale ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement commise par un prestataire de services de confiance a le droit de demander réparation conformément au droit de l’Union et au droit national. Il incombe à la personne physique ou morale qui invoque le dommage visé au premier alinéa de prouver que le prestataire de services de confiance non qualifié a agi intentionnellement ou par négligence. Un prestataire de services de confiance qualifié est présumé avoir agi intentionnellement ou par négligence à moins qu’il ne prouve que le dommage visé au premier alinéa a été causé sans intention ni négligence de sa part.». |
15) |
Les articles 14, 15 et 16 sont remplacés par le texte suivant: «Article 14 Aspects internationaux 1. Les services de confiance fournis par des prestataires de services de confiance établis dans un pays tiers ou par une organisation internationale sont reconnus comme équivalents, sur le plan juridique, à des services de confiance qualifiés fournis par des prestataires de services de confiance qualifiés établis dans l’Union, lorsque les services de confiance provenant du pays tiers ou de l’organisation internationale sont reconnus au moyen d’actes d’exécution ou d’un accord conclu entre l’Union et le pays tiers ou l’organisation internationale conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne. Les actes d’exécution visés au premier alinéa sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2. 2. Les actes d’exécution et l’accord visés au paragraphe 1 garantissent que les exigences applicables aux prestataires de services de confiance qualifiés établis dans l’Union et aux services de confiance qualifiés qu’ils fournissent sont respectées par les prestataires de services de confiance dans le pays tiers concerné ou par l’organisation internationale et par les services de confiance qu’ils fournissent. Les pays tiers et les organisations internationales établissent, tiennent à jour et publient, en particulier, une liste de confiance des prestataires de services de confiance reconnus. 3. L’accord visé au paragraphe 1 garantit que les services de confiance qualifiés fournis par des prestataires de services de confiance qualifiés établis dans l’Union sont reconnus comme équivalents, sur le plan juridique, à des services de confiance fournis par des prestataires de services de confiance dans le pays tiers ou par l’organisation internationale avec lesquels l’accord est conclu. Article 15 Accessibilité pour les personnes handicapées et les personnes ayant des besoins particuliers Les moyens d’identification électronique, les services de confiance et les produits destinés à un utilisateur final qui sont utilisés pour la fourniture de ces services sont mis à disposition dans un langage clair et compréhensible, conformément à la convention des Nations unies relative aux droits des personnes handicapées et aux exigences en matière d’accessibilité prévues par la directive (UE) 2019/882, ce qui profite également aux personnes présentant des limitations fonctionnelles, telles que les personnes âgées, et les personnes ayant un accès limité aux technologies numériques. Article 16 Sanctions 1. Sans préjudice de l’article 31 de la directive (UE) 2022/2555 du Parlement européen et du Conseil (*7), les États membres fixent le régime des sanctions applicables aux violations du présent règlement. Ces sanctions sont effectives, proportionnées et dissuasives. 2. Les États membres veillent à ce que les infractions au présent règlement commises par des prestataires de services de confiance qualifiés et non qualifiés soient soumises à des amendes administratives d’un montant maximal s’élevant au moins à:
3. En fonction du système juridique des États membres, les règles relatives aux amendes administratives peuvent être appliquées de telle sorte que l’amende soit déterminée par l’organe de contrôle compétent et imposée par les juridictions nationales compétentes. L’application de telles règles dans ces États membres garantit que ces voies de recours sont effectives et ont un effet équivalent aux amendes administratives imposées directement par les autorités de contrôle. (*7) Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80).»." |
16) |
Au chapitre III, section 2, le titre est remplacé par le texte suivant: «Services de confiance non qualifiés». |
17) |
Les articles 17 et 18 sont supprimés. |
18) |
Au chapitre III, section 2, l’article suivant est inséré: «Article 19 bis Exigences applicables aux prestataires de services de confiance non qualifiés 1. Un prestataire de services de confiance non qualifié qui fournit des services de confiance non qualifiés:
2. Au plus tard le 21 mai 2025, la Commission établit, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables au paragraphe 1, point a), du présent article. Le respect des exigences fixées au présent article est présumé lorsque ces normes, spécifications et procédures sont respectées. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.». |
19) |
L’article 20 est modifié comme suit:
|
20) |
L’article 21 est modifié comme suit:
|
21) |
L’article 24 est modifié comme suit:
|
22) |
Au chapitre III, section 3, l’article suivant est inséré: «Article 24 bis Reconnaissance des services de confiance qualifiés 1. Les signatures électroniques qualifiées qui reposent sur un certificat qualifié délivré dans un État membre et les cachets électroniques qualifiés qui reposent sur un certificat qualifié délivré dans un État membre sont reconnus, respectivement, en tant que signatures électroniques qualifiées et cachets électroniques qualifiés dans tous les autres États membres. 2. Les dispositifs de création de signature électronique qualifiés et les dispositifs de création de cachet électronique qualifiés certifiés dans un État membre sont reconnus, respectivement, en tant que dispositifs de création de signature électronique qualifiés et dispositifs de création de cachet électronique qualifiés dans tous les autres États membres. 3. Un certificat qualifié de signature électronique, un certificat qualifié de cachet électronique, un service de confiance qualifié pour la gestion de dispositifs de création de signature électronique qualifiés à distance et un service de confiance qualifié pour la gestion de dispositifs de création de cachet électronique qualifiés à distance, fournis dans un État membre, sont reconnus, respectivement, en tant que certificat qualifié de signature électronique, certificat qualifié de cachet électronique, service de confiance qualifié pour la gestion de dispositifs de création de signature électronique qualifiés à distance et service de confiance qualifié pour la gestion de dispositifs de création de cachet électronique qualifiés à distance dans tous les autres États membres. 4. Un service de validation qualifié des signatures électroniques qualifiées et un service de validation qualifié des cachets électroniques qualifiés fournis dans un État membre sont reconnus, respectivement, en tant que service de validation qualifié des signatures électroniques qualifiées et service de validation qualifié des cachets électroniques qualifiés dans tous les autres États membres. 5. Un service qualifié de préservation des signatures électroniques qualifiées et un service qualifié de préservation des cachets électroniques qualifiés fournis dans un État membre sont reconnus, respectivement, en tant que service qualifié de préservation des signatures électroniques qualifiées et service qualifié de préservation des cachets électroniques qualifiés dans tous les autres États membres. 6. Un horodatage électronique qualifié fourni dans un État membre est reconnu en tant qu’horodatage électronique qualifié dans tous les autres États membres. 7. Un certificat qualifié d’authentification de site internet délivré dans un État membre est reconnu en tant que certificat qualifié d’authentification de site internet dans tous les autres États membres. 8. Un service d’envoi recommandé électronique qualifié fourni dans un État membre est reconnu en tant que service d’envoi recommandé électronique qualifié dans tous les autres États membres. 9. Une attestation électronique d’attributs qualifiée délivrée dans un État membre est reconnue en tant qu’attestation électronique d’attributs qualifiée dans tous les autres États membres. 10. Un service d’archivage électronique qualifié fourni dans un État membre est reconnu en tant que service d’archivage électronique qualifié dans tous les autres États membres. 11. Un registre électronique qualifié fourni dans un État membre est reconnu en tant que registre électronique qualifié dans tous les autres États membres.». |
23) |
À l’article 25, le paragraphe 3 est supprimé. |
24) |
L’article 26 est modifié comme suit:
|
25) |
À l’article 27, le paragraphe 4 est supprimé. |
26) |
À l’article 28, le paragraphe 6 est remplacé par le texte suivant: «6. Au plus tard le 21 mai 2025, la Commission établit, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables aux certificats qualifiés de signature électronique. Un certificat qualifié de signature électronique est présumé respecter les exigences fixées à l’annexe I lorsqu’il respecte ces normes, spécifications et procédures. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.». |
27) |
À l’article 29, le paragraphe suivant est inséré: «1 bis. La génération ou la gestion de données de création de signature électronique, ou la reproduction de telles données de création de signature à des fins de sauvegarde, ne sont effectuées que pour le compte du signataire, à la demande du signataire, et par un prestataire de services de confiance qualifié fournissant un service de confiance qualifié de gestion d’un dispositif de création de signature électronique qualifié à distance.». |
28) |
L’article suivant est inséré: «Article 29 bis Exigences applicables aux services qualifiés de gestion de dispositifs de création de signature électronique qualifiés à distance 1. La gestion d’un dispositif de création de signature électronique qualifié à distance en tant que service qualifié n’est effectuée que par un prestataire de services de confiance qualifié qui:
2. Au plus tard le 21 mai 2025, la Commission établit, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables aux fins du paragraphe 1 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.». |
29) |
À l’article 30, le paragraphe suivant est inséré: «3 bis. La durée de validité d’une certification visée au paragraphe 1 n’excède pas cinq ans, à condition que des évaluations des vulnérabilités soient effectuées tous les deux ans. Si des vulnérabilités sont décelées et ne sont pas corrigées, la certification est annulée.». |
30) |
À l’article 31, le paragraphe 3 est remplacé par le texte suivant: «3. Au plus tard le 21 mai 2025, la Commission établit, au moyen d’actes d’exécution, les formats et les procédures applicables aux fins du paragraphe 1 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.». |
31) |
L’article 32 est modifié comme suit:
|
32) |
L’article suivant est inséré: «Article 32 bis Exigences applicables à la validation des signatures électroniques avancées reposant sur des certificats qualifiés 1. Le processus de validation d’une signature électronique avancée reposant sur un certificat qualifié confirme la validité d’une signature électronique avancée reposant sur un certificat qualifié, à condition que:
2. Le système utilisé pour valider la signature électronique avancée reposant sur un certificat qualifié fournit à la partie utilisatrice le résultat correct du processus de validation et permet à celle-ci de détecter tout problème pertinent relatif à la sécurité. 3. Au plus tard le 21 mai 2025, la Commission établit, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables à la validation des signatures électroniques avancées reposant sur des certificats qualifiés. La validation d’une signature électronique avancée reposant sur des certificats qualifiés est présumée respecter les exigences fixées au paragraphe 1 du présent article lorsqu’elle respecte ces normes, spécifications et procédures. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.». |
33) |
À l’article 33, le paragraphe 2 est remplacé par le texte suivant: «2. Au plus tard le 21 mai 2025, la Commission établit, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables au service de validation qualifié visé au paragraphe 1 du présent article. Le service de validation qualifié des signatures électroniques qualifiées est présumé respecter les exigences fixées au paragraphe 1 du présent article lorsqu’il respecte ces normes, spécifications et procédures. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.». |
34) |
L’article 34 est modifié comme suit:
|
35) |
À l’article 35, le paragraphe 3 est supprimé. |
36) |
L’article 36 est modifié comme suit:
|
37) |
À l’article 37, le paragraphe 4 est supprimé. |
38) |
À l’article 38, le paragraphe 6 est remplacé par le texte suivant: «6. Au plus tard le 21 mai 2025, la Commission établit, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables aux certificats qualifiés de cachet électronique. Un certificat qualifié de cachet électronique est présumé respecter les exigences fixées à l’annexe III lorsqu’il respecte ces normes, spécifications et procédures. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.». |
39) |
L’article suivant est inséré: «Article 39 bis Exigences applicables aux services qualifiés de gestion de dispositifs de création de cachet électronique qualifiés à distance L’article 29 bis s’applique mutatis mutandis aux services qualifiés de gestion de dispositifs de création de cachet électronique qualifiés à distance.». |
40) |
Au chapitre III, section 5, l’article suivant est inséré: «Article 40 bis Exigences applicables à la validation des cachets électroniques avancés reposant sur des certificats qualifiés L’article 32 bis s’applique mutatis mutandis à la validation des cachets électroniques avancés reposant sur des certificats qualifiés.». |
41) |
À l’article 41, le paragraphe 3 est supprimé. |
42) |
L’article 42 est modifié comme suit:
|
43) |
L’article 44 est modifié comme suit:
|
44) |
L’article 45 est remplacé par le texte suivant: «Article 45 Exigences applicables aux certificats qualifiés d’authentification de site internet 1. Les certificats qualifiés d’authentification de site internet satisfont aux exigences fixées à l’annexe IV. L’évaluation du respect de ces exigences est effectuée conformément aux normes, spécifications et procédures visées au paragraphe 2 du présent article. 1 bis. Les certificats qualifiés d’authentification de site internet délivrés conformément au paragraphe 1 du présent article sont reconnus par les fournisseurs de navigateurs internet. Les fournisseurs de navigateurs internet garantissent que les données d’identité attestées dans le certificat et les attributs attestés supplémentaires s’affichent de manière conviviale. Les fournisseurs de navigateurs internet garantissent la compatibilité et l’interopérabilité avec les certificats qualifiés d’authentification de site internet visés au paragraphe 1 du présent article, à l’exception des micro ou petites entreprises telles qu’elles sont définies à l’article 2 de l’annexe de la recommandation 2003/361/CE pendant leurs cinq premières années d’activité en tant que fournisseurs de de services de navigation sur internet. 1 ter. Les certificats qualifiés d’authentification de site internet ne font l’objet d’aucune exigence obligatoire autre que les exigences fixées au paragraphe 1. 2. Au plus tard le 21 mai 2025, la Commission établit, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables aux certificats qualifiés d’authentification de site internet, visés au paragraphe 1 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.». |
45) |
L’article suivant est inséré: «Article 45 bis Mesures conservatoires en matière de cybersécurité 1. Les fournisseurs de navigateurs internet ne prennent aucune mesure contraire à leurs obligations énoncées à l’article 45, notamment les obligations de reconnaître les certificats qualifiés d’authentification de site internet et d’afficher de manière conviviale les données d’identité fournies. 2. Par dérogation au paragraphe 1, et uniquement en cas de préoccupations étayées concernant des atteintes à la sécurité ou la perte d’intégrité d’un certificat ou d’un ensemble de certificats identifiés, les fournisseurs de navigateurs internet peuvent prendre des mesures conservatoires en ce qui concerne ce certificat ou cet ensemble de certificats. 3. Lorsqu’un fournisseur de navigateur internet prend des mesures conservatoires en vertu du paragraphe 2, il notifie ses préoccupations par écrit, dans les meilleurs délais, avec une description des mesures prises pour atténuer ces préoccupations, à la Commission, à l’organe de contrôle compétent, à l’entité à laquelle le certificat a été délivré et au prestataire de services de confiance qualifié qui a délivré ce certificat ou cet ensemble de certificats. Dès réception d’une telle notification, l’organe de contrôle compétent délivre un accusé de réception au fournisseur de navigateur internet concerné. 4. L’organe de contrôle compétent mène une enquête sur les questions soulevées dans la notification conformément à l’article 46 ter, paragraphe 4, point k). Lorsque le résultat de cette enquête n’entraîne pas le retrait du statut qualifié du certificat, l’organe de contrôle en informe le fournisseur de navigateur internet et lui demande de mettre fin aux mesures conservatoires visées au paragraphe 2 du présent article.». |
46) |
Au chapitre III, les sections suivantes sont ajoutées: «SECTION 9 ATTESTATION ÉLECTRONIQUE D’ATTRIBUTS Article 45 ter Effets juridiques de l’attestation électronique d’attributs 1. Une attestation électronique d’attributs ne peut être privée d’effet juridique et la recevabilité de cette attestation en tant que preuve en justice ne peut être écartée au seul motif qu’elle se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences applicables aux attestations électroniques d’attributs qualifiées. 2. Une attestation électronique d’attributs qualifiée et des attestations d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte ont le même effet juridique que des attestations délivrées légalement sur papier. 3. Une attestation d’attributs délivrée par un organisme du secteur public responsable d’une source authentique ou pour son compte dans un État membre est reconnue en tant qu’attestation d’attributs délivrée par un organisme du secteur public responsable d’une source authentique ou pour son compte dans tous les États membres. Article 45 quater Attestation électronique d’attributs dans les services publics Lorsqu’une identification électronique à l’aide d’un moyen d’identification électronique et d’une authentification est exigée par application du droit national pour accéder à un service en ligne fourni par un organisme du secteur public, les données d’identification personnelle dans l’attestation électronique d’attributs ne se substituent pas à l’identification électronique à l’aide d’un moyen d’identification électronique et à l’authentification pour une identification électronique, à moins que cela ne soit expressément autorisé par l’État membre. En pareil cas, les attestations électroniques d’attributs qualifiées délivrées dans d’autres États membres sont également acceptées. Article 45 quinquies Exigences applicables aux attestations électroniques d’attributs qualifiées 1. Les attestations électroniques d’attributs qualifiées satisfont aux exigences fixées à l’annexe V. 2. L’évaluation du respect des exigences fixées à l’annexe V est effectuée conformément aux normes, spécifications et procédures visées au paragraphe 5 du présent article. 3. Les attestations électroniques d’attributs qualifiées ne font l’objet d’aucune exigence obligatoire en sus des exigences fixées à l’annexe V. 4. Lorsqu’une attestation électronique d’attributs qualifiée a été révoquée après avoir été délivrée, elle perd sa validité à compter du moment de sa révocation et elle ne peut en aucun cas recouvrer son statut antérieur. 5. Au plus tard le 21 novembre 2024, la Commission établit, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables aux attestations électroniques d’attributs qualifiées. Ces actes d’exécution sont compatibles avec les actes d’exécution visés à l’article 5 bis, paragraphe 23, relatifs à la mise en œuvre du portefeuille européen d’identité numérique. Ils sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2. Article 45 sexies Vérification des attributs par rapport aux sources authentiques 1. Les États membres veillent, dans un délai de vingt-quatre mois à compter de la date d’entrée en vigueur des actes d’exécution visés à l’article 5 bis, paragraphe 23, et à l’article 5 quater, paragraphe 6, à ce que, au moins pour les attributs énumérés à l’annexe VI, lorsque ces attributs reposent sur des sources authentiques du secteur public, des mesures soient prises pour permettre aux prestataires de services de confiance qualifiés chargés de la fourniture d’attestations électroniques d’attributs de vérifier ces attributs par voie électronique à la demande de l’utilisateur, conformément au droit de l’Union ou au droit national. 2. Au plus tard le 21 novembre 2024, la Commission établit, en tenant compte des normes internationales pertinentes et au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables au catalogue d’attributs, ainsi que des schémas pour l’attestation d’attributs et les procédures de vérification pour les attestations électroniques d’attributs qualifiées aux fins du paragraphe 1 du présent article. Ces actes d’exécution sont compatibles avec les actes d’exécution visés à l’article 5 bis, paragraphe 23, relatifs à la mise en œuvre du portefeuille européen d’identité numérique. Ils sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2. Article 45 septies Exigences applicables aux attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte 1. Une attestation électronique d’attributs délivrée par un organisme du secteur public responsable d’une source authentique ou pour son compte satisfait aux exigences suivantes:
2. L’État membre dans lequel sont établis les organismes du secteur public visés à l’article 3, point 46, veille à ce que les organismes du secteur public qui délivrent des attestations électroniques d’attributs présentent un niveau de fiabilité équivalent à celui des prestataires de services de confiance qualifiés conformément à l’article 24. 3. Les États membres notifient à la Commission la liste des organismes du secteur public visés à l’article 3, point 46. Cette notification comprend un rapport d’évaluation de la conformité établi par un organisme d’évaluation de la conformité confirmant que les exigences énoncées aux paragraphes 1, 2 et 6 du présent article sont respectées. La Commission met à la disposition du public, au moyen d’un canal sécurisé, la liste des organismes du secteur public visés à l’article 3, point 46, sous une forme portant une signature électronique ou un cachet électronique adaptée au traitement automatisé. 4. Lorsqu’une attestation électronique d’attributs délivrée par un organisme du secteur public responsable d’une source authentique ou pour son compte a été révoquée après avoir été délivrée, elle perd sa validité à compter du moment de sa révocation et elle ne peut pas recouvrer son statut antérieur. 5. Une attestation électronique d’attributs délivrée par un organisme du secteur public responsable d’une source authentique ou pour son compte est réputée respecter les exigences fixées au paragraphe 1 lorsqu’elle respecte les normes, spécifications et procédures visées au paragraphe 6. 6. Au plus tard le 21 novembre 2024, la Commission établit, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables à l’attestation électronique d’attributs délivrée par un organisme du secteur public responsable d’une source authentique ou pour son compte. Ces actes d’exécution sont compatibles avec les actes d’exécution visés à l’article 5 bis, paragraphe 23, relatifs à la mise en œuvre du portefeuille européen d’identité numérique. Ils sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2. 7. Au plus tard le 21 novembre 2024, la Commission établit, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables aux fins du paragraphe 3 du présent article. Ces actes d’exécution sont compatibles avec les actes d’exécution visés à l’article 5 bis, paragraphe 23, relatifs à la mise en œuvre du portefeuille européen d’identité numérique. Ils sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2. 8. Les organismes du secteur public visés à l’article 3, point 46, qui délivrent des attestations électroniques d’attributs fournissent une interface avec les portefeuilles européens d’identité numérique qui sont fournis conformément à l’article 5 bis. Article 45 octies Délivrance d’attestations électroniques d’attributs aux portefeuilles européens d’identité numérique 1. Les fournisseurs d’attestations électroniques d’attributs offrent aux utilisateurs de portefeuilles européens d’identité numérique la possibilité de demander, d’obtenir, de stocker et de gérer les attestations électroniques d’attributs, indépendamment de l’État membre dans lequel le portefeuille européen d’identité numérique est fourni. 2. Les fournisseurs d’attestations électroniques d’attributs qualifiées fournissent une interface avec les portefeuilles européens d’identité numérique qui sont fournis conformément à l’article 5 bis. Article 45 nonies Règles supplémentaires applicables à la fourniture de services d’attestation électronique d’attributs 1. Les prestataires de services qualifiés et non qualifiés d’attestation électronique d’attributs ne combinent pas les données à caractère personnel relatives à la fourniture de ces services avec des données à caractère personnel provenant de tout autre service qu’ils offrent ou que leurs partenaires commerciaux offrent. 2. Les données à caractère personnel relatives à la fourniture de services d’attestation électronique d’attributs sont maintenues séparées, de manière logique, des autres données détenues par le fournisseur d’attestations électroniques d’attributs. 3. Les prestataires de services qualifiés d’attestation électronique d’attributs mettent en œuvre la fourniture de ces services de confiance qualifiés d’une manière qui est fonctionnellement séparée des autres services qu’ils fournissent. SECTION 10 SERVICES D’ARCHIVAGE ÉLECTRONIQUE Article 45 decies Effet juridique des services d’archivage électronique 1. Les données électroniques et les documents électroniques préservés à l’aide d’un service d’archivage électronique ne peuvent être privés d’effet juridique et leur recevabilité en tant que preuve en justice ne peut être écartée au seul motif qu’ils se présentent sous une forme électronique ou qu’ils ne sont pas préservés à l’aide d’un service d’archivage électronique qualifié. 2. Les données électroniques et les documents électroniques préservés à l’aide d’un service d’archivage électronique qualifié bénéficient d’une présomption quant à leur intégrité et à leur origine pendant la durée de la période de préservation par le prestataire de services de confiance qualifié. Article 45 undecies Exigences applicables aux services d’archivage électronique qualifiés 1. Les services d’archivage électronique qualifiés satisfont aux exigences suivantes:
2. Au plus tard le 21 mai 2025, la Commission établit, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables aux services d’archivage électronique qualifiés. Un service d’archivage électronique qualifié est présumé respecter les exigences applicables aux services d’archivage électroniques qualifiés lorsqu’il respecte ces normes, spécifications et procédures. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2. SECTION 11 REGISTRES ÉLECTRONIQUES Article 45 duodecies Effets juridiques des registres électroniques 1. Un registre électronique ne peut être privé d’effet juridique et la recevabilité de ce registre en tant que preuve en justice ne peut être écartée au seul motif qu’il se présente sous une forme électronique ou qu’il ne satisfait pas aux exigences applicables aux registres électroniques qualifiés. 2. Les enregistrements de données contenus dans un registre électronique qualifié bénéficient d’une présomption quant à leur classement chronologique séquentiel unique et précis et à leur intégrité. Article 45 terdecies Exigences applicables aux registres électroniques qualifiés 1. Les registres électroniques qualifiés satisfont aux exigences suivantes:
2. Un registre électronique est présumé respecter les exigences fixées au paragraphe 1 lorsqu’il respecte les normes, spécifications et procédures visées au paragraphe 3. 3. Au plus tard le 21 mai 2025, la Commission établit, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables aux exigences fixées au paragraphe 1 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.». |
47) |
Le chapitre suivant est inséré: «CHAPITRE IV BIS CADRE DE GOUVERNANCE Article 46 bis Contrôle du cadre pour les portefeuilles européens d’identité numérique 1. Les États membres désignent un ou plusieurs organes de contrôle établis sur leur territoire. Les organes de contrôle désignés en vertu du premier alinéa sont investis des pouvoirs nécessaires et dotés des ressources adéquates pour leur permettre d’accomplir leurs tâches de manière effective, efficace et indépendante. 2. Les États membres notifient à la Commission les noms et adresses des organes de contrôle désignés en vertu du paragraphe 1 ainsi que toute modification ultérieure de ces informations. La Commission publie une liste des organes de contrôle notifiés. 3. Le rôle des organes de contrôle désignés en vertu du paragraphe 1 consiste:
4. Les tâches des organes de contrôle désignés en vertu du paragraphe 1 consistent notamment:
5. Lorsque l’organe de contrôle désigné en vertu du paragraphe 1 exige du fournisseur d’un portefeuille européen d’identité numérique qu’il remédie à un manquement aux exigences fixées par le présent règlement en vertu du paragraphe 4, point e), et que le fournisseur n’agit pas en conséquence et, le cas échéant, dans un délai fixé par cet organe de contrôle, l’organe de contrôle désigné en vertu du paragraphe 1 peut, en tenant compte, en particulier, de l’ampleur, de la durée et des conséquences de ce manquement, enjoindre au fournisseur de suspendre ou de cesser la fourniture du portefeuille européen d’identité numérique. L’organe de contrôle informe, dans les meilleurs délais, les organes de contrôle des autres États membres, la Commission, les parties utilisatrices et les utilisateurs du portefeuille européen d’identité numérique de la décision d’exiger la suspension ou la cessation de la fourniture du portefeuille européen d’identité numérique. 6. Au plus tard le 31 mars de chaque année, chaque organe de contrôle désigné en vertu du paragraphe 1 soumet à la Commission un rapport sur ses principales activités de l’année civile précédente. La Commission met ces rapports annuels à la disposition du Parlement européen et du Conseil. 7. Au plus tard le 21 mai 2025, la Commission établit, au moyen d’actes d’exécution, les formats et les procédures applicables au rapport visé au paragraphe 6 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2. Article 46 ter Contrôle des services de confiance 1. Les États membres désignent un organe de contrôle établi sur leur territoire ou désignent, d’un commun accord avec un autre État membre, un organe de contrôle établi dans cet autre État membre. Cet organe de contrôle est chargé des tâches de contrôle dans l’État membre qui a procédé à la désignation en ce qui concerne les services de confiance. Les organes de contrôle désignés en vertu du premier alinéa sont investis des pouvoirs nécessaires et dotés des ressources adéquates pour l’accomplissement de leurs tâches. 2. Les États membres notifient à la Commission les noms et adresses des organes de contrôle désignés en vertu du paragraphe 1 ainsi que toute modification ultérieure de ces informations. La Commission publie une liste des organes de contrôle notifiés. 3. Le rôle des organes de contrôle désignés en vertu du paragraphe 1 consiste:
4. Les tâches des organes de contrôle désignés en vertu du paragraphe 1 consistent notamment:
5. Les États membres peuvent exiger de l’organe de contrôle désigné en vertu du paragraphe 1 qu’il établisse, gère et actualise une infrastructure de confiance conformément au droit national. 6. Au plus tard le 31 mars de chaque année, chaque organe de contrôle désigné en vertu du paragraphe 1 soumet à la Commission un rapport sur ses principales activités de l’année civile précédente. La Commission met ces rapports annuels à la disposition du Parlement européen et du Conseil. 7. Au plus tard le 21 mai 2025, la Commission adopte des lignes directrices sur l’exécution, par les organes de contrôle désignés en vertu du paragraphe 1 du présent article, des tâches visées au paragraphe 4 du présent article, et établit, au moyen d’actes d’exécution, les formats et les procédures applicables au rapport visé au paragraphe 6 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2. Article 46 quater Points de contact uniques 1. Chaque État membre désigne un point de contact unique pour les services de confiance, les portefeuilles européens d’identité numérique et les schémas d’identification électronique notifiés. 2. Chaque point de contact unique exerce une fonction de liaison visant à faciliter la coopération transfrontière entre les organes de contrôle des prestataires de services de confiance et entre les organes de contrôle des fournisseurs des portefeuilles européens d’identité numérique et, le cas échéant, avec la Commission et l’Agence de l’Union européenne pour la cybersécurité (ENISA) ainsi qu’avec d’autres autorités compétentes au sein de son État membre. 3. Chaque État membre rend publics et notifie, dans les meilleurs délais, à la Commission les nom et adresse du point de contact unique désigné en vertu du paragraphe 1 ainsi que toute modification ultérieure de ces informations. 4. La Commission publie la liste des points de contact uniques notifiés en vertu du paragraphe 3. Article 46 quinquies Assistance mutuelle 1. Afin de faciliter le contrôle et l’exécution des obligations prévues par le présent règlement, les organes de contrôle désignés en vertu de l’article 46 bis, paragraphe 1, et de l’article 46 ter, paragraphe 1, peuvent introduire, y compris par l’intermédiaire du groupe de coopération établi en vertu de l’article 46 sexies, paragraphe 1, une demande d’assistance mutuelle auprès des organes de contrôle d’un autre État membre dans lequel le fournisseur du portefeuille européen d’identité numérique ou le prestataire de services de confiance est établi, ou dans lequel ses réseaux et ses systèmes d’information sont situés ou ses services sont fournis. 2. L’assistance mutuelle implique au moins que:
Les modalités et procédures concernant les actions conjointes visées au premier alinéa sont approuvées et établies par les États membres concernés conformément à leur droit national. 3. Un organe de contrôle saisi d’une demande d’assistance peut refuser cette demande sur la base d’un des motifs suivants:
4. Au plus tard le 21 mai 2025 et tous les deux ans par la suite, le groupe de coopération établi en vertu de l’article 46 sexies, paragraphe 1, publie des orientations relatives aux aspects organisationnels et aux procédures concernant l’assistance mutuelle visée aux paragraphes 1 et 2 du présent article. Article 46 sexies Groupe de coopération européen en matière d’identité numérique 1. Afin de soutenir et de faciliter la coopération transfrontière et l’échange d’informations entre les États membres concernant les services de confiance, les portefeuilles européens d’identité numérique et les schémas d’identification électronique notifiés, la Commission établit un groupe de coopération européen en matière d’identité numérique (ci-après dénommé “groupe de coopération”). 2. Le groupe de coopération est composé de représentants désignés par les États membres et de représentants de la Commission. Le groupe de coopération est présidé par la Commission. La Commission assure le secrétariat du groupe de coopération. 3. Des représentants des parties prenantes concernées peuvent, sur une base ad hoc, être invités à assister aux réunions du groupe de coopération et à participer à ses travaux en qualité d’observateurs. 4. L’ENISA est invitée à participer, en qualité d’observateur, aux travaux du groupe de coopération lorsque celui-ci procède à des échanges de vues, de bonnes pratiques et d’informations sur des aspects pertinents pour la cybersécurité, tels que la notification des atteintes à la sécurité, et lorsque l’utilisation de certificats ou de normes de cybersécurité est abordée. 5. Le groupe de coopération est chargé des tâches suivantes:
6. Les États membres s’assurent que les représentants qu’ils ont désignés pour siéger au sein du groupe de coopération puissent coopérer de manière effective et efficace. 7. Au plus tard le 21 mai 2025, la Commission fixe, au moyen d’actes d’exécution, les modalités de procédure nécessaires pour faciliter la coopération entre les États membres visée au paragraphe 5, point d), du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.». |
48) |
L’article 47 est modifié comme suit:
|
49) |
Au chapitre VI, l’article suivant est inséré: «Article 48 bis Exigences en matière de rapports 1. Les États membres veillent à recueillir des statistiques relatives au fonctionnement des portefeuilles européens d’identité numérique et des services de confiance qualifiés fournis sur leur territoire. 2. Les statistiques recueillies conformément au paragraphe 1 incluent les éléments suivants:
3. Les statistiques visées au paragraphe 2 sont mises à la disposition du public dans un format ouvert, couramment utilisé et lisible par machine. 4. Au plus tard le 31 mars de chaque année, les États membres soumettent à la Commission un rapport sur les statistiques recueillies conformément au paragraphe 2.». |
50) |
L’article 49 est remplacé par le texte suivant: «Article 49 Réexamen 1. La Commission procède à un réexamen de l’application du présent règlement et, au plus tard le 21 mai 2026, soumet un rapport au Parlement européen et au Conseil. Dans ce rapport, la Commission évalue, en particulier, s’il convient de modifier le champ d’application du présent règlement ou ses dispositions spécifiques, y compris, en particulier, les dispositions de l’article 5 quater, paragraphe 5, en tenant compte de l’expérience acquise lors de l’application du présent règlement, ainsi que de l’évolution des technologies, du marché et du contexte juridique. Ce rapport est accompagné, au besoin, d’une proposition de modification du présent règlement. 2. Le rapport visé au paragraphe 1 comprend notamment une évaluation de la disponibilité, de la sécurité et de la facilité d’utilisation des moyens d’identification électronique notifiés et des portefeuilles européens d’identité numérique qui relèvent du champ d’application du présent règlement, et détermine s’il y a lieu d’obliger tous les prestataires de services en ligne privés qui utilisent des services d’identification électronique tiers à des fins d’authentification des utilisateurs à accepter l’utilisation des moyens d’identification électronique notifiés et du portefeuille européen d’identité numérique. 3. Au plus tard le 21 mai 2030 et tous les quatre ans par la suite, la Commission soumet au Parlement européen et au Conseil un rapport sur les progrès accomplis dans la réalisation des objectifs du présent règlement.». |
51) |
L’article 51 est remplacé par le texte suivant: «Article 51 Mesures transitoires 1. Les dispositifs sécurisés de création de signature dont la conformité a été déterminée conformément à l’article 3, paragraphe 4, de la directive 1999/93/CE continuent à être considérés comme des dispositifs de création de signature électronique qualifiés au titre du présent règlement jusqu’au 21 mai 2027. 2. Les certificats qualifiés délivrés à des personnes physiques au titre de la directive 1999/93/CE continuent à être considérés comme des certificats qualifiés de signature électronique au titre du présent règlement jusqu’au 21 mai 2026. 3. La gestion des dispositifs de création de signature et de cachet électroniques qualifiés à distance par des prestataires de services de confiance qualifiés autres que les prestataires de services de confiance qualifiés fournissant des services de confiance qualifiés pour la gestion des dispositifs de création de signature et de cachet électroniques qualifiés à distance conformément aux articles 29 bis et 39 bis peut être effectuée sans qu’il soit nécessaire d’obtenir le statut qualifié pour la fourniture de ces services de gestion jusqu’au 21 mai 2026. 4. Les prestataires de services de confiance qualifiés qui se sont vu accorder le statut qualifié au titre du présent règlement avant le 20 mai 2024, soumettent à l’organe de contrôle un rapport d’évaluation de la conformité prouvant le respect de l’article 24, paragraphes 1, 1 bis et 1 ter, dès que possible et en tout état de cause au plus tard le 21 mai 2026.». |
52) |
Les annexes I à IV sont modifiées, respectivement, conformément aux annexes I à IV du présent règlement. |
53) |
Des nouvelles annexes V, VI et VII sont ajoutées conformément aux annexes V, VI et VII du présent règlement. |
Article 2
Entrée en vigueur
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 11 avril 2024.
Par le Parlement européen
La présidente
R. METSOLA
Par le Conseil
La présidente
H. LAHBIB
(1) JO C 105 du 4.3.2022, p. 81.
(2) JO C 61 du 4.2.2022, p. 42.
(3) Position du Parlement européen du 29 février 2024 (non encore parue au Journal officiel) et décision du Conseil du 26 mars 2024.
(4) Règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du 28.8.2014, p. 73).
(5) Décision (UE) 2022/2481 du Parlement européen et du Conseil du 14 décembre 2022 établissant le programme d’action pour la décennie numérique à l’horizon 2030 (JO L 323 du 19.12.2022, p. 4).
(6) JO C 23 du 23.1.2023, p. 1.
(7) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(8) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).
(9) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
(10) Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15).
(11) Règlement (UE) 2019/1157 du Parlement européen et du Conseil du 20 juin 2019 relatif au renforcement de la sécurité des cartes d’identité des citoyens de l’Union et des documents de séjour délivrés aux citoyens de l’Union et aux membres de leur famille exerçant leur droit à la libre circulation (JO L 188 du 12.7.2019, p. 67).
(12) Directive (UE) 2019/882 du Parlement européen et du Conseil du 17 avril 2019 relative aux exigences en matière d’accessibilité applicables aux produits et services (JO L 151 du 7.6.2019, p. 70).
(13) Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80).
(14) Règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) (JO L 265 du 12.10.2022, p. 1).
(15) Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) (JO L 277 du 27.10.2022, p. 1).
(16) Recommandation (UE) 2021/946 de la Commission du 3 juin 2021 concernant une boîte à outils commune de l’Union pour une approche coordonnée en vue d’un cadre européen relatif à une identité numérique (JO L 210 du 14.6.2021, p. 51).
ANNEXE I
À l’annexe I du règlement (UE) no 910/2014, le point i) est remplacé par le texte suivant:
«i) |
les informations ou l’emplacement des services qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié;». |
ANNEXE II
À l’annexe II du règlement (UE) no 910/2014, les points 3 et 4 sont supprimés.
ANNEXE III
À l’annexe III du règlement (UE) no 910/2014, le point i) est remplacé par le texte suivant:
«i) |
les informations ou l’emplacement des services qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié;». |
ANNEXE IV
L’annexe IV du règlement (UE) no 910/2014 est modifiée comme suit:
1) |
Le point c) est remplacé par le texte suivant:
|
2) |
Le point j) est remplacé par le texte suivant:
|
ANNEXE V
«ANNEXE V
EXIGENCES APPLICABLES AUX ATTESTATIONS ÉLECTRONIQUES D’ATTRIBUTS QUALIFIÉES
L’attestation électronique d’attributs qualifiée contient:
a) |
une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que l’attestation a été délivrée comme attestation électronique d’attributs qualifiée; |
b) |
un ensemble de données représentant sans ambiguïté le prestataire de services de confiance qualifié délivrant l’attestation électronique d’attributs qualifiée, comprenant au moins l’État membre dans lequel ce prestataire est établi et:
|
c) |
un ensemble de données représentant sans ambiguïté l’entité à laquelle se rapportent les attributs attestés; si un pseudonyme est utilisé, cela est clairement indiqué; |
d) |
l’attribut ou les attributs attestés, y compris, le cas échéant, les informations nécessaires pour déterminer la portée de ces attributs; |
e) |
des précisions sur le début et la fin de la période de validité de l’attestation; |
f) |
le code d’identité de l’attestation, qui doit être unique pour le prestataire de services de confiance qualifié et, le cas échéant, la mention du schéma d’attestations dont relève l’attestation d’attributs; |
g) |
la signature électronique qualifiée ou le cachet électronique qualifié du prestataire de services de confiance qualifié délivrant l’attestation; |
h) |
l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature électronique qualifiée ou le cachet électronique qualifié mentionnés au point g); |
i) |
les informations ou l’emplacement des services qui peuvent être utilisés pour connaître le statut de validité de l’attestation qualifiée.» |
ANNEXE VI
«ANNEXE VI
LISTE MINIMALE D’ATTRIBUTS
En application de l’article 45 sexies, les États membres veillent à prendre les mesures nécessaires pour permettre aux prestataires de services de confiance qualifiés chargés de la fourniture d’attestations électroniques d’attributs de vérifier par des moyens électroniques, à la demande de l’utilisateur, l’authenticité des attributs suivants, par rapport à la source authentique pertinente au niveau national ou via des intermédiaires désignés reconnus au niveau national, conformément au droit de l’Union ou au droit national, et lorsque ces attributs s’appuient sur des sources authentiques dans le secteur public:
1. |
l’adresse; |
2. |
l’âge; |
3. |
le sexe; |
4. |
l’état civil; |
5. |
la composition de famille; |
6. |
la nationalité ou la citoyenneté; |
7. |
les diplômes, titres et certificats du système éducatif; |
8. |
les diplômes, titres et certificats professionnels; |
9. |
les pouvoirs et les mandats pour la représentation de personnes physiques ou morales; |
10. |
les permis et licences publiques; |
11. |
pour les personnes morales, les données financières et les données relatives aux sociétés.» |
ANNEXE VII
«ANNEXE VII
EXIGENCES APPLICABLES À L’ATTESTATION ÉLECTRONIQUE D’ATTRIBUTS DÉLIVRÉE PAR UN ORGANISME DU SECTEUR PUBLIC RESPONSABLE D’UNE SOURCE AUTHENTIQUE OU POUR SON COMPTE
Une attestation électronique d’attributs délivrée par un organisme du secteur public responsable d’une source authentique ou pour son compte contient:
a) |
une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que l’attestation a été délivrée en tant qu’attestation électronique d’attributs délivrée par un organisme du secteur public responsable d’une source authentique ou pour son compte; |
b) |
un ensemble de données représentant sans ambiguïté l’organisme du secteur public délivrant l’attestation électronique d’attributs, comprenant au moins l’État membre dans lequel cet organisme du secteur public est établi et son nom, ainsi que, le cas échéant, son numéro d’immatriculation tels qu’ils figurent dans les registres officiels; |
c) |
un ensemble de données représentant sans ambiguïté l’entité à laquelle se rapportent les attributs attestés; si un pseudonyme est utilisé, cela est clairement indiqué; |
d) |
l’attribut ou les attributs attestés, y compris, le cas échéant, les informations nécessaires pour déterminer la portée de ces attributs; |
e) |
des précisions sur le début et la fin de la période de validité de l’attestation; |
f) |
le code d’identité de l’attestation, qui doit être unique pour l’organisme du secteur public qui délivre l’attestation et, le cas échéant, la mention du schéma d’attestations dont relève l’attestation d’attributs; |
g) |
la signature électronique qualifiée ou le cachet électronique qualifié de l’organisme délivrant l’attestation; |
h) |
l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature électronique qualifiée ou le cachet électronique qualifié mentionnés au point g); |
i) |
les informations ou l’emplacement des services qui peuvent être utilisés pour connaître le statut de validité de l’attestation.» |
ELI: http://data.europa.eu/eli/reg/2024/1183/oj
ISSN 1977-0693 (electronic edition)