(1)

Dans sa communication du 19 février 2020 intitulée «Façonner l’avenir numérique de l’Europe», la Commission annonce une révision du règlement (UE) no 910/2014 du Parlement européen et du Conseil (4) en vue d’en améliorer l’efficacité, d’étendre ses avantages au secteur privé et de promouvoir une identité numérique fiable pour tous les Européens.

(2)

Dans ses conclusions des 1er et 2 octobre 2020, le Conseil européen a invité la Commission à proposer la mise en place, à l’échelle de l’UE, d’un cadre pour une identification électronique publique sécurisée, y compris des signatures numériques interopérables, qui permette aux personnes d’exercer un contrôle sur leur identité et leurs données en ligne et donne accès à des services numériques publics, privés et transfrontières.

(3)

Le programme d’action pour la décennie numérique à l’horizon 2030, établi par la décision (UE) 2022/2481 du Parlement européen et du Conseil (5), fixe les objectifs et cibles numériques d’un cadre de l’Union qui, d’ici à 2030, visent à conduire au déploiement à grande échelle d’une identité numérique fiable utilisée sur une base volontaire et contrôlée par l’utilisateur, qui soit reconnue dans l’ensemble de l’Union et permette à chaque utilisateur d’avoir un contrôle sur ses données dans le cadre de ses interactions en ligne.

(4)

La «Déclaration européenne sur les droits et principes numériques pour la décennie numérique», proclamée par le Parlement européen, le Conseil et la Commission (6) (ci-après dénommée «déclaration»), souligne le droit de toute personne à avoir accès à des technologies, produits et services numériques qui sont, dès la conception, sûrs, sécurisés et respectueux de la vie privée. Cela signifie notamment veiller à offrir à toutes les personnes vivant au sein de l’Union une identité numérique accessible, sûre et fiable, qui donne accès à un large éventail de services en ligne et hors ligne, en étant protégées contre les risques liés à la cybersécurité et la cybercriminalité, y compris les violations de données et l’usurpation ou la manipulation d’identité. La déclaration souligne également que toute personne a droit à la protection de ses données à caractère personnel. Ce droit comprend le contrôle sur la façon dont les données sont utilisées et sur les personnes avec qui elles sont partagées.

(5)

Les citoyens de l’Union et les résidents de l’Union devraient avoir le droit à une identité numérique qui soit sous leur contrôle exclusif et qui leur permette d’exercer leurs droits dans l’environnement numérique et de participer à l’économie numérique. Pour atteindre cet objectif, il convient d’établir un cadre européen relatif à une identité numérique permettant aux citoyens de l’Union et aux résidents de l’Union d’accéder à des services publics et privés en ligne et hors ligne dans l’ensemble de l’Union.

(6)

Un cadre harmonisé en matière d’identité numérique devrait contribuer à créer une Union plus intégrée d’un point de vue numérique, en réduisant les barrières numériques entre les États membres et en donnant aux citoyens de l’Union et aux résidents de l’Union les moyens de bénéficier des avantages liés à la transition numérique, tout en améliorant la transparence et la protection de leurs droits.

(7)

Une approche plus harmonisée de l’identification électronique devrait réduire les risques et les coûts engendrés par la fragmentation actuelle due au recours à des solutions nationales divergentes ou, dans certains États membres, à l’absence de telles solutions d’identification électronique. Une telle approche devrait renforcer le marché intérieur en permettant aux citoyens de l’Union, aux résidents de l’Union, au sens du droit national, et aux entreprises de s’identifier et de fournir une authentification de leur identité en ligne et hors ligne de manière sûre, fiable, conviviale, pratique, accessible et harmonisée, et ce dans toute l’Union. Le portefeuille européen d’identité numérique devrait fournir aux personnes physiques et morales dans toute l’Union un moyen d’identification électronique harmonisé permettant l’authentification et le partage des données liées à leur identité. Chacun devrait être en mesure d’accéder en toute sécurité aux services publics et privés en ayant recours à un écosystème amélioré de services de confiance et à des preuves d’identité et des attestations électroniques d’attributs vérifiées, comme des qualifications académiques, y compris les diplômes universitaires, ou autres titres éducatifs ou professionnels. Le cadre européen relatif à une identité numérique est destiné à permettre de passer d’un recours aux seules solutions nationales d’identité numérique à la fourniture d’attestations électroniques d’attributs valides et légalement reconnues à travers l’Union. Les fournisseurs d’attestations électroniques d’attributs devraient bénéficier d’un ensemble de règles clair et uniforme, tandis que les administrations publiques devraient pouvoir se fier à des documents électroniques dans un format donné.

(8)

Plusieurs États membres ont mis en œuvre des moyens d’identification électronique et ont recours à ces moyens, qui sont acceptés par les prestataires de services dans l’Union. En outre, des investissements ont été réalisés dans des solutions tant nationales que transfrontalières sur la base du règlement (UE) no 910/2014, y compris pour l’interopérabilité des schémas d’identification électronique notifiés prévus par ledit règlement. Afin d’assurer la complémentarité et l’adoption rapide des portefeuilles européens d’identité numérique par les utilisateurs actuels des moyens d’identification électronique notifiés et de minimiser l’incidence sur les prestataires de services existants, il est escompté que les portefeuilles européens d’identité numérique mettent à profit l’expérience acquise avec les moyens d’identification électronique existants et l’infrastructure des schémas d’identification électronique notifiés déployée au niveau de l’Union et au niveau national.

(9)

Le règlement (UE) 2016/679 du Parlement européen et du Conseil (7) et, le cas échéant, la directive 2002/58/CE du Parlement européen et du Conseil (8) s’appliquent à toutes les activités de traitement de données à caractère personnel au titre du règlement (UE) no 910/2014. Les solutions fournies au titre du cadre d’interopérabilité prévu par le présent règlement respectent également ces règles. Le droit de l’Union en matière de protection des données prévoit des principes en matière de protection des données, tels que les principes de minimisation des données et de limitation des finalités et les obligations qui y sont liées, telle que la protection des données dès la conception et par défaut.

(10)

Pour soutenir la compétitivité des entreprises de l’Union, les prestataires de services tant en ligne qu’hors ligne devraient pouvoir s’appuyer sur des solutions d’identité numérique reconnues dans toute l’Union, indépendamment de l’État membre dans lequel ces solutions sont fournies, et bénéficier ainsi d’une approche harmonisée à l’échelle de l’Union en matière de confiance, de sécurité et d’interopérabilité. Tant les utilisateurs que les prestataires de services devraient pouvoir bénéficier d’attestations électroniques d’attributs ayant la même valeur juridique dans l’ensemble de l’Union. Un cadre harmonisé en matière d’identité numérique est destiné à créer de la valeur économique en facilitant l’accès aux biens et aux services, en réduisant sensiblement les coûts opérationnels liés aux procédures d’identification et d’authentification électroniques, par exemple lors de l’enrôlement de nouveaux clients, et en réduisant le risque de cybercriminalité, telle que l’usurpation d’identité, le vol de données et la fraude en ligne, soutenant ainsi les gains d’efficacité et la transformation numérique en toute sécurité des micro, petites et moyennes entreprises (PME) de l’Union.

(11)

Les portefeuilles européens d’identité numérique devraient faciliter l’application du principe de la transmission unique d’informations, ce qui réduirait la charge administrative et soutiendrait la mobilité transfrontière des citoyens de l’Union et des résidents de l’Union ainsi que des entreprises dans l’ensemble de l’Union, et favoriserait le développement de services d’administration en ligne interopérables dans l’ensemble de l’Union.

(12)

Le règlement (UE) 2016/679, le règlement (UE) 2018/1725 du Parlement européen et du Conseil (9) et la directive 2002/58/CE s’appliquent au traitement de données à caractère personnel effectué en application du présent règlement. Par conséquent, le présent règlement devrait prévoir des garanties spécifiques pour empêcher les fournisseurs de moyens d’identification électronique et d’attestations électroniques d’attributs de combiner des données à caractère personnel obtenues lors de la fourniture d’autres services avec des données à caractère personnel traitées pour fournir des services relevant du champ d’application du présent règlement. Les données à caractère personnel liées à la fourniture des portefeuilles européens d’identité numérique devraient être maintenues séparées, de manière logique, de toute autre donnée détenue par le fournisseur du portefeuille européen d’identité numérique. Le présent règlement ne devrait pas empêcher les fournisseurs de portefeuilles européens d’identité numérique d’appliquer des mesures techniques supplémentaires qui contribuent à la protection des données à caractère personnel, telles que la séparation physique des données à caractère personnel liées à la fourniture des portefeuilles européens d’identité numérique de toute autre donnée détenue par le fournisseur. Sans préjudice du règlement (UE) 2016/679, le présent règlement précise davantage l’application des principes de limitation des finalités, de minimisation des données et de protection des données dès la conception et par défaut.

(13)

Les portefeuilles européens d’identité numérique devraient intégrer dans leur conception une fonction de tableau de bord commun pour garantir un niveau plus élevé de transparence, de protection de la vie privée et de contrôle des utilisateurs sur leurs données à caractère personnel. Cette fonction devrait proposer une interface simple et conviviale comportant une vue d’ensemble de toutes les parties utilisatrices avec lesquelles l’utilisateur partage des données, y compris des attributs, ainsi que le type de données partagées avec chaque partie utilisatrice. Elle devrait permettre aux utilisateurs de suivre toutes les transactions exécutées au moyen du portefeuille européen d’identité numérique, en fournissant au moins les données suivantes: l’heure et la date de la transaction, l’identification de la contrepartie, les données à caractère personnel demandées et les données partagées. Ces informations devraient être conservées même si la transaction n’a pas été conclue. Il ne devrait pas être possible de contester l’authenticité des informations contenues dans l’historique des transactions. Cette fonction devrait être active par défaut. Elle devrait permettre aux utilisateurs de demander facilement l’effacement immédiat, par une partie utilisatrice, de données à caractère personnel en vertu de l’article 17 du règlement (UE) 2016/679 et de signaler facilement la partie utilisatrice à l’autorité nationale chargée de la protection des données compétente, directement par l’intermédiaire du portefeuille européen d’identité numérique, lorsqu’une demande présumée illégale ou suspecte de données à caractère personnel est reçue.

(14)

Les États membres devraient intégrer différentes technologies de protection de la vie privée, telles que la preuve à divulgation nulle de connaissance, dans le portefeuille européen d’identité numérique. Ces méthodes cryptographiques devraient permettre à une partie utilisatrice de valider la véracité d’une déclaration donnée fondée sur les données d’identification personnelle et l’attestation d’attributs, sans révéler aucune donnée sur laquelle cette déclaration est fondée, préservant ainsi la vie privée de l’utilisateur.

(15)

Le présent règlement définit les conditions harmonisées pour l’établissement d’un cadre pour les portefeuilles européens d’identité numérique devant être fournis par les États membres. Tous les citoyens de l’Union, et les résidents de l’Union au sens du droit national, devraient être habilités à demander, sélectionner, combiner, stocker, supprimer, partager et présenter de manière sécurisée des données relatives à leur identité et à demander l’effacement de leurs données à caractère personnel d’une manière conviviale et pratique, sous le contrôle exclusif de l’utilisateur, tout en permettant la divulgation sélective de données à caractère personnel. Le présent règlement reflète les valeurs européennes partagées et respecte les droits fondamentaux, les garanties et la responsabilité juridique, protégeant ainsi les sociétés démocratiques, les citoyens de l’Union et les résidents de l’Union. Il convient de développer les technologies utilisées pour parvenir à ces objectifs de manière à atteindre le niveau le plus élevé de sécurité, de respect de la vie privée, de confort d’utilisation, d’accessibilité et de facilité d’utilisation, ainsi qu’une interopérabilité homogène. Les États membres devraient garantir à tous leurs citoyens et résidents l’égalité d’accès à l’identification électronique. Les États membres ne devraient pas limiter, directement ou indirectement, l’accès aux services publics ou privés des personnes physiques ou morales qui ne choisissent pas d’utiliser des portefeuilles européens d’identité numérique, et devraient mettre à disposition des solutions de substitution appropriées.

(16)

Les États membres devraient s’appuyer sur les possibilités offertes par le présent règlement pour fournir, sous leur responsabilité, des portefeuilles européens d’identité numérique destinés à être utilisés par les personnes physiques et morales résidant sur leur territoire. Afin d’offrir une marge de manœuvre aux États membres et de tirer parti de la technologie de pointe, le présent règlement devrait permettre que les portefeuilles européens d’identité numérique soient fournis directement par un État membre, sur mandat d’un État membre, ou indépendamment d’un État membre, tout en étant reconnus par cet État membre.

(17)

Aux fins de l’enregistrement, les parties utilisatrices devraient fournir les informations nécessaires pour permettre leur identification et leur authentification électroniques vis-à-vis des portefeuilles européens d’identité numérique. Lorsqu’elles déclarent leur utilisation prévue du portefeuille européen d’identité numérique, les parties utilisatrices devraient fournir des informations sur les données éventuelles qu’elles demanderont afin de fournir leurs services et sur les motifs de la demande. L’enregistrement des parties utilisatrices facilite la vérification par les États membres de la licéité des activités des parties utilisatrices au regard du droit de l’Union. L’obligation d’enregistrement prévue dans le présent règlement devrait être sans préjudice des obligations prévues par d’autres dispositions du droit de l’Union ou du droit national, par exemple en ce qui concerne les informations à fournir aux personnes concernées en vertu du règlement (UE) 2016/679. Les parties utilisatrices devraient respecter les garanties prévues par les articles 35 et 36 dudit règlement, en particulier en réalisant des analyses d’impact relatives à la protection des données et en consultant les autorités chargées de la protection des données compétentes préalablement au traitement des données lorsque les analyses d’impact relatives à la protection des données indiquent que le traitement entraînerait un risque élevé. Ces garanties devraient favoriser le traitement licite des données à caractère personnel par les parties utilisatrices, en particulier en ce qui concerne des catégories particulières de données, telles que les données de santé. L’enregistrement des parties utilisatrices est destiné à accroître la transparence et à renforcer la confiance dans l’utilisation des portefeuilles européens d’identité numérique. Il convient que l’enregistrement n’entraîne pas de coûts excessifs et soit proportionné aux risques associés afin d’assurer son adoption par les prestataires de services. Dans ce contexte, l’enregistrement devrait prévoir l’utilisation de procédures automatisées, y compris le recours à des registres existants et leur utilisation par les États membres, et il ne devrait pas comporter de procédure d’autorisation préalable. La procédure d’enregistrement devrait permettre une diversité de cas d’utilisation qui peuvent varier en ce qui concerne le mode de fonctionnement, que ce soit en ligne ou en mode hors ligne, ou l’exigence d’authentifier les dispositifs aux fins de l’interface avec le portefeuille européen d’identité numérique. L’enregistrement devrait s’appliquer exclusivement aux parties utilisatrices fournissant des services au moyen d’une interaction numérique.

(18)

La protection des citoyens de l’Union et des résidents de l’Union contre l’utilisation non autorisée ou frauduleuse des portefeuilles européens d’identité numérique revêt la plus haute importance pour assurer la confiance dans les portefeuilles européens d’identité numérique et leur adoption à grande échelle. Les utilisateurs devraient bénéficier d’une protection effective contre de telles utilisations abusives. En particulier, lorsque les faits constitutifs d’une utilisation frauduleuse ou autrement illégale d’un portefeuille européen d’identité numérique sont établis par une autorité judiciaire nationale dans le cadre d’une autre procédure, les organes de contrôle responsables des émetteurs de portefeuilles européens d’identité numérique devraient, après notification, prendre les mesures nécessaires pour faire en sorte que l’enregistrement de la partie utilisatrice et l’inclusion des parties utilisatrices dans le mécanisme d’authentification soient révoqués ou suspendus jusqu’à ce que l’autorité notifiante confirme qu’il a été remédié aux irrégularités constatées.

(19)

Tous les portefeuilles européens d’identité numérique devraient permettre aux utilisateurs de s’identifier et de s’authentifier par voie électronique en ligne et en mode hors ligne, par-delà les frontières, pour accéder à un large éventail de services publics et privés. Sans préjudice des prérogatives des États membres en ce qui concerne l’identification de leurs citoyens et résidents, les portefeuilles européens d’identité numérique peuvent aussi répondre aux besoins institutionnels des administrations publiques, des organisations internationales et des institutions, organes et organismes de l’Union. L’authentification en mode hors ligne serait importante dans de nombreux secteurs, y compris dans le secteur de la santé, où les services sont souvent fournis par interaction directe et où la vérification de l’authenticité des prescriptions électroniques devrait pouvoir être effectuée à l’aide de codes QR ou de technologies similaires. En s’appuyant sur le niveau de garantie élevé en ce qui concerne les schémas d’identification électronique, les portefeuilles européens d’identité numérique devraient bénéficier du potentiel offert par des solutions infalsifiables, telles que des éléments sécurisés, pour se conformer aux exigences de sécurité prévues par le présent règlement. Les portefeuilles européens d’identité numérique devraient aussi permettre aux utilisateurs de créer et d’utiliser des signatures et cachets électroniques qualifiés qui sont acceptés dans toute l’Union. Une fois enrôlées dans un portefeuille européen d’identité numérique, les personnes physiques devraient pouvoir utiliser celui-ci pour signer au moyen de signatures électroniques qualifiées, par défaut et gratuitement, sans devoir passer par des procédures administratives supplémentaires. Les utilisateurs devraient pouvoir signer ou apposer des cachets sur des déclarations ou attributs autodéclarés. Afin de permettre aux personnes et aux entreprises de toute l’Union de bénéficier des avantages liés à la simplification et à la réduction des coûts, notamment en accordant des pouvoirs de représentation et des mandats électroniques, les États membres devraient fournir des portefeuilles européens d’identité numérique qui reposent sur des normes communes et des spécifications techniques afin de garantir une interopérabilité homogène et d’accroître dûment la sécurité informatique, de renforcer la résilience face aux cyberattaques et de réduire ainsi significativement les risques potentiels que présente la transition numérique en cours pour les citoyens et résidents de l’Union et les entreprises. Seules les autorités compétentes des États membres peuvent établir l’identité d’une personne avec un niveau élevé de fiabilité et, partant, garantir que la personne revendiquant ou affirmant une identité particulière est effectivement la personne qu’elle prétend être. Il est donc nécessaire que la fourniture des portefeuilles européens d’identité numérique repose sur l’identité juridique des citoyens de l’Union et des résidents de l’Union ou des personnes morales. Le recours à l’identité juridique ne devrait pas empêcher les utilisateurs de portefeuilles européens d’identité numérique d’accéder aux services sous un pseudonyme, dès lors que l’identité juridique n’est pas requise pour l’authentification. La confiance dans les portefeuilles européens d’identité numérique serait renforcée si les entités qui les délivrent et les gèrent étaient tenues de mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir le niveau de sécurité le plus élevé qui soit proportionné aux risques posés pour les droits et libertés des personnes physiques, conformément au règlement (UE) 2016/679.

(20)

L’utilisation d’une signature électronique qualifiée à des fins non professionnelles devrait être gratuite pour toutes les personnes physiques. Les États membres devraient avoir la possibilité de prévoir des mesures pour empêcher l’utilisation gratuite de signatures électroniques qualifiées à des fins professionnelles par des personnes physiques, tout en veillant à ce que ces mesures soient proportionnées aux risques identifiés et justifiées.

(21)

Il est utile de faciliter l’adoption et l’utilisation des portefeuilles européens d’identité numérique en les intégrant de manière homogène à l’écosystème des services numériques publics et privés déjà mis en œuvre au niveau national, local ou régional. Pour atteindre cet objectif, les États membres devraient avoir la possibilité de prévoir des mesures juridiques et organisationnelles en vue d’offrir une plus grande souplesse aux fournisseurs de portefeuilles européens d’identité numérique et de permettre des fonctionnalités supplémentaires des portefeuilles européens d’identité numérique par rapport à celles prévues par le présent règlement, y compris au moyen d’une interopérabilité accrue avec les moyens d’identification électronique nationaux existants. De telles fonctionnalités supplémentaires ne devraient en aucun cas nuire à la fourniture des fonctions essentielles des portefeuilles européens d’identité numérique prévues par le présent règlement, ni conduire à la promotion de solutions nationales existantes aux dépens des portefeuilles européens d’identité numérique. Étant donné qu’elles dépassent le cadre du présent règlement, ces fonctionnalités supplémentaires ne bénéficient pas des dispositions relatives au recours transfrontière aux portefeuilles européens d’identité numérique prévues dans le présent règlement.

(22)

Les portefeuilles européens d’identité numérique devraient comporter une fonctionnalité permettant de générer des pseudonymes choisis et gérés par l’utilisateur pour s’authentifier lorsqu’ils accèdent à des services en ligne.

(23)

Afin d’atteindre un niveau élevé de sécurité et de fiabilité, le présent règlement établit les exigences applicables aux portefeuilles européens d’identité numérique. La conformité des portefeuilles européens d’identité numérique avec ces exigences devrait être certifiée par des organismes d’évaluation de la conformité accrédités désignés par les États membres.

(24)

Afin d’éviter les approches divergentes et d’harmoniser la mise en œuvre des exigences établies par le présent règlement, la Commission devrait, aux fins de certifier les portefeuilles européens d’identité numérique, adopter des actes d’exécution visant à établir une liste de normes de référence et, lorsque cela est nécessaire, établir des spécifications et des procédures aux fins de formuler les spécifications techniques détaillées de ces exigences. Dans la mesure où la certification de la conformité des portefeuilles européens d’identité numérique avec les exigences de cybersécurité applicables n’est pas couverte par les schémas de certification de cybersécurité existants visés dans le présent règlement, et en ce qui concerne les exigences autres que les exigences de cybersécurité applicables aux portefeuilles européens d’identité numérique, il convient que les États membres établissent des schémas de certification nationaux conformément aux exigences harmonisées établies dans le présent règlement et adoptées en vertu de celui-ci. Les États membres devraient transmettre leurs projets de schémas de certification nationaux au groupe de coopération européen en matière d’identité numérique, lequel devrait pouvoir émettre des avis et des recommandations.

(25)

La certification de conformité avec les exigences de cybersécurité établies dans le présent règlement devrait, lorsque ceux-ci sont disponibles, s’appuyer sur les schémas européens de certification de cybersécurité applicables établis en vertu du règlement (UE) 2019/881 du Parlement européen et du Conseil (10), qui instaure un cadre européen de certification de cybersécurité facultatif pour les produits, processus et services TIC.

(26)

Afin d’évaluer et d’atténuer en permanence les risques liés à la sécurité, les portefeuilles européens d’identité numérique certifiés devraient faire l’objet d’évaluations régulières des vulnérabilités visant à déceler toute vulnérabilité dans les composants certifiés liés au produit, les composants certifiés liés aux processus et les composants certifiés liés au service du portefeuille européen d’identité numérique.

(27)

En protégeant les utilisateurs et les entreprises contre les risques de cybersécurité, les exigences essentielles en matière de cybersécurité énoncées dans le présent règlement contribuent également à renforcer la protection des données à caractère personnel et de la vie privée des personnes. Des synergies en matière de normalisation et de certification sur les aspects de la cybersécurité devraient être envisagées dans le cadre de la coopération entre la Commission, les organisations européennes de normalisation, l’Agence de l’Union européenne pour la cybersécurité (ENISA), le comité européen de la protection des données institué par le règlement (UE) 2016/679 et les autorités nationales de contrôle de la protection des données.

(28)

L’enrôlement des citoyens de l’Union et des résidents dans l’Union pour le portefeuille européen d’identité numérique devrait être facilité en s’appuyant sur des moyens d’identification électronique délivrés au niveau de garantie élevé. Il convient de n’avoir recours aux moyens d’identification électronique délivrés au niveau de garantie substantiel que lorsque des spécifications techniques harmonisées et des procédures harmonisées utilisant des moyens d’identification électronique délivrés au niveau de garantie substantiel combinés à des moyens complémentaires de vérification de l’identité permettront de satisfaire aux exigences énoncées dans le présent règlement en ce qui concerne le niveau de garantie élevé. Ces moyens complémentaires devraient être fiables et faciles à utiliser et pourraient se fonder sur la possibilité d’utiliser des procédures d’enrôlement à distance, des certificats qualifiés appuyés par des signatures électroniques qualifiées, une attestation électronique d’attributs qualifiée ou une combinaison de ces éléments. Afin de garantir une adoption suffisante des portefeuilles européens d’identité numérique, il convient de définir, dans des actes d’exécution, des spécifications techniques harmonisées et des procédures harmonisées pour l’enrôlement des utilisateurs à l’aide de moyens d’identification électronique, y compris ceux délivrés au niveau de garantie substantiel.

(29)

L’objectif du présent règlement est de fournir à l’utilisateur un portefeuille européen d’identité numérique entièrement mobile, sécurisé et convivial. À titre de mesure transitoire jusqu’à la mise à disposition de solutions infalsifiables certifiées, telles que des éléments sécurisés dans les appareils des utilisateurs, les portefeuilles européens d’identité numérique devraient pouvoir s’appuyer sur des éléments sécurisés externes certifiés pour la protection du contenu cryptographique et d’autres données sensibles ou sur des moyens d’identification électroniques notifiés au niveau de garantie élevé afin de démontrer la conformité avec les exigences pertinentes du présent règlement en ce qui concerne le niveau de garantie du portefeuille européen d’identité numérique. Le présent règlement devrait s’entendre sans préjudice des conditions nationales en ce qui concerne la délivrance et l’utilisation d’un élément sécurisé externe certifié lorsque la mesure transitoire dépend d’un tel élément.

(30)

Les portefeuilles européens d’identité numérique devraient garantir le niveau de protection et de sécurité des données le plus élevé possible aux fins de l’identification et de l’authentification électroniques pour faciliter l’accès aux services publics et privés, que ces données soient stockées localement ou à l’aide de solutions en nuage, en tenant dûment compte des différents niveaux de risque.

(31)

Les portefeuilles européens d’identité numérique devraient être sécurisés dès la conception et devraient mettre en œuvre des éléments de sécurité avancés afin d’offrir une protection contre l’usurpation d’identité et autre vol de données, le déni de service et toute autre cybermenace. Cette sécurité devrait comprendre des méthodes de chiffrement et de stockage de pointe, qui ne sont accessibles qu’à l’utilisateur et ne peuvent être déchiffrées que par lui, et qui s’appuient sur une communication chiffrée de bout en bout avec les autres portefeuilles européens d’identité numérique et les parties utilisatrices. En outre, les portefeuilles européens d’identité numérique devraient exiger une confirmation sécurisée, explicite et active par l’utilisateur pour les opérations effectuées au moyen des portefeuilles européens d’identité numérique.

(32)

L’utilisation gratuite de portefeuilles européens d’identité numérique ne devrait pas entraîner le traitement de données au-delà des données qui sont nécessaires à la fourniture des services liés aux portefeuilles européens d’identité numérique. Le présent règlement ne devrait pas autoriser le traitement de données à caractère personnel stockées dans le portefeuille européen d’identité numérique ou résultant de l’utilisation de celui-ci par le fournisseur du portefeuille européen d’identité numérique à des fins autres que la fourniture de services liés aux portefeuilles européens d’identité numérique. Afin d’assurer la protection de la vie privée, les fournisseurs de portefeuilles européens d’identité numérique devraient veiller à ce que les données ne soient pas observables, en ne collectant pas de données et en n’ayant pas connaissance des transactions effectuées par les utilisateurs du portefeuille européen d’identité numérique. Ce caractère non observable signifie que les fournisseurs ne sont pas en mesure de voir le détail des transactions effectuées par l’utilisateur. Toutefois, dans des cas particuliers, sur la base du consentement préalable explicite de l’utilisateur pour chacun de ces cas particuliers, et dans le plein respect du règlement (UE) 2016/679, les fournisseurs de portefeuilles européens d’identité numérique pourraient se voir accorder l’accès aux informations nécessaires à la fourniture d’un service particulier lié aux portefeuilles européens d’identité numérique.

(33)

La transparence des portefeuilles européens d’identité numérique et la responsabilité des fournisseurs sont des éléments essentiels pour créer une confiance sociale et susciter l’acceptation du cadre. Par conséquent, le fonctionnement des portefeuilles européens d’identité numérique devrait être transparent et, en particulier, permettre un traitement vérifiable des données à caractère personnel. À cette fin, les États membres devraient divulguer le code source des composants logiciels de l’application utilisateur des portefeuilles européens d’identité numérique, y compris ceux qui sont liés au traitement des données à caractère personnel et des données des personnes morales. La publication de ce code source sous une licence à code source ouvert (open source) devrait permettre à la société, y compris les utilisateurs et les développeurs, de comprendre le fonctionnement du code, d’en faire l’audit et de l’examiner. Cela permettrait d’accroître la confiance des utilisateurs dans l’écosystème et de contribuer à la sécurité des portefeuilles européens d’identité numérique en offrant à quiconque la possibilité de signaler des vulnérabilités et des erreurs dans le code. Dans l’ensemble, cela devrait inciter les fournisseurs à fournir et à maintenir un produit hautement sécurisé. Toutefois, dans certains cas, la divulgation du code source des bibliothèques utilisées, du canal de communication ou d’autres éléments qui ne sont pas hébergés sur le dispositif de l’utilisateur pourrait être limitée par les États membres, pour des motifs dûment justifiés, en particulier à des fins de sécurité publique.

(34)

L’utilisation de portefeuilles européens d’identité numérique ainsi que l’arrêt de leur utilisation devraient constituer un droit et un choix exclusif des utilisateurs. Les États membres devraient mettre au point des procédures simples et sécurisées permettant aux utilisateurs de demander la révocation immédiate de la validité des portefeuilles européens d’identité numérique, notamment en cas de perte ou de vol. Lors du décès de l’utilisateur ou de la cessation d’activité d’une personne morale, il devrait exister un mécanisme permettant à l’autorité responsable du règlement de la succession de la personne physique ou des actifs de la personne morale de demander la révocation immédiate des portefeuilles européens d’identité numérique.

(35)

Afin de favoriser l’adoption des portefeuilles européens d’identité numérique et l’utilisation accrue des identités numériques, les États membres ne devraient pas seulement promouvoir les avantages des services concernés, mais ils devraient également, en coopération avec le secteur privé, les chercheurs et le monde universitaire, élaborer des programmes de formation visant à renforcer les compétences numériques de leurs citoyens et résidents, en particulier pour les groupes vulnérables, tels que les personnes handicapées et les personnes âgées. Les États membres devraient également sensibiliser aux avantages et aux risques des portefeuilles européens d’identité numérique au moyen de campagnes de communication.

(36)

Afin de veiller à ce que le cadre européen relatif à une identité numérique soit ouvert à l’innovation et aux évolutions technologiques, et capable de résister à l’épreuve du temps, les États membres sont encouragés, conjointement, à mettre en place des «bacs à sable» pour mettre à l’essai des solutions innovantes dans un environnement contrôlé et sécurisé, en particulier dans le but d’améliorer la fonctionnalité, la protection des données à caractère personnel, la sécurité et l’interopérabilité des solutions, et d’inspirer les futures mises à jour des références techniques et des exigences légales. Cet environnement devrait favoriser la participation des PME, des start-up et des innovateurs et chercheurs, ainsi que des parties prenantes concernées du secteur. Ces initiatives devraient contribuer à la conformité réglementaire et à la robustesse technique des portefeuilles européens d’identité numérique devant être fournis aux citoyens de l’Union et aux résidents de l’Union ainsi qu’à renforcer cette conformité et cette robustesse, ce qui permettra de prévenir le développement de solutions qui ne respectent pas le droit de l’Union en matière de protection des données ou qui présentent des vulnérabilités en matière de sécurité.

(37)

Le règlement (UE) 2019/1157 du Parlement européen et du Conseil (11) renforce la sécurité des cartes d’identité par la mise en place d’éléments de sécurité renforcés au plus tard en août 2021. Les États membres devraient envisager la possibilité de notifier ces cartes dans le cadre des schémas d’identification électronique afin d’étendre la disponibilité transfrontière des moyens d’identification électronique.

(38)

Le processus de notification des schémas d’identification électronique devrait être simplifié et accéléré afin de promouvoir l’accès à des solutions d’authentification et d’identification pratiques, fiables, sécurisées et innovantes et, le cas échéant, d’encourager les fournisseurs d’identité privés à proposer des schémas d’identification électronique aux autorités des États membres pour notification en tant que schémas nationaux d’identification électronique au titre du règlement (UE) no 910/2014.

(39)

La rationalisation des procédures actuelles de notification et d’examen par les pairs empêchera les approches hétérogènes de l’évaluation des différents schémas d’identification électronique notifiés et facilitera l’instauration de la confiance entre les États membres. De nouveaux mécanismes simplifiés sont destinés à favoriser la coopération entre les États membres en ce qui concerne la sécurité et l’interopérabilité de leurs schémas d’identification électronique notifiés.

(40)

Les États membres devraient bénéficier de nouveaux outils souples pour ce qui est de garantir le respect des exigences du présent règlement et des actes d’exécution adoptés en vertu de celui-ci. Le présent règlement devrait permettre aux États membres d’utiliser les rapports et évaluations, réalisés par des organismes d’évaluation de la conformité accrédités, comme cela est prévu dans le cadre des schémas de certification à mettre en place au niveau de l’Union au titre du règlement (UE) 2019/881, afin d’étayer leurs demandes concernant l’alignement des schémas ou de certaines parties de ceux-ci avec le règlement (UE) no 910/2014.

(41)

Les prestataires de services publics utilisent les données d’identification personnelle rendues disponibles par des moyens d’identification électronique au titre du règlement (UE) no 910/2014 afin d’établir une correspondance entre l’identité électronique des utilisateurs d’autres États membres et les données d’identification personnelle fournies à ces utilisateurs dans l’État membre qui procède à la mise en correspondance transfrontière des identités. Toutefois, dans de nombreux cas, malgré l’utilisation de l’ensemble minimal de données fourni au titre des schémas d’identification électronique notifiés, des informations supplémentaires sur l’utilisateur et des procédures d’identification uniques complémentaires spécifiques devant être menées au niveau national sont nécessaires pour assurer la mise en correspondance correcte des identités lorsque les États membres agissent en tant que parties utilisatrices. Afin de rendre encore plus facile l’utilisation des moyens d’identification électronique, de fournir de meilleurs services publics en ligne et de renforcer la sécurité juridique en ce qui concerne l’identité électronique des utilisateurs, le règlement (UE) no 910/2014 devrait exiger des États membres qu’ils prennent des mesures en ligne spécifiques pour assurer une mise en correspondance des identités sans équivoque lorsque les utilisateurs ont l’intention d’accéder en ligne à des services publics transfrontières.

(42)

Lors du développement des portefeuilles européens d’identité numérique, il est essentiel de tenir compte des besoins des utilisateurs. Des cas d’utilisation significatifs et des services en ligne s’appuyant sur les portefeuilles européens d’identité numérique devraient être disponibles. Afin de faciliter l’utilisation pour les utilisateurs et de garantir la disponibilité transfrontière de ces services, il est important de prendre des mesures pour encourager une approche similaire en ce qui concerne la conception, le développement et la mise en œuvre des services en ligne dans tous les États membres. Des lignes directrices non contraignantes sur la manière de concevoir, de développer et de mettre en œuvre des services en ligne s’appuyant sur des portefeuilles européens d’identité numérique pourraient constituer un outil utile pour atteindre cet objectif. Ces lignes directrices devraient être élaborées en tenant dûment compte du cadre d’interopérabilité de l’Union. Les États membres devraient jouer un rôle de premier plan dans l’adoption de ces lignes directrices.

(43)

Conformément à la directive (UE) 2019/882 du Parlement européen et du Conseil (12), les personnes handicapées devraient pouvoir utiliser, dans les mêmes conditions que les autres utilisateurs, les portefeuilles européens d’identité numérique, les services de confiance et les produits destinés à un utilisateur final qui servent à fournir ces services.

(44)

Afin de garantir l’application effective du présent règlement, il convient d’établir un seuil minimal pour le montant maximal des amendes administratives pour les prestataires de services de confiance tant qualifiés que non qualifiés. Les États membres devraient prévoir des sanctions effectives, proportionnées et dissuasives. Lors de la détermination des sanctions, il convient de tenir dûment compte de la taille des entités concernées, de leur modèle économique et de la gravité des infractions.

(45)

Les États membres devraient établir des règles relatives aux sanctions applicables aux infractions telles que les pratiques directes ou indirectes entraînant une confusion entre les services de confiance non qualifiés et qualifiés ou l’utilisation abusive du label de confiance de l’UE par des prestataires de services de confiance non qualifiés. Le label de confiance de l’UE ne devrait pas être utilisé dans des conditions qui, directement ou indirectement donnent l’impression que des services de confiance non qualifiés proposés par ces prestataires sont qualifiés.

(46)

Le présent règlement ne devrait pas couvrir les aspects relatifs à la conclusion et à la validité des contrats ou autres obligations juridiques lorsque des exigences d’ordre formel sont établies par le droit de l’Union ou le droit national. En outre, il ne devrait pas porter atteinte à des exigences nationales d’ordre formel relatives aux registres publics, notamment les registres du commerce et les registres fonciers.

(47)

La fourniture et l’utilisation de services de confiance, ainsi que les avantages apportés en termes de commodité et de sécurité juridique dans le contexte des transactions transfrontières, en particulier lorsque des services de confiance qualifiés sont utilisés, revêtent une importance croissante pour le commerce et la coopération sur le plan international. Les partenaires internationaux de l’Union mettent en place des cadres de confiance inspirés du règlement (UE) no 910/2014. Afin de faciliter la reconnaissance des services de confiance qualifiés et de leurs prestataires, la Commission peut adopter des actes d’exécution pour définir les conditions dans lesquelles les cadres de confiance de pays tiers pourraient être considérés comme équivalents au cadre de confiance pour les services de confiance qualifiés et leurs prestataires prévu par le présent règlement. Une telle approche devrait compléter la possibilité de reconnaissance mutuelle des services de confiance et de leurs prestataires établis dans l’Union et dans les pays tiers conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne. Lors de la définition des conditions dans lesquelles les cadres de confiance de pays tiers pourraient être considérés comme équivalents au cadre de confiance pour les services de confiance qualifiés et leurs prestataires au titre du règlement (UE) no 910/2014, il convient également de veiller au respect des dispositions pertinentes de la directive (UE) 2022/2555 du Parlement européen et du Conseil (13) et du règlement (UE) 2016/679, ainsi qu’à l’utilisation de listes de confiance en tant qu’éléments essentiels pour instaurer la confiance.

(48)

Le présent règlement devrait favoriser le choix et la possibilité de changer de portefeuille européen d’identité numérique lorsqu’un État membre a approuvé plus d’une solution de portefeuille européen d’identité numérique sur son territoire. Afin d’éviter les effets de verrouillage dans de telles situations, lorsque cela est techniquement possible, les fournisseurs de portefeuilles européens d’identité numérique devraient garantir la portabilité effective des données à la demande des utilisateurs de portefeuilles européens d’identité numérique et ne devraient pas être autorisés à recourir à des obstacles contractuels, économiques ou techniques pour empêcher ou décourager un changement effectif de portefeuille européen d’identité numérique.

(49)

Afin de garantir le bon fonctionnement des portefeuilles européens d’identité numérique, les fournisseurs de portefeuilles européens d’identité numérique ont besoin d’une interopérabilité effective et de conditions équitables, raisonnables et non discriminatoires pour que les portefeuilles européens d’identité numérique puissent accéder à des fonctionnalités matérielles et logicielles spécifiques des appareils mobiles. Ces composants pourraient notamment comprendre des antennes de communication en champ proche et des éléments sécurisés, y compris des cartes à circuit intégré universelles, des éléments sécurisés embarqués, des cartes microSD et le Bluetooth à basse consommation. L’accès à ces composants pourrait être contrôlé par les opérateurs de réseaux mobiles et les fabricants d’équipements. Par conséquent, lorsque cela est nécessaire pour fournir les services des portefeuilles européens d’identité numérique, les fabricants d’équipements d’origine d’appareils mobiles ou les fournisseurs de services de communications électroniques ne devraient pas refuser l’accès à ces composants. En outre, les entreprises désignées comme contrôleurs d’accès pour les services de plateforme essentiels, dont la liste est établie par la Commission en vertu du règlement (UE) 2022/1925 du Parlement européen et du Conseil (14), devraient rester soumises aux dispositions spécifiques dudit règlement, sur la base de son article 6, paragraphe 7.

(50)

Afin de rationaliser les obligations imposées aux prestataires de services de confiance en matière de cybersécurité et de permettre à ces prestataires et à leurs autorités compétentes respectives de bénéficier du cadre juridique établi par la directive (UE) 2022/2555, les services de confiance sont tenus de prendre les mesures techniques et organisationnelles appropriées en vertu de ladite directive, notamment des mesures visant à faire face aux défaillances du système, aux erreurs humaines, aux actions malveillantes ou aux phénomènes naturels, pour gérer les risques pesant sur la sécurité des réseaux et des systèmes d’information utilisés par ces prestataires pour fournir leurs services, ainsi que de notifier les incidents importants et les cybermenaces conformément à ladite directive. En ce qui concerne le signalement des incidents, les prestataires de services de confiance devraient notifier tout incident ayant des répercussions significatives sur la fourniture de leurs services, y compris les incidents causés par le vol ou la perte d’appareils, l’endommagement de câbles réseaux ou les incidents survenant dans le cadre de l’identification des personnes. Les exigences en matière de gestion des risques liés à la cybersécurité et les obligations d’information prévues par la directive (UE) 2022/2555 devraient être considérées comme étant complémentaires aux exigences imposées aux prestataires de services de confiance au titre du présent règlement. Le cas échéant, les autorités compétentes désignées en vertu de la directive (UE) 2022/2555 devraient continuer à appliquer les pratiques ou orientations nationales établies en ce qui concerne la mise en œuvre des exigences en matière de sécurité et d’information et le contrôle du respect de ces exigences en vertu du règlement (UE) no 910/2014. Le présent règlement ne porte pas atteinte à l’obligation de notification des violations de données à caractère personnel en vertu du règlement (UE) 2016/679.

(51)

Une attention particulière devrait être accordée à l’instauration d’une coopération efficace entre les organes de contrôle désignés en vertu de l’article 46 ter du règlement (UE) no 910/2014 et les autorités compétentes désignées ou établies en vertu de l’article 8, paragraphe 1, de la directive (UE) 2022/2555. Lorsqu’un tel organe de contrôle est différent d’une telle autorité compétente, ils devraient coopérer étroitement, en temps utile, en échangeant les informations pertinentes afin de garantir un contrôle efficace et le respect, par les prestataires de services de confiance, des exigences énoncées dans le règlement (UE) no 910/2014 et dans la directive (UE) 2022/2555. En particulier, les organes de contrôle désignés en vertu du règlement (UE) no 910/2014 devraient être habilités à demander aux autorités compétentes désignées ou établies en vertu de la directive (UE) 2022/2555 de fournir les informations pertinentes nécessaires pour accorder le statut qualifié et pour mener des actions de supervision visant à vérifier le respect, par les prestataires de services de confiance, des exigences pertinentes prévues par la directive (UE) 2022/2555, ou à leur demander de remédier aux manquements.

(52)

Il est essentiel de prévoir un cadre juridique facilitant la reconnaissance transfrontière entre les systèmes juridiques nationaux existants en matière de services d’envoi recommandé électronique. Ce cadre pourrait également ouvrir de nouvelles possibilités de commercialisation permettant aux prestataires de services de confiance de l’Union d’offrir de nouveaux services d’envoi recommandé électronique à l’échelle de l’Union. Afin de veiller à ce que les données utilisant un service d’envoi recommandé électronique qualifié soient fournies au bon destinataire, les services d’envoi recommandé électronique qualifiés devraient garantir avec une certitude absolue l’identification du destinataire, tandis qu’un degré de confiance élevé suffirait en ce qui concerne l’identification de l’expéditeur. Les États membres devraient encourager les fournisseurs de services d’envoi recommandé électronique qualifiés à rendre leurs services interopérables avec les services d’envoi recommandé électronique qualifiés fournis par d’autres prestataires de services de confiance qualifiés afin de pouvoir facilement transférer les données faisant l’objet d’un envoi recommandé électronique entre deux ou plusieurs prestataires de services de confiance qualifiés et de promouvoir des pratiques loyales dans le marché intérieur.

(53)

Dans la plupart des cas, les citoyens de l’Union et les résidents de l’Union ne peuvent pas échanger des informations numériques relatives à leur identité, telles que leur adresse, leur âge et leurs qualifications professionnelles, leur permis de conduire et autres licences et données de paiement, par-delà les frontières, en toute sécurité et avec un niveau élevé de protection des données.

(54)

Il devrait être possible de délivrer et de traiter des attributs électroniques fiables et de contribuer à réduire la charge administrative, en donnant aux citoyens de l’Union et aux résidents de l’Union les moyens de les utiliser dans le cadre de leurs transactions privées et publiques. Les citoyens de l’Union et les résidents de l’Union devraient, par exemple, être en mesure de prouver qu’ils détiennent un permis de conduire en cours de validité délivré par une autorité d’un État membre et les autorités compétentes d’autres États membres devraient pouvoir le vérifier et s’y fier. Ils devraient aussi pouvoir avoir recours à leurs identifiants de sécurité sociale ou à de futurs documents de voyage numériques dans un contexte transfrontière.

(55)

Tout prestataire de services qui délivre des attributs attestés sous forme électronique tels que des diplômes, des licences, des certificats de naissance ou des pouvoirs et mandats pour représenter des personnes physiques ou morales ou agir pour leur compte devrait être considéré comme un prestataire de services de confiance chargé de la fourniture d’attestations électroniques d’attributs. Une attestation électronique d’attributs ne devrait pas être privée d’effet juridique au motif qu’elle se présente sous une forme électronique ou qu’elle ne satisfait pas à toutes les exigences de l’attestation électronique d’attributs qualifiée. Il convient d’établir des exigences générales visant à garantir qu’une attestation électronique d’attributs qualifiée produit un effet juridique équivalent à celui des attestations délivrées légalement sur papier. Toutefois, ces exigences devraient s’appliquer sans préjudice du droit de l’Union ou du droit national définissant des exigences sectorielles supplémentaires en ce qui concerne la forme ayant des effets juridiques sous-jacents et, en particulier, la reconnaissance transfrontière des attestations électroniques d’attributs qualifiées, le cas échéant.

(56)

La large disponibilité et la grande facilité d’utilisation des portefeuilles européens d’identité numérique devraient renforcer leur acceptation tant par les particuliers que par les prestataires de services privés et la confiance que ceux-ci leur accordent. Par conséquent, les parties utilisatrices privées qui fournissent des services, par exemple dans les domaines des transports, de l’énergie, des services bancaires et financiers, de la sécurité sociale, de la santé, de l’eau potable, des services postaux, des infrastructures numériques, des télécommunications ou de l’éducation, devraient accepter l’utilisation des portefeuilles européens d’identité numérique pour la fourniture de services lorsque le droit de l’Union ou le droit national, ou une obligation contractuelle, exige une authentification forte des utilisateurs pour l’identification en ligne. Toute demande émanant de la partie utilisatrice visant à obtenir des informations de la part de l’utilisateur d’un portefeuille européen d’identification numérique devrait être nécessaire à l’utilisation prévue dans un cas donné et proportionnée à une telle utilisation, devrait respecter le principe de minimisation des données et devrait garantir la transparence en ce qui concerne les données qui sont partagées et les fins auxquelles elles le sont. Afin de faciliter l’utilisation et l’acceptation des portefeuilles européens d’identité numérique, il convient de tenir compte lors de leur déploiement des normes et spécifications largement acceptées du secteur.

(57)

Lorsque de très grandes plateformes en ligne au sens de l’article 33, paragraphe 1, du règlement (UE) 2022/2065 du Parlement européen et du Conseil (15) exigent des utilisateurs qu’ils s’authentifient pour accéder à des services en ligne, ces plateformes devraient être tenues d’accepter l’utilisation de portefeuilles européens d’identité numérique à la demande volontaire de l’utilisateur. Les utilisateurs ne devraient pas être tenus d’utiliser un portefeuille européen d’identité numérique pour accéder à des services privés et ne devraient pas être limités ou entravés dans leur accès aux services au motif qu’ils n’utilisent pas de portefeuille européen d’identité numérique. Toutefois, si les utilisateurs le souhaitent, les très grandes plateformes en ligne devraient les accepter à cette fin, tout en respectant le principe de minimisation des données et le droit des utilisateurs d’utiliser des pseudonymes librement choisis. Eu égard à l’importance des très grandes plateformes en ligne, en raison de leur audience, exprimée notamment en nombre de destinataires du service et de transactions économiques, l’obligation d’accepter les portefeuilles européens d’identité numérique est nécessaire pour renforcer la protection des utilisateurs contre la fraude et garantir un niveau élevé de protection des données.

(58)

Il convient d’élaborer des codes de conduite au niveau de l’Union afin de contribuer à étendre la disponibilité et à renforcer la facilité d’utilisation des moyens d’identification électronique, notamment des portefeuilles européens d’identité numérique relevant du champ d’application du présent règlement. Les codes de conduite devraient faciliter une large acceptation des moyens d’identification électronique, y compris des portefeuilles européens d’identité numérique, par les prestataires de services qui ne sont pas considérés comme de très grandes plateformes et qui ont recours à des services d’identification électronique tiers pour l’authentification des utilisateurs.

(59)

La divulgation sélective est un concept permettant au propriétaire des données de ne divulguer que certaines parties d’un ensemble de données plus large, afin que l’entité destinataire n’obtienne que les informations qui sont nécessaires pour la fourniture d’un service demandé par un utilisateur. Les portefeuilles européens d’identité numérique devraient permettre, sur le plan technique, la divulgation sélective des attributs aux parties utilisatrices. Il devrait être techniquement possible pour l’utilisateur de divulguer les attributs de manière sélective, y compris à partir d’attestations électroniques multiples et distinctes, ainsi que de les combiner et de les présenter de manière homogène aux parties utilisatrices. Cette fonctionnalité devrait devenir un élément de conception de base des portefeuilles européens d’identité numérique, renforçant ainsi la commodité et la protection des données à caractère personnel, notamment pour ce qui est de la minimisation des données.

(60)

À moins que des règles spécifiques du droit de l’Union ou du droit national n’exigent des utilisateurs qu’ils s’identifient, l’accès aux services au moyen d’un pseudonyme ne devrait pas être interdit.

(61)

Les attributs fournis par les prestataires de services de confiance qualifiés dans le cadre d’une attestation d’attributs qualifiée devraient faire l’objet d’une vérification par rapport aux sources authentiques, effectuée soit directement par le prestataire de services de confiance qualifié, soit en ayant recours à des intermédiaires désignés reconnus au niveau national conformément au droit de l’Union ou au droit national aux fins de l’échange sécurisé d’attributs attestés entre les fournisseurs de services d’identité ou d’attestations d’attributs et les parties utilisatrices. Les États membres devraient mettre en place des mécanismes appropriés au niveau national pour garantir que les prestataires de services de confiance qualifiés délivrant des attestations électroniques d’attributs qualifiées sont en mesure, sur la base du consentement de la personne à laquelle l’attestation est délivrée, de vérifier l’authenticité des attributs en s’appuyant sur des sources authentiques. Ces mécanismes appropriés devraient pouvoir inclure le recours à des intermédiaires spécifiques ou à des solutions techniques conformément au droit national permettant l’accès à des sources authentiques. Garantir la disponibilité d’un mécanisme permettant la vérification des attributs par rapport à des sources authentiques est destiné à faciliter le respect, par les prestataires de services de confiance qualifiés chargés de la fourniture d’attestations électroniques d’attributs qualifiées, des obligations qui leur incombent au titre du règlement (UE) no 910/2014. Une nouvelle annexe de ce règlement devrait contenir une liste des catégories d’attributs pour lesquelles les États membres doivent veiller à ce que des mesures soient prises afin de permettre aux fournisseurs qualifiés d’attestations électroniques d’attributs de vérifier par voie électronique, à la demande de l’utilisateur, leur authenticité par rapport à la source authentique pertinente.

(62)

L’identification électronique sécurisée et la fourniture d’attestations d’attributs devraient offrir davantage de souplesse et de solutions au secteur des services financiers en ce qui concerne l’identification des clients et l’échange des attributs spécifiques nécessaires pour respecter, par exemple, les obligations de vigilance à l’égard de la clientèle prévues par un futur règlement établissant l’autorité de lutte contre le blanchiment de capitaux et les exigences en matière d’adéquation découlant du droit en matière de protection des investisseurs, ou pour permettre le respect d’exigences en matière d’authentification forte du client pour l’identification en ligne à des fins de connexion au compte et d’exécution de transactions dans le domaine des services de paiement.

(63)

L’effet juridique produit par une signature électronique ne peut pas être contesté au motif que celle-ci se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée. Toutefois, l’effet juridique des signatures électroniques doit être établi par le droit national, sauf en ce qui concerne les obligations prévues par le présent règlement selon lesquelles l’effet juridique d’une signature électronique qualifiée doit être considéré comme équivalent à celui d’une signature manuscrite. Lorsqu’ils déterminent les effets juridiques des signatures électroniques, les États membres devraient tenir compte du principe de proportionnalité entre la valeur juridique du document à signer et le niveau de sécurité et le coût que nécessite une signature électronique. Afin d’améliorer l’accessibilité des signatures électroniques et d’élargir leur utilisation, les États membres sont encouragés à envisager l’utilisation de signatures électroniques avancées dans les transactions quotidiennes pour lesquelles elles assurent un niveau suffisant de sécurité et de confiance.

(64)

Afin de garantir la cohérence des pratiques de certification dans l’ensemble de l’Union, la Commission devrait publier des lignes directrices sur la certification et le renouvellement de la certification des dispositifs de création de signature électronique qualifiés et des dispositifs de création de cachet électronique qualifiés, y compris leur validité et leurs limitations dans le temps. Le présent règlement n’empêche pas les organismes publics ou privés qui disposent de dispositifs de création de signature électronique qualifiés certifiés de renouveler temporairement la certification de ces dispositifs pour une période de certification de courte durée, sur la base des résultats du précédent processus de certification, lorsqu’un tel renouvellement de certification ne peut pas être effectué dans le délai fixé légalement pour une raison autre qu’une atteinte à la sécurité ou un incident de sécurité, sans préjudice de l’obligation de procéder à une évaluation des vulnérabilités et sans préjudice des pratiques de certification applicables.

(65)

La délivrance de certificats d’authentification de site internet est destinée à offrir aux utilisateurs un niveau élevé de confiance quant à l’identité de l’entité qui se cache derrière ce site, quelle que soit la plateforme utilisée pour afficher cette identité. Ces certificats devraient contribuer à instaurer un climat de confiance pour la réalisation de transactions commerciales en ligne, les utilisateurs tendant à se fier à un site internet qui a été authentifié. L’utilisation de ces certificats par les sites internet devrait être volontaire. Pour que l’authentification de site internet devienne un moyen de renforcer la confiance, d’améliorer l’expérience de l’utilisateur et de favoriser la croissance dans le marché intérieur, le présent règlement établit un cadre de confiance comprenant des obligations minimales de sécurité et de responsabilité pour les fournisseurs de certificats qualifiés d’authentification de site internet et des exigences applicables à la délivrance de ces certificats. Les listes de confiance nationales devraient confirmer le statut qualifié des services d’authentification de site internet et de leurs prestataires de services de confiance, y compris le respect intégral par ceux-ci des exigences du présent règlement en ce qui concerne la délivrance de certificats qualifiés d’authentification de site internet. La reconnaissance des certificats qualifiés d’authentification de site internet signifie que les fournisseurs de navigateurs internet ne devraient pas contester l’authenticité des certificats qualifiés d’authentification de site internet au seul motif qu’ils attestent le lien entre le nom de domaine du site internet et la personne physique ou morale à laquelle le certificat est délivré ou qu’ils confirment l’identité de cette personne. Les fournisseurs de navigateurs internet devraient afficher, pour l’utilisateur final, les données d’identité certifiées et les autres attributs attestés de manière conviviale dans l’environnement du navigateur, par les moyens techniques de leur choix. À cette fin, les fournisseurs de navigateurs internet devraient veiller à assurer la compatibilité et l’interopérabilité avec les certificats qualifiés d’authentification de site internet délivrés dans le respect intégral du présent règlement. L’obligation de reconnaissance, d’interopérabilité et de compatibilité des certificats qualifiés pour l’authentification de site internet n’affecte pas la liberté des fournisseurs de navigateurs internet d’assurer la sécurité sur internet, l’authentification de domaine et le cryptage du trafic internet de la manière et au moyen de la technologie qu’ils considèrent les plus appropriées. Afin de contribuer à la sécurité en ligne des utilisateurs finaux, les fournisseurs de navigateurs internet devraient, dans des circonstances exceptionnelles, être en mesure de prendre des mesures conservatoires à la fois nécessaires et proportionnées en réaction à des préoccupations justifiées concernant des atteintes à la sécurité ou la perte d’intégrité d’un certificat ou d’un ensemble de certificats identifiés. Lorsqu’ils prennent de telles mesures conservatoires, les fournisseurs de navigateurs internet devraient notifier, dans les meilleurs délais, à la Commission, à l’organe de contrôle national, à l’entité à laquelle le certificat a été délivré et au prestataire de services de confiance qualifié qui a délivré ce certificat ou cet ensemble de certificats, toute préoccupation concernant une telle atteinte à la sécurité ou perte d’intégrité, ainsi que les mesures prises concernant le certificat unique ou l’ensemble de certificats. Ces mesures devraient être sans préjudice de l’obligation faite aux fournisseurs de navigateurs internet de reconnaître les certificats qualifiés d’authentification de site internet conformément aux listes de confiance nationales. Afin de protéger davantage les citoyens de l’Union et les résidents de l’Union et de promouvoir l’utilisation de certificats qualifiés d’authentification de site internet, les autorités publiques des États membres devraient envisager d’intégrer à leurs sites internet les certificats qualifiés d’authentification de site internet. Les mesures prévues par le présent règlement qui visent à accroître la cohérence entre les approches et pratiques divergentes des États membres en ce qui concerne les procédures de contrôle sont destinées à renforcer la confiance dans la sécurité, la qualité et la disponibilité des certificats qualifiés d’authentification de site internet.

(66)

De nombreux États membres ont introduit des exigences nationales pour les services fournissant un archivage électronique sécurisé et fiable afin de permettre la préservation à long terme des données et documents électroniques et des services de confiance associés. Pour garantir la sécurité juridique, la confiance et l’harmonisation entre les États membres, il convient d’établir un cadre juridique pour les services d’archivage électronique qualifiés, s’inspirant du cadre des autres services de confiance défini dans le présent règlement. Le cadre juridique applicable aux services d’archivage électronique qualifiés devrait offrir aux prestataires de services de confiance et aux utilisateurs une boîte à outils efficace comprenant des exigences fonctionnelles pour les services d’archivage électronique, ainsi que des effets juridiques clairs lorsqu’un service d’archivage électronique qualifié est utilisé. Ces dispositions devraient s’appliquer aux données électroniques et aux documents électroniques créés sous une forme électronique, ainsi qu’aux documents papier qui ont été scannés et numérisés. En tant que de besoin, ces dispositions devraient permettre que les données et documents électroniques préservés soient portés sur différents supports ou convertis en différents formats afin d’étendre leur durabilité et leur lisibilité au-delà de la période de validité technologique, tout en évitant les pertes et les altérations dans la mesure du possible. Lorsque les données et les documents électroniques soumis au service d’archivage électronique contiennent une ou plusieurs signatures électroniques qualifiées ou un ou plusieurs cachets électroniques qualifiés, le service devrait utiliser des procédures et des technologies permettant d’étendre leur fiabilité sur toute la période de préservation de ces données, en s’appuyant éventuellement sur l’utilisation d’autres services de confiance qualifiés établis par le présent règlement. Afin de créer des preuves de préservation dans les cas où des signatures électroniques, des cachets électroniques ou des horodatages électroniques sont utilisés, il convient d’utiliser des services de confiance qualifiés. Pour autant que les services d’archivage électronique ne sont pas harmonisés par le présent règlement, les États membres devraient avoir la possibilité de maintenir ou d’introduire des dispositions nationales, conformément au droit de l’Union, relatives à ces services, telles que des dispositions spécifiques pour les services intégrés dans une organisation et utilisés uniquement pour les archives internes de cette organisation. Le présent règlement ne devrait pas opérer de distinction entre les données électroniques et les documents électroniques créés sous une forme électronique et les documents physiques qui ont été numérisés.

(67)

Les activités des institutions nationales d’archives et de la mémoire, en leur qualité d’organisations dédiées à la préservation du patrimoine documentaire dans l’intérêt public, sont généralement réglementées dans le droit national et ces institutions ne fournissent pas nécessairement de services de confiance au sens du présent règlement. Dans la mesure où ces institutions ne fournissent pas de tels services de confiance, le présent règlement est sans préjudice de leur fonctionnement.

(68)

Les registres électroniques consistent en une séquence d’enregistrements de données électroniques qui devrait garantir l’intégrité de ces données et l’exactitude de leur classement chronologique. Les registres électroniques devraient établir une séquence chronologique des enregistrements de données. En combinaison avec d’autres technologies, ils devraient contribuer à trouver des solutions pour des services publics plus efficaces et porteurs de transformation, tels que le vote électronique, la coopération transfrontière des autorités douanières, la coopération transfrontière des établissements universitaires et l’enregistrement de la propriété de biens immobiliers dans des registres fonciers décentralisés. Les registres électroniques qualifiés devraient créer une présomption légale quant au classement chronologique séquentiel unique et précis et à l’intégrité des enregistrements de données dans le registre. En raison de leurs spécificités, telles que le classement chronologique séquentiel des enregistrements de données, les registres électroniques devraient être distingués des autres services de confiance tels que les horodatages électroniques et les services d’envoi recommandé électronique. Afin de garantir la sécurité juridique et de promouvoir l’innovation, il convient d’établir à l’échelle de l’Union un cadre juridique prévoyant la reconnaissance transfrontière de services de confiance pour l’enregistrement des données dans les registres électroniques qualifiés. Cela devrait suffire à éviter que le même actif numérique soit copié et vendu plus d’une fois à différentes parties. Le processus de création et de mise à jour d’un registre électronique dépend du type de registre utilisé, à savoir s’il est centralisé ou distribué. Le présent règlement devrait garantir la neutralité technologique, c’est-à-dire ne favoriser ni ne discriminer aucune technologie utilisée pour mettre en œuvre le nouveau service de confiance pour les registres électroniques. En outre, les indicateurs de durabilité relatifs à toute incidence négative sur le climat ou à d’autres incidences négatives liées à l’environnement devraient être pris en compte par la Commission, au moyen de méthodes adéquates, lors de l’élaboration des actes d’exécution précisant les exigences applicables aux registres électroniques qualifiés.

(69)

Le rôle des prestataires de services de confiance pour les registres électroniques devrait consister à vérifier l’enregistrement séquentiel des données dans le registre. Le présent règlement est sans préjudice des obligations légales des utilisateurs des registres électroniques prévues par le droit de l’Union ou le droit national. Par exemple, les cas d’utilisation nécessitant le traitement de données à caractère personnel devraient respecter le règlement (UE) 2016/679 et les cas d’utilisation liés aux services financiers devraient respecter le droit de l’Union applicable en matière de services financiers.

(70)

Afin d’éviter la fragmentation du marché intérieur et les obstacles sur ce marché dus à des normes et restrictions techniques divergentes, et d’assurer un processus coordonné pour éviter de porter atteinte à la mise en œuvre du cadre européen relatif à une identité numérique, il y a lieu d’instaurer un processus de coopération étroite et structurée entre la Commission, les États membres, la société civile, le monde universitaire et le secteur privé. Pour atteindre cet objectif, les États membres et la Commission devraient coopérer dans le cadre défini dans la recommandation (UE) 2021/946 de la Commission (16) afin de définir une boîte à outils commune de l’Union pour le cadre européen relatif à une identité numérique. Dans ce contexte, les États membres devraient convenir d’une architecture technique et un cadre de référence complets, un ensemble de normes communes et de références techniques, y compris les normes existantes reconnues, ainsi qu’un ensemble de lignes directrices et de descriptions des bonnes pratiques couvrant au moins toutes les fonctionnalités et l’interopérabilité des portefeuilles européens d’identité numérique, notamment les signatures électroniques, ainsi que des prestataires de services de confiance qualifiés chargés de la fourniture d’attestation électronique d’attributs, comme le prévoit le présent règlement. Dans ce contexte, les États membres devraient également convenir d’éléments communs concernant un modèle économique et une structure tarifaire pour les portefeuilles européens d’identité numérique, afin de faciliter leur adoption, en particulier par les PME dans un contexte transfrontière. Le contenu de la boîte à outils devrait continuer à évoluer parallèlement au débat et au processus d’adoption du cadre européen relatif à une identité numérique et tenir compte de leurs résultats.

(71)

Le présent règlement prévoit un niveau harmonisé de qualité, de fiabilité et de sécurité des services de confiance qualifiés, quel que soit le lieu où les opérations sont menées. Ainsi, un prestataire de services de confiance qualifié devrait être autorisé à externaliser ses opérations liées à la fourniture d’un service de confiance qualifié dans un pays tiers, lorsque ce pays tiers fournit des garanties adéquates pour que les activités de contrôle et les audits puissent être exécutés comme si ces opérations étaient menées dans l’Union. Lorsque le respect du présent règlement ne peut être pleinement garanti, les organes de contrôle devraient être en mesure d’adopter des mesures proportionnées et justifiées, y compris le retrait du statut de service qualifié du service de confiance fourni.

(72)

Pour garantir la sécurité juridique concernant la validité des signatures électroniques avancées reposant sur des certificats qualifiés, il est essentiel de préciser l’évaluation par la partie utilisatrice qui procède à la validation de cette signature électronique avancée reposant sur des certificats qualifiés.

(73)

Les prestataires de services de confiance devraient utiliser des méthodes cryptographiques reflétant les bonnes pratiques en cours et la mise en œuvre fiable de ces algorithmes afin de garantir la sécurité et la fiabilité de leurs services de confiance.

(74)

Le présent règlement impose aux prestataires de services de confiance qualifiés l’obligation de vérifier l’identité d’une personne physique ou morale à laquelle le certificat qualifié ou l’attestation électronique d’attributs qualifiée est délivré sur la base de diverses méthodes harmonisées dans l’ensemble de l’Union. Pour veiller à ce que les certificats qualifiés et les attestations électroniques d’attributs qualifiées soient délivrés à la personne à laquelle ils appartiennent et qu’ils attestent l’ensemble correct et unique de données représentant l’identité de cette personne, les prestataires de services de confiance qualifiés délivrant des certificats qualifiés ou délivrant des attestations électroniques d’attributs qualifiées devraient, au moment de la délivrance de ces certificats et attestations, garantir avec une certitude absolue l’identification de cette personne. Par ailleurs, outre la vérification obligatoire de l’identité de la personne, s’il y a lieu pour la délivrance de certificats qualifiés et lors de la délivrance d’une attestation électronique d’attributs qualifiée, les prestataires de services de confiance qualifiés devraient garantir avec une certitude absolue l’exactitude des attributs attestés de la personne à laquelle le certificat qualifié ou l’attestation électronique d’attributs qualifiée est délivré. Ces obligations de résultat et de certitude absolue lorsqu’il s’agit de vérifier les données attestées devraient être appuyées par des moyens appropriés, y compris par le recours à une ou, au besoin, une combinaison de méthodes spécifiques prévues par le présent règlement. Il devrait être possible de combiner ces méthodes afin de fournir une base appropriée pour la vérification de l’identité de la personne à laquelle le certificat qualifié ou une attestation électronique d’attributs qualifiée est délivré. Une telle combinaison devrait pouvoir inclure le recours à des moyens d’identification électronique qui répondent aux exigences d’un niveau de garantie substantiel en combinaison avec d’autres moyens de vérification de l’identité. Cette identification électronique permettrait de satisfaire aux exigences harmonisées énoncées dans le présent règlement en ce qui concerne le niveau de garantie élevé, dans le cadre d’autres procédures à distance harmonisées, garantissant une identification avec un degré de confiance élevé. Ces méthodes devraient comprendre la possibilité, pour le prestataire de services de confiance qualifié délivrant une attestation électronique d’attributs qualifiée, de vérifier les attributs devant être attestés par des moyens électroniques à la demande de l’utilisateur, conformément au droit de l’Union ou au droit national, y compris par rapport à des sources authentiques.

(75)

Afin de maintenir le présent règlement en adéquation avec les évolutions générales et de suivre les meilleures pratiques sur le marché intérieur, les actes délégués et les actes d’exécution adoptés par la Commission devraient être réexaminés et, si besoin, mis à jour régulièrement. L’évaluation de la nécessité de ces mises à jour devrait tenir compte des nouvelles technologies, pratiques, normes ou spécifications techniques.

(76)

Étant donné que les objectifs du présent règlement, à savoir la mise en place, à l’échelle de l’Union, d’un cadre européen relatif à une identité numérique et d’un cadre pour les services de confiance, ne peuvent pas être atteints de manière suffisante par les États membres mais peuvent, en raison de leurs dimensions et de leurs effets, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre ces objectifs.

(77)

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725.

(78)

Il convient, dès lors, de modifier le règlement (UE) no 910/2014 en conséquence,

1)

L’article 1er est remplacé par le texte suivant:

2)

L’article 2 est modifié comme suit:

3)

L’article 3 est modifié comme suit:

4)

L’article 5 est remplacé par le texte suivant:

5)

Au chapitre II, la section suivante est insérée:

(*2)  Directive (UE) 2019/882 du Parlement européen et du Conseil du 17 avril 2019 relative aux exigences en matière d’accessibilité applicables aux produits et services (JO L 151 du 7.6.2019, p. 70)."

(*3)  Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15)."

(*4)  Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36)."

(*5)  Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) (JO L 277 du 27.10.2022, p. 1).»."

6)

L’intitulé suivant est inséré avant l’article 6:

7)

À l’article 7, le point g) est remplacé par le texte suivant:

8)

À l’article 8, paragraphe 3, le premier alinéa est remplacé par le texte suivant:

9)

À l’article 9, les paragraphes 2 et 3 sont remplacés par le texte suivant:

10)

À l’article 10, le titre est remplacé par le texte suivant:

«Atteinte à la sécurité des schémas d’identification électronique».

11)

L’article suivant est inséré:

12)

L’article 12 est modifié comme suit:

13)

Les articles suivants sont insérés au chapitre II:

(*6)  Règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) (JO L 265 du 12.10.2022, p. 1).»."

14)

À l’article 13, le paragraphe 1 est remplacé par le texte suivant:

15)

Les articles 14, 15 et 16 sont remplacés par le texte suivant:

(*7)  Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80).»."

16)

Au chapitre III, section 2, le titre est remplacé par le texte suivant:

«Services de confiance non qualifiés».

17)

Les articles 17 et 18 sont supprimés.

18)

Au chapitre III, section 2, l’article suivant est inséré:

19)

L’article 20 est modifié comme suit:

20)

L’article 21 est modifié comme suit:

21)

L’article 24 est modifié comme suit:

22)

Au chapitre III, section 3, l’article suivant est inséré:

23)

À l’article 25, le paragraphe 3 est supprimé.

24)

L’article 26 est modifié comme suit:

25)

À l’article 27, le paragraphe 4 est supprimé.

26)

À l’article 28, le paragraphe 6 est remplacé par le texte suivant:

27)

À l’article 29, le paragraphe suivant est inséré:

28)

L’article suivant est inséré:

29)

À l’article 30, le paragraphe suivant est inséré:

30)

À l’article 31, le paragraphe 3 est remplacé par le texte suivant:

31)

L’article 32 est modifié comme suit:

32)

L’article suivant est inséré:

33)

À l’article 33, le paragraphe 2 est remplacé par le texte suivant:

34)

L’article 34 est modifié comme suit:

35)

À l’article 35, le paragraphe 3 est supprimé.

36)

L’article 36 est modifié comme suit:

37)

À l’article 37, le paragraphe 4 est supprimé.

38)

À l’article 38, le paragraphe 6 est remplacé par le texte suivant:

39)

L’article suivant est inséré:

40)

Au chapitre III, section 5, l’article suivant est inséré:

41)

À l’article 41, le paragraphe 3 est supprimé.

42)

L’article 42 est modifié comme suit:

43)

L’article 44 est modifié comme suit:

44)

L’article 45 est remplacé par le texte suivant:

45)

L’article suivant est inséré:

46)

Au chapitre III, les sections suivantes sont ajoutées:

47)

Le chapitre suivant est inséré:

48)

L’article 47 est modifié comme suit:

49)

Au chapitre VI, l’article suivant est inséré:

50)

L’article 49 est remplacé par le texte suivant:

51)

L’article 51 est remplacé par le texte suivant:

52)

Les annexes I à IV sont modifiées, respectivement, conformément aux annexes I à IV du présent règlement.

53)

Des nouvelles annexes V, VI et VII sont ajoutées conformément aux annexes V, VI et VII du présent règlement.