9.9.2015   

FR

Journal officiel de l'Union européenne

L 235/37

DÉCISION D'EXÉCUTION (UE) 2015/1506 DE LA COMMISSION

du 8 septembre 2015

établissant les spécifications relatives aux formats des signatures électroniques avancées et des cachets électroniques avancés devant être reconnus par les organismes du secteur public visés à l'article 27, paragraphe 5, et à l'article 37, paragraphe 5, du règlement (UE) no 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur

(Texte présentant de l'intérêt pour l'EEE)

LA COMMISSION EUROPÉENNE,

vu le traité sur le fonctionnement de l'Union européenne,

vu le règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (1), et notamment son article 27, paragraphe 5, et son article 37, paragraphe 5,

considérant ce qui suit:

(1)

Les États membres doivent mettre en place les moyens techniques nécessaires au traitement des documents signés électroniquement qui sont requis pour utiliser un service en ligne proposé par un organisme du secteur public ou en son nom.

(2)

En vertu du règlement (UE) no 910/2014, les États membres exigeant un cachet ou une signature électronique avancé pour utiliser un service en ligne proposé par un organisme du secteur public, ou en son nom, doivent reconnaître les cachets et les signatures électroniques avancés, les cachets et les signatures électroniques avancés reposant sur un certificat qualifié et les cachets et les signatures électroniques qualifiés dans des formats spécifiques, ou d'autres formats validés conformément à des méthodes de référence spécifiques.

(3)

Pour définir les formats et les méthodes de référence spécifiques, il convient de tenir compte des pratiques, normes et actes législatifs de l'Union en vigueur.

(4)

La décision d'exécution 2014/148/UE de la Commission (2) définit plusieurs des formats de signatures électroniques avancées les plus couramment employés devant être pris en charge techniquement par les États membres lorsqu'une procédure administrative en ligne exige une signature électronique avancée. Établir les formats de référence vise à faciliter la validation transfrontalière des signatures électroniques et à améliorer l'interopérabilité transfrontalière des procédures électroniques.

(5)

Les normes figurant à l'annexe de la présente décision sont les normes en vigueur pour les formats de signatures électroniques avancées. Les formes d'archivage à long terme des formats référencés étant actuellement en cours de révision par les organismes de normalisation, les normes détaillant l'archivage à long terme sont exclues du champ d'application de la présente décision. Lorsque la nouvelle version des normes référencées sera disponible, les références aux normes et les clauses sur l'archivage à long terme seront révisées.

(6)

Les signatures électroniques avancées et les cachets électroniques avancés sont similaires du point de vue technique. Par conséquent, les normes applicables aux formats des signatures électroniques avancées s'appliquent mutatis mutandis aux formats des cachets électroniques avancés.

(7)

Lorsqu'un format de cachet ou de signature électronique autre que ceux dont la prise en charge technique est la plus courante est utilisé pour apposer une signature ou un cachet, il convient de fournir des moyens de validation permettant la vérification transfrontalière de ces cachets ou signatures électroniques. Pour que les États membres destinataires puissent se fier aux outils de validation d'un autre État membre, il convient de fournir des informations facilement accessibles sur ces outils de validation en les faisant figurer dans les documents électroniques, les signatures électroniques ou les conteneurs de documents électroniques.

(8)

Lorsque des possibilités de validation de cachets ou de signatures électroniques adaptées au traitement automatisé sont disponibles dans les services publics d'un État membre, elles sont mises à la disposition de l'État membre destinataire et lui sont transmises. Cependant, la présente décision est sans préjudice de l'application de l'article 27, paragraphes 1 et 2, et de l'article 37, paragraphes 1 et 2, du règlement (UE) no 910/2014 lorsque le traitement automatisé des possibilités de validation pour d'autres méthodes n'est pas possible.

(9)

Afin de fournir des exigences comparables pour la validation et de renforcer la confiance dans les possibilités de validation fournies par les États membres pour des formats de cachets ou de signatures électroniques autres que ceux couramment pris en charge, les exigences relatives aux outils de validation établies par la présente décision découlent des exigences applicables à la validation des cachets et signatures électroniques qualifiés visées aux articles 32 et 40 du règlement (UE) no 910/2014.

(10)

Les mesures prévues par la présente décision sont conformes à l'avis du comité établi par l'article 48 du règlement (UE) no 910/2014.

A ADOPTÉ LA PRÉSENTE DÉCISION:

Article premier

Les États membres qui exigent une signature électronique avancée ou une signature électronique avancée reposant sur un certificat qualifié, en application de l'article 27, paragraphes 1 et 2, du règlement (UE) no 910/2014, reconnaissent les signatures électroniques avancées XML, CMS ou PDF au niveau de conformité B, T ou LT, ou au moyen d'un conteneur de signature associé, lorsque ces signatures respectent les spécifications techniques énumérées à l'annexe.

Article 2

1.   Les États membres qui exigent une signature électronique avancée ou une signature électronique avancée reposant sur un certificat qualifié, en application de l'article 27, paragraphes 1 et 2, du règlement (UE) no 910/2014, reconnaissent les formats de signatures électroniques autres que ceux visés à l'article 1er de la présente décision, sous réserve que l'État membre dans lequel le prestataire de services de confiance utilisé par le signataire est établi propose d'autres possibilités de validation de signature adaptées, le cas échéant, au traitement automatisé.

2.   Les possibilités de validation de signature:

a)

permettent aux autres États membres de valider les signatures électroniques reçues en ligne, gratuitement et de manière compréhensible pour les locuteurs non natifs;

b)

figurent dans le document signé, dans la signature électronique ou dans le conteneur de documents électroniques; et

c)

confirment la validité d'une signature électronique avancée, à condition que:

1)

le certificat qui prend en charge la signature électronique avancée ait été valide au moment de la signature et, lorsque la signature électronique avancée est prise en charge par un certificat qualifié, le certificat qualifié qui prend en charge ladite signature ait été, au moment de la signature, un certificat qualifié pour signature électronique conforme à l'annexe I du règlement (UE) no 910/2014 et qu'il ait été établi par un prestataire de services de confiance qualifié;

2)

les données de validation de signature correspondent aux données transmises à la partie utilisatrice;

3)

l'ensemble unique de données représentant le signataire soit correctement fourni à la partie utilisatrice;

4)

l'utilisation d'un pseudonyme soit clairement indiquée à la partie utilisatrice, si un pseudonyme a été utilisé au moment de la signature;

5)

lorsque la signature électronique avancée est créée par un dispositif de création de signature électronique qualifié, l'utilisation d'un tel dispositif soit clairement indiquée à la partie utilisatrice;

6)

l'intégrité des données signées n'ait pas été compromise;

7)

les exigences prévues à l'article 26 du règlement (UE) no 910/2014 aient été satisfaites au moment de la signature;

8)

le système utilisé pour valider la signature électronique avancée fournisse à la partie utilisatrice le résultat correct du processus de validation et permette à celle-ci de détecter tout problème pertinent relatif à la sécurité.

Article 3

Les États membres qui exigent un cachet électronique avancé ou un cachet électronique avancé reposant sur un certificat qualifié, conformément à l'article 37, paragraphes 1 et 2, du règlement (UE) no 910/2014, reconnaissent les cachets électroniques avancés XML, CMS ou PDF au niveau de conformité B, T ou LT ou au moyen d'un conteneur de cachet associé, lorsqu'ils respectent les spécifications techniques énumérées à l'annexe.

Article 4

1.   Les États membres qui exigent un cachet électronique avancé ou un cachet électronique avancé reposant sur un certificat qualifié, en application de l'article 37, paragraphes 1 et 2, du règlement (UE) no 910/2014, reconnaissent les formats de cachets électroniques autres que ceux visés à l'article 3 de la présente décision, sous réserve que l'État membre dans lequel le prestataire de services de confiance utilisé par le créateur du cachet est établi propose d'autres possibilités de validation de cachet adaptées, le cas échéant, au traitement automatisé.

2.   Les possibilités de validation de cachet:

a)

permettent aux autres États membres de valider les cachets électroniques reçus en ligne, gratuitement et de manière compréhensible pour les locuteurs non natifs;

b)

figurent dans le document cacheté, dans le cachet électronique ou dans le conteneur de documents électroniques;

c)

confirment la validité d'un cachet électronique avancé, à condition que:

1)

le certificat qui prend en charge le cachet électronique avancé ait été valide au moment de l'apposition du cachet et, lorsque le cachet électronique avancé est pris en charge par un certificat qualifié, le certificat qualifié qui prend en charge ledit cachet ait été, au moment de l'apposition du cachet, un certificat qualifié pour cachet électronique conforme à l'annexe III du règlement (UE) no 910/2014 et qu'il ait été établi par un prestataire de services de confiance qualifié;

2)

les données de validation du cachet correspondent aux données communiquées à la partie utilisatrice;

3)

l'ensemble unique de données représentant le créateur du cachet soit correctement fourni à la partie utilisatrice;

4)

l'utilisation d'un pseudonyme soit clairement indiquée à la partie utilisatrice, si un pseudonyme a été utilisé au moment de l'apposition du cachet;

5)

lorsque le cachet électronique avancé est créé par un dispositif de création de cachet électronique qualifié, l'utilisation d'un tel dispositif soit clairement indiquée à la partie utilisatrice;

6)

l'intégrité des données cachetées n'ait pas été compromise;

7)

les exigences prévues à l'article 36 du règlement (UE) no 910/2014 aient été satisfaites au moment de l'apposition du cachet;

8)

le système utilisé pour valider le cachet électronique avancé fournisse à la partie utilisatrice le résultat correct du processus de validation et permette à celle-ci de détecter tout problème pertinent relatif à la sécurité.

Article 5

La présente décision entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

La présente décision est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 8 septembre 2015.

Par la Commission

Le président

Jean-Claude JUNCKER

(1)  JO L 257 du 28.8.2014, p. 73.

(2)  Décision d'exécution 2014/148/UE de la Commission du 17 mars 2014 modifiant la décision 2011/130/UE établissant des exigences minimales pour le traitement transfrontalier des documents signés électroniquement par les autorités compétentes conformément à la directive 2006/123/CE du Parlement européen et du Conseil relative aux services dans le marché intérieur (JO L 80 du 19.3.2014, p. 7).

ANNEXE

Liste des spécifications techniques relatives aux signatures électroniques avancées XML, CMS ou PDF et au conteneur de signature associé

Les signatures électroniques avancées visées à l'article 1er de la décision doivent respecter les spécifications techniques ETSI suivantes, à l'exception de leur clause 9:

XAdES Baseline Profile

ETSI TS 103171 v.2.1.1 (1)

CAdES Baseline Profile

ETSI TS 103173 v.2.2.1 (2)

PAdES Baseline Profile

ETSI TS 103172 v.2.2.2 (3)

Le conteneur de signature associé visé à l'article 1er de la décision doit respecter les spécifications techniques ETSI suivantes:

Associated Signature Container Baseline Profile

ETSI TS 103174 v.2.2.1 (4)

Liste des spécifications techniques relatives aux cachets électroniques avancés XML, CMS ou PDF et au conteneur de cachet associé

Les cachets électroniques avancés visés à l'article 3 de la décision doivent respecter les spécifications techniques ETSI suivantes, à l'exception de leur clause 9:

XAdES Baseline Profile

ETSI TS 103171 v.2.1.1

CAdES Baseline Profile

ETSI TS 103173 v.2.2.1

PAdES Baseline Profile

ETSI TS 103172 v.2.2.2

Le conteneur de cachet associé visé à l'article 3 de la décision doit respecter les spécifications techniques ETSI suivantes:

Associated Seal Container Baseline Profile

ETSI TS 103174 v.2.2.1

(1)  http://www.etsi.org/deliver/etsi_ts/103100_103199/103171/02.01.01_60/ts_103171v020101p.pdf

(2)  http://www.etsi.org/deliver/etsi_ts/103100_103199/103173/02.02.01_60/ts_103173v020201p.pdf

(3)  http://www.etsi.org/deliver/etsi_ts/103100_103199/103172/02.02.02_60/ts_103172v020202p.pdf

(4)  http://www.etsi.org/deliver/etsi_ts/103100_103199/103174/02.02.01_60/ts_103174v020201p.pdf