|
9.9.2015 |
FR |
Journal officiel de l'Union européenne |
L 235/1 |
RÈGLEMENT D'EXÉCUTION (UE) 2015/1501 DE LA COMMISSION
du 8 septembre 2015
sur le cadre d'interopérabilité visé à l'article 12, paragraphe 8, du règlement (UE) no 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur
(Texte présentant de l'intérêt pour l'EEE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l'Union européenne,
vu le règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (1), et notamment son article 12, paragraphe 8,
considérant ce qui suit:
|
(1) |
L'article 12, paragraphe 2, du règlement (UE) no 910/2014 prévoit qu'un cadre d'interopérabilité doit être établi à des fins d'interopérabilité des schémas d'identification électronique nationaux notifiés en application de l'article 9, paragraphe 1, dudit règlement. |
|
(2) |
Les nœuds jouent un rôle central dans l'interconnexion des schémas d'identification électronique des États membres. Leur contribution est expliquée dans la documentation relative au mécanisme pour l'interconnexion en Europe établi par le règlement (UE) no 1316/2013 du Parlement européen et du Conseil (2), y compris les fonctions et les composants du «nœud eIDAS». |
|
(3) |
Lorsqu'un État membre ou la Commission fournit un logiciel visant à permettre l'authentification à un nœud exploité dans un autre État membre, la partie qui fournit et met à jour le logiciel utilisé pour le mécanisme d'authentification peut convenir avec la partie qui héberge le logiciel de la façon dont sera gérée l'exploitation du mécanisme d'authentification. Un tel accord ne doit pas imposer de frais ou d'exigences techniques disproportionnés (y compris assistance, responsabilités, hébergement et autres frais) à la partie hôte. |
|
(4) |
Dans la mesure où la mise en œuvre du cadre d'interopérabilité le justifie, d'autres spécifications techniques fournissant des détails sur les exigences techniques énoncées dans le présent règlement pourraient être élaborées par la Commission, en coopération avec les États membres, en particulier au vu des avis du réseau de coopération visés à l'article 14, point d), de la décision d'exécution (UE) 2015/296 de la Commission (3). Ces spécifications devraient être élaborées au titre des infrastructures de services numériques visées par le règlement (UE) no 1316/2013, qui fournit les moyens de la mise en œuvre pratique du sous-ensemble «identification électronique». |
|
(5) |
Les exigences techniques énoncées dans le présent règlement devraient s'appliquer sans préjudice des éventuelles modifications apportées aux spécifications techniques susceptibles d'être élaborées en vertu de l'article 12 du présent règlement. |
|
(6) |
Lors de l'établissement des modalités relatives au cadre d'interopérabilité prévu par le présent règlement, il a été dûment tenu compte du projet pilote à grande échelle STORK, et notamment des spécifications élaborées au titre de ce projet, ainsi que des principes et concepts du cadre européen d'interopérabilité pour les services publics européens. |
|
(7) |
Les résultats de la coopération entre les États membres ont été pris en compte, dans toute la mesure du possible. |
|
(8) |
Les mesures prévues par le présent règlement sont conformes à l'avis du comité établi par l'article 48 du règlement (UE) no 910/2014, |
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Objet
Le présent règlement établit les exigences techniques et opérationnelles relatives au cadre d'interopérabilité afin d'assurer l'interopérabilité des schémas d'identification électronique notifiés par les États membres à la Commission.
Ces exigences incluent notamment:
|
a) |
les exigences techniques minimales relatives aux niveaux de garantie et la table de correspondance des niveaux de garantie nationaux des moyens d'identification électronique notifiés délivrés en vertu de schémas d'identification électronique notifiés au titre de l'article 8 du règlement (UE) no 910/2014, telles que décrites aux articles 3 et 4; |
|
b) |
les exigences techniques minimales en matière d'interopérabilité, telles que décrites aux articles 5 et 8; |
|
c) |
l'ensemble minimal de données d'identification personnelle représentant de façon univoque une personne physique ou morale, tel que décrit à l'article 11 et à l'annexe; |
|
d) |
les normes de sécurité opérationnelle communes, telles que décrites aux articles 6, 7, 9 et 10; |
|
e) |
les modalités de règlement des litiges, telles que décrites à l'article 13. |
Article 2
Définitions
Aux fins du présent règlement, on entend par:
|
1) |
«nœud», un point de connexion qui fait partie de l'architecture de l'interopérabilité d'identification électronique et participe au processus d'authentification transfrontalière des personnes et qui a la capacité de reconnaître et de traiter ou d'envoyer des transmissions à d'autres nœuds en permettant à l'infrastructure d'identification électronique nationale d'un État membre de fonctionner en interface avec les infrastructures d'identification électronique nationales d'autres États membres |
|
2) |
«opérateur de nœud», l'entité chargée de faire en sorte que les fonctions du nœud en tant que point de connexion soient assurées de manière correcte et fiable. |
Article 3
Exigences techniques minimales relatives aux niveaux de garantie
Les exigences techniques minimales relatives aux niveaux de garantie sont fixées dans le règlement d'exécution (UE) 2015/1502 de la Commission (4).
Article 4
Table de correspondance des niveaux de garantie nationaux
L'établissement de la table de correspondance des niveaux de garantie nationaux des schémas d'identification électronique notifiés respecte les exigences du règlement d'exécution (UE) 2015/1502. Les résultats sont notifiés à la Commission au moyen du modèle de notification établi dans la décision d'exécution (UE) 2015/1505 de la Commission (5).
Article 5
Nœuds
1. Un nœud situé dans un État membre doit être en mesure de communiquer avec les nœuds d'autres États membres.
2. Les nœuds doivent être en mesure de faire la distinction entre les organismes du secteur public et les autres parties utilisatrices par le biais de moyens techniques.
3. La mise en œuvre par un État membre des exigences techniques énoncées dans le présent règlement ne doit pas avoir pour effet d'imposer aux autres États membres qui souhaitent interopérer avec cette mise en œuvre des exigences techniques et des coûts disproportionnés.
Article 6
Respect de la vie privée et confidentialité des données
1. Le respect de la vie privée, la confidentialité des données échangées et le maintien de l'intégrité des données entre les nœuds sont assurés au moyen des meilleures solutions techniques et pratiques de protection disponibles.
2. Les nœuds ne peuvent stocker aucune donnée personnelle, excepté aux fins de l'article 9, paragraphe 3.
Article 7
Intégrité et authenticité des données dans le cadre de la communication
La communication entre les nœuds assure l'intégrité et l'authenticité des données de manière à garantir que toutes les demandes et réponses sont authentiques et n'ont pas fait l'objet de manipulations non autorisées. À cette fin, les nœuds ont recours à des solutions qui ont été utilisées avec succès dans le cadre d'une utilisation opérationnelle transfrontalière.
Article 8
Format des messages dans le cadre de la communication
La syntaxe utilisée par les nœuds est celle de formats de message communs fondés sur des normes dont on recense plusieurs exemples de déploiement entre les États membres et dont la capacité de fonctionnement dans un environnement opérationnel est prouvée. La syntaxe permet:
|
a) |
de traiter convenablement l'ensemble minimal de données d'identification personnelle représentant de façon univoque une personne physique ou morale; |
|
b) |
de traiter convenablement le niveau de garantie du moyen d'identification électronique; |
|
c) |
d'établir la distinction entre les organismes du secteur public et les autres parties utilisatrices; |
|
d) |
de disposer de la flexibilité nécessaire pour répondre aux besoins d'attributs supplémentaires relatifs à l'identification. |
Article 9
Gestion des informations de sécurité et des métadonnées
1. L'opérateur de nœud communique les métadonnées relatives à la gestion de nœud sous un format normalisé traitable par machine et d'une façon sûre et digne de confiance.
2. Les paramètres relatifs à la sécurité, au moins, doivent pouvoir être récupérés automatiquement.
3. L'opérateur de nœud stocke des données qui, en cas d'incident, permettent de reconstruire la séquence de l'échange de messages pour déterminer le lieu et la nature de l'incident. Les données sont stockées pendant une durée conforme aux exigences nationales et comportent, au minimum, les éléments suivants:
|
a) |
identification du nœud; |
|
b) |
identification du message; |
|
c) |
date et heure du message. |
Article 10
Normes d'assurance et de sécurité de l'information
1. Les opérateurs de nœuds assurant une authentification apportent la preuve que, eu égard aux nœuds participant au cadre d'interopérabilité, le nœud respecte les exigences de la norme ISO/CEI 27001 par certification, par des méthodes d'évaluation équivalentes ou par conformité à la législation nationale.
2. Les opérateurs de nœud déploient les mises à jour de sécurité critiques sans retard injustifié.
Article 11
Données d'identification personnelle
1. Lorsqu'un ensemble minimal de données d'identification personnelle représentant de façon univoque une personne physique ou morale est utilisé dans un contexte transfrontalier, il respecte les exigences visées à l'annexe.
2. Lorsqu'un ensemble minimal de données pour une personne physique représentant une personne morale est utilisé dans un contexte transfrontalier, il contient la combinaison des attributs énumérés à l'annexe pour les personnes physiques et les personnes morales.
3. Les données sont transmises sur la base des caractères d'origine et, le cas échéant, également transcrites en caractères latins.
Article 12
Spécifications techniques
1. Lorsque cela est justifié par le processus de mise en œuvre du cadre d'interopérabilité, le réseau de coopération établi par la décision d'exécution (UE) 2015/296 peut adopter des avis en vertu de son article 14, point d), sur la nécessité d'élaborer des spécifications techniques. Ces spécifications techniques doivent apporter des précisions sur les exigences techniques visées dans le présent règlement.
2. Conformément à l'avis visé au paragraphe 1, la Commission doit élaborer, en coopération avec les États membres, les spécifications techniques au titre des infrastructures de service numérique du règlement (UE) no 1316/2013.
3. Le réseau de coopération doit adopter un avis en vertu de l'article 14, point d), de la décision d'exécution (UE) 2015/296, dans lequel il évalue si et dans quelle mesure les spécifications techniques élaborées en vertu du paragraphe 2 correspondent au besoin identifié dans l'avis visé au paragraphe 1 ou aux exigences fixées dans le présent règlement. Il peut recommander que les États membres tiennent compte des spécifications techniques lors de la mise en œuvre du cadre d'interopérabilité.
4. La Commission fournit une mise en œuvre de référence comme exemple d'interprétation des spécifications techniques. Les États membres peuvent appliquer cette mise en œuvre de référence ou l'utiliser comme exemple lors de l'essai d'autres mises en œuvre des spécifications techniques.
Article 13
Règlement des litiges
1. Tout litige concernant le cadre de l'interopérabilité est, dans la mesure du possible, résolu par les États membres concernés par la négociation.
2. Si aucune solution n'est trouvée conformément au paragraphe 1, le réseau de coopération établi en vertu de l'article 12 de la décision d'exécution (UE) 2015/296 est compétent conformément à son règlement intérieur.
Article 14
Entrée en vigueur
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 8 septembre 2015.
Par la Commission
Le président
Jean-Claude JUNCKER
(1) JO L 257 du 28.8.2014, p. 73.
(2) Règlement (UE) no 1316/2013 du Parlement européen et du Conseil du 11 décembre 2013 établissant le mécanisme pour l'interconnexion en Europe, modifiant le règlement (UE) no 913/2010 et abrogeant les règlements (CE) no 680/2007 et (CE) no 67/2010 (JO L 348 du 20.12.2013, p. 129).
(3) Décision d'exécution (UE) 2015/296 de la Commission du 24 février 2015 établissant les modalités de coopération entre les États membres en matière d'identification électronique conformément à l'article 12, paragraphe 7, du règlement (UE) no 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (JO L 53 du 25.2.2015, p. 14).
(4) Règlement d'exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique visés à l'article 8, paragraphe 3, du règlement (UE) no 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (voir page 7 du présent Journal officiel).
(5) Décision d'exécution (UE) 2015/1505 de la Commission du 8 septembre 2015 établissant les spécifications techniques et les formats relatifs aux listes de confiance visées à l'article 22, paragraphe 5, du règlement (UE) no 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (voir page 26 du présent Journal officiel).
ANNEXE
Exigences relatives à l'ensemble minimal de données d'identification personnelle représentant de manière univoque une personne physique ou morale, visé à l'article 11
1. Ensemble minimal de données pour une personne physique
L'ensemble minimal de données pour une personne physique doit contenir tous les attributs obligatoires suivants:
|
a) |
nom(s) de famille actuel(s); |
|
b) |
prénom(s) actuel(s); |
|
c) |
date de naissance; |
|
d) |
un identifiant unique créé par l'État membre expéditeur conformément aux spécifications techniques aux fins de l'identification transfrontalière et qui soit aussi persistant que possible dans le temps. |
L'ensemble minimal de données pour une personne physique peut contenir un ou plusieurs des attributs supplémentaires suivants:
|
a) |
prénom(s) et nom(s) de famille à la naissance; |
|
b) |
lieu de naissance; |
|
c) |
adresse actuelle; |
|
d) |
sexe. |
2. Ensemble minimal de données pour une personne morale
L'ensemble minimal de données pour une personne morale doit contenir tous les attributs obligatoires suivants:
|
a) |
dénomination légale actuelle; |
|
b) |
un identifiant unique créé par l'État membre expéditeur conformément aux spécifications techniques aux fins de l'identification transfrontalière et qui soit aussi persistant que possible dans le temps. |
L'ensemble minimal de données pour une personne morale peut contenir un ou plusieurs des attributs supplémentaires suivants:
|
a) |
adresse actuelle; |
|
b) |
numéro d'immatriculation TVA; |
|
c) |
numéro de référence fiscal; |
|
d) |
l'identifiant visé à l'article 3, paragraphe 1, de la directive 2009/101/CE du Parlement européen et du Conseil (1); |
|
e) |
l'identifiant d'entité juridique (IEJ) mentionné dans le règlement d'exécution (UE) no 1247/2012 de la Commission (2); |
|
f) |
le numéro d'enregistrement et d'identification des opérateurs économiques (no EORI) mentionné dans le règlement d'exécution (UE) no 1352/2013 de la Commission (3); |
|
g) |
le numéro d'accise visé à l'article 2, point 12) du règlement no 389/2012 du Conseil (4). |
(1) Directive 2009/101/CE du Parlement européen et du Conseil du 16 septembre 2009 tendant à coordonner, pour les rendre équivalentes, les garanties qui sont exigées, dans les États membres, des sociétés au sens de l'article 48, deuxième alinéa, du traité, pour protéger les intérêts tant des associés que des tiers (JO L 258 du 1.10.2009, p. 11).
(2) Règlement d'exécution (UE) no 1247/2012 de la Commission du 19 décembre 2012 définissant les normes techniques d'exécution en ce qui concerne le format et la fréquence des déclarations de transactions aux référentiels centraux conformément au règlement (UE) no 648/2012 du Parlement européen et du Conseil sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux (JO L 352 du 21.12.2012, p. 20).
(3) Règlement d'exécution (UE) no 1352/2013 de la Commission du 4 décembre 2013 établissant les formulaires prévus par le règlement (UE) no 608/2013 du Parlement européen et du Conseil concernant le contrôle, par les autorités douanières, du respect des droits de propriété intellectuelle (JO L 341 du 18.12.2013, p. 10).
(4) Règlement (UE) no 389/2012 du Conseil du 2 mai 2012 concernant la coopération administrative dans le domaine des droits d'accise et abrogeant le règlement (CE) no 2073/2004 (JO L 121 du 8.5.2012, p. 1).