(1)

Le cadre européen relatif à une identité numérique établi par le règlement (UE) no 910/2014 est un élément essentiel pour la mise en place d’un écosystème d’identité numérique sécurisé et interopérable dans l’ensemble de l’Union. Avec pour pierre angulaire les portefeuilles européens d’identité numérique (ci-après les «portefeuilles»), il vise à faciliter l’accès aux services dans l’ensemble des États membres, tout en garantissant la protection des données à caractère personnel et le respect de la vie privée.

(2)

Le règlement (UE) 2016/679 du Parlement européen et du Conseil (2) et, le cas échéant, la directive 2002/58/CE du Parlement européen et du Conseil (3) s’appliquent à toutes les activités de traitement de données à caractère personnel au titre du présent règlement.

(3)

L’article 5 bis, paragraphe 23, du règlement (UE) no 910/2014 charge la Commission d’établir, au besoin, les spécifications et les procédures applicables. À cette fin, quatre règlements d’exécution ont été prévus en ce qui concerne les protocoles et les interfaces: règlement d’exécution (UE) 2024/2982 de la Commission (4), l’intégrité et les fonctionnalités essentielles: règlement d’exécution (UE) 2024/2979 de la Commission (5), les données d’identification personnelle et les attestations électroniques d’attributs: règlement d’exécution (UE) 2024/2977 de la Commission (6), ainsi que les notifications à la Commission: règlement d’exécution (UE) 2024/2980 de la Commission (7). Le présent règlement établit les exigences applicables concernant les données d’identification personnelle et les attestations électroniques d’attributs délivrées aux portefeuilles européens d’identité numérique.

(4)

La Commission évalue régulièrement les nouvelles technologies, pratiques, normes ou spécifications techniques. Afin de faire en sorte que le niveau d’harmonisation entre les États membres le plus élevé soit atteint en ce qui concerne le développement et la certification des portefeuilles, les spécifications techniques énoncées dans le présent règlement d’exécution s’appuient sur les travaux menés sur la base de la recommandation (UE) 2021/946 de la Commission du 3 juin 2021 concernant une boîte à outils commune de l’Union pour une approche coordonnée en vue d’un cadre européen relatif à une identité numérique (8), et en particulier sur l’architecture et le cadre de référence qui sont une composante de cette boîte à outils. Conformément au considérant 75 du règlement (UE) 2024/1183 du Parlement européen et du Conseil (9), la Commission devrait réexaminer et, si besoin est, mettre à jour le présent règlement d’exécution, afin de le maintenir en adéquation avec les évolutions générales, l’architecture et le cadre de référence et de suivre les meilleures pratiques sur le marché intérieur.

(5)

Afin de garantir la protection des données dès la conception et par défaut, les portefeuilles devraient être dotés de plusieurs éléments renforçant la protection de la vie privée afin d’empêcher les fournisseurs de moyens d’identification électronique et d’attestations électroniques d’attributs de combiner les données à caractère personnel obtenues lors de la fourniture d’autres services avec les données à caractère personnel traitées pour fournir les services relevant du champ d’application du règlement (UE) no 910/2014.

(6)

Dans un souci d’harmonisation, certaines fonctionnalités communes devraient être disponibles dans tous les portefeuilles, y compris la capacité de demander, d’obtenir, de sélectionner, de combiner, de stocker, de supprimer, de partager et de présenter en toute sécurité, sous le contrôle exclusif de l’utilisateur de portefeuille, les données d’identification personnelle et les attestations électroniques d’attributs. Afin que les données d’identification personnelle et les attestations électroniques d’attributs puissent être traitées par l’intermédiaire de chaque unité de portefeuille, les spécifications techniques concernant les attributs de données d’identification personnelle, le format des données et l’infrastructure nécessaire pour garantir la fiabilité appropriée des données d’identification personnelle doivent être compatibles avec toutes les solutions de portefeuille. En outre, les spécifications communes relatives aux attributs des données d’identification personnelle visent à faire en sorte que ces données puissent être utilisées pour la mise en correspondance des identités, le cas échéant.

(7)

Les États membres doivent veiller à ce que les portefeuilles soient capables d’authentifier les parties utilisatrices, les fournisseurs de données d’identification personnelle et les fournisseurs d’attestations électroniques d’attributs, quel que soit le lieu où ils sont établis dans l’Union. À cette fin, ces entités devraient utiliser des certificats d’accès de partie utilisatrice de portefeuille lorsqu’elles s’identifient auprès des unités de portefeuille. Afin de garantir l’interopérabilité de ces certificats entre tous les portefeuilles fournis au sein de l’Union, les certificats d’accès de partie utilisatrice de portefeuille devraient être conformes à des normes communes. La Commission, en collaboration avec les États membres, devrait suivre de près l’élaboration de normes nouvelles ou de remplacement sur la base desquelles les certificats d’accès de partie utilisatrice de portefeuille pourraient être établis. En particulier, il convient d’évaluer les modèles de confiance dont l’efficacité et la sécurité sont vérifiées dans les États membres.

(8)

Afin de garantir la transparence à l’égard des utilisateurs de portefeuilles, les États membres devraient publier des informations indiquant quelles solutions de portefeuille sont prises en charge par les fournisseurs de données d’identification personnelle établis sur leur territoire. Étant donné que l’identité de l’utilisateur doit être aussi fiable que possible, il convient d’imposer un niveau de garantie élevé commun en ce qui concerne la preuve de l’identité des utilisateurs de portefeuille avant la délivrance des données d’identification personnelle, conformément au niveau de garantie élevé prévu pour les moyens d’identification électronique en vertu du règlement (UE) no 910/2014. De cette manière, les unités de portefeuille garantissent le plus haut degré de fiabilité disponible pour les moyens d’identification dans l’ensemble de l’Union. Lors de l’inscription des utilisateurs de portefeuilles à un niveau de garantie élevé, divers processus sécurisés sont possibles; par exemple lorsqu’il a été vérifié que l’utilisateur de portefeuille est en possession d’éléments de preuve photographiques ou biométriques reconnus mais non délivrés par l’État membre dans lequel la demande de moyen d’identification électronique est introduite et que ces éléments de preuve correspondent à l’identité revendiquée, il convient de vérifier les éléments de preuve afin d’établir qu’ils sont valables selon une source pertinente faisant autorité.

(9)

Pour favoriser l’interopérabilité, les attestations électroniques d’attributs devraient être conformes aux exigences harmonisées en matière de format.

(10)

Dans un souci de protection des données des utilisateurs de portefeuille et de garantie de l’authenticité des attestations électroniques d’attributs, des mécanismes d’authentification des fournisseurs d’attestations électroniques d’attributs et de vérification, par ces fournisseurs, de l’authenticité et de la validité des unités de portefeuille devraient s’appliquer avant la délivrance des attestations aux unités de portefeuille.

(11)

Pour éviter que des données d’identification personnelle et des attestations électroniques d’attributs ayant perdu leur validité juridique après leur délivrance à une unité de portefeuille ne soient utilisées, et que l’on s’y fie, les fournisseurs de données d’identification personnelle et d’attestations électroniques d’attributs devraient publier des règles décrivant les circonstances et les procédures de révocation.

(12)

Afin de garantir que les données d’identification personnelle représentent de manière univoque l’utilisateur du portefeuille, les États membres devraient, outre les attributs obligatoires dans les données d’identification personnelle établis dans le présent règlement, fournir des attributs facultatifs nécessaires pour assurer le caractère univoque de l’ensemble de données d’identification personnelle.

(13)

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (10) et a rendu son avis le 30 septembre 2024.

(14)

Les mesures prévues par le présent règlement sont conformes à l’avis du comité visé à l’article 48 du règlement (UE) no 910/2014,

1)

«utilisateur de portefeuille»: un utilisateur qui contrôle l’unité de portefeuille;

2)

«unité de portefeuille»: une configuration unique d’une solution de portefeuille comprenant des instances de portefeuille, des applications cryptographiques sécurisées de portefeuille et des dispositifs cryptographiques sécurisés de portefeuille, fournie par un fournisseur de portefeuille à un utilisateur de portefeuille donné;

3)

«solution de portefeuille»: une combinaison de logiciels, de matériel, de services, de paramètres et de configurations, y compris des instances de portefeuille, une ou plusieurs applications cryptographiques sécurisées de portefeuille et un ou plusieurs dispositifs cryptographiques sécurisés de portefeuille;

4)

«fournisseur de données d’identification personnelle»: une personne physique ou morale chargée de délivrer et de révoquer les données d’identification personnelle et de veiller à ce que les données d’identification personnelle d’un utilisateur soient liées de manière cryptographique à une unité de portefeuille;

5)

«attestation d’unité de portefeuille»: un objet de données qui décrit les composants de l’unité de portefeuille ou permet l’authentification et la validation de ces composants;

6)

«instance de portefeuille»: l’application installée et configurée sur l’appareil ou dans l’environnement d’un utilisateur de portefeuille, qui fait partie d’une unité de portefeuille et dont l’utilisateur de portefeuille se sert pour interagir avec l’unité de portefeuille;

7)

«application cryptographique sécurisée de portefeuille»: une application qui gère des actifs critiques en étant liée aux fonctions cryptographiques et non cryptographiques fournies par le dispositif cryptographique sécurisé de portefeuille et en utilisant ces fonctions;

8)

«dispositif cryptographique sécurisé de portefeuille»: un dispositif inviolable qui fournit un environnement lié à l’application cryptographique sécurisée de portefeuille et utilisé par celle-ci pour protéger les actifs critiques et fournir des fonctions cryptographiques pour l’exécution sécurisée d’opérations critiques;

9)

«fournisseur de portefeuille»: une personne physique ou morale qui fournit des solutions de portefeuille;

10)

«actifs critiques»: les actifs se trouvant à l’intérieur d’une unité de portefeuille ou en rapport avec celle-ci et dont l’importance est tellement exceptionnelle que la capacité de se fier à l’unité de portefeuille serait très sérieusement affaiblie si leur disponibilité, leur confidentialité ou leur intégrité étaient compromises;

11)

«partie utilisatrice de portefeuille»: une partie utilisatrice qui a l’intention de se fier à des unités de portefeuille pour la fourniture de services publics ou privés au moyen d’une interaction numérique;

12)

«certificat d’accès de partie utilisatrice de portefeuille»: un certificat de cachet électronique ou de signature électronique qui authentifie et valide la partie utilisatrice de portefeuille et qui est délivré par un fournisseur de certificats d’accès de partie utilisatrice de portefeuille;

13)

«fournisseur de certificats d’accès de partie utilisatrice de portefeuille»: une personne physique ou morale mandatée par un État membre pour délivrer des certificats d’accès de partie utilisatrice aux parties utilisatrices de portefeuille enregistrées dans cet État membre.