RÈGLEMENT D’EXÉCUTION (UE) 2025/1568 DE LA COMMISSION

du 29 juillet 2025

portant modalités d’application du règlement (UE) no 910/2014 du Parlement européen et du Conseil en ce qui concerne les modalités de procédure pour les examens par les pairs des schémas d’identification électronique et pour la coopération relative à l’organisation de ces examens au sein du groupe de coopération, et abrogeant la décision d’exécution (UE) 2015/296 de la Commission

LA COMMISSION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne,

vu le règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (1), et notamment son article 12, paragraphe 6, et son article 46 sexies, paragraphe 7,

considérant ce qui suit:

(1)

Le règlement (UE) no 910/2014 prévoit un mécanisme d’examen par les pairs en ce qui concerne les schémas d’identification électronique qui doivent être notifiés, auquel les États membres peuvent participer sur une base volontaire. Les examens par les pairs devraient permettre aux États membres de comprendre les schémas d’identification électronique qui doivent être notifiés en application de l’article 9, paragraphe 1, point a), du règlement (UE) no 910/2014 et de coopérer efficacement en vue d’assurer l’interopérabilité de ces schémas et de renforcer la confiance dans l’ensemble de l’Union. Les examens par les pairs devraient être organisés de manière à garantir une répartition équitable des efforts et une large représentation de tous les États membres et ne devraient pas être considérés comme des audits.

(2)

La décision d’exécution (UE) 2015/296 de la Commission (2) a établi les modalités de procédure applicables à la coopération relative aux schémas d’identification électronique dans le contexte de l’ancien réseau de coopération eIDAS, y compris en ce qui concerne les examens par les pairs réalisés par les membres de ce réseau. Dès lors que l’organisation des tâches d’examen par les pairs relève désormais du groupe de coopération européen en matière d’identité numérique établi, comme prévu par l’article 46 sexies, paragraphe 1, du règlement (UE) no 910/2014, par la décision C(2024) 6132 de la Commission du 5.9.2024 établissant le groupe de coopération européen en matière d’identité numérique et modifiant la décision d’exécution (UE) 2015/296 (ci-après le «groupe de coopération»), il convient d’abroger la décision d’exécution (UE) 2015/296.

(3)

Dans un souci d’accessibilité des examens par les pairs, tout État membre devrait pouvoir en demander le déclenchement. La demande devrait mentionner les raisons pour lesquelles l’examen par les pairs est sollicité et contenir suffisamment d’informations pour confirmer que ce dernier peut contribuer à l’interopérabilité ou à la sécurité des schémas d’identification électronique devant être notifiés. À cette fin, il est nécessaire de créer des règles uniformes en ce qui concerne les informations minimales requises pour que l’examen par les pairs puisse être mené à bien avec efficience et en temps utile. La Commission peut organiser des réunions du groupe de coopération afin de faciliter le déclenchement et la conclusion en temps utile d’un examen par les pairs.

(4)

Lorsqu’un État membre fournit aux autres États membres des informations sur un schéma d’identification électronique en application de l’article 7, point g), du règlement (UE) no 910/2014 («notification préalable»), cette mesure devrait être formellement considérée comme une demande de l’État membre notifiant de procéder à un examen par les pairs de son schéma d’identification électronique.

(5)

Pour assurer une préparation et une exécution efficaces de l’examen par les pairs, il convient d’y définir des rôles et des responsabilités normalisés. Les États membres devraient avoir la possibilité de désigner des représentants pour exercer ces rôles et responsabilités. Comme il est essentiel que tous les examens par les pairs se déroulent avec fluidité et s’effectuent de manière rationalisée et rapide, il convient que les modalités pratiques de chaque examen par les pairs, telles que, à titre indicatif, sa portée exacte et son calendrier, soient arrêtées d’un commun accord entre les États membres y participant.

(6)

Afin que tous les États membres contribuent à la mise en œuvre du mécanisme d’examen par les pairs et puissent tirer profit de l’apprentissage entre pairs, les représentants de chaque État membre devraient contribuer à une répartition équitable des efforts entre les États membres pour tous les examens par les pairs à réaliser.

(7)

Afin de favoriser un niveau de confiance élevé dans les schémas d’identification électronique faisant l’objet d’une évaluation par les pairs, les États membres devraient fournir les informations minimales requises, tout en garantissant la confidentialité des informations potentiellement sensibles. Ces informations devraient être évaluées par trois groupes de travail dans le cadre des examens par les pairs, ayant chacun un mandat correspondant aux éléments déterminants pour l’évaluation d’un schéma d’identification électronique conformément au règlement d’exécution (UE) 2015/1501 de la Commission (3) et au règlement d’exécution (UE) 2015/1502 de la Commission (4).

(8)

La décision d’exécution (UE) 2015/296 ayant déjà désigné l’anglais comme langue de coopération, à moins qu’il n’en soit convenu autrement, la pratique existante veut que les États membres procèdent à l’examen par les pairs en anglais. Par conséquent, les États membres devraient fournir au moins en anglais les informations pertinentes pour l’examen par les pairs. Toutefois, la traduction ne devrait pas entraîner de charges administratives ou financières déraisonnables. Dans ces conditions, il est loisible aux États membres d’utiliser des outils de traduction automatique, y compris ceux fournis par la Commission.

(9)

Compte tenu de l’importance des examens par les pairs en tant qu’outil permettant de garantir la fiabilité des schémas d’identification électronique notifiés, il convient de mettre en place un processus rationalisé pour l’adoption d’un rapport final d’examen par les pairs à la fois clair et complet. Au cours de ce processus, le groupe de coopération et les États membres participant à l’examen par les pairs devraient avoir la possibilité de poser des questions supplémentaires à l’État membre dont le schéma d’identification électronique fait l’objet de l’examen par les pairs, tandis que ledit État membre devrait avoir la possibilité de formuler des observations supplémentaires. Dans un souci de transparence, le processus devrait s’achever par la publication de l’avis du groupe de coopération sur la conclusion de l’examen par les pairs.

(10)

Étant donné que les schémas d’identification électronique peuvent subir des modifications après la conclusion de leur examen par les pairs, il est également nécessaire de mettre en place un processus permettant de déclencher une actualisation des examens par les pairs réalisés antérieurement si ces modifications peuvent avoir une incidence sur l’interopérabilité, la sécurité ou la fiabilité du schéma d’identification électronique notifié. Cela permettrait de préserver la pertinence des examens par les pairs dans le temps à mesure que les schémas d’identification électronique évoluent.

(11)

Le règlement (UE) 2016/679 du Parlement européen et du Conseil (5) ainsi que, le cas échéant, le règlement (UE) 2018/1725 du Parlement européen et du Conseil (6) et la directive 2002/58/CE du Parlement européen et du Conseil (7) s’appliquent aux activités de traitement de données à caractère personnel au titre du présent règlement.

(12)	Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 et a rendu son avis le 28 mai 2025.

(13)	Les mesures prévues par le présent règlement sont conformes à l'avis du comité établi par l’article 48 du règlement (UE) no 910/2014,

A ADOPTÉ LE PRÉSENT RÈGLEMENT:

Article premier

Principes généraux de l’examen par les pairs

1. Lorsqu’un État membre procède à la notification préalable d’un schéma d’identification électronique à la Commission et aux autres États membres, l’examen par les pairs est déclenché conformément à l’article 2.

2. L’État membre qui procède à la notification préalable d’un schéma d’identification électronique peut, à tout moment, retirer sa notification préalable. Lorsque l’État membre retire sa notification préalable du schéma d’identification électronique, l’examen par les pairs est considéré comme ayant pris fin.

3. Tout État membre peut décider de participer à l’examen par les pairs du schéma d’identification électronique d’un autre État membre.

4. Chaque État membre prenant part à un examen par les pairs supporte les coûts qu’il effectue dans le cadre de sa participation au processus.

5. Les représentants des États membres qui procèdent à l’examen par les pairs utilisent les informations obtenues dans le cadre de l’examen par les pairs aux seules fins de cet examen et ne divulguent à des tiers aucune information sensible ou confidentielle obtenue au cours de l’examen par les pairs.

6. Un État membre qui décide de participer à l’examen par les pairs d’un schéma d’identification électronique d’un autre État membre divulgue tout conflit d’intérêts concernant les représentants désignés par cet État membre. En cas de conflit d’intérêts, l’État membre dont le schéma d’identification électronique fait l’objet de l’évaluation par les pairs peut refuser la participation du représentant concerné à l’évaluation de son schéma d’identification électronique.

7. Tout différend survenant au cours de l’examen par les pairs en ce qui concerne les activités d’examen par les pairs prévues à l’article 4, paragraphe 4, du présent règlement est réglé conformément au règlement intérieur du groupe de coopération.

8. Un schéma d’identification électronique n’est pas soumis à un nouvel examen par les pairs dans les deux ans suivant la conclusion d’un examen par les pairs, sauf si des modifications importantes au sens de l’article 6, paragraphe 1, ont été apportées au schéma d’identification électronique ayant fait l’objet de l’examen par les pairs.

Article 2

Déclenchement de l’examen par les pairs

1. La notification préalable comprend au minimum:

une comparaison entre le schéma d’identification électronique faisant l’objet de la notification préalable et les exigences énoncées dans le règlement d’exécution (UE) 2015/1502, sous la forme d’une table de correspondance des niveaux de garantie pour l’examen par les pairs conformément à l’annexe I du présent règlement;

b)	une description générale du schéma d’identification électronique, de son écosystème et de l’identification électronique dans l’État membre ayant procédé à la notification préalable, sous la forme d’un livre blanc conformément à l’annexe II du présent règlement;

des informations concernant l’interopérabilité du schéma d’identification électronique par rapport aux exigences énoncées dans le règlement d’exécution (UE) 2015/1501, sous la forme d’une table de correspondance du cadre d’interopérabilité conformément au modèle figurant à l’annexe III du présent règlement.

2. La Commission diffuse les informations de la notification préalable au groupe de coopération.

3. Les informations requises en vertu du paragraphe 1, point c), sont fournies au moins en anglais. Les États membres ne sont pas tenus de faire traduire les documents si cela engendre une charge administrative ou financière déraisonnable.

Article 3

Préparation de l’examen par les pairs

1. Dès confirmation de la réception d’une notification préalable complète, la Commission informe le groupe de coopération du déclenchement de l’examen par les pairs et programme une réunion en inscrivant à l’ordre du jour le schéma d’identification électronique faisant l’objet de la notification préalable en vue de sa présentation au groupe de coopération par l’État membre ayant procédé à la notification préalable.

2. Le président du groupe de coopération veille à ce que la réunion programmée visée au paragraphe 1 ait lieu au plus tard deux mois après que le groupe de coopération a été informé du déclenchement de l’examen par les pairs.

3. La date de la présentation est considérée comme la date officielle de début de l’examen par les pairs.

4. Après que l’État membre ayant procédé à la notification préalable a effectué la présentation visée au paragraphe 3, les autres États membres peuvent désigner des représentants chargés de participer à l’examen par les pairs en leur nom. Dans ce cas, ils fournissent les noms et coordonnées de leurs représentants. Ces représentants désignés forment le groupe d’examen par les pairs.

Les membres du groupe d’examen par les pairs s’accordent sur l’attribution des rôles suivants:

a)	un coordinateur chargé d’organiser l’examen par les pairs et de gérer la communication avec les États membres, le groupe de coopération et la Commission;

b)	jusqu’à trois rapporteurs en fonction de l’étendue de l’examen par les pairs, dont chacun dirige un groupe de travail visé à l’article 4, paragraphe 2;

c)	au moins un membre actif par groupe de travail, qui aide à générer des questions et à fournir un retour d’information aux rapporteurs et contribue à l’élaboration du rapport final d’examen par les pairs.

5. Le coordinateur visé au paragraphe 4, point a), supervise la bonne exécution de l’examen par les pairs et contrôle le respect des exigences procédurales énoncées dans le présent règlement. À cette fin, le coordinateur s’acquitte en temps utile des tâches suivantes:

a)	organisation des questions et réponses;

b)	finalisation du rapport d’examen par les pairs;

c)	élaboration de l’avis sur le schéma d’identification électronique faisant l’objet de l’évaluation par les pairs.

6. Les rapporteurs visés au paragraphe 4, point b), établissent les questions destinées à l’État membre ayant procédé à la notification préalable et rédigent les éléments du rapport d’examen par les pairs qui se rapportent au domaine de compétence de leur groupe de travail respectif.

7. Compte tenu des orientations fournies par le groupe de coopération, l’État membre ayant procédé à la notification préalable et les États membres participant à l’examen par les pairs conviennent de toute modalité organisationnelle relative à l’examen par les pairs qui n’est pas expressément prévue par le présent règlement, comprenant les règles et les lignes directrices relatives à la confidentialité et aux conflits d’intérêts.

8. La durée de l’examen par les pairs ne dépasse pas trois mois à compter de la date officielle de début de l’examen par les pairs visée au paragraphe 3 et peut être prolongée de deux mois au maximum si tous les États membres participant à l’examen par les pairs s’accordent sur ce point.

Article 4

Organisation de l’examen par les pairs

1. Le groupe d’examen par les pairs procède à l’examen par les pairs à partir des informations fournies en application de l’article 2, paragraphe 1, par l’État membre ayant effectué la notification préalable.

2. L’examen par les pairs est organisé en trois groupes de travail ou selon tout autre mode opératoire déterminé au sein du groupe de coopération conformément à son règlement intérieur. S’il est fait appel à des groupes de travail, chacun d’eux est composé d’un rapporteur et d’au moins un membre actif.

3. Les groupes de travail visés au paragraphe 2 sont les suivants:

un groupe de travail sur l’inscription, qui procède à l’examen par les pairs de la concordance entre le schéma d’identification électronique ayant fait l’objet de la notification préalable et les exigences relatives à l’inscription énoncées au point 2.1 de l’annexe du règlement d’exécution (UE) 2015/1502;

un groupe de travail sur la gestion des moyens d’identification électronique et l’authentification, qui procède à l’examen par les pairs de la concordance entre le schéma d’identification électronique faisant l’objet de la notification préalable et les exigences relatives à la gestion des moyens d’identification électronique et à l’authentification énoncées aux points 2.2 et 2.3 de l’annexe du règlement d’exécution (UE) 1502/2015;

un groupe de travail sur la gestion et l’organisation, qui procède à l’examen par les pairs de la concordance entre le schéma d’identification électronique faisant l’objet de la notification préalable et les exigences relatives à la gestion et à l’organisation énoncées au point 2.4 du règlement d’exécution (UE) 2015/1502.

4. L'examen par les pairs comprend, sans s’y limiter, une ou plusieurs des activités suivantes:

a)	l’évaluation des documents utiles fournis par l’État membre ayant procédé à la notification préalable;

b)	l’examen des processus décrits dans le cadre de ces documents;

c)	des séminaires techniques;

d)	la prise en compte des évaluations réalisées par des tiers indépendants, s’il existe des évaluations utiles de ce type;

e)	la rédaction du rapport d’examen par les pairs qui résume les conclusions et les résultats de l’examen par les pairs.

5. Les groupes de travail peuvent adresser des demandes dûment justifiées d’informations supplémentaires, étayées par des documents supplémentaires, à l’État membre ayant procédé à la notification préalable lorsque les informations fournies conformément à l’article 2, paragraphe 1, ne sont pas suffisantes pour clore l’examen par les pairs.

6. L’État membre ayant procédé à la notification préalable satisfait à ces demandes, sauf si l’une des situations suivantes se présente:

a)	les informations ou documents ne sont pas en sa possession et se les procurer créerait une charge administrative excessive;

b)	les informations ou documents demandés ont trait à des questions de sécurité publique ou nationale;

c)	les informations se rapportent à des affaires commerciales ou ont trait au secret professionnel ou industriel;

d)	le caractère sensible des informations rend impossible la mise en place d’un canal sécurisé permettant de communiquer les informations aux membres du groupe d’évaluation par les pairs.

7. En pareil cas, l’État membre ayant procédé à la notification préalable informe le coordinateur des raisons pour lesquelles il refuse de fournir les informations ou les documents demandés et soumet une synthèse générale des informations ou une version expurgée des documents.

Article 5

Résultat de l’examen par les pairs

1. Sans préjudice de l’article 3, paragraphe 9, le groupe d’examen par les pairs:

fournit un projet de rapport d’examen par les pairs à l’État membre ayant procédé à la notification préalable au plus tard trois mois après la date de début de l’examen par les pairs visée à l’article 3, paragraphe 3, sauf si l’examen par les pairs fait l’objet d’une prolongation conformément à l’article 3, paragraphe 8, auquel cas la date de communication du rapport est fonction de la prolongation convenue;

fournit le projet de rapport final d’examen par les pairs à la Commission et au groupe de coopération, après avoir pris en considération les observations éventuelles de l’État membre ayant procédé à la notification préalable sur le contenu du projet de rapport d’examen par les pairs, au plus tard trois mois et deux semaines après la date officielle de début de l’examen par les pairs prévue à l’article 3, paragraphe 3, sauf si l’examen par les pairs fait l’objet d’une prolongation conformément à l’article 3, paragraphe 8, auquel cas la date de communication du rapport est fonction de la prolongation convenue;

fournit à l’État membre ayant procédé à la notification préalable un projet d’avis sur le schéma d’identification électronique faisant l’objet de la notification préalable au plus tard trois mois et deux semaines après la date officielle de début de l’examen par les pairs visée à l’article 3, paragraphe 3, sauf si l’examen par les pairs fait l’objet d’une prolongation conformément à l’article 3, paragraphe 8, auquel cas la date de communication de l’avis est fonction de la prolongation convenue, et élabore le projet d’avis en utilisant le modèle figurant à l’annexe IV;

fournit à la Commission et au groupe de coopération un projet d’avis final sur le schéma d’identification électronique faisant l’objet de la notification préalable au plus tard trois mois et trois semaines après la date de début de l’examen par les pairs visée à l’article 3, paragraphe 3, sauf si l’examen par les pairs fait l’objet d’une prolongation conformément à l’article 3, paragraphe 8, auquel cas la date de communication de l’avis est fonction de la prolongation convenue.

2. Avant d’adopter et de publier, sur un site web dédié de la Commission, son avis final sur la conclusion de l’examen par les pairs conformément au paragraphe 9, le groupe de coopération peut demander des informations ou des éclaircissements supplémentaires à l’État membre ayant procédé à la notification préalable ou au groupe d’examen par les pairs.

3. L’État membre ayant procédé à la notification préalable fournit les informations supplémentaires demandées en application du paragraphe 2, sauf si l’une des situations suivantes se présente:

a)	les informations ne sont pas en sa possession et se les procurer créerait une charge administrative excessive;

b)	les informations ont trait à des questions de sécurité publique ou nationale;

c)	les informations ont trait au secret commercial, professionnel ou industriel.

d)	le caractère sensible des informations rend impossible la mise en place d’un canal sécurisé permettant de les communiquer au groupe de coopération.

4. Le rapport final d’examen par les pairs fournit la liste des informations qui ont été demandées par le groupe d’examen par les pairs ou par le groupe de coopération mais qui n’ont pas pu être fournies pour un ou plusieurs des motifs énoncés au paragraphe 3, sans préciser les raisons avancées par l’État membre ayant procédé à la notification préalable. L’incidence de toute indisponibilité d’informations peut être examinée par le groupe d’examen par les pairs dans le rapport final d’examen par les pairs.

5. Le groupe d’examen par les pairs présente le rapport final d’examen par les pairs et son projet d’avis final au groupe de coopération au plus tard quatre mois ou, en cas de prolongation conformément à l’article 3, paragraphe 8, au plus tard six mois après la date officielle de début de l’examen par les pairs visée à l’article 3, paragraphe 3.

6. L’avis final du groupe d’examen par les pairs sur le schéma d’identification électronique de l’État membre ayant procédé à la notification préalable comprend la liste des engagements éventuels pris par cet État membre.

7. Après la présentation du rapport final d’examen par les pairs et de l’avis final du groupe d’examen par les pairs, le groupe de coopération adopte et publie son propre avis sur la conclusion de l’examen par les pairs, en indiquant si et comment le schéma d’identification électronique ayant fait l’objet de l’évaluation par les pairs satisfait aux exigences énoncées dans le règlement d’exécution (UE) 2015/1502 qui s’appliquent aux niveaux de garantie indiqués par l’État membre ayant procédé à la notification préalable, conformément à l’annexe I du présent règlement. Le processus d’adoption respecte le règlement intérieur du groupe de coopération.

8. L’avis du groupe de coopération identifie l’État membre ayant procédé à la notification préalable ainsi que le schéma d’identification électronique ainsi notifié et son niveau de garantie. L’avis indique également si l’examen par les pairs a été accompli avec succès.

9. Les informations fournies en application de l’article 2, paragraphe 1, sont publiées par le groupe de coopération, sauf si l’État membre qui les a fournies a indiqué par écrit que ces informations ne devaient pas être rendues publiques.

Article 6

Modifications importantes des schémas d’identification électronique ayant fait l’objet d’une évaluation par les pairs

1. Lorsqu’un schéma d’identification électronique notifié est modifié d’une manière susceptible d’avoir une incidence sur son interopérabilité, sa sécurité ou sa fiabilité, l’État membre qui a procédé à la notification communique sans retard injustifié ces modifications au groupe de coopération et met à jour les informations fournies précédemment.

2. Après réception d’une notification visée au paragraphe 1, et dans la mesure où le schéma d’identification électronique notifié a fait l’objet d’un examen par les pairs, tout État membre du groupe de coopération peut demander une mise à jour de l’examen par les pairs.

3. En cas de demande de mise à jour, les procédures prévues aux articles 3 à 5 s’appliquent en conséquence et le groupe d’examen par les pairs limite l’examen par les pairs aux éléments qui ont été modifiés au regard de la notification initiale et des incidences de ces modifications.

Article 7

Abrogation

La décision d’exécution (UE) 2015/296 est abrogée.

Article 8

Entrée en vigueur

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 29 juillet 2025.

Par la Commission

La présidente

Ursula VON DER LEYEN

(1) JO L 257 du 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj http://data.europa.eu/eli/reg/2014/910/2024-10-18.

(2) Décision d’exécution (UE) 2015/296 de la Commission du 24 février 2015 établissant les modalités de coopération entre les États membres en matière d’identification électronique conformément à l’article 12, paragraphe 7, du règlement (UE) no 910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (JO L 53 du 25.2.2015, p. 14, ELI: http://data.europa.eu/eli/dec_impl/2015/296/oj).

(3) Règlement d’exécution (UE) 2015/1501 de la Commission du 8 septembre 2015 sur le cadre d’interopérabilité visé à l’article 12, paragraphe 8, du règlement (UE) no 910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (JO L 235 du 9.9.2015, p. 1, ELI: http://data.europa.eu/eli/reg_impl/2015/1501/oj).

(4) Règlement d’exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d’identification électronique visés à l’article 8, paragraphe 3, du règlement (UE) no 910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (JO L 235 du 9.9.2015, p. 7, ELI: http://data.europa.eu/eli/reg_impl/2015/1502/oj).

(5) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(6) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(7) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

ANNEXE I

Liste des informations minimales à fournir dans la table de correspondance des niveaux de garantie pour l’examen par les pairs visée à l’article 2, paragraphe 1, point a)

La table de correspondance des niveaux de garantie pour l’examen par les pairs visée à l’article 2, paragraphe 1, point a), comprend au moins les informations suivantes:

des informations générales, y compris:

a)	le nom de l’État membre auteur de la notification;

b)	l’intitulé du schéma d’identification électronique (le cas échéant);

c)	le ou les niveaux de garantie du schéma d’identification électronique, accompagnés de la mention «faible», «substantiel» ou «élevé»;

l’autorité ou les autorités responsables du schéma d’identification électronique, y compris:

a)	le ou les noms de l’autorité ou des autorités responsables du schéma d’identification électronique;

b)	l’adresse électronique de l’autorité ou des autorités responsables du schéma d’identification électronique;

des informations sur les parties, entités et organismes concernés associés au schéma d’identification électronique, y compris:

a)	le nom de l’entité ou des entités qui gèrent le processus d’enregistrement des données d’identification personnelle uniques;

b)	le nom de la partie ou des parties délivrant le moyen d’identification électronique et, le cas échéant, une mention indiquant si la ou les parties sont visées à l’article 7, point a), i), ii) ou iii), du règlement (UE) no 910/2014;

c)	le nom de la partie ou des parties qui gèrent la procédure d’authentification (le «nœud eIDAS»);

d)	le ou les noms de l’organisme ou des organismes de gouvernance participant au régime de contrôle lié au schéma d’identification électronique;

une description du schéma d’identification électronique, y compris:

le cas échéant, le ou les documents à joindre pour chacun des points suivants:

—	une brève description du schéma d’identification électronique, y compris le contexte dans lequel il fonctionne, son champ d’application et sa disponibilité pour les parties utilisatrices privées,

—	une liste des attributs supplémentaires qui peuvent être prévus pour les personnes physiques au titre du schéma d’identification électronique si une partie utilisatrice le demande,

—	une liste des attributs supplémentaires qui peuvent être prévus pour les personnes morales au titre du schéma d’identification électronique si une partie utilisatrice le demande;

le régime applicable en matière de contrôle, de responsabilité et de gestion, y compris:

—

une description du régime de contrôle du schéma d’identification électronique, y compris le processus d’évaluation en ce qui concerne:

—	le régime de contrôle applicable à la partie ou aux parties délivrant le moyen d’identification électronique,

—	le régime de contrôle applicable à la partie ou aux parties gérant le nœud eIDAS.

Le cas échéant, ces descriptions font ressortir les rôles, les responsabilités et les pouvoirs des organismes de gouvernance qui participent au régime de contrôle visés au point 3), d), ainsi que de l’entité à laquelle ils rendent compte. Si les organismes ne rendent pas compte à l’autorité responsable du schéma, les coordonnées complètes de l’entité à laquelle ils rendent compte doivent également être fournies;

—

une description du régime national de responsabilité applicable, y compris:

—	une description de la responsabilité de l’État membre en vertu de l’article 11, paragraphe 1, du règlement (UE) no 910/2014,

—	une description de la responsabilité de la ou des parties délivrant les moyens d’identification électronique en vertu de l’article 11, paragraphe 2, du règlement (UE) no 910/2014,

—	une description de la responsabilité de la ou des parties gérant le nœud eIDAS en vertu de l’article 11, paragraphe 3, du règlement (UE) no 910/2014,

—	les modalités de gestion, de suspension ou de révocation soit de l’ensemble du schéma d’identification, soit de moyens d’identification électronique spécifiques, soit du nœud eIDAS, ou de leurs éléments altérés;

une description des composants du schéma d’identification électronique, y compris:

—

une description de la manière dont sont remplies les exigences concernant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d’identification électronique, énoncées dans le règlement d’exécution (UE) 2015/1502, afin de justifier le niveau de garantie indiqué pour l’inscription,

—

une description de la manière dont les processus suivants sont pris en charge dans le cadre du schéma d’identification électronique, y compris la documentation relative à la combinaison des options choisies par l’État membre, en matière de:

—	demande et enregistrement,

—	preuve et vérification d’identité d’une personne physique,

—	preuve et vérification d’identité d’une personne morale,

—	lien établi entre les moyens d’identification électronique de personnes physiques et morales,

—

en ce qui concerne la gestion des moyens d’identification électronique, une description de la manière dont les processus suivants sont pris en charge dans le cadre des moyens d’identification électronique:

—	les caractéristiques et la conception des moyens d’identification électronique, y compris, le cas échéant, les informations relatives à la certification de sécurité,

—	la délivrance, la mise à disposition et l’activation,

—	la suspension, la révocation et la réactivation,

—	le renouvellement et le remplacement,

—	en ce qui concerne l’authentification, une description du mécanisme d’authentification, y compris les conditions d’accès à l’authentification par les parties utilisatrices autres que les organismes du secteur public,

—

en ce qui concerne la gestion et l’organisation, une description de la gestion et de l’organisation des aspects suivants:

—	dispositions générales concernant la gestion et l’organisation,

—	avis publiés et information des utilisateurs,

—	gestion de la sécurité de l’information,

—	conservation d’informations,

—	installations et personnel,

—	contrôles techniques,

—	conformité et audit;

d)	une description de la manière dont sont remplies les exigences d’interopérabilité et les exigences minimales de sécurité technique et opérationnelle;

une liste de toutes les pièces justificatives présentées et une déclaration précisant auxquels des éléments ci-dessus elles se rapportent, y compris les références à toute législation nationale qui porte sur la disposition en matière d’identification électronique qui est en rapport avec la notification ainsi que les rapports d’audit, les énoncés des pratiques de certification et les rapports d’essai pertinents;

f)	les documents et informations pertinents concernant la certification du schéma d’identification électronique conformément à l’article 12 bis, paragraphe 1, et, le cas échéant, à l’article 12 bis, paragraphe 5, du règlement (UE) no 910/2014.

ANNEXE III

Modèle de table de correspondance du cadre d’interopérabilité

Exigences d’interopérabilité

Article du règlement d’exécution (UE) 2015/1501

Exigence

Description

Table de correspondance des niveaux de garantie nationaux

L’établissement de la table de correspondance des niveaux de garantie nationaux des schémas d’identification électronique notifiés respecte les exigences du règlement d’exécution (UE) 2015/1502. Les résultats sont notifiés à la Commission au moyen du modèle de notification établi dans la décision d’exécution (UE) 2015/1984.

<À remplir par l’État membre>

Nœuds

1.	Un nœud situé dans un État membre doit être en mesure de communiquer avec les nœuds d’autres États membres.

2.	Les nœuds doivent être en mesure de faire la distinction entre les organismes du secteur public et les autres parties utilisatrices par le biais de moyens techniques.

3.	La mise en œuvre par un État membre des exigences techniques énoncées dans le présent règlement ne doit pas avoir pour effet d’imposer aux autres États membres qui souhaitent interopérer avec cette mise en œuvre des exigences techniques et des coûts disproportionnés.

<À remplir par l’État membre>

Respect de la vie privée et confidentialité des données

1.	Le respect de la vie privée, la confidentialité des données échangées et le maintien de l’intégrité des données entre les nœuds sont assurés au moyen des meilleures solutions techniques et pratiques de protection disponibles.

2.	Les nœuds ne peuvent stocker aucune donnée personnelle, excepté aux fins de l’article 9, paragraphe 3, du règlement d’exécution (UE) 2015/1501.

<À remplir par l’État membre>

Intégrité et authenticité des données dans le cadre de la communication

La communication entre les nœuds assure l’intégrité et l’authenticité des données de manière à garantir que toutes les demandes et réponses sont authentiques et n’ont pas fait l’objet de manipulations non autorisées. À cette fin, les nœuds ont recours à des solutions qui ont été utilisées avec succès dans le cadre d’une utilisation opérationnelle transfrontalière.

<À remplir par l’État membre>

Format des messages dans le cadre de la communication

La syntaxe utilisée par les nœuds est celle de formats de message communs fondés sur des normes dont on recense plusieurs exemples de déploiement entre les États membres et dont la capacité de fonctionnement dans un environnement opérationnel est prouvée.

La syntaxe permet:

a)	de traiter convenablement l’ensemble minimal de données d’identification personnelle représentant de façon univoque une personne physique ou morale;

b)	de traiter convenablement le niveau de garantie du moyen d’identification électronique;

c)	d’établir la distinction entre les organismes du secteur public et les autres parties utilisatrices;

d)	de disposer de la flexibilité nécessaire pour répondre aux besoins d’attributs supplémentaires relatifs à l’identification.

<À remplir par l’État membre>

Gestion des informations de sécurité et des métadonnées

1.	L’opérateur de nœud communique les métadonnées relatives à la gestion de nœud sous un format normalisé traitable par machine et d’une façon sûre et digne de confiance.

2.	Les paramètres relatifs à la sécurité, au moins, doivent pouvoir être récupérés automatiquement.

L’opérateur de nœud stocke des données qui, en cas d’incident, permettent de reconstruire la séquence de l’échange de messages pour déterminer le lieu et la nature de l’incident. Les données sont stockées pendant une durée conforme aux exigences nationales et comportent, au minimum, les éléments suivants:

a)	identification du nœud;

b)	identification du message;

c)	date et heure du message.

<À remplir par l’État membre>

Normes d’assurance et de sécurité de l’information

Les opérateurs de nœuds assurant une authentification apportent la preuve que, eu égard aux nœuds participant au cadre d’interopérabilité, le nœud respecte les exigences de la norme ISO/CEI 27001 par certification, par des méthodes d’évaluation équivalentes ou par conformité à la législation nationale.

2.	Les opérateurs de nœuds déploient les mises à jour de sécurité critiques sans retard injustifié.

<À remplir par l’État membre>

Données d’identification personnelle

1.	Lorsqu’un ensemble minimal de données d’identification personnelle représentant de façon univoque une personne physique ou morale est utilisé dans un contexte transfrontalier, il respecte les exigences visées à l’annexe du règlement d’exécution (UE) 2015/1501.

2.	Lorsqu’un ensemble minimal de données pour une personne physique représentant une personne morale est utilisé dans un contexte transfrontalier, il contient la combinaison des attributs énumérés à l’annexe du règlement d’exécution (UE) 2015/1501 pour les personnes physiques et les personnes morales.

3.	Les données sont transmises sur la base des caractères d’origine et, le cas échéant, également transcrites en caractères latins.

<À remplir par l’État membre>