RÈGLEMENT D’EXÉCUTION (UE) …/... DE LA COMMISSION
du 5.8.2022
établissant les spécifications techniques et opérationnelles du système technique
pour l’échange transfrontière automatisé de justificatifs et l’application du principe «une fois pour toutes» conformément au règlement (UE) 2018/1724 du Parlement européen et du Conseil
(Texte présentant de l’intérêt pour l’EEE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2018/1724 du Parlement européen et du Conseil du 2 octobre 2018 établissant un portail numérique unique pour donner accès à des informations, à des procédures et à des services d’assistance et de résolution de problèmes, et modifiant le règlement (UE) nº 1024/2012, et notamment son article 14, paragraphe 9,
considérant ce qui suit:
(1)L’article 14, paragraphe 1, du règlement (UE) 2018/1724 impose à la Commission de mettre en place, en coopération avec les États membres, un système technique d’échange de justificatifs requis pour les procédures en ligne énumérées à l’annexe II dudit règlement et les procédures prévues par les directives 2005/36/CE 2006/123/CE 2014/24/UEet 2014/25/UEdu Parlement européen et du Conseil.
(2)Les spécifications techniques et opérationnelles du système technique «une fois pour toutes» (OOTS) figurant dans le présent règlement devraient fixer les principales composantes de l’architecture de l’OOTS et définir les rôles et obligations techniques et opérationnels de la Commission, des États membres, des demandeurs de justificatifs, des fournisseurs de justificatifs et des plateformes intermédiaires. En outre, ces spécifications devraient établir un système d’enregistrement permettant de surveiller les échanges et de délimiter la responsabilité concernant la maintenance, l’exploitation et la sécurité de l’OOTS.
(3)Afin de permettre la mise en place de l’OOTS à la date fixée dans le règlement (UE) 2018/1724, il est envisagé de compléter le présent règlement par des documents techniques plus détaillés et non contraignants, élaborés de manière consensuelle par la Commission en coopération avec les États membres au sein du groupe de coordination du portail et conformément aux lignes directrices de la Commission relatives à la mise en œuvre du programme de travail 2021-2022 du règlement sur le portail numérique unique. Toutefois, lorsque cela est jugé nécessaire à la lumière de nouvelles évolutions techniques, de discussions ou de divergences d’opinions au sein du groupe de coordination du portail, notamment en ce qui concerne la finalisation des documents d’études techniques et les choix de conception majeurs, ou lorsqu’il s’avère nécessaire de rendre contraignants certains éléments des documents d’études techniques, il sera possible de compléter/modifier les spécifications techniques et opérationnelles énoncées dans le présent règlement conformément à la procédure d’examen visée à l’article 37, paragraphe 2, du règlement (UE) 2018/1724.
(4)Afin de réduire les coûts et le temps nécessaires pour la mise en place de l’OOTS, l’architecture de l’OOTS devrait, dans la mesure du possible, s’appuyer sur des solutions réutilisables, être neutre sur le plan technologique et tenir compte des différentes solutions nationales. Par exemple, l’OOTS devrait être en mesure d’utiliser l’échelon national, central, régional et local, les portails des procédures, les services de données ou les plateformes intermédiaires existants, qui ont été créés pour une utilisation nationale. Les composantes développées par la Commission devraient faire l’objet d’une licence logicielle ouverte qui favorise la réutilisation et la collaboration.
(5)L’une de ces solutions réutilisables développée au niveau de l’Union est le système de nœuds eIDAS prévu par le règlement d’exécution (UE) 2015/1501 de la Commission, qui, en permettant la communication avec d’autres nœuds du réseau eIDAS, peut traiter la demande d’authentification transfrontière d’un utilisateur et la fourniture d’une telle authentification. Les nœuds eIDAS devraient permettre aux demandeurs de justificatifs et, le cas échéant, aux fournisseurs de justificatifs d’identifier les utilisateurs qui demandent l’échange de justificatifs par l’intermédiaire de l’OOTS afin que les fournisseurs de justificatifs puissent faire correspondre les données d’identification avec leurs dossiers existants.
(6)L’OOTS devrait s’appuyer sur les travaux déjà réalisés et exploiter les synergies avec d’autres systèmes existants d’échange de justificatifs ou d’informations entre les autorités concernées par les procédures visées à l’article 14, paragraphe 1, du règlement (UE) 2018/1724, y compris les systèmes qui ne sont pas concernés par l’article 14, paragraphe 10, dudit règlement. Par exemple, en ce qui concerne les données du registre des véhicules et des permis de conduire, l’OOTS devrait tenir compte des modèles de données déjà élaborés et, dans la mesure du possible, établir des ponts techniques pour faciliter la connexion des autorités compétentes utilisant déjà d’autres réseaux existants (RESPERou EUCARIS) à l’OOTS pour la fourniture de justificatifs dans le cadre des procédures couvertes par ce dernier. Il convient d’adopter une approche similaire en ce qui concerne d’autres systèmes tels que, entre autres: le groupe d’utilisateurs de l’EMREX (EUG) dans le domaine de l’éducation, l’échange électronique d’informations sur la sécurité sociale (EESSI) au titre du règlement (CE) nº 987/2009 du Parlement européen et du Conseil dans le domaine de la sécurité sociale, le système européen d’information sur les casiers judiciaires créé par la décision 2009/316/JAI du Conseil aux fins de la coopération judiciaire et le système eCertis utilisé dans les procédures de passation des marchés publics. La coopération entre ces systèmes et l’OOTS devrait être définie au cas par cas.
(7)Aux fins de l’authentification transfrontière d’un utilisateur, l’architecture de l’OOTS devrait être alignée sur le règlement (UE) nº 910/2014 du Parlement européen et du Conseil. Le 3 juin 2021, la Commission a adopté une recommandation relative à une boîte à outils commune de l’Union en vue d’une approche coordonnée pour un cadre européen relatif à une identité numérique. Ladite recommandation établit un processus structuré de coopération entre les États membres, la Commission et, le cas échéant, les opérateurs du secteur privé, afin de travailler sur les aspects techniques du cadre européen relatif à une identité numérique. Afin de garantir l’alignement nécessaire entre ce processus et l’OOTS, la Commission devrait veiller à une coordination appropriée, notamment par l’intermédiaire du groupe de contact «Synergies et interopérabilité», entre le réseau de coopération établi par la décision d’exécution (UE) 2015/296 de la Commissionet le groupe de coordination du portail.
(8)Afin de garantir la sécurité des services transfrontières de fourniture électronique aux fins de l’OOTS, les États membres devraient veiller à ce que ces services respectent les exigences relatives aux services d’envoi recommandé électronique, énoncées à l’article 44 du règlement (UE) nº 910/2014. À cet effet, il convient que l’OOTS utilise des points d’accès eDelivery afin de créer un réseau de nœuds pour un échange de données numériques sécurisé. En plus de permettre des services de fourniture électronique transfrontière sécurisée, eDelivery fournit des fonctionnalités de service de métadonnées susceptibles de prendre en charge les futures versions de l’OOTS avec un plus grand nombre de nœuds d’échange de données sécurisés. Dans ce cadre, les États membres devraient pouvoir choisir les fournisseurs de leur logiciel eDelivery.
(9)Afin de garantir une souplesse dans l’application du présent règlement, les États membres devraient pouvoir décider s’ils souhaitent disposer d’un ou de plusieurs points d’accès eDelivery, dans le cadre de l’OOTS. Un État membre devrait donc être en mesure de déployer un point d’accès unique gérant tous les messages eDelivery liés au système OOTS auprès des demandeurs ou des fournisseurs de justificatifs via une plateforme intermédiaire, le cas échéant, ou, à défaut, de déployer plusieurs points d’accès à tout niveau hiérarchique ou pour des domaines, secteurs ou niveaux géographiques spécifiques de ses administrations publiques.
(10)Conformément au droit de l’Union, y compris les directives 2005/36/CE, 2006/123/CE, 2014/24/UE, 2014/25/UE et le règlement (UE) 2018/1724, certaines procédures administratives doivent être mises à la disposition des utilisateurs en ligne. Étant donné que ces procédures et les justificatifs requis ne sont pas harmonisés en vertu du droit de l’Union, des services communs devraient être mis en place pour permettre l’échange transfrontière des justificatifs requis aux fins de ces procédures par l’intermédiaire de l’OOTS.
(11)Lorsqu’il n’existe pas de type de justificatif convenu qui soit harmonisé dans l’ensemble de l’Union et que tous les États membres puissent fournir, un intermédiaire des justificatifs devrait aider à déterminer quels types de justificatifs peuvent être acceptés pour une procédure particulière.
(12)L’intermédiaire des justificatifs devrait se fonder sur le contenu des règles fournies par les États membres et devrait fournir un mécanisme en ligne permettant aux États membres de créer une requête pour leurs exigences en matière d’information et leurs ensembles de types de justificatifs. L’intermédiaire des justificatifs devrait permettre aux États membres de gérer et de partager des informations sur les règles relatives aux types de justificatifs.
(13)Lorsqu’une interopérabilité est nécessaire entre le portail des procédures, les services de données et les services communs, elle devrait être étayée par des documents techniques.
(14)Le présent règlement devrait préciser quand les justificatifs structurés et non structurés qui sont requis aux fins des procédures visées à l’article 14, paragraphe 1, du règlement (UE) 2018/1724 sont considérés comme émis légalement dans un format électronique permettant l’échange automatique. Les justificatifs non structurés émis sous forme électronique peuvent être échangés via l’OOTS s’ils sont complétés par les éléments de métadonnées du modèle de métadonnées générique de l’OOTS contenu dans le référentiel sémantique visé à l’article 7, paragraphe 1, du présent règlement. Des justificatifs structurés peuvent être échangés via l’OOTS s’ils sont complétés par les éléments de métadonnées du modèle de métadonnées générique de l’OOTS visé à l’article 7, paragraphe 1, du présent règlement et sont conformes au modèle de données de l’OOTS pour le type de justificatif pertinent visé à l’article 7, paragraphe 2, du présent règlement ou accompagnés d’une version lisible par un humain.
(15)Les États membres devraient être libres de déterminer quand ils convertissent des justificatifs en un format électronique permettant leur échange automatisé via l’OOTS. Toutefois, afin de renforcer l’utilité de l’OOTS pour ses utilisateurs et étant donné que l’utilisation de modèles de données et de schémas de métadonnées pour les formats non structurés et structurés est généralement fortement recommandée, la Commission devrait soutenir les États membres dans les efforts qu’ils déploient pour atteindre cet objectif.
(16)Afin d’éviter les doubles emplois, de garantir des synergies et d’offrir un choix aux utilisateurs, le développement de modèles de données OOTS pour les types de justificatifs structurés et la normalisation des cas d’utilisation pour la fourniture d’identifiants conformément au processus structuré prévu par la recommandation de la Commission du 3 juin 2021 relative à une boîte à outils commune de l’Union pour une approche coordonnée en vue d’un cadre européen relatif à une identité numérique devraient être effectués en étroite coopération et en harmonie les uns avec les autres en ce qui concerne les justificatifs relevant de l’article 14 du règlement (UE) 2018/1724, y compris en recensant les cas d’utilisation commune. L’alignement des modèles de données de l’OOTS et des cas d’utilisation normalisés dans le cadre de la recommandation susmentionnée de la Commission devrait permettre aux utilisateurs de recourir à d’autres moyens pour la fourniture des justificatifs relevant de l’article 14 du règlement (UE) 2018/1724, que ce soit indépendamment de l’OOTS ou en combinaison avec celui-ci. Lorsque des modifications sont apportées aux modèles de données et aux schémas de métadonnées pour les justificatifs contenus dans le référentiel sémantique, les États membres devraient disposer d’un délai de douze mois à compter de l’adoption de toute mise à jour pour appliquer une modification aux justificatifs concernés.
(17)Afin de réduire au minimum la quantité de données échangées, dans le cas des justificatifs structurés, si un seul sous-ensemble de données est requis dans la demande de justificatifs, le fournisseur de justificatifs ou une plateforme intermédiaire, le cas échéant, pourrait permettre le filtrage automatisé des données et, lorsque c’est nécessaire pour le transfert, la transformation des données pour le compte du responsable du traitement des données, de sorte que seules les données demandées soient échangées.
(18)Lorsque les États membres gèrent des registres et services nationaux qui jouent le même rôle que le répertoire des services de données ou que l’intermédiaire des justificatifs, ou un rôle équivalent à ceux-ci, ils ne devraient pas être tenus de faire deux fois le travail en contribuant aux services communs concernés. Toutefois, dans ce cas, ils devraient veiller à ce que leurs services nationaux soient connectés aux services communs de manière à pouvoir être utilisés par d’autres États membres. Ces États membres devraient également pouvoir copier les données pertinentes des registres ou services nationaux vers le répertoire des services de données ou l’intermédiaire des justificatifs.
(19)Dans la déclaration de Tallinn de 2017 sur l’administration électronique, les États membres ont réaffirmé leur engagement à progresser dans la mise en relation de leurs services publics en ligne et à mettre en œuvre le principe «une fois pour toutes» afin de fournir des services publics numériques efficaces et sûrs qui rendront les choses plus faciles pour les citoyens et les entreprises. La déclaration de Berlin de 2020 sur la société numérique et l’administration numérique fondée sur des valeurs, qui s’appuie sur les principes de centrage sur l’utilisateur et de convivialité, a défini d’autres principes clés sur lesquels les services publics numériques devraient être fondés, y compris la confiance et la sécurité dans les interactions de l’administration numérique ainsi que la souveraineté et l’interopérabilité numériques. Le présent règlement devrait mettre ces engagements en œuvre en plaçant les utilisateurs au centre du système et en exigeant que les utilisateurs soient informés sur l’OOTS, ses étapes et les conséquences de son utilisation.
(20)Il importe qu’un système approprié soit en place pour permettre aux utilisateurs de s’identifier aux fins de l’échange de justificatifs. Le seul cadre de reconnaissance mutuelle pour les moyens d’identification électronique nationaux au niveau de l’Union est défini dans le règlement (UE) nº 910/2014. Les moyens d’identification électronique émis dans le cadre de schémas d’identification électronique notifiés conformément audit règlement devraient donc être utilisés par les demandeurs de justificatifs pour authentifier l’identité d’un utilisateur avant que celui-ci ne demande explicitement l’utilisation de l’OOTS. Lorsque l’identification du fournisseur de justificatifs concerné exige la fourniture d’attributs allant au-delà des attributs obligatoires de l’ensemble minimal de données figurant à l’annexe du règlement d’exécution (UE) 2015/1501, ces attributs supplémentaires devraient également être demandés à l’utilisateur par le demandeur de justificatifs et fournis au fournisseur de justificatifs ou à la plateforme intermédiaire, le cas échéant, dans le cadre de la demande de justificatifs.
(21)Certaines des procédures visées à l’article 14, paragraphe 1, du règlement (UE) 2018/1724 requièrent que des justificatifs puissent être demandés au nom d’une personne physique ou morale. Par exemple, certaines procédures étant pertinentes pour les entreprises, les entrepreneurs devraient pouvoir demander l’échange de justificatifs en leur nom propre ou par l’intermédiaire d’un représentant. Le règlement (UE) nº 910/2014 établit un cadre juridique de confiance pour les moyens d’identification électronique délivrés aux personnes morales ou aux personnes physiques représentant des personnes morales. La reconnaissance mutuelle des moyens d’identification électronique nationaux prévue par ledit règlement s’applique à ces cas de représentation. Le présent règlement devrait donc s’appuyer sur le règlement (UE) nº 910/2014, ainsi que sur tout acte d’exécution adopté sur la base de celui-ci, pour l’identification des utilisateurs dans des cas de représentation. Le groupe de coordination du portail et ses sous-groupes devraient coopérer étroitement avec les structures de gouvernance établies en vertu du règlement (UE) nº 910/2014 afin de contribuer à l’élaboration de solutions pour les pouvoirs de représentation et les mandats. Étant donné que certaines des procédures couvertes par l’OOTS reposent sur le cadre créé par le règlement (UE) nº 910/2014, les justificatifs demandés par les représentants devraient également pouvoir être traités par l’intermédiaire de l’OOTS si et dans la mesure où ces solutions sont trouvées.
(22)Afin de réduire le temps et les coûts nécessaires à la mise en œuvre de l’OOTS et de tirer parti de l’expérience de chacun en matière de mise en œuvre, la Commission devrait soutenir les États membres et encourager leur collaboration en ce qui concerne le développement de solutions et de composantes techniques réutilisables pouvant être exploitées pour mettre en œuvre des portails des procédures, des espaces de prévisualisation et des services de données nationaux.
(23)Afin de garantir que les utilisateurs conservent à tout moment le contrôle de leurs données à caractère personnel tout en utilisant le système OOTS prévu par le règlement (UE) 2018/1724, l’OOTS devrait permettre aux utilisateurs d’exprimer leur décision concernant ces données dans deux cas. Tout d’abord, il convient de veiller à ce que les utilisateurs reçoivent suffisamment d’informations pour présenter une demande éclairée et expresse de traitement de leur demande de justificatifs par l’intermédiaire de l’OOTS, conformément à l’article 14, paragraphe 3, point a), et à l’article 14, paragraphe 4, du règlement (UE) 2018/1724. Il convient ensuite de veiller à ce qu’ils puissent visualiser les justificatifs à échanger dans un espace sécurisé de prévisualisation avant de décider de procéder ou non à l’échange de justificatifs conformément à l’article 14, paragraphe 3, point f), du règlement (UE) 2018/1724, sauf dans les cas visés à l’article 14, paragraphe 5, dudit règlement.
(24)La responsabilité de la mise en place de l’OOTS est partagée par les États membres et la Commission, et le groupe de coordination du portail devrait donc jouer un rôle central dans la gouvernance du système. Compte tenu de leur technicité et afin de faciliter la mise en œuvre, dans les systèmes nationaux existants, de documents techniques, les travaux du groupe de coordination du portail devraient être soutenus et préparés par des experts réunis au sein d’un ou de plusieurs sous-groupes créés conformément à son règlement intérieur. Le fonctionnement de cette gouvernance de l’OOTS devrait être évalué dans le rapport que la Commission est tenue de présenter au Parlement européen et au Conseil au plus tard le 12 décembre 2022, conformément à l’article 36 du règlement (UE) 2018/1724.
(25)Afin de garantir une réaction rapide aux éventuels incidents et temps d’arrêt susceptibles d’affecter le fonctionnement de l’OOTS, les États membres et la Commission devraient mettre en place un réseau de points de contact pour l’assistance technique. Afin de garantir le bon fonctionnement de l’OOTS, ces points de contact pour l’assistance technique devraient disposer des pouvoirs et des ressources humaines et financières nécessaires pour accomplir leurs tâches.
(26)Afin de garantir le fonctionnement et la maintenance efficaces de l’OOTS, les responsabilités portant sur les différentes composantes devraient être clairement réparties. La Commission, en tant que propriétaire et exploitante des services communs, devrait être responsable de leur maintenance, de leur hébergement et de leur sécurité. Chaque État membre devrait être chargé d’assurer la maintenance et la sécurité des composantes de l’OOTS dont il est propriétaire et responsable, tels que les nœuds eIDAS, les points d’accès eDelivery ou les registres nationaux, conformément au droit de l’Union et au droit national applicables.
(27)Afin de garantir une protection appropriée des données à caractère personnel, comme l’exige le règlement (UE) 2016/679 du Parlement européen et du Conseil, le présent règlement devrait préciser le rôle des États membres, en particulier celui des autorités compétentes respectives en leur qualité de demandeur ou de fournisseur de justificatifs, et des plateformes intermédiaires, le cas échéant, en ce qui concerne les données à caractère personnel contenues dans les justificatifs échangés par l’intermédiaire de l’OOTS.
(28)Afin de garantir la protection des services communs contre les menaces susceptibles de peser sur la confidentialité, l’intégrité ou la disponibilité des systèmes d’information et de communication de la Commission, il convient que la décision (UE, Euratom) 2017/46 de la Commission s’applique à ces services.
(29)Les paragraphes 1 à 8 et le paragraphe 10 de l’article 14 du règlement (UE) 2018/1724 sont applicables à partir du 12 décembre 2023. Par conséquent, les exigences énoncées dans le présent règlement devraient également s’appliquer à compter de cette date.
(30)Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil, et a rendu des observations formelles le 6 mai 2021.
(31)Les mesures prévues par le présent règlement sont conformes à l’avis du comité du portail numérique unique,
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Section 1
Dispositions générales
Article premier
Définitions
Aux fins du présent règlement, on entend par:
1)«système technique “une fois pour toutes”» («OOTS»): le système technique pour l’échange transfrontière automatisé de justificatifs visé à l’article 14, paragraphe 1, du règlement (UE) 2018/1724;
2)«fournisseur de justificatifs»: une autorité compétente, telle que visée à l’article 14, paragraphe 2, du règlement (UE) 2018/1724, qui délivre légalement des justificatifs structurés ou non structurés;
3)«demandeur de justificatifs»: une autorité compétente responsable d’une ou de plusieurs des procédures visées à l’article 14, paragraphe 1, du règlement (UE) 2018/1724;
4)«point d’accès eDelivery»: une composante de communication qui fait partie du service d’envoi électronique eDelivery fondé sur des spécifications et des normes techniques, y compris le protocole de messagerie AS4 et les services auxiliaires élaborés dans le cadre du mécanisme pour l’interconnexion en Europe et maintenus dans le cadre du programme pour une Europe numérique, dans la mesure où ces spécifications techniques et normes se recoupent avec la norme ISO 15000-2;
5)«nœud eIDAS»: un nœud tel que défini à l’article 2, point 1), du règlement d’exécution (UE) 2015/1501et conforme aux exigences techniques et opérationnelles énoncées dans ledit règlement et sur la base de celui-ci;
6)«plateforme intermédiaire»: une solution technique agissant en sa propre qualité ou pour le compte d’autres entités telles que les fournisseurs ou les demandeurs de justificatifs, en fonction de l’organisation administrative des États membres dans lesquels la plateforme intermédiaire opère, et par l’intermédiaire de laquelle les fournisseurs ou les demandeurs de justificatifs se connectent aux services communs visés à l’article 4, paragraphe 1, ou aux fournisseurs ou demandeurs de justificatifs d’autres États membres;
7)«répertoire des services de données»: un registre contenant la liste des fournisseurs de justificatifs et les types de justificatifs qu’ils délivrent, ainsi que les informations pertinentes qui les accompagnent;
8)«intermédiaire des justificatifs»: un service permettant à un demandeur de justificatifs de déterminer quel type de justificatif provenant d’un autre État membre satisfait aux exigences en matière de justificatifs aux fins d’une procédure nationale;
9)«moyen d’identification électronique»: un élément matériel et/ou immatériel contenant des données d’identification personnelle et utilisé pour s’authentifier pour un service en ligne;
10)«référentiel sémantique»: un ensemble de spécifications sémantiques, liées à l’intermédiaire des justificatifs et au répertoire des services de données, composé des définitions des noms, des types de données et des éléments de données associés à des types de justificatifs spécifiques, afin de garantir une compréhension mutuelle et une interprétation multilingue par les fournisseurs de justificatifs, les demandeurs de justificatifs et les utilisateurs, lors de l’échange de justificatifs par l’intermédiaire de l’OOTS;
11)«documents techniques»: un ensemble de documents techniques détaillés et non contraignants élaborés par la Commission en coopération avec les États membres dans le cadre du groupe de coordination du portail visé à l’article 29 du règlement (UE) 2018/1724 ou de tout sous-groupe visé à l’article 19 du présent règlement, qui portent, notamment, sur une architecture de haut niveau, des protocoles d’échange, des normes et des services auxiliaires qui soutiennent la Commission, les États membres, les fournisseurs de justificatifs, les demandeurs de justificatifs, les plateformes intermédiaires et les autres entités concernées par la mise en place de l’OOTS conformément au présent règlement;
12)«service de données»: un service technique par l’intermédiaire duquel un fournisseur de justificatifs traite les demandes de justificatifs et expédie les justificatifs;
13)«modèle de données»: une abstraction qui organise des éléments de données, normalise leur relation entre eux et précise les entités, leurs attributs et la relation entre ces entités;
14)«espace de prévisualisation»: une fonctionnalité qui permet à l’utilisateur de prévisualiser les justificatifs demandés visés à l’article 15, paragraphe 1, point b), ii);
15)«justificatif structuré»: tout justificatif sous forme électronique requis pour les procédures visées à l’article 14, paragraphe 1, du règlement (UE) 2018/1724 qui est organisé selon des éléments ou des champs prédéfinis ayant une signification et un format technique spécifiques permettant un traitement par des systèmes logiciels, complété par les éléments de métadonnées du modèle de métadonnées générique de l’OOTS visé à l’article 7, paragraphe 1, du présent règlement et conforme au modèle de données OOTS pour le type de justificatif pertinent visé à l’article 7, paragraphe 2, du présent règlement, ou accompagné d’une version lisible par un humain;
16)«justificatif non structuré»: un justificatif sous forme électronique requis pour les procédures visées à l’article 14, paragraphe 1, du règlement (UE) 2018/1724, qui n’est pas organisé selon des éléments ou des champs prédéfinis ayant une signification et un format technique spécifiques, mais est complété par les éléments de métadonnées du modèle de métadonnées générique OOTS visé à l’article 7, paragraphe 1, du présent règlement;
17)«type de justificatifs»: une catégorie de justificatifs structurés ou non structurés ayant un objet ou un contenu commun;
18)«incident»: une situation dans laquelle l’OOTS n’exécute pas, omet de transmettre les justificatifs ou transmet des justificatifs qui n’ont pas été demandés, ou dans laquelle les justificatifs ont été modifiés ou divulgués au cours de la transmission, ainsi que toute violation de la sécurité visée à l’article 29;
19)«portail des procédures»: une page web ou une application mobile sur lesquelles un utilisateur peut accéder à une procédure en ligne visée à l’article 14, paragraphe 1, du règlement (UE) 2018/1724 et la mener à son terme.
Article 2
Structure de l’OOTS
Le système OOTS comporte les composantes suivantes:
a)les portails des procédures des demandeurs de justificatifs et les services de données des fournisseurs de justificatifs;
b)des plateformes intermédiaires, le cas échéant;
c)les espaces de prévisualisation visés à l’article 15, paragraphe 1, point b), ii);
d)les registres et services nationaux visés à l’article 8, le cas échéant;
e)des nœuds eIDAS pour l’authentification de l’utilisateur et la vérification de son identité;
f)des points d’accès eDelivery;
g)les services communs visés à l’article 4, paragraphe 1;
h)les éléments d’intégration et les interfaces nécessaires pour connecter les composantes visées aux points a) à g).
Section 2
Services de l’OOTS
Article 3
Nœuds eIDAS et points d’accès eDelivery
1.Les États membres veillent à ce que les demandeurs de justificatifs soient connectés à un nœud eIDAS pour permettre l’authentification de l’utilisateur conformément à l’article 11, soit directement, soit via une plateforme intermédiaire.
2.Les États membres veillent à ce que des points d’accès eDelivery soient installés, configurés et intégrés dans les portails des procédures des demandeurs de justificatifs, dans les services de données des fournisseurs de justificatifs et dans les plateformes intermédiaires.
3.Les États membres peuvent choisir le nombre de points d’accès eDelivery qu’ils utilisent pour l’OOTS.
Article 4
Services communs
1.La Commission, en coopération avec les États membres, met en place les services suivants de l’OOTS (les «services communs»):
a)le répertoire des services de données visé à l’article 5;
b)l’intermédiaire des justificatifs visé à l’article 6;
c)le référentiel sémantique visé à l’article 7;
2.Les États membres assurent la connexion technique entre les portails des procédures des demandeurs de justificatifs, directement ou via des plateformes intermédiaires, et les services communs ainsi que l’enregistrement correct de leurs services de données dans les services communs. Lors de la mise en œuvre de ces connexions, les États membres se laissent guider par les descriptions contenues dans les documents techniques.
3.Les États membres veillent à ce que seuls les demandeurs de justificatifs soient connectés aux services communs, directement ou via des plateformes intermédiaires, et à ce que seuls les demandeurs et les fournisseurs de justificatifs puissent utiliser l’OOTS. Les États membres vérifient à intervalles réguliers le fonctionnement des connexions avec les services communs.
Article 5
Répertoire des services de données
1.Sans préjudice de l’article 8 du présent règlement, les États membres veillent à ce que tous les fournisseurs de justificatifs et les types de justificatifs qu’ils délivrent qui sont pertinents pour les procédures en ligne visées à l’article 14, paragraphe 1, du règlement (UE) 2018/1724 soient enregistrés dans le répertoire des services de données.
2.La Commission est responsable du développement et de la maintenance des interfaces permettant aux coordonnateurs nationaux visés à l’article 28 du règlement (UE) 2018/1724, aux autorités compétentes, aux plateformes intermédiaires, le cas échéant, et à la Commission, dans les limites de leurs responsabilités et des droits d’accès définis par la Commission:
a)d’enregistrer et de radier les informations contenues dans le répertoire des services de données et d’effectuer toute autre mise à jour de ces informations;
b)de gérer les droits d’accès des personnes autorisées à effectuer des enregistrements et à apporter des modifications aux données enregistrées.
La Commission veille à ce que les coordonnateurs nationaux, les autorités compétentes et les plateformes intermédiaires puissent choisir entre des interfaces utilisateur graphiques pour les personnes autorisées et des interfaces programmatiques pour les téléchargements automatisés.
3.Les États membres veillent à ce que chaque type de justificatifs enregistré dans le répertoire des services de données s’accompagne:
a)du niveau de garantie des moyens d’identification électronique notifiés par les États membres conformément au règlement (UE) nº 910/2014; et
b)le cas échéant, des attributs supplémentaires, spécifiés afin de faciliter l’identification du fournisseur de justificatifs concerné et allant au-delà des attributs obligatoires des données minimales définies conformément au règlement d’exécution (UE) 2015/1501, échangés à l’aide des moyens d’identification électronique notifiés conformément au règlement (UE) nº 910/2014, nécessaires à leur échange par l’intermédiaire de l’OOTS.
4.Le répertoire des services de données établit une distinction claire entre les attributs supplémentaires visés au paragraphe 3, point b), du présent article et les attributs échangés via les moyens d’identification électronique notifiés conformément au règlement (UE) nº 910/2014 visés à l’article 13, paragraphe 1, point f), du présent règlement.
5.Le niveau de garantie visé au paragraphe 3, point a), requis pour les utilisateurs transfrontières n’excède pas le niveau de garantie requis pour les utilisateurs non transfrontières.
6.Les États membres veillent à ce que les informations contenues dans le répertoire des services de données soient tenues à jour.
Article 6
Intermédiaire des justificatifs
1.L’intermédiaire des justificatifs permet aux demandeurs de justificatifs de déterminer quels types de justificatifs délivrés dans d’autres États membres correspondent aux types de justificatifs requis dans le cadre des procédures pour lesquelles ces demandeurs de justificatifs sont compétents.
2.Les États membres complètent, au moyen de l’interface visée à l’article 5, paragraphe 2, la liste des types de justificatifs figurant dans le répertoire des services de données visé à l’article 5, paragraphe 1, par les faits ou le respect des exigences procédurales qu’ils prouvent, éventuellement conjointement avec d’autres types de justificatifs, si nécessaire. Ils veillent à ce que ces informations soient exactes et tenues à jour.
3.La Commission est responsable du développement et de la maintenance des interfaces permettant aux coordonnateurs nationaux, aux autorités compétentes, aux plateformes intermédiaires, le cas échéant, et à la Commission, dans les limites de leurs responsabilités et des droits d’accès définis par la Commission:
a)d’ajouter, de modifier et de mettre à jour les informations visées au paragraphe 2;
b)de gérer les droits d’accès des personnes autorisées à apporter des ajouts et des modifications aux informations enregistrées.
La Commission veille à ce que les coordonnateurs nationaux, les autorités compétentes et les plateformes intermédiaires puissent choisir entre des interfaces utilisateur graphiques pour les personnes autorisées et des interfaces programmatiques pour les téléchargements automatisés.
4.La Commission facilite la mise en correspondance des types de justificatifs délivrés dans un État membre avec les faits ou le respect des exigences procédurales qui doivent être prouvés dans le cadre d’une procédure dans un autre État membre en structurant la discussion et en organisant les travaux au sein du sous-groupe compétent visé à l’article 19. Le sous-groupe définit un langage formel spécifique du domaine, en faisant référence, autant que possible, aux normes internationales pertinentes, et propose ce langage au groupe de coordination du portail conformément à l’article 18, point f).
Article 7
Référentiel sémantique et modèles de données
1.Le référentiel sémantique donne accès au modèle de métadonnées générique de l’OOTS, qui est conçu pour afficher des métadonnées qui identifient de manière unique les justificatifs et le fournisseur de justificatifs et qui comprend des champs supplémentaires conçus pour afficher les métadonnées visées à l’article 13, paragraphe 1, points a), b) et c).
2.Pour les types de justificatifs structurés convenus au sein du groupe de coordination du portail, le référentiel sémantique contient un modèle de données de l’OOTS comprenant au moins les éléments suivants:
a)une représentation de ce modèle de données avec:
i)un diagramme visuel de modélisation des données; et
ii)une description textuelle de toutes les entités du modèle de données, comprenant une définition et une liste des attributs de l’entité; et, pour chaque attribut, le type attendu (par exemple booléen, identifiant, date), une définition, la cardinalité et l’utilisation facultative d’une liste de codes;
b)des distributions en XML sur la base de la définition du schéma XML (XSD), ou un format équivalent, complétées par d’autres formats de série largement utilisés, dans la mesure du possible;
c)des listes de codes pour assurer le traitement automatisé des justificatifs, disponibles dans un format structuré;
d)un mécanisme de conversion dans un format lisible par un humain, tel que XSLT ou équivalent.
3.Pour chaque type de justificatifs, le référentiel sémantique propose un contrôle des versions et un journal des modifications permettant de suivre les différentes versions.
4.Le référentiel sémantique contient une méthode d’élaboration de nouveaux modèles de données OOTS pour les types de justificatifs échangés via l’OOTS, comprenant des exemples et du matériel d’apprentissage.
5.Les calendriers de mise à jour et d’adaptation des modèles de métadonnées génériques OOTS et des modèles de données OOTS sont régulièrement examinés par les États membres et la Commission dans le cadre de l’un des sous-groupes du groupe de coordination du portail visé à l’article 19 et adoptés par le groupe de coordination du portail. Les fournisseurs de justificatifs ou les plateformes intermédiaires, le cas échéant, appliquent ces mises à jour et adaptations au plus tard 12 mois après leur publication dans le référentiel sémantique.
6.La Commission fournit aux États membres un outil informatique qui les aidera à vérifier la conformité des justificatifs avec le modèle de métadonnées générique de l’OOTS et les modèles de données de l’OOTS.
7.La Commission met le référentiel sémantique à la disposition du public sur un site web spécifique de la Commission.
Article 8
Registres et services nationaux
1.Les États membres qui disposent de registres ou de services nationaux équivalents au répertoire des services de données ou à l’intermédiaire des justificatifs peuvent choisir de ne pas enregistrer les fournisseurs de justificatifs, les types de justificatifs qu’ils délivrent et les faits ou le respect des exigences procédurales que ceux-ci prouvent, éventuellement en combinaison avec d’autres types de justificatifs, et le niveau de garantie des moyens d’identification électronique requis pour accéder à chaque type de justificatifs conformément aux articles 5 et 6. Dans ce cas, les États membres:
a)permettent aux autres États membres de rechercher dans leurs registres nationaux les informations visées au présent paragraphe;
b)copient les informations visées au présent paragraphe des registres ou services nationaux vers le répertoire des services de données ou l’intermédiaire des justificatifs.
2.Lors de la mise en œuvre du paragraphe 1, les États membres se laissent guider par les descriptions contenues dans les documents techniques.
Section 3
Demandeurs de justificatifs
Article 9
Explication aux utilisateurs
1.Les demandeurs de justificatifs veillent à ce que leurs portails des procédures contiennent une explication de l’OOTS et de ses caractéristiques, y compris des informations indiquant que:
a)l’utilisation de l’OOTS est facultative;
b)les utilisateurs ont la possibilité de prévisualiser les justificatifs dans l’espace de prévisualisation visé à l’article 15, paragraphe 1, point b), ii), et de décider de les utiliser ou non pour la procédure;
c)les utilisateurs peuvent agir en leur nom propre ou être représentés par une autre personne morale ou physique, si et dans la mesure où des solutions de représentation conformes au règlement (UE) nº 910/2014 et à tout acte d’exécution adopté sur la base de celui-ci ont été trouvées.
Les informations visées au premier alinéa, point b, du présent paragraphe ne sont pas requises dans le cas des procédures visées à l’article 14, paragraphe 5, du règlement (UE) 2018/1724.
2.L’obligation de fournir des explications visée au paragraphe 1 du présent article est sans préjudice de l’obligation de fournir aux personnes concernées les informations visées aux articles 13 et 14 du règlement (UE) 2016/679.
Article 10
Choix du type de justificatifs
1.Les demandeurs de justificatifs donnent aux utilisateurs la possibilité de demander, par soumission directe, les types de justificatifs correspondant, sur la base des informations enregistrées auprès de l’intermédiaire des justificatifs, à ceux qui seraient acceptables en vertu du droit applicable dans la procédure concernée, à condition que les fournisseurs de justificatifs mettent ces types de justificatifs à disposition via l’OOTS conformément à l’article 5, paragraphe 1.
2.Si plusieurs justificatifs peuvent être demandés, le demandeur de justificatifs veille à ce que les utilisateurs puissent sélectionner tous les justificatifs, un sous-ensemble ou un type spécifique de justificatifs.
Article 11
Authentification de l’utilisateur
1.Les demandeurs de justificatifs s’appuient sur des moyens d’identification électronique délivrés dans le cadre d’un schéma d’identification électronique notifié conformément au règlement (UE) nº 910/2014 pour authentifier les utilisateurs, agissant en leur nom propre ou par l’intermédiaire d’un représentant, si et dans la mesure où des solutions de représentation conformes au règlement (UE) nº 910/2014 et à tout acte d’exécution adopté sur la base de celui-ci ont été trouvées.
2.Une fois que l’utilisateur a sélectionné le type de justificatifs à échanger par l’intermédiaire de l’OOTS, les demandeurs de justificatifs informent les utilisateurs:
a)le cas échéant, des attributs supplémentaires visés à l’article 5, paragraphe 3, point b), du présent règlement qu’ils doivent fournir; et
b)qu’ils seront redirigés vers le ou les fournisseurs de justificatifs concernés ou, le cas échéant, la ou les plateformes intermédiaires concernées, afin de prévisualiser les justificatifs sélectionnés.
3.Lorsque la prévisualisation n’est pas requise conformément à l’article 14, paragraphe 5, du règlement (UE) 2018/1724, le paragraphe 2, point b), du présent article ne s’applique pas. Dans ce cas, le ou les fournisseurs de justificatifs ou, le cas échéant, la ou les plateformes intermédiaires peuvent demander au demandeur de justificatifs de rediriger l’utilisateur afin qu’il s’identifie et s’authentifie de nouveau aux fins de la mise en correspondance de son identité et des justificatifs. L’utilisateur peut choisir de ne pas être redirigé. Dans ce cas, le demandeur de justificatifs informe l’utilisateur que le processus de mise en correspondance de l’identité et des justificatifs effectué par le fournisseur de justificatifs pourrait ne pas aboutir à une correspondance telle que visée à l’article 16 du présent règlement.
Article 12
Demande expresse
Outre les informations visées à l’article 9, le demandeur de justificatifs fournit à l’utilisateur:
a)le(s) nom(s) du (des) fournisseur(s) de justificatifs;
b)le(s) type(s) de justificatifs ou les champs de données à échanger.
Le présent article est sans préjudice des situations dans lesquelles l’utilisation de l’OOTS est autorisée sans nécessité de demande expresse conformément à l’article 14, paragraphe 4, du règlement (UE) 2018/1724.
Article 13
Demande de justificatifs
1.Le demandeur de justificatifs veille à ce que la demande de justificatifs soit transmise au fournisseur de justificatifs ou à la plateforme intermédiaire, le cas échéant, et contienne les informations suivantes:
a)l’identifiant unique de la demande;
b)le type de justificatifs demandé;
c)la date et l’heure de la demande expresse;
d)l’identification de la procédure pour laquelle les justificatifs sont exigés;
e)le nom et les métadonnées qui identifient de manière unique le demandeur de justificatifs et la plateforme intermédiaire, le cas échéant;
f)les attributs de l’utilisateur, ou de l’utilisateur et de son représentant, le cas échéant, échangés via les moyens d’identification électronique visés à l’article 11, paragraphe 1;
g)le niveau de garantie, tel que défini dans le règlement (UE) nº 910/2014, des moyens d’identification électronique utilisés par l’utilisateur;
h)les attributs supplémentaires visés à l’article 5, paragraphe 3, point b), fournis par l’utilisateur aux fins de la demande;
i)l’identification du fournisseur de justificatifs tel qu’il est enregistré dans le répertoire des services de données;
j)si la demande expresse de l’utilisateur était requise conformément à l’article 14, paragraphe 4, du règlement (UE) 2018/1724;
k)si la possibilité de prévisualiser les justificatifs est requise conformément à l’article 14, paragraphe 5, du règlement (UE) 2018/1724.
2.Le demandeur de justificatifs établit une distinction claire entre les attributs supplémentaires visés au paragraphe 1, point h), et les attributs visés au paragraphe 1, point f).
Article 14
Redirection de l’utilisateur vers le fournisseur de justificatifs
1.Sans préjudice des procédures visées à l’article 14, paragraphe 5, du règlement (UE) 2018/1724, les demandeurs de justificatifs veillent à ce que les utilisateurs, après avoir sélectionné les justificatifs à échanger au moyen de l’OOTS sur le portail des procédures conformément à l’article 10 du présent règlement et exprimé leur demande expresse conformément à l’article 12 du présent règlement, soient redirigés vers le ou les fournisseurs de justificatifs ou vers la ou les plateformes intermédiaires, le cas échéant, afin d’exercer la possibilité de prévisualiser les justificatifs.
2.Pour les procédures visées à l’article 14, paragraphe 5, du règlement (UE) 2018/1724, les utilisateurs peuvent être redirigés vers le ou les fournisseurs de justificatifs ou vers la ou les plateformes intermédiaires, le cas échéant, conformément à l’article 11, paragraphe 3, du présent règlement.
Section 4
Fournisseurs de justificatifs
Article 15
Rôle dans l’échange de justificatifs
1.Les États membres veillent à ce que, aux fins de l’échange de justificatifs au moyen de l’OOTS, les fournisseurs de justificatifs ou les plateformes intermédiaires, le cas échéant, utilisent des services d’application capables:
a)de recevoir et d’interpréter des demandes de justificatifs émanant d’un point d’accès eDelivery, qui sont considérées comme la contribution aux services de données;
b)sous réserve de l’identification et de l’authentification réussies conformément à l’article 16 du présent règlement:
i)de récupérer tout justificatif correspondant à la demande;
ii)sauf dans le cas des procédures visées à l’article 14, paragraphe 5, du règlement (UE) 2018/1724, de permettre aux utilisateurs d’indiquer lesquels de ces justificatifs ils souhaitent prévisualiser et de leur donner la possibilité de prévisualiser les justificatifs ainsi indiqués dans un espace de prévisualisation;
iii)de permettre aux utilisateurs d’indiquer, le cas échéant, les justificatifs correspondants qui devraient être renvoyés au demandeur de justificatifs en vue de leur utilisation dans le cadre de la procédure;
c)de renvoyer au demandeur de justificatifs une réponse relative à ces justificatifs au moyen d’un point d’accès eDelivery, sous réserve de la décision de l’utilisateur d’utiliser les justificatifs dans le cadre de la procédure suivant la possibilité de les prévisualiser, sauf dans le cas des procédures visées à l’article 14, paragraphe 5, du règlement (UE) 2018/1724, des rapports d’erreur, y compris dans la situation visée à l’article 16, paragraphe 3, point a), du présent règlement, ou des rapports concernant des justificatifs en cours de conversion.
2.Si une réponse relative aux justificatifs est renvoyée, elle inclut les justificatifs demandés et est accompagnée:
a)des métadonnées qui identifient de manière unique la réponse relative aux justificatifs;
b)des métadonnées qui identifient de manière unique la demande de justificatifs;
c)des métadonnées qui indiquent la date et l’heure auxquelles la réponse a été créée;
d)des métadonnées qui identifient de manière unique les justificatifs et le fournisseur de justificatifs;
e)lorsque des justificatifs structurés ne sont pas conformes au modèle de données OOTS pertinent pour le type de justificatifs concerné, une version des justificatifs lisible par un humain.
3.La réponse relative aux justificatifs peut également inclure les métadonnées qui identifient de manière unique la ou les langues des justificatifs demandés.
4.Si un rapport d’erreur est renvoyé, il contient des métadonnées qui identifient de manière unique la demande de justificatifs, la date et l’heure auxquelles il a été créé et une description de l’erreur qui s’est produite.
5.Lorsque les justificatifs ne sont pas encore disponibles pour l’échange au moyen de l’OOTS, mais sont en cours de conversion en justificatifs structurés ou non structurés au sens de l’article 1er, points 16) et 17), un rapport, tel que visé au paragraphe 1, point c), du présent article est renvoyé. Ledit rapport contient des métadonnées qui identifient de manière unique la demande de justificatifs, la date et l’heure auxquelles il a été créé ainsi qu’un message indiquant que les justificatifs concernés sont en cours de conversion en justificatifs structurés ou non structurés au sens de l’article 1er, points 16) et 17), et seront prêts plus tard pour la transmission au moyen de l’OOTS. Le fournisseur de justificatifs indique dans le rapport la date et l’heure auxquelles les justificatifs devraient être disponibles.
Article 16
Mise en correspondance de l’identité et des justificatifs
1.Les fournisseurs de justificatifs ou les plateformes intermédiaires, le cas échéant, peuvent exiger des utilisateurs qu’ils s’identifient et s’authentifient de nouveau aux fins de la mise en correspondance de leur identité et des justificatifs, y compris en fournissant des attributs supplémentaires.
2.Les fournisseurs de justificatifs ou les plateformes intermédiaires, le cas échéant, veillent à ce que les justificatifs ne soient échangés au moyen de l’OOTS que si les attributs d’identité de l’utilisateur et, le cas échéant, du représentant, échangés via des moyens d’identification électronique visés à l’article 11, paragraphe 1, et les attributs supplémentaires visés à l’article 11, paragraphe 2, point a), et fournis par l’utilisateur pour faciliter l’identification par le fournisseur de justificatifs concerné, correspondent aux attributs qu’ils détiennent.
3.Lorsque le processus de mise en correspondance de l’identité et des justificatifs n’aboutit pas à une correspondance ou donne lieu à deux résultats ou plus, l’utilisateur ou le représentant, le cas échéant, n’est pas autorisé à prévisualiser les justificatifs demandés, qui ne sont pas échangés. En l’absence d’une telle correspondance:
a)un message d’erreur est envoyé au demandeur de justificatifs;
b)l’utilisateur reçoit un message automatique expliquant que le justificatif ne peut être fourni.
Section 5
Système d’enregistrement de l’OOTS
Article 17
Système d’enregistrement
1.Pour chaque demande de justificatifs transmise au moyen de l’OOTS, le demandeur de justificatifs, le ou les fournisseurs de justificatifs ou la ou les plateformes intermédiaires, le cas échéant, enregistrent les éléments suivants:
a)la demande de justificatifs visée à l’article 13, paragraphe 1;
b)les informations figurant dans la réponse relative aux justificatifs demandés, à l’exception des justificatifs proprement dits, ou dans le rapport d’erreur visé à l’article 15, paragraphe 1, point c), et à l’article 16, paragraphe 3, point a);
c)les données relatives à l’événement eDelivery se rapportant à l’un des éléments suivants:
i)les demandes d’échange de justificatifs;
ii)les réponses relatives aux justificatifs;
iii)les rapports d’erreur.
2.Pour chaque justificatif échangé au moyen de l’OOTS, le fournisseur de justificatifs ou la plateforme intermédiaire, le cas échéant, enregistre la décision prise par l’utilisateur, après avoir prévisualisé le justificatif, d’approuver ou non son utilisation aux fins de la procédure ou, le cas échéant, le fait que l’utilisateur quitte l’espace de prévisualisation ou le portail des procédures sans prendre de décision spécifique.
3.La Commission et, dans les situations visées à l’article 8, paragraphe 1, point a), les États membres concernés enregistrent toutes les interactions avec les services communs visés à l’article 4, paragraphe 1.
4.Sans préjudice des périodes de conservation plus longues requises en vertu du droit national pour les enregistrements visés aux paragraphes 1, 2 et 3 aux fins de l’OOTS ou à d’autres fins, la Commission et les demandeurs de justificatifs, les fournisseurs de justificatifs ou les plateformes intermédiaires, le cas échéant, conservent ces enregistrements pendant une période de douze mois.
5.En cas de suspicion d’incidents et aux fins des audits et des contrôles aléatoires de sécurité effectués dans leurs domaines de responsabilité respectifs visés à l’article 26, les demandeurs de justificatifs, les fournisseurs de justificatifs et les plateformes intermédiaires, le cas échéant, se communiquent mutuellement, sur demande, les enregistrements pertinents visés aux paragraphes 1 et 2 du présent article au moyen du tableau de bord de l’assistance technique visé à l’article 22. À ces mêmes fins et de la même manière, les États membres et la Commission, le cas échéant, mettent à la disposition des demandeurs de justificatifs, des fournisseurs de justificatifs et des plateformes intermédiaires, le cas échéant, concernés les enregistrements pertinents visés au paragraphe 3 du présent article.
Section 6
Gouvernance de l’OOTS
Article 18
Groupe de coordination du portail
La Commission, en coopération avec les États membres dans le cadre du groupe de coordination du portail institué par l’article 29 du règlement (UE) 2018/1724:
a)supervise la mise en place et le lancement de l’OOTS conformément à l’article 31, paragraphe 3, du présent règlement;
b)fixe les priorités en matière de développement et d’amélioration futurs de l’OOTS;
c)établit un calendrier indicatif de la mise à jour régulière, de la confirmation et de l’adaptation des documents techniques;
d)recommande des modifications dans les documents techniques;
e)organise des examens par les pairs afin de promouvoir les échanges d’expériences et de bonnes pratiques entre les États membres en ce qui concerne l’application du présent règlement par les États membres;
f)approuve ou rejette les modalités de fonctionnement soumises par les sous-groupes établis conformément au règlement intérieur du groupe de coordination du portail et, si nécessaire, donne des orientations spécifiques et supervise leurs travaux.
Article 19
Sous-groupes du groupe de coordination du portail
1.Pour veiller à la coordination du développement et du fonctionnement de l’OOTS, les sous-groupes visés à l’article 18, point f), examinent et, si nécessaire, élaborent des propositions de modalités de fonctionnement à soumettre au groupe de coordination du portail dans les domaines suivants, en particulier:
a)la normalisation des modèles de données de l’OOTS;
b)la configuration des justificatifs;
c)l’examen, le maintien et l’interprétation des documents techniques;
d)la gouvernance opérationnelle, en particulier les modalités de fonctionnement et les accords de niveau de service;
e)la sécurité de l’OOTS, y compris l’élaboration de plans de gestion des risques afin d’identifier les risques, d’évaluer leur incidence potentielle et de planifier les réponses techniques et organisationnelles appropriées en cas d’incident;
f)les essais et le déploiement des composantes de l’OOTS, y compris l’interopérabilité entre les composantes nationales de l’OOTS visées à l’article 2, points a) à f) et point h), et les services communs visés à l’article 4, paragraphe 1.
Les modalités de fonctionnement comprennent l’élaboration et la proposition des normes nécessaires à l’interopérabilité dans les domaines respectifs des sous-groupes, en suivant, dans la mesure du possible, les normes internationales. Une fois approuvées par le groupe de coordination du portail, ces normes sont incluses dans les documents techniques.
2.Les sous-groupes adoptent leurs propositions de modalités de fonctionnement par consensus, chaque fois que c’est possible. Lorsqu’il apparaît impossible de parvenir à un consensus, le président peut décider, s’il est soutenu par la majorité simple des membres du sous-groupe présents à la réunion, qu’une proposition du sous-groupe peut être soumise au groupe de coordination du portail.
Section 7
Assistance technique
Article 20
Point de contact unique de la Commission pour l’assistance technique
1.La Commission désigne un point de contact unique pour l’assistance technique, qui est chargé de l’exploitation et de la maintenance des services communs visés à l’article 4, paragraphe 1.
2.Le point de contact unique pour l’assistance technique assure la liaison avec d’autres points de contact pertinents de la Commission et coordonne la résolution des problèmes avec les points d’accès eDelivery ou les nœuds eIDAS.
3.La Commission veille à ce que son point de contact unique pour l’assistance technique soit organisé de manière qu’il puisse accomplir ses tâches en toutes circonstances et réagir rapidement.
Article 21
Point de contact unique national pour l’assistance technique
1.Chaque État membre désigne un point de contact unique pour l’assistance technique afin d’assurer l’exploitation et la maintenance des composantes pertinentes de l’OOTS dont il est responsable en vertu de la section 9.
2.Les points de contact uniques pour l’assistance technique:
a)fournissent une expertise et des conseils aux fournisseurs et aux demandeurs de justificatifs pour tous les problèmes techniques rencontrés dans le cadre du fonctionnement de l’OOTS et, si nécessaire, assurent la liaison avec le point de contact technique de la Commission et avec d’autres points de contact nationaux pour l’assistance technique;
b)enquêtent sur les temps d’arrêt éventuels des points d’accès eDelivery, sur les éventuelles atteintes à la sécurité ainsi que sur les autres incidents, et les résolvent;
c)informent les points de contact pour l’assistance technique de toute activité susceptible d’entraîner une atteinte effective ou présumée à la sécurité des systèmes électroniques.
3.Lorsqu’il est informé par un fournisseur de justificatifs de doutes quant à la légalité d’une ou de plusieurs demandes de justificatifs, le point de contact unique pour l’assistance technique:
a)examine les demandes de justificatifs ou des échantillons de demandes de justificatifs transmises par le même demandeur de justificatifs dans le passé;
b)utilise le tableau de bord de l’assistance technique visé à l’article 22 pour demander au point de contact unique pour l’assistance technique désigné par l’État membre du demandeur de justificatifs de transmettre les enregistrements des échanges sélectionnés visés à l’article 17;
c)porte la question à l’attention du coordonnateur national si le problème persiste.
4.Les États membres veillent à ce que leur point de contact unique pour l’assistance technique respectif soit organisé de manière qu’il puisse accomplir ses tâches en toutes circonstances et réagir rapidement.
Article 22
Tableau de bord de l’assistance technique
1.La Commission met en place un tableau de bord pour faciliter la communication entre tous les points de contact pour l’assistance technique.
2.Les États membres et la Commission enregistrent dans le tableau de bord les coordonnées des points de contact pour l’assistance technique et les tiennent à jour.
3.Au moyen du tableau de bord, les points de contact:
a)signalent tout incident considéré comme substantiel;
b)signalent toute mesure temporaire ou permanente prise à la suite d’incidents;
c)demandent aux points de contact pour l’assistance technique pertinents les enregistrements des échanges sélectionnés dans les cas visés à l’article 17, paragraphe 5, et, en cas de doute quant à la légalité de la demande de justificatifs conformément à l’article 21, paragraphe 3;
d)demandent toute autre assistance nécessaire en cas d’incident.
4.Les coordonnateurs nationaux et le président du groupe de coordination du portail ont accès au tableau de bord.
5.La Commission et les coordonnateurs nationaux utilisent le tableau de bord pour fournir les informations visées à l’article 27 et à l’article 28, paragraphe 2.
Section 8
Coopération avec d’autres structures de gouvernance
Article 23
Portée de la coopération
La Commission, conjointement avec le groupe de coordination du portail et ses sous-groupes, coopère avec les structures de gouvernance pertinentes établies par le droit de l’Union ou des accords internationaux dans des domaines pertinents pour l’OOTS afin de créer des synergies et de réutiliser, dans la mesure du possible, les solutions élaborées dans ces autres structures.
Section 9
Responsabilité en matière de maintenance et d’exploitation des composantes de l’OOTS
Article 24
Responsabilités de la Commission
La Commission est propriétaire des services communs et du tableau de bord de l’assistance technique et est responsable de leur développement, de leur disponibilité, de leur contrôle, de leur mise à jour, de leur maintenance et de leur hébergement.
Article 25
Responsabilités des États membres
Chaque État membre est réputé propriétaire et responsable de la mise en place, le cas échéant, ainsi que du développement, de la disponibilité, du contrôle, de la mise à jour, de la maintenance et de l’hébergement des composantes nationales respectives de l’OOTS visées à l’article 2, points a) à f) et point h), .
Article 26
Modifications et mises à jour
1.La Commission informe les États membres des modifications et mises à jour apportées aux services communs.
2.Les États membres informent la Commission des modifications et mises à jour apportées aux composantes dont ils sont responsables et qui sont susceptibles d’avoir des répercussions sur le fonctionnement de l’OOTS.
3.Les informations sur les mises à jour critiques sont fournies sans retard injustifié. Dans le cas d’autres mises à jour non critiques susceptibles d’avoir une incidence sur les composantes de l’OOTS appartenant à d’autres États membres ou sur les services communs, le délai de réalisation des mises à jour est fixé par le groupe de coordination du portail sur la base d’une proposition du sous-groupe concerné.
Article 27
Disponibilité de l’OOTS
1.L’OOTS fonctionne 24 heures sur 24 et 7 jours sur 7, avec un taux de disponibilité des points d’accès eDelivery, des espaces de prévisualisation et des services communs d’au moins 98 %, sauf en cas de maintenance programmée conformément au paragraphe 2 du présent article. Les objectifs de niveau de service des autres éléments de l’OOTS sont précisés dans les accords de niveau de service visés à l’article 19, paragraphe 1, point d).
2.Les États membres et la Commission notifient les activités de maintenance programmées relatives aux composantes pertinentes de l’OOTS comme suit:
a)5 jours ouvrables à l’avance en cas d’opérations de maintenance pouvant entraîner jusqu’à 4 heures d’indisponibilité;
b)10 jours ouvrables à l’avance en cas d’opérations de maintenance pouvant entraîner jusqu’à 12 heures d’indisponibilité;
c)30 jours ouvrables à l’avance en cas d’opérations de maintenance de l’infrastructure en salle informatique pouvant entraîner jusqu’à 6 jours d’indisponibilité par an.
Dans la mesure du possible, les opérations de maintenance sont programmées en dehors des heures de travail.
3.Lorsqu’un État membre a fixé des créneaux hebdomadaires de maintenance, il notifie à la Commission le jour et les heures prévus pour ces créneaux. Sans préjudice des obligations visées au paragraphe 2, points a), b) et c), si le système est indisponible à ces créneaux planifiés, l’État membre n’est pas tenu de le notifier à la Commission à chaque fois.
4.En cas de défaillance technique inattendue des composantes de l’OOTS d’un État membre, l’État membre concerné informe sans délai les autres États membres et la Commission de leur indisponibilité et, s’il est connu, du moment auquel les composantes devraient fonctionner de nouveau.
5.En cas de défaillance inattendue des services communs, la Commission informe sans délai les États membres de l’indisponibilité d’un ou de plusieurs services communs et, s’il est connu, du moment estimé de reprise des services concernés.
6.Les notifications visées au présent article sont effectuées au moyen du tableau de bord de l’assistance technique visé à l’article 22.
Section 10
Sécurité
Article 28
Sécurité des services communs et des composantes nationales
1.La Commission assure la sécurité des services communs visés à l’article 4, paragraphe 1, ainsi que des éléments d’intégration et des interfaces visés à l’article 2, point h), dont elle est responsable.
2.Les États membres assurent la sécurité des composantes nationales de l’OOTS ainsi que des éléments d’intégration et des interfaces visés à l’article 2, point h), dont ils sont responsables.
3.Aux fins visées aux paragraphes 1 et 2, les États membres et la Commission prennent, au moins, chacun pour la composante dont il est responsable, les mesures nécessaires pour:
a)empêcher toute personne qui n’y est pas autorisée d’avoir accès aux composantes dont ils sont responsables;
b)empêcher l’encodage de données et toute consultation, modification ou suppression de données par des personnes qui n’y sont pas autorisées;
c)détecter toute activité visée aux points a) et b); et
d)veiller à ce que les événements liés à la sécurité soient enregistrés conformément aux normes de sécurité internationales reconnues en matière de technologies de l’information.
4.Les États membres veillent, en particulier, à ce que:
a)les connexions qu’ils opèrent vers et depuis les points d’accès eDelivery et toutes les communications internes entre les différentes autorités nationales satisfassent au moins au même niveau d’exigences de sécurité que le service d’envoi électronique eDelivery afin de protéger la sécurité et la confidentialité de l’échange et l’intégrité des justificatifs échangés au moyen de l’OOTS;
b)l’origine de la demande de justificatifs transmise par le point d’accès du demandeur de justificatifs et de la réponse relative aux justificatifs échangée ou du message d’erreur transmis par le point d’accès du fournisseur de justificatifs ne soit pas répudiée.
5.Conformément au paragraphe 4, lors de tout échange de justificatifs donné, l’État membre du fournisseur de justificatifs est responsable de la qualité, de la confidentialité, de l’intégrité et de la disponibilité des justificatifs demandés jusqu’à ce qu’ils parviennent au point d’accès eDelivery du demandeur de justificatifs ou à une plateforme intermédiaire, le cas échéant. Lors d’un échange de justificatifs donné, l’État membre du demandeur de justificatifs est responsable de la confidentialité et de l’intégrité des justificatifs demandés dès qu’ils parviennent à son point d’accès eDelivery.
6.Les États membres et la Commission assurent la confidentialité, l’intégrité et la disponibilité des enregistrements visés à l’article 17, paragraphes 1, 2) et 3), au moyen de mesures de sécurité appropriées et proportionnées, chacun pour les enregistrements qu’il a effectués.
Article 29
Contrôle des systèmes électroniques
1.Les États membres et la Commission procèdent à des contrôles réguliers des composantes de l’OOTS dont ils sont responsables.
2.Les points de contact uniques pour l’assistance technique visés aux articles 20 et 21 utilisent le tableau de bord de l’assistance technique visé à l’article 22 pour s’informer mutuellement des problèmes constatés lors des contrôles et susceptibles d’entraîner une atteinte effective ou présumée à la sécurité de l’OOTS.
Article 30
Système de gestion de l’administration
La Commission met en place un système de gestion administrative pour gérer les règles d’authentification et d’autorisation permettant la validation des données d’identification afin de permettre l’accès aux services communs et au tableau de bord de l’assistance technique.
Section 11
Dispositions finales
Article 31
Essais de l’OOTS
1.Les États membres et la Commission adoptent, dans le cadre du groupe de coordination du portail, un calendrier d’essais et un ensemble d’indicateurs en fonction desquels les résultats peuvent être mesurés et considérés comme positifs.
2.La Commission fournit des services d’essai que les États membres peuvent utiliser pour tester la conformité des solutions techniques à partir des indicateurs visés au paragraphe 1.
3.Les États membres et la Commission testent le fonctionnement de chacune des composantes de l’OOTS et vérifient si elles peuvent fonctionner correctement conformément aux indicateurs visés au paragraphe 1. Seules les composantes de l’OOTS pour lesquelles les essais donnent des résultats positifs sont mises à la disposition des utilisateurs.
Article 32
Aide de la Commission
La Commission met à disposition une équipe d’experts dans le cadre de son point de contact pour l’assistance technique pour aider les points de contact nationaux pour l’assistance technique et les coordonnateurs nationaux dans tous les aspects liés au fonctionnement de l’OOTS d’un point de vue technique, en particulier:
a)la fourniture de lignes directrices;
b)l’organisation d’ateliers et de démonstrations;
c)les réponses à donner à des questions individuelles.
Article 33
Traitement des données à caractère personnel
En ce qui concerne le traitement des données à caractère personnel figurant dans les justificatifs et faisant l’objet d’un échange effectué dans les composantes du système OOTS dont elles sont propriétaires en vertu de l’article 25 du présent règlement, les autorités compétentes respectives des États membres, en leur qualité de demandeur ou de fournisseur de justificatifs, agissent en tant que responsables du traitement au sens de l’article 4, point 7, du règlement (UE) 2016/679 et comme précisé aux articles 34 et 35 du présent règlement.
Article 34
Responsabilités du demandeur de justificatifs en qualité de responsable du traitement des données
1.Pour chaque échange de justificatifs effectué au moyen de l’OOTS, le demandeur de justificatifs concerné ou la plateforme intermédiaire concernée, le cas échéant, est l’unique responsable du caractère complet et légal de la demande de justificatifs. Le demandeur de justificatifs veille, en particulier, à ce que les justificatifs soient requis pour la procédure particulière pour laquelle ils sont demandés par un utilisateur.
2.Une fois que les justificatifs échangés au moyen de l’OOTS sont mis à la disposition du demandeur de justificatifs ou de la plateforme intermédiaire, le cas échéant, soit à la suite du choix de l’utilisateur de procéder à l’échange de justificatifs conformément à l’article 14, paragraphe 3, point f), du règlement (UE) 2018/1724, soit dans le cas des procédures visées à l’article 14, paragraphe 5, du règlement (UE) 2018/1724, le demandeur de justificatifs ou la plateforme intermédiaire, le cas échéant, assure le même niveau de protection des données à caractère personnel, conformément au règlement (UE) 2016/679, que dans une situation où l’utilisateur soumet ou télécharge des justificatifs sans recourir à l’OOTS.
Article 35
Responsabilités du fournisseur de justificatifs en qualité de responsable du traitement des données
1.Sans préjudice des obligations qui lui incombent en vertu du règlement (UE) 2016/679, pour chaque échange de justificatifs effectué au moyen de l’OOTS, le fournisseur de justificatifs concerné ou la plateforme intermédiaire concernée, le cas échéant, est l’unique responsable pour vérifier:
a)si les justificatifs demandés qu’il ou elle détient peuvent être mis en correspondance avec l’utilisateur conformément à l’article 16;
b)si l’utilisateur a le droit d’utiliser les justificatifs demandés.
2.Lorsqu’une plateforme intermédiaire fournit l’espace de prévisualisation conformément à l’article 15, paragraphe 1, point b), ii), du présent règlement, elle est considérée comme un sous-traitant agissant pour le compte du fournisseur de justificatifs conformément à l’article 4, point 8, du règlement (UE) 2016/679.
Article 36
Entrée en vigueur
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Il est applicable à partir du 12 décembre 2023.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 5.8.2022
Par la Commission
La présidente
Ursula VON DER LEYEN