keyboard_tab EIDAS 2014/0910 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Article 22 Listes de confiance
- 1 Article 44 Exigences applicables aux services d’envoi recommandé électronique qualifiés
- 1 Article 51 Mesures transitoires
- Article 52 Entrée en vigueur
CHAPITRE I
DISPOSITIONS GÉNÉRALES
CHAPITRE II
IDENTIFICATION ÉLECTRONIQUE
CHAPITRE III
SERVICES DE CONFIANCE
SECTION 1
Dispositions générales
SECTION 2
Contrôle
SECTION 3
Services de confiance qualifiés
SECTION 4
Signatures électroniques
SECTION 5
Cachets électroniques
SECTION 6
Horodatage électronique
SECTION 7
Services d’envoi recommandé électronique
SECTION 8
Authentification de site internet
CHAPITRE IV
DOCUMENTS ÉLECTRONIQUES
CHAPITRE V
DÉLÉGATIONS DE POUVOIR ET DISPOSITIONS D’EXÉCUTION
CHAPITRE VI
DISPOSITIONS FINALES
- identification électronique
- moyen d’identification électronique
- données d’identification personnelle
- schéma d’identification électronique
- authentification
- partie utilisatrice
- organismes du secteur public
- organisme de droit public
- signataire
- signature électronique
- signature électronique avancée
- signature électronique qualifiée
- données de création de signature électronique
- certificat de signature électronique
- certificat qualifié de signature électronique
- service de confiance
- service de confiance qualifié
- organisme d’évaluation de la conformité
- prestataire de services de confiance
- prestataire de services de confiance qualifié
- produit
- dispositif de création de signature électronique
- dispositif de création de signature électronique qualifié
- créateur de cachet
- cachet électronique
- cachet électronique avancé
- cachet électronique qualifié
- données de création de cachet électronique
- certificat de cachet électronique
- certificat qualifié de cachet électronique
- dispositif de création de cachet électronique
- dispositif de création de cachet électronique qualifié
- horodatage électronique
- horodatage électronique qualifié
- document électronique
- service d’envoi recommandé électronique
- service d’envoi recommandé électronique qualifié
- données de validation
- validation
- l’article 39
- paragraphe 39
- signature_électronique 33
- données 32
- pour 26
- certificat 25
- qualifié 23
- dans 21
- qualifiés 20
- services 17
- création 17
- cachet_électronique 17
- certificats 15
- conseil 14
- moins 14
- prestataire_de_services_de_confiance 14
- être 14
- personne 13
- parlement 12
- européen 12
- //ce 12
- sont 12
- confiance 11
- exigences 10
- traitement 10
- présent 10
- commission 10
- applicables 9
- membre 8
- peut 8
- sous 8
- d’exécution 8
- règlement 8
- listes 8
- délivré 7
- comme 7
- directive 7
- forme 7
- automatisé 7
- adaptée 7
- qu’ils 7
- avancé 7
- avancée 7
- prestataire 7
- validité 7
- point 7
- article 7
- titre 7
- délivrant 6
- date 6
Article 52
Entrée en vigueur
1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
2. Le présent règlement est applicable à partir du 1er juillet 2016, à l’exception des dispositions suivantes:
a) | l’article 8, paragraphe 3, l’article 9, paragraphe 5, l’article 12, paragraphes 2 à 9, l’article 17, paragraphe 8, l’article 19, paragraphe 4, l’article 20, paragraphe 4, l’article 21, paragraphe 4, l’article 22, paragraphe 5, l’article 23, paragraphe 3, l’article 24, paragraphe 5, l’article 27, paragraphes 4 et 5, l’article 28, paragraphe 6, l’article 29, paragraphe 2, l’article 30, paragraphes 3 et 4, l’article 31, paragraphe 3, l’article 32, paragraphe 3, l’article 33, paragraphe 2, l’article 34, paragraphe 2, l’article 37, paragraphes 4 et 5, l’article 38, paragraphe 6, l’article 42, paragraphe 2, l’article 44, paragraphe 2, l’article 45, paragraphe 2, et les articles 47 et 48 sont applicables à partir du 17 septembre 2014; |
b) | l’article 7, l’article 8, paragraphes 1 et 2, les articles 9, 10, 11, et l’article 12, paragraphe 1, sont applicables à compter de la date d’application des actes d’exécution visés à l’article 8, paragraphe 3, et à l’article 12, paragraphe 8; |
c) | l’article 6 s’applique après trois ans à compter de la date d’application des actes d’exécution visés à l’article 8, paragraphe 3 et à l’article 12, paragraphe 8. |
3. Lorsque le schéma d’ identification_électronique notifié est inscrit sur la liste publiée par la Commission en application de l’article 9 avant la date visée au paragraphe 2, point c), du présent article, la reconnaissance des moyens d’ identification_électronique dans le cadre de ce schéma en application de l’article 6 a lieu au plus tard douze mois après la publication dudit schéma, mais pas avant la date visée au paragraphe 2, point c), du présent article.
4. Nonobstant le paragraphe 2, point c), du présent article, un État membre peut décider que des moyens d’ identification_électronique relevant d’un schéma d’ identification_électronique notifié en application de l’article 9, paragraphe 1, par un autre État membre sont reconnus dans le premier État membre à compter de la date d’application des actes d’exécution visés à l’article 8, paragraphe 3, et à l’article 12, paragraphe 8. Les États membres concernés informent la Commission. La Commission rend publiques ces informations.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 23 juillet 2014.
Par le Parlement européen
Le président
M. SCHULZ
Par le Conseil
Le président
S. GOZI
(1) JO C 351 du 15.11.2012, p. 73.
(2) Position du Parlement européen du 3 avril 2014 (non encore parue au Journal officiel) et décision du Conseil du 23 juillet 2014.
(3) Directive 1999/93/CE du Parlement européen et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques (JO L 13 du 19.1.2000, p. 12).
(4) JO C 50 E du 21.2.2012, p. 1.
(5) Directive 2006/123/CE du Parlement européen et du Conseil du 12 décembre 2006 relative aux services dans le marché intérieur (JO L 376 du 27.12.2006, p. 36).
(6) Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers (JO L 88 du 4.4.2011, p. 45).
(7) Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31).
(8) Décision 2010/48/CE du Conseil du 26 novembre 2009 concernant la conclusion, par la Communauté européenne, de la convention des Nations unies relative aux droits des personnes handicapées (JO L 23 du 27.1.2010, p. 35).
(9) Règlement (CE) no 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) no 339/93 du Conseil (JO L 218 du 13.8.2008, p. 30).
(10) Décision 2009/767/CE de la Commission du 16 octobre 2009 établissant des mesures destinées à faciliter l’exécution de procédures par voie électronique par l’intermédiaire des «guichets uniques» conformément à la directive 2006/123/CE du Parlement européen et du Conseil relative aux services dans le marché intérieur (JO L 274 du 20.10.2009, p. 36).
(11) Décision 2011/130/UE de la Commission du 25 février 2011 établissant des exigences minimales pour le traitement transfrontalier des documents signés électroniquement par les autorités compétentes conformément à la directive 2006/123/CE du Parlement européen et du Conseil relative aux services dans le marché intérieur (JO L 53 du 26.2.2011, p. 66).
(12) Règlement (UE) no 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).
(13) Règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).
(14) JO C 28 du 30.1.2013, p. 6.
(15) Directive 2014/24/UE du Parlement européen et du Conseil du 26 février 2014 sur la passation des marchés publics et abrogeant la directive 2004/18/CE (JO L 94 du 28.3.2014, p. 65).
ANNEXE I
EXIGENCES APPLICABLES AUX CERTIFICATS QUALIFIÉS DE SIGNATURE ÉLECTRONIQUE
Les certificats qualifiés de signature_électronique contiennent:
a) | une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié de signature_électronique; |
b) | un ensemble de données représentant sans ambiguïté le prestataire_de_services_de_confiance qualifié délivrant les certificats qualifiés, comprenant au moins l’État membre dans lequel ce prestataire est établi, et:
|
c) | au moins le nom du signataire ou un pseudonyme; si un pseudonyme est utilisé, cela est clairement indiqué; |
d) | des données_de_ validation de la signature_électronique qui correspondent aux données de création de la signature_électronique; |
e) | des précisions sur le début et la fin de la période de validité du certificat; |
f) | le code d’identité du certificat, qui doit être unique pour le prestataire_de_services_de_confiance qualifié; |
g) | la signature_électronique avancée ou le cachet_électronique avancé du prestataire_de_services_de_confiance qualifié délivrant le certificat; |
h) | l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature_électronique avancée ou le cachet_électronique avancé mentionnés au point g); |
i) | l’emplacement des services qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié; |
j) | lorsque les données de création de la signature_électronique associées aux données_de_ validation de la signature_électronique se trouvent dans un dispositif de création de signature_électronique qualifié, une mention l’indiquant, au moins sous une forme adaptée au traitement automatisé. |
ANNEXE II
EXIGENCES APPLICABLES AUX DISPOSITIFS DE CRÉATION DE SIGNATURE ÉLECTRONIQUE QUALIFIÉS
1. | Les dispositifs de création de signature_électronique qualifiés garantissent au moins, par des moyens techniques et des procédures appropriés, que:
|
2. | Les dispositifs de création de signature_électronique qualifiés ne modifient pas les données à signer et n’empêchent pas la présentation de ces données au signataire avant la signature. |
3. | La génération ou la gestion de données de création de signature_électronique pour le compte du signataire peut être seulement confiée à un prestataire_de_services_de_confiance qualifié. |
4. | Sans préjudice du paragraphe 1, point d), un prestataire_de_services_de_confiance qualifié gérant des données de création de signature_électronique pour le compte d’un signataire ne peut reproduire les données de création de signature_électronique qu’à des fins de sauvegarde, sous réserve du respect des exigences suivantes:
|
ANNEXE III
EXIGENCES APPLICABLES AUX CERTIFICATS QUALIFIÉS DE CACHET ÉLECTRONIQUE
Les certificats qualifiés de cachet_électronique contiennent:
a) | une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié de cachet_électronique; |
b) | un ensemble de données représentant sans ambiguïté le prestataire_de_services_de_confiance qualifié délivrant les certificats qualifiés, comprenant au moins l’État membre dans lequel ce prestataire est établi et:
|
c) | au moins le nom du créateur du cachet et, le cas échéant, son numéro d’immatriculation tels qu’ils figurent dans les registres officiels; |
d) | des données_de_ validation du cachet_électronique, qui correspondent aux données de création du cachet_électronique; |
e) | des précisions sur le début et la fin de la période de validité du certificat; |
f) | le code d’identité du certificat, qui doit être unique pour le prestataire_de_services_de_confiance qualifié; |
g) | la signature_électronique avancée ou le cachet_électronique avancé du prestataire_de_services_de_confiance qualifié délivrant le certificat; |
h) | l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature_électronique avancée ou le cachet_électronique avancé mentionnés au point g); |
i) | l’emplacement des services qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié; |
j) | lorsque les données de création du cachet_électronique associées aux données_de_ validation du cachet_électronique se trouvent dans un dispositif de création de cachet_électronique qualifié, une mention l’indiquant, au moins sous une forme adaptée au traitement automatisé. |
ANNEXE IV
EXIGENCES APPLICABLES AUX CERTIFICATS QUALIFIÉS D’AUTHENTIFICATION DE SITE INTERNET
Les certificats qualifiés d’ authentification de site internet contiennent:
a) | une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié d’ authentification de site internet; |
b) | un ensemble de données représentant sans ambiguïté le prestataire_de_services_de_confiance qualifié délivrant les certificats qualifiés, comprenant au moins l’État membre dans lequel ce prestataire est établi et:
|
c) | pour les personnes physiques: au moins le nom de la personne à qui le certificat a été délivré, ou un pseudonyme. Si un pseudonyme est utilisé, cela est clairement indiqué; pour les personnes morales: au moins le nom de la personne morale à laquelle le certificat est délivré et, le cas échéant, son numéro d’immatriculation, tels qu’ils figurent dans les registres officiels; |
d) | des éléments de l’adresse, dont au moins la ville et l’État, de la personne physique ou morale à laquelle le certificat est délivré et, le cas échéant, ces éléments tels qu’ils figurent dans les registres officiels; |
e) | le(s) nom(s) de domaine exploité(s) par la personne physique ou morale à laquelle le certificat est délivré; |
f) | des précisions sur le début et la fin de la période de validité du certificat; |
g) | le code d’identité du certificat, qui doit être unique pour le prestataire_de_services_de_confiance qualifié; |
h) | la signature_électronique avancée ou le cachet_électronique avancé du prestataire_de_services_de_confiance qualifié délivrant le certificat; |
i) | l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature_électronique avancée ou le cachet_électronique avancé visés au point h); |
j) | l’emplacement des services de statut de validité des certificats qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié. |
Article 22
Listes de confiance
1. Chaque État membre établit, tient à jour et publie des listes de confiance, y compris des informations relatives aux prestataires de services de confiance qualifiés dont il est responsable, ainsi que des informations relatives aux services de confiance qualifiés qu’ils fournissent.
2. Les États membres établissent, tiennent à jour et publient, de façon sécurisée et sous une forme adaptée au traitement automatisé, les listes de confiance visées au paragraphe 1 portant une signature_électronique ou un cachet_électronique.
3. Les États membres communiquent à la Commission, dans les meilleurs délais, des informations relatives à l’organisme chargé d’établir, de tenir à jour et de publier les listes nationales de confiance, ainsi que des détails précisant où ces listes sont publiées, indiquant les certificats utilisés pour apposer une signature_électronique ou un cachet_électronique sur ces listes et signalant les modifications apportées à ces listes.
4. La Commission met à la disposition du public, par l’intermédiaire d’un canal sécurisé, les informations visées au paragraphe 3 sous une forme portant une signature_électronique ou un cachet_électronique adaptée au traitement automatisé.
5. Au plus tard le 18 septembre 2015, la Commission précise, au moyen d’actes d’exécution, les informations visées au paragraphe 1 et définit les spécifications techniques et les formats des listes de confiance applicables aux fins des paragraphes 1 à 4. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 44
Exigences applicables aux services d’envoi recommandé électronique qualifiés
1. Les services d’envoi recommandé électronique qualifiés satisfont aux exigences suivantes:
a) | ils sont fournis par un ou plusieurs prestataires de services de confiance qualifiés; |
b) | ils garantissent l’identification de l’expéditeur avec un degré de confiance élevé; |
c) | ils garantissent l’identification du destinataire avant la fourniture des données; |
d) | l’envoi et la réception de données sont sécurisés par une signature_électronique avancée ou par un cachet_électronique avancé d’un prestataire_de_services_de_confiance qualifié, de manière à exclure toute possibilité de modification indétectable des données; |
e) | toute modification des données nécessaire pour l’envoi ou la réception de celles-ci est clairement signalée à l’expéditeur et au destinataire des données; |
f) | la date et l’heure d’envoi, de réception et toute modification des données sont indiquées par un horodatage_électronique qualifié. |
Dans le cas où les données sont transférées entre deux prestataires de services de confiance qualifiés ou plus, les exigences fixées aux points a) à f) s’appliquent à tous les prestataires de services de confiance qualifiés.
2. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux processus d’envoi et de réception de données. Le processus d’envoi et de réception de données est présumé satisfaire aux exigences fixées au paragraphe 1 lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
SECTION 8
Authentification de site internet
Article 51
Mesures transitoires
1. Les dispositifs sécurisés de création de signature dont la conformité a été déterminée conformément à l’article 3, paragraphe 4, de la directive 1999/93/CE sont considérés comme des dispositifs de création de signature_électronique qualifiés au titre du présent règlement.
2. Les certificats qualifiés délivrés aux personnes physiques au titre de la directive 1999/93/CE sont considérés comme des certificats qualifiés de signature_électronique au titre du présent règlement jusqu’à leur expiration.
3. Un prestataire de services de certification qui délivre des certificats qualifiés au titre de la directive 1999/93/CE soumet un rapport d’évaluation de la conformité à l’organe de contrôle le plus rapidement possible, et au plus tard le 1er juillet 2017. Jusqu’à la présentation d’un tel rapport d’évaluation de la conformité et l’achèvement de l’évaluation par l’organe de contrôle, ce prestataire de services de certification est considéré comme un prestataire_de_services_de_confiance qualifié au titre du présent règlement.
4. Si un prestataire de services de certification qui délivre des certificats qualifiés au titre de la directive 1999/93/CE ne soumet pas de rapport d’évaluation de la conformité à l’organe de contrôle dans le délai visé au paragraphe 3, ce prestataire de services de certification n’est pas considéré comme un prestataire_de_services_de_confiance qualifié au titre du présent règlement à partir du 2 juillet 2017.
whereas