keyboard_tab EIDAS 2014/0910 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Article 17 Organe de contrôle
- 1 Article 18 Assistance mutuelle
- 1 Article 40 Validation et conservation des cachets électroniques qualifiés
- 1 Article 49 Réexamen
CHAPITRE I
DISPOSITIONS GÉNÉRALES
CHAPITRE II
IDENTIFICATION ÉLECTRONIQUE
CHAPITRE III
SERVICES DE CONFIANCE
SECTION 1
Dispositions générales
SECTION 2
Contrôle
SECTION 3
Services de confiance qualifiés
SECTION 4
Signatures électroniques
SECTION 5
Cachets électroniques
SECTION 6
Horodatage électronique
SECTION 7
Services d’envoi recommandé électronique
SECTION 8
Authentification de site internet
CHAPITRE IV
DOCUMENTS ÉLECTRONIQUES
CHAPITRE V
DÉLÉGATIONS DE POUVOIR ET DISPOSITIONS D’EXÉCUTION
CHAPITRE VI
DISPOSITIONS FINALES
- identification électronique
- moyen d’identification électronique
- données d’identification personnelle
- schéma d’identification électronique
- authentification
- partie utilisatrice
- organismes du secteur public
- organisme de droit public
- signataire
- signature électronique
- signature électronique avancée
- signature électronique qualifiée
- données de création de signature électronique
- certificat de signature électronique
- certificat qualifié de signature électronique
- service de confiance
- service de confiance qualifié
- organisme d’évaluation de la conformité
- prestataire de services de confiance
- prestataire de services de confiance qualifié
- produit
- dispositif de création de signature électronique
- dispositif de création de signature électronique qualifié
- créateur de cachet
- cachet électronique
- cachet électronique avancé
- cachet électronique qualifié
- données de création de cachet électronique
- certificat de cachet électronique
- certificat qualifié de cachet électronique
- dispositif de création de cachet électronique
- dispositif de création de cachet électronique qualifié
- horodatage électronique
- horodatage électronique qualifié
- document électronique
- service d’envoi recommandé électronique
- service d’envoi recommandé électronique qualifié
- données de validation
- validation
- l’article 48
- paragraphe 43
- signature_électronique 27
- contrôle 27
- pour 26
- certificat 25
- données 25
- dans 25
- qualifié 22
- services 18
- qualifiés 17
- conseil 16
- moins 15
- être 15
- présent 15
- création 15
- parlement 14
- européen 14
- commission 14
- personne 13
- confiance 13
- cachet_électronique 13
- conformément 12
- règlement 12
- prestataire_de_services_de_confiance 12
- membre 12
- qu’ils 10
- certificats 10
- membres 10
- peut 10
- article 9
- point 9
- organe 9
- États 9
- prestataires 9
- exigences 8
- peuvent 8
- traitement 8
- //ce 8
- organes 8
- sous 7
- rapport 7
- échéant 7
- l’État 7
- l’organe 7
- applicables 7
- délivré 7
- statut 7
- validité 7
- tels 6
Article 17
Organe de contrôle
1. Les États membres désignent un organe de contrôle établi sur leur territoire ou, d’un commun accord avec un autre État membre, un organe de contrôle établi dans cet autre État membre. Cet organe est chargé des tâches de contrôle dans l’État membre qui a procédé à la désignation.
Les organes de contrôle sont investis des pouvoirs nécessaires et dotés des ressources adéquates pour l’exercice de leurs tâches.
2. Les États membres notifient à la Commission le nom et l’adresse de l’organe de contrôle qu’ils ont désigné.
3. Le rôle de l’organe de contrôle est le suivant:
| a) | contrôler les prestataires de services de confiance qualifiés établis sur le territoire de l’État membre qui a procédé à la désignation afin de s’assurer, par des activités de contrôle a priori et a posteriori, que ces prestataires de services de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent satisfont aux exigences fixées dans le présent règlement; |
| b) | prendre des mesures, si nécessaire, en ce qui concerne les prestataires de services de confiance non qualifiés établis sur le territoire de l’État membre qui a procédé à la désignation, par des activités de contrôle a posteriori, lorsqu’il est informé que ces prestataires de services de confiance non qualifiés ou les services de confiance qu’ils fournissent ne satisferaient pas aux exigences fixées dans le présent règlement. |
4. Aux fins du paragraphe 3 et sous réserve des limites qu’il prévoit, les tâches de l’organe de contrôle consistent notamment:
| a) | à coopérer avec d’autres organes de contrôle et à leur apporter assistance conformément à l’article 18; |
| b) | à analyser les rapports d’évaluation de la conformité visés à l’article 20, paragraphe 1, et à l’article 21, paragraphe 1; |
| c) | à informer d’autres organes de contrôle et le public d’atteintes à la sécurité ou de pertes d’intégrité conformément à l’article 19, paragraphe 2; |
| d) | à présenter un rapport à la Commission sur ses principales activités conformément au paragraphe 6 du présent article; |
| e) | à procéder à des audits ou à demander à un organisme_d’évaluation_de_la_conformité d’effectuer une évaluation de la conformité des prestataires de services de confiance qualifiés conformément à l’article 20, paragraphe 2; |
| f) | à coopérer avec les autorités chargées de la protection des données, en particulier en les informant, dans les meilleurs délais, des résultats des audits des prestataires de services de confiance qualifiés lorsqu’il apparaît que des règles en matière de protection des données à caractère personnel ont été violées; |
| g) | à accorder le statut qualifié aux prestataires de services de confiance et aux services qu’ils fournissent et à retirer ce statut conformément aux articles 20 et 21; |
| h) | à informer l’organisme chargé de la liste nationale de confiance visée à l’article 22, paragraphe 3, de ses décisions d’accorder ou de retirer le statut qualifié, à moins que cet organisme ne soit également l’organe de contrôle; |
| i) | à vérifier l’existence et l’application correcte de dispositions relatives aux plans d’arrêt d’activité lorsque le prestataire_de_services_de_confiance qualifié cesse son activité, y compris la façon dont les informations restent accessibles conformément à l’article 24, paragraphe 2, point h); |
| j) | à exiger que les prestataires de services de confiance corrigent tout manquement aux obligations fixées par le présent règlement. |
5. Les États membres peuvent exiger de l’organe de contrôle qu’il établisse, gère et actualise une infrastructure de confiance conformément aux conditions prévues par le droit national.
6. Au plus tard le 31 mars de chaque année, chaque organe de contrôle soumet à la Commission un rapport sur ses principales activités de l’année civile précédente, accompagné d’un résumé des notifications d’atteinte à la sécurité reçues de prestataires de services de confiance conformément à l’article 19, paragraphe 2.
7. La Commission met le rapport annuel visé au paragraphe 6 à la disposition des États membres.
8. La Commission peut définir, au moyen d’actes d’exécution, les formats et procédures applicables aux fins du rapport visé au paragraphe 6. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 18
Assistance mutuelle
1. Les organes de contrôle coopèrent en vue d’échanger des bonnes pratiques.
Un organe de contrôle fournit, après réception d’une demande justifiée d’un autre organe de contrôle, à cet organe une assistance afin que les activités des organes de contrôle puissent être exécutées de façon cohérente. L’assistance mutuelle peut notamment couvrir des demandes d’informations et des mesures de contrôle, telles que des demandes de procéder à des inspections liées aux rapports d’évaluation de la conformité visés aux articles 20 et 21.
2. Un organe de contrôle saisi d’une demande d’assistance peut refuser cette demande sur la base de l’un ou l’autre des motifs suivants:
| a) | l’organe de contrôle n’est pas compétent pour fournir l’assistance demandée; |
| b) | l’assistance demandée n’est pas proportionnée aux activités de contrôle de l’organe de contrôle effectuées conformément à l’article 17; |
| c) | la fourniture de l’assistance demandée serait incompatible avec le présent règlement. |
3. Le cas échéant, les États membres peuvent autoriser leurs organes de contrôle respectifs à mener des enquêtes conjointes faisant intervenir des membres des organes de contrôle d’autres États membres. Les modalités et procédures concernant ces actions conjointes sont approuvées et établies par les États membres concernés conformément à leur droit national.
Article 40
Validation et conservation des cachets électroniques qualifiés
Les articles 32, 33 et 34 s’appliquent mutatis mutandis à la validation et à la conservation des cachets électroniques qualifiés.
SECTION 6
Horodatage électronique
Article 49
Réexamen
La Commission procède à un réexamen de l’application du présent règlement et rend compte au Parlement européen et au Conseil, au plus tard le 1er juillet 2020. La Commission évalue, en particulier, s’il convient de modifier le champ d’application du présent règlement ou ses dispositions spécifiques, y compris l’article 6, l’article 7, point f) et les articles 34, 43, 44 et 45, compte tenu de l’expérience acquise dans l’application du présent règlement ainsi que de l’évolution des technologies, du marché et du contexte juridique.
Le rapport visé au premier alinéa est, au besoin, accompagné de propositions législatives.
En outre, la Commission présente au Parlement européen et au Conseil, tous les quatre ans après la présentation du rapport visé au premier alinéa, un rapport sur les progrès accomplis dans la réalisation des objectifs du présent règlement.
Article 52
Entrée en vigueur
1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
2. Le présent règlement est applicable à partir du 1er juillet 2016, à l’exception des dispositions suivantes:
| a) | l’article 8, paragraphe 3, l’article 9, paragraphe 5, l’article 12, paragraphes 2 à 9, l’article 17, paragraphe 8, l’article 19, paragraphe 4, l’article 20, paragraphe 4, l’article 21, paragraphe 4, l’article 22, paragraphe 5, l’article 23, paragraphe 3, l’article 24, paragraphe 5, l’article 27, paragraphes 4 et 5, l’article 28, paragraphe 6, l’article 29, paragraphe 2, l’article 30, paragraphes 3 et 4, l’article 31, paragraphe 3, l’article 32, paragraphe 3, l’article 33, paragraphe 2, l’article 34, paragraphe 2, l’article 37, paragraphes 4 et 5, l’article 38, paragraphe 6, l’article 42, paragraphe 2, l’article 44, paragraphe 2, l’article 45, paragraphe 2, et les articles 47 et 48 sont applicables à partir du 17 septembre 2014; |
| b) | l’article 7, l’article 8, paragraphes 1 et 2, les articles 9, 10, 11, et l’article 12, paragraphe 1, sont applicables à compter de la date d’application des actes d’exécution visés à l’article 8, paragraphe 3, et à l’article 12, paragraphe 8; |
| c) | l’article 6 s’applique après trois ans à compter de la date d’application des actes d’exécution visés à l’article 8, paragraphe 3 et à l’article 12, paragraphe 8. |
3. Lorsque le schéma d’ identification_électronique notifié est inscrit sur la liste publiée par la Commission en application de l’article 9 avant la date visée au paragraphe 2, point c), du présent article, la reconnaissance des moyens d’ identification_électronique dans le cadre de ce schéma en application de l’article 6 a lieu au plus tard douze mois après la publication dudit schéma, mais pas avant la date visée au paragraphe 2, point c), du présent article.
4. Nonobstant le paragraphe 2, point c), du présent article, un État membre peut décider que des moyens d’ identification_électronique relevant d’un schéma d’ identification_électronique notifié en application de l’article 9, paragraphe 1, par un autre État membre sont reconnus dans le premier État membre à compter de la date d’application des actes d’exécution visés à l’article 8, paragraphe 3, et à l’article 12, paragraphe 8. Les États membres concernés informent la Commission. La Commission rend publiques ces informations.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 23 juillet 2014.
Par le Parlement européen
Le président
M. SCHULZ
Par le Conseil
Le président
S. GOZI
(1) JO C 351 du 15.11.2012, p. 73.
(2) Position du Parlement européen du 3 avril 2014 (non encore parue au Journal officiel) et décision du Conseil du 23 juillet 2014.
(3) Directive 1999/93/CE du Parlement européen et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques (JO L 13 du 19.1.2000, p. 12).
(4) JO C 50 E du 21.2.2012, p. 1.
(5) Directive 2006/123/CE du Parlement européen et du Conseil du 12 décembre 2006 relative aux services dans le marché intérieur (JO L 376 du 27.12.2006, p. 36).
(6) Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers (JO L 88 du 4.4.2011, p. 45).
(7) Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31).
(8) Décision 2010/48/CE du Conseil du 26 novembre 2009 concernant la conclusion, par la Communauté européenne, de la convention des Nations unies relative aux droits des personnes handicapées (JO L 23 du 27.1.2010, p. 35).
(9) Règlement (CE) no 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) no 339/93 du Conseil (JO L 218 du 13.8.2008, p. 30).
(10) Décision 2009/767/CE de la Commission du 16 octobre 2009 établissant des mesures destinées à faciliter l’exécution de procédures par voie électronique par l’intermédiaire des «guichets uniques» conformément à la directive 2006/123/CE du Parlement européen et du Conseil relative aux services dans le marché intérieur (JO L 274 du 20.10.2009, p. 36).
(11) Décision 2011/130/UE de la Commission du 25 février 2011 établissant des exigences minimales pour le traitement transfrontalier des documents signés électroniquement par les autorités compétentes conformément à la directive 2006/123/CE du Parlement européen et du Conseil relative aux services dans le marché intérieur (JO L 53 du 26.2.2011, p. 66).
(12) Règlement (UE) no 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).
(13) Règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).
(14) JO C 28 du 30.1.2013, p. 6.
(15) Directive 2014/24/UE du Parlement européen et du Conseil du 26 février 2014 sur la passation des marchés publics et abrogeant la directive 2004/18/CE (JO L 94 du 28.3.2014, p. 65).
ANNEXE I
EXIGENCES APPLICABLES AUX CERTIFICATS QUALIFIÉS DE SIGNATURE ÉLECTRONIQUE
Les certificats qualifiés de signature_électronique contiennent:
| a) | une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié de signature_électronique; |
| b) | un ensemble de données représentant sans ambiguïté le prestataire_de_services_de_confiance qualifié délivrant les certificats qualifiés, comprenant au moins l’État membre dans lequel ce prestataire est établi, et:
|
| c) | au moins le nom du signataire ou un pseudonyme; si un pseudonyme est utilisé, cela est clairement indiqué; |
| d) | des données_de_ validation de la signature_électronique qui correspondent aux données de création de la signature_électronique; |
| e) | des précisions sur le début et la fin de la période de validité du certificat; |
| f) | le code d’identité du certificat, qui doit être unique pour le prestataire_de_services_de_confiance qualifié; |
| g) | la signature_électronique avancée ou le cachet_électronique avancé du prestataire_de_services_de_confiance qualifié délivrant le certificat; |
| h) | l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature_électronique avancée ou le cachet_électronique avancé mentionnés au point g); |
| i) | l’emplacement des services qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié; |
| j) | lorsque les données de création de la signature_électronique associées aux données_de_ validation de la signature_électronique se trouvent dans un dispositif de création de signature_électronique qualifié, une mention l’indiquant, au moins sous une forme adaptée au traitement automatisé. |
ANNEXE II
EXIGENCES APPLICABLES AUX DISPOSITIFS DE CRÉATION DE SIGNATURE ÉLECTRONIQUE QUALIFIÉS
| 1. | Les dispositifs de création de signature_électronique qualifiés garantissent au moins, par des moyens techniques et des procédures appropriés, que:
|
| 2. | Les dispositifs de création de signature_électronique qualifiés ne modifient pas les données à signer et n’empêchent pas la présentation de ces données au signataire avant la signature. |
| 3. | La génération ou la gestion de données de création de signature_électronique pour le compte du signataire peut être seulement confiée à un prestataire_de_services_de_confiance qualifié. |
| 4. | Sans préjudice du paragraphe 1, point d), un prestataire_de_services_de_confiance qualifié gérant des données de création de signature_électronique pour le compte d’un signataire ne peut reproduire les données de création de signature_électronique qu’à des fins de sauvegarde, sous réserve du respect des exigences suivantes:
|
ANNEXE III
EXIGENCES APPLICABLES AUX CERTIFICATS QUALIFIÉS DE CACHET ÉLECTRONIQUE
Les certificats qualifiés de cachet_électronique contiennent:
| a) | une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié de cachet_électronique; |
| b) | un ensemble de données représentant sans ambiguïté le prestataire_de_services_de_confiance qualifié délivrant les certificats qualifiés, comprenant au moins l’État membre dans lequel ce prestataire est établi et:
|
| c) | au moins le nom du créateur du cachet et, le cas échéant, son numéro d’immatriculation tels qu’ils figurent dans les registres officiels; |
| d) | des données_de_ validation du cachet_électronique, qui correspondent aux données de création du cachet_électronique; |
| e) | des précisions sur le début et la fin de la période de validité du certificat; |
| f) | le code d’identité du certificat, qui doit être unique pour le prestataire_de_services_de_confiance qualifié; |
| g) | la signature_électronique avancée ou le cachet_électronique avancé du prestataire_de_services_de_confiance qualifié délivrant le certificat; |
| h) | l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature_électronique avancée ou le cachet_électronique avancé mentionnés au point g); |
| i) | l’emplacement des services qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié; |
| j) | lorsque les données de création du cachet_électronique associées aux données_de_ validation du cachet_électronique se trouvent dans un dispositif de création de cachet_électronique qualifié, une mention l’indiquant, au moins sous une forme adaptée au traitement automatisé. |
ANNEXE IV
EXIGENCES APPLICABLES AUX CERTIFICATS QUALIFIÉS D’AUTHENTIFICATION DE SITE INTERNET
Les certificats qualifiés d’ authentification de site internet contiennent:
| a) | une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié d’ authentification de site internet; |
| b) | un ensemble de données représentant sans ambiguïté le prestataire_de_services_de_confiance qualifié délivrant les certificats qualifiés, comprenant au moins l’État membre dans lequel ce prestataire est établi et:
|
| c) | pour les personnes physiques: au moins le nom de la personne à qui le certificat a été délivré, ou un pseudonyme. Si un pseudonyme est utilisé, cela est clairement indiqué; pour les personnes morales: au moins le nom de la personne morale à laquelle le certificat est délivré et, le cas échéant, son numéro d’immatriculation, tels qu’ils figurent dans les registres officiels; |
| d) | des éléments de l’adresse, dont au moins la ville et l’État, de la personne physique ou morale à laquelle le certificat est délivré et, le cas échéant, ces éléments tels qu’ils figurent dans les registres officiels; |
| e) | le(s) nom(s) de domaine exploité(s) par la personne physique ou morale à laquelle le certificat est délivré; |
| f) | des précisions sur le début et la fin de la période de validité du certificat; |
| g) | le code d’identité du certificat, qui doit être unique pour le prestataire_de_services_de_confiance qualifié; |
| h) | la signature_électronique avancée ou le cachet_électronique avancé du prestataire_de_services_de_confiance qualifié délivrant le certificat; |
| i) | l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature_électronique avancée ou le cachet_électronique avancé visés au point h); |
| j) | l’emplacement des services de statut de validité des certificats qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié. |
whereas