EIDAS 2014/0910 FR

1. Un schéma d’ identification_électronique notifié en vertu de l’article 9, paragraphe 1, détermine les spécifications des niveaux de garantie faible, substantiel et/ou élevé des moyens d’ identification_électronique délivrés dans le cadre dudit schéma.

2. Les niveaux de garantie faible, substantiel et élevé satisfont, respectivement, aux critères suivants:

le niveau de garantie faible renvoie à un moyen d’ identification_électronique dans le cadre d’un schéma d’ identification_électronique qui accorde un degré limité de fiabilité à l’identité revendiquée ou prétendue d’une personne, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l’objectif est de réduire le risque d’utilisation abusive ou d’altération de l’identité;

le niveau de garantie substantiel renvoie à un moyen d’ identification_électronique dans le cadre d’un schéma d’ identification_électronique qui accorde un degré substantiel de fiabilité à l’identité revendiquée ou prétendue d’une personne, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l’objectif est de réduire substantiellement le risque d’utilisation abusive ou d’altération de l’identité;

le niveau de garantie élevé renvoie à un moyen d’ identification_électronique dans le cadre d’un schéma d’ identification_électronique qui accorde un niveau de fiabilité à l’identité revendiquée ou prétendue d’une personne plus élevé qu’un moyen d’ identification_électronique ayant le niveau de garantie substantiel, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l’objectif est d’empêcher l’utilisation abusive ou l’altération de l’identité.

3. Au plus tard le 18 septembre 2015, compte tenu des normes internationales pertinentes et sous réserve du paragraphe 2, la Commission fixe, au moyen d’actes d’exécution, les spécifications techniques, normes et procédures minimales sur la base desquelles les niveaux de garantie faible, substantiel et élevé sont spécifiés pour les moyens d’ identification_électronique aux fins du paragraphe 1.

Ces spécifications techniques, normes et procédures minimales sont fixées par référence à la fiabilité et à la qualité des éléments suivants:

a)	la procédure visant à prouver et vérifier l’identité des personnes physiques ou morales demandant la délivrance de moyens d’ identification_électronique;

b)	la procédure de délivrance des moyens d’ identification_électronique demandés;

c)	le mécanisme d’ authentification au moyen duquel la personne physique ou morale utilise le moyen d’ identification_électronique pour confirmer son identité à une partie_utilisatrice;

d)	l’entité délivrant les moyens d’ identification_électronique;

e)	tout autre organisme associé à la demande de délivrance de moyens d’ identification_électronique; et

f)	les spécifications techniques et de sécurité des moyens d’ identification_électronique délivrés.

Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 9

Notification

1. L’État membre notifiant notifie les informations suivantes à la Commission et lui communique toute modification ultérieure qui leur est apportée dans les meilleurs délais:

a)	une description du schéma d’ identification_électronique, y compris ses niveaux de garantie et l’entité ou les entités qui délivrent les moyens d’ identification_électronique relevant de ce schéma;

le régime de contrôle applicable et des informations sur la responsabilité en ce qui concerne les aspects suivants:

i)	la partie qui délivre le moyen d’ identification_électronique; et

ii)	la partie qui gère la procédure d’ authentification;

c)	l’autorité ou les autorités responsables du schéma d’ identification_électronique;

d)	des informations sur l’entité ou les entités qui gèrent l’enregistrement des données_d’identification_personnelle uniques;

e)	une description de la façon dont il est satisfait aux exigences énoncées dans l’acte d’exécution visé à l’article 12, paragraphe 8;

f)	une description de l’ authentification visée à l’article 7, point f);

g)	les dispositions concernant la suspension ou la révocation du schéma d’ identification_électronique notifié, de l’ authentification ou des parties compromises concernées.

2. Un an à compter de la date d’application des actes d’exécution visés à l’article 8, paragraphe 3, et à l’article 12, paragraphe 8, la Commission publie au Journal officiel de l’Union européenne la liste des schémas d’ identification_électronique qui ont été notifiés en vertu du paragraphe 1, et les informations essentielles à leur sujet.

3. Si la Commission reçoit une notification après expiration du délai visé au paragraphe 2, elle publie au Journal officiel de l’Union européenne les modifications apportées à la liste visée au paragraphe 2 dans les deux mois à compter de la date de réception de cette notification.

4. Un État membre peut soumettre à la Commission une demande visant à retirer de la liste visée au paragraphe 2 le schéma d’ identification_électronique qu’il a notifié. La Commission publie au Journal officiel de l’Union européenne les modifications correspondantes apportées à la liste dans un délai d’un mois à compter de la date de réception de la demande de l’État membre.

5. La Commission peut définir, au moyen d’actes d’exécution, les circonstances, les formats et les procédures pour les notifications au titre du paragraphe 1. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 10

Atteinte à la sécurité

1. En cas d’atteinte ou d’altération partielle du schéma d’ identification_électronique notifié en application de l’article 9, paragraphe 1, ou de l’ authentification visée à l’article 7, point f), telle qu’elle affecte la fiabilité de l’ authentification transfrontalière de ce schéma, l’État membre notifiant suspend ou révoque, immédiatement, cette authentification transfrontalière ou les éléments altérés en cause, et en informe les autres États membres et la Commission.

2. Lorsqu’il a été remédié à l’atteinte ou à l’altération visée au paragraphe 1, l’État membre notifiant rétablit l’ authentification transfrontalière et en informe les autres États membres et la Commission dans les meilleurs délais.

3. S’il n’est pas remédié à l’atteinte ou à l’altération visée au paragraphe 1 dans un délai de trois mois à compter de la suspension ou de la révocation, l’État membre notifiant notifie le retrait du schéma d’ identification_électronique aux autres États membres et à la Commission.

La Commission publie, dans les meilleurs délais, au Journal officiel de l’Union européenne, les modifications correspondantes apportées à la liste visée à l’article 9, paragraphe 2.

Article 12

Coopération et interopérabilité

1. Les schémas nationaux d’ identification_électronique notifiés en vertu de l’article 9, paragraphe 1, sont interopérables.

2. Aux fins du paragraphe 1, un cadre d’interopérabilité est établi.

3. Le cadre d’interopérabilité satisfait aux critères suivants:

a)	il vise à être neutre du point de vue technologique et n’opère pas de discrimination entre l’une ou l’autre des solutions techniques nationales particulières destinées à l’ identification_électronique au sein d’un État membre;

b)	il suit les normes européennes et internationales, dans la mesure du possible;

c)	il facilite la mise en œuvre du principe du respect de la vie privée dès la conception; et

d)	il garantit que les données à caractère personnel sont traitées conformément à la directive 95/46/CE.

4. Le cadre d’interopérabilité est composé:

a)	d’une référence aux exigences techniques minimales liées aux niveaux de garantie prévus à l’article 8;

b)	d’une table de correspondance entre les niveaux de garantie nationaux des schémas d’ identification_électronique notifiés et les niveaux de garantie au titre de l’article 8;

c)	d’une référence aux exigences techniques minimales en matière d’interopérabilité;

d)	d’une référence à un ensemble minimal de données_d’identification_personnelle représentant de manière univoque une personne physique ou morale, qui est disponible dans les schémas d’ identification_électronique;

e)	de règles de procédure;

f)	de dispositions pour le règlement des litiges; et

g)	de normes opérationnelles communes de sécurité.

5. Les États membres coopèrent en ce qui concerne:

a)	l’interopérabilité des schémas d’ identification_électronique notifiés en application de l’article 9, paragraphe 1, et des schémas d’ identification_électronique que les États membres entendent notifier; et

b)	la sécurité des schémas d’ identification_électronique.

6. La coopération entre les États membres consiste:

a)	en un échange d’informations, d’expériences et de bonnes pratiques en ce qui concerne les schémas d’ identification_électronique, notamment les exigences techniques liées à l’interopérabilité et aux niveaux de garantie;

b)	en un échange d’informations, d’expériences et de bonnes pratiques en ce qui concerne l’utilisation des niveaux de garantie des schémas d’ identification_électronique prévus à l’article 8;

c)	en une évaluation par les pairs des schémas d’ identification_électronique relevant du présent règlement; et

d)	en un examen des évolutions pertinentes dans le secteur de l’ identification_électronique.

7. Au plus tard le 18 mars 2015, la Commission fixe, au moyen d’actes d’exécution, les modalités de procédure nécessaires pour faciliter la coopération entre les États membres visée aux paragraphes 5 et 6, en vue de favoriser un niveau élevé de confiance et de sécurité approprié au degré de risque.

8. Au plus tard le 18 septembre 2015, aux fins de fixer des conditions uniformes d’exécution de l’obligation prévue au paragraphe 1, la Commission adopte, sous réserve des critères énoncés au paragraphe 3 et compte tenu des résultats de la coopération entre les États membres, des actes d’exécution sur le cadre d’interopérabilité énoncé au paragraphe 4.

9. Les actes d’exécution visés aux paragraphes 7 et 8 du présent article sont adoptés en conformité avec la procédure d’examen visés à l’article 48, paragraphe 2.

CHAPITRE III

SERVICES DE CONFIANCE

SECTION 1

Dispositions générales

Article 19

Exigences de sécurité applicables aux prestataires de services de confiance

1. Les prestataires de services de confiance qualifiés et non qualifiés prennent les mesures techniques et organisationnelles adéquates pour gérer les risques liés à la sécurité des services de confiance qu’ils fournissent. compte tenu des évolutions technologiques les plus récentes, ces mesures garantissent que le niveau de sécurité est proportionné au degré de risque. Des mesures sont notamment prises en vue de prévenir et de limiter les conséquences d’incidents liés à la sécurité et d’informer les parties concernées des effets préjudiciables de tels incidents.

2. Les prestataires de services de confiance qualifiés et non qualifiés notifient, dans les meilleurs délais et en tout état de cause dans un délai de vingt-quatre heures après en avoir eu connaissance, à l’organe de contrôle et, le cas échéant, à d’autres organismes concernés, tels que l’organisme national compétent en matière de sécurité de l’information ou l’autorité chargée de la protection des données, toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence importante sur le service_de_confiance fourni ou sur les données à caractère personnel qui y sont conservées.

Lorsque l’atteinte à la sécurité ou la perte d’intégrité est susceptible de porter préjudice à une personne physique ou morale à laquelle le service_de_confiance a été fourni, le prestataire_de_services_de_confiance notifie aussi, dans les meilleurs délais, à la personne physique ou morale l’atteinte à la sécurité ou la perte d’intégrité.

Le cas échéant, notamment lorsqu’une atteinte à la sécurité ou une perte d’intégrité concerne deux États membres ou plus, l’organe de contrôle notifié informe les organes de contrôle des autres États membres concernés ainsi que l'ENISA.

L’organe de contrôle notifié informe le public ou exige du prestataire_de_services_de_confiance qu’il le fasse, dès lors qu’il constate qu’il est dans l’intérêt public de divulguer l’atteinte à la sécurité ou la perte d’intégrité.

3. Une fois par an, l’organe de contrôle fournit à l'ENISA un résumé des notifications d’atteinte à la sécurité et de perte d’intégrité reçues de prestataires de services de confiance.

4. La Commission peut, au moyen d’actes d’exécution:

a)	préciser davantage les mesures visées au paragraphe 1; et

b)	définir les formats et procédures, y compris les délais, applicables aux fins du paragraphe 2.

Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

SECTION 3

Services de confiance qualifiés

Article 20

Contrôle des prestataires de services de confiance qualifiés

1. Les prestataires de services de confiance qualifiés font l’objet, au moins tous les vingt-quatre mois, d’un audit effectué à leurs frais par un organisme_d’évaluation_de_la_conformité. Le but de l’audit est de confirmer que les prestataires de services de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent remplissent les exigences fixées par le présent règlement. Les prestataires de services de confiance qualifiés transmettent le rapport d’évaluation de la conformité à l’organe de contrôle dans un délai de trois jours ouvrables qui suivent sa réception.

2. Sans préjudice du paragraphe 1, l’organe de contrôle peut à tout moment, soumettre les prestataires de services de confiance qualifiés à un audit ou demander à un organisme_d’évaluation_de_la_conformité de procéder à une évaluation de la conformité des prestataires de services de confiance qualifiés, aux frais de ces prestataires de services de confiance, afin de confirmer que les prestataires et les services de confiance qualifiés qu’ils fournissent remplissent les exigences fixées par le présent règlement. L’organe de contrôle informe les autorités chargées de la protection des données des résultats de ses audits lorsqu’il apparaît que les règles en matière de protection des données à caractère personnel ont été violées.

3. Lorsque l’organe de contrôle exige du prestataire_de_services_de_confiance qualifié qu’il corrige un manquement aux exigences prévues par le présent règlement et que le prestataire n’agit pas en conséquence, et le cas échéant dans un délai fixé par l’organe de contrôle, l’organe de contrôle, tenant compte, en particulier, de l’ampleur, de la durée et des conséquences de ce manquement, peut retirer à ce prestataire ou au service affecté le statut qualifié et informe l’organisme visé à l’article 22, paragraphe 3, aux fins de la mise à jour des listes de confiance visées à l’article 22, paragraphe 1. L’organe de contrôle informe le prestataire_de_services_de_confiance qualifié du retrait de son statut qualifié ou du retrait du statut qualifié du service concerné.

4. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes suivantes:

a)	accréditation des organismes d’évaluation de la conformité et rapports d’évaluation de la conformité visés au paragraphe 1;

b)	règles d’audit en fonction desquelles les organismes d’évaluation de la conformité procéderont à leur évaluation de la conformité des prestataires de services de confiance qualifiés visés au paragraphe 1.

Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 21

Lancement d’un service_de_confiance qualifié

1. Lorsque des prestataires de services de confiance, sans statut qualifié, ont l’intention de commencer à offrir des services de confiance qualifiés, ils soumettent à l’organe de contrôle une notification de leur intention accompagnée d’un rapport d’évaluation de la conformité délivré par un organisme_d’évaluation_de_la_conformité.

2. L’organe de contrôle vérifie que le prestataire_de_services_de_confiance et les services de confiance qu’il fournit respectent les exigences fixées par le présent règlement, en particulier les exigences en ce qui concerne les prestataires de services de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent.

Si l’organe de contrôle conclut que le prestataire_de_services_de_confiance et les services de confiance qu’il fournit respectent les exigences visées au premier alinéa, l’organe de contrôle accorde le statut qualifié au prestataire_de_services_de_confiance et aux services de confiance qu’il fournit et informe l’organisme visé à l’article 22, paragraphe 3, aux fins de la mise à jour des listes de confiance visées à l’article 22, paragraphe 1, au plus tard trois mois suivant la notification conformément au paragraphe 1 du présent article.

Si la vérification n’est pas terminée dans un délai de trois mois à compter de la notification, l’organe de contrôle en informe le prestataire_de_services_de_confiance en précisant les raisons du retard et le délai nécessaire pour terminer la vérification.

3. Les prestataires de services de confiance qualifiés peuvent commencer à fournir le service_de_confiance qualifié une fois que le statut qualifié est indiqué sur les listes de confiance visées à l’article 22, paragraphe 1.

4. La Commission peut définir, au moyen d’actes d’exécution, les formats et les procédures applicables aux fins des paragraphes 1 et 2. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 27

Signatures électroniques dans les services publics

1. Si un État membre exige une signature_électronique avancée pour utiliser un service en ligne offert par un organisme du secteur public ou pour l’utiliser au nom de cet organisme, il reconnaît les signatures électroniques avancées, les signatures électroniques avancées qui reposent sur un certificat qualifié de signature_électronique et les signatures électroniques qualifiées au moins dans les formats ou utilisant les méthodes définis dans les actes d’exécution visés au paragraphe 5.

2. Si un État membre exige une signature_électronique avancée qui repose sur un certificat qualifié pour utiliser un service en ligne proposé par un organisme du secteur public ou pour l’utiliser au nom de cet organisme, il reconnaît les signatures électroniques avancées qui reposent sur un certificat qualifié et les signatures électroniques qualifiées au moins dans les formats ou utilisant les méthodes définis dans les actes d’exécution visés au paragraphe 5.

3. Les États membres n’exigent pas, pour une utilisation transfrontalière dans un service en ligne offert par un organisme du secteur public, de signature_électronique présentant un niveau de sécurité supérieur à celui de la signature_électronique qualifiée.

4. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux signatures électroniques avancées. Une signature_électronique avancée est présumée satisfaire aux exigences applicables aux signatures électroniques avancées visées aux paragraphes 1 et 2 du présent article et à l’article 26 lorsqu’elle respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

5. Au plus tard le 18 septembre 2015, et compte tenu des pratiques et des normes ainsi que des actes juridiques de l’Union en vigueur, la Commission définit, au moyen d’actes d’exécution, les formats de référence des signatures électroniques avancées ou les méthodes de référence lorsque d’autres formats sont utilisés. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 28

Certificats qualifiés de signature_électronique

1. Les certificats qualifiés de signature_électronique satisfont aux exigences fixées à l’annexe I.

2. Les certificats qualifiés de signature_électronique ne font l’objet d’aucune exigence obligatoire allant au-delà des exigences fixées à l’annexe I.

3. Les certificats qualifiés de signature_électronique peuvent comprendre des attributs spécifiques supplémentaires non obligatoires. Ces attributs n’affectent pas l’interopérabilité et la reconnaissance des signatures électroniques qualifiées.

4. Si un certificat qualifié de signature_électronique a été révoqué après la première activation, il perd sa validité à compter du moment de sa révocation et il ne peut en aucun cas recouvrer son statut antérieur.

5. Sous réserve des conditions suivantes, les États membres peuvent établir des règles nationales relatives à la suspension temporaire d’un certificat qualifié de signature_électronique:

a)	si un certificat qualifié de signature_électronique a été temporairement suspendu, ce certificat perd sa validité pendant la période de suspension.

b)	la période de suspension est clairement indiquée dans la base de données relative aux certificats et le statut de suspension est visible, pendant la période de suspension, auprès du service fournissant les informations sur le statut du certificat.

6. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux certificats qualifiés de signature_électronique. Un certificat qualifié de signature_électronique est présumé satisfaire aux exigences fixées à l’annexe I lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 37

Cachets électroniques dans les services publics

1. Si un État membre exige un cachet_électronique avancé pour utiliser un service en ligne offert par un organisme du secteur public ou pour l’utiliser au nom de cet organisme, il reconnaît les cachets électroniques avancés, les cachets électroniques avancés qui reposent sur un certificat qualifié de cachet_électronique et les cachets électroniques qualifiés au moins dans les formats ou utilisant les méthodes définis dans les actes d’exécutions visés au paragraphe 5.

2. Si un État membre exige un cachet_électronique avancé qui repose sur un certificat qualifié pour utiliser un service en ligne proposé par un organisme du secteur public ou pour l’utiliser au nom de cet organisme, il reconnaît les cachets électroniques avancés qui reposent sur un certificat qualifié et les cachets électroniques qualifiés au moins dans les formats ou utilisant les méthodes définis dans les actes d’exécution visés au paragraphe 5.

3. Les États membres n’exigent pas, pour l’utilisation transfrontalière dans un service en ligne offert par un organisme du secteur public, de cachet_électronique présentant un niveau de sécurité supérieur à celui du cachet_électronique qualifié.

4. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux cachets électroniques avancés. Un cachet_électronique avancé est présumé satisfaire aux exigences applicables aux cachets électroniques avancés visées aux paragraphes 1 et 2 du présent article et à l’article 36 lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

5. Au plus tard le 18 septembre 2015, et compte tenu des pratiques et des normes ainsi que des actes juridiques de l’Union en vigueur, la Commission définit, au moyen d’actes d’exécution, les formats de référence des cachets électroniques avancés ou les méthodes de référence lorsque d’autres formats sont utilisés. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 38

Certificats qualifiés de cachet_électronique

1. Les certificats qualifiés de cachet_électronique satisfont aux exigences fixées à l’annexe III.

2. Les certificats qualifiés de cachet_électronique ne font l’objet d’aucune exigence obligatoire allant au-delà des exigences fixées à l’annexe III.

3. Les certificats qualifiés de cachet_électronique peuvent comprendre des attributs spécifiques supplémentaires non obligatoires. Ces attributs n’affectent pas l’interopérabilité et la reconnaissance des cachets électroniques qualifiés.

4. Si un certificat qualifié de cachet_électronique a été révoqué après la première activation, il perd sa validité à compter du moment de sa révocation et il ne peut en aucun cas recouvrer son statut antérieur.

5. Sous réserve des conditions suivantes, les États membres peuvent établir des règles nationales relatives à la suspension temporaire de certificats qualifiés de cachet_électronique:

a)	si un certificat qualifié de cachet_électronique a été temporairement suspendu, ce certificat perd sa validité pendant la période de suspension;

b)	la période de suspension est clairement indiquée dans la base de données relative aux certificats et le statut de suspension est visible, pendant la période de suspension, auprès du service fournissant les informations sur le statut du certificat.

6. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux certificats qualifiés de cachet_électronique. Un certificat qualifié de cachet_électronique est présumé satisfaire aux exigences fixées à l’annexe III lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 47

Exercice de la délégation

1. Le pouvoir d’adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

2. Le pouvoir d’adopter des actes délégués visé à l’article 30, paragraphe 4, est conféré à la Commission pour une durée indéterminée à compter du 17 septembre 2014.

3. La délégation de pouvoir visée à l’article 30, paragraphe 4, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l’Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.

4. Aussitôt qu’elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.

5. Un acte délégué adopté en vertu de l’article 30, paragraphe 4, n’entre en vigueur que si le Parlement européen ou le Conseil n’a pas exprimé d’objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l’expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d’objections. Ce délai est prolongé de deux mois à l’initiative du Parlement européen ou du Conseil.

Article 49

Réexamen

La Commission procède à un réexamen de l’application du présent règlement et rend compte au Parlement européen et au Conseil, au plus tard le 1er juillet 2020. La Commission évalue, en particulier, s’il convient de modifier le champ d’application du présent règlement ou ses dispositions spécifiques, y compris l’article 6, l’article 7, point f) et les articles 34, 43, 44 et 45, compte tenu de l’expérience acquise dans l’application du présent règlement ainsi que de l’évolution des technologies, du marché et du contexte juridique.

Le rapport visé au premier alinéa est, au besoin, accompagné de propositions législatives.

En outre, la Commission présente au Parlement européen et au Conseil, tous les quatre ans après la présentation du rapport visé au premier alinéa, un rapport sur les progrès accomplis dans la réalisation des objectifs du présent règlement.

Article 52

Entrée en vigueur

1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

2. Le présent règlement est applicable à partir du 1er juillet 2016, à l’exception des dispositions suivantes:

l’article 8, paragraphe 3, l’article 9, paragraphe 5, l’article 12, paragraphes 2 à 9, l’article 17, paragraphe 8, l’article 19, paragraphe 4, l’article 20, paragraphe 4, l’article 21, paragraphe 4, l’article 22, paragraphe 5, l’article 23, paragraphe 3, l’article 24, paragraphe 5, l’article 27, paragraphes 4 et 5, l’article 28, paragraphe 6, l’article 29, paragraphe 2, l’article 30, paragraphes 3 et 4, l’article 31, paragraphe 3, l’article 32, paragraphe 3, l’article 33, paragraphe 2, l’article 34, paragraphe 2, l’article 37, paragraphes 4 et 5, l’article 38, paragraphe 6, l’article 42, paragraphe 2, l’article 44, paragraphe 2, l’article 45, paragraphe 2, et les articles 47 et 48 sont applicables à partir du 17 septembre 2014;

b)	l’article 7, l’article 8, paragraphes 1 et 2, les articles 9, 10, 11, et l’article 12, paragraphe 1, sont applicables à compter de la date d’application des actes d’exécution visés à l’article 8, paragraphe 3, et à l’article 12, paragraphe 8;

c)	l’article 6 s’applique après trois ans à compter de la date d’application des actes d’exécution visés à l’article 8, paragraphe 3 et à l’article 12, paragraphe 8.

3. Lorsque le schéma d’ identification_électronique notifié est inscrit sur la liste publiée par la Commission en application de l’article 9 avant la date visée au paragraphe 2, point c), du présent article, la reconnaissance des moyens d’ identification_électronique dans le cadre de ce schéma en application de l’article 6 a lieu au plus tard douze mois après la publication dudit schéma, mais pas avant la date visée au paragraphe 2, point c), du présent article.

4. Nonobstant le paragraphe 2, point c), du présent article, un État membre peut décider que des moyens d’ identification_électronique relevant d’un schéma d’ identification_électronique notifié en application de l’article 9, paragraphe 1, par un autre État membre sont reconnus dans le premier État membre à compter de la date d’application des actes d’exécution visés à l’article 8, paragraphe 3, et à l’article 12, paragraphe 8. Les États membres concernés informent la Commission. La Commission rend publiques ces informations.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 23 juillet 2014.

Par le Parlement européen

Le président

M. SCHULZ

Par le Conseil

Le président

S. GOZI

(1) JO C 351 du 15.11.2012, p. 73.

(2) Position du Parlement européen du 3 avril 2014 (non encore parue au Journal officiel) et décision du Conseil du 23 juillet 2014.

(3) Directive 1999/93/CE du Parlement européen et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques (JO L 13 du 19.1.2000, p. 12).

(4) JO C 50 E du 21.2.2012, p. 1.

(5) Directive 2006/123/CE du Parlement européen et du Conseil du 12 décembre 2006 relative aux services dans le marché intérieur (JO L 376 du 27.12.2006, p. 36).

(6) Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers (JO L 88 du 4.4.2011, p. 45).

(7) Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31).

(8) Décision 2010/48/CE du Conseil du 26 novembre 2009 concernant la conclusion, par la Communauté européenne, de la convention des Nations unies relative aux droits des personnes handicapées (JO L 23 du 27.1.2010, p. 35).

(9) Règlement (CE) no 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) no 339/93 du Conseil (JO L 218 du 13.8.2008, p. 30).

(10) Décision 2009/767/CE de la Commission du 16 octobre 2009 établissant des mesures destinées à faciliter l’exécution de procédures par voie électronique par l’intermédiaire des «guichets uniques» conformément à la directive 2006/123/CE du Parlement européen et du Conseil relative aux services dans le marché intérieur (JO L 274 du 20.10.2009, p. 36).

(11) Décision 2011/130/UE de la Commission du 25 février 2011 établissant des exigences minimales pour le traitement transfrontalier des documents signés électroniquement par les autorités compétentes conformément à la directive 2006/123/CE du Parlement européen et du Conseil relative aux services dans le marché intérieur (JO L 53 du 26.2.2011, p. 66).

(12) Règlement (UE) no 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).

(13) Règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).

(14) JO C 28 du 30.1.2013, p. 6.

(15) Directive 2014/24/UE du Parlement européen et du Conseil du 26 février 2014 sur la passation des marchés publics et abrogeant la directive 2004/18/CE (JO L 94 du 28.3.2014, p. 65).

ANNEXE I

EXIGENCES APPLICABLES AUX CERTIFICATS QUALIFIÉS DE SIGNATURE ÉLECTRONIQUE

Les certificats qualifiés de signature_électronique contiennent:

a)	une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié de signature_électronique;

un ensemble de données représentant sans ambiguïté le prestataire_de_services_de_confiance qualifié délivrant les certificats qualifiés, comprenant au moins l’État membre dans lequel ce prestataire est établi, et:

—	pour une personne morale: le nom et, le cas échéant, le numéro d’immatriculation tels qu’ils figurent dans les registres officiels,

—	pour une personne physique: le nom de la personne;

c)	au moins le nom du signataire ou un pseudonyme; si un pseudonyme est utilisé, cela est clairement indiqué;

d)	des données_de_ validation de la signature_électronique qui correspondent aux données de création de la signature_électronique;

e)	des précisions sur le début et la fin de la période de validité du certificat;

f)	le code d’identité du certificat, qui doit être unique pour le prestataire_de_services_de_confiance qualifié;

g)	la signature_électronique avancée ou le cachet_électronique avancé du prestataire_de_services_de_confiance qualifié délivrant le certificat;

h)	l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature_électronique avancée ou le cachet_électronique avancé mentionnés au point g);

i)	l’emplacement des services qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié;

j)	lorsque les données de création de la signature_électronique associées aux données_de_ validation de la signature_électronique se trouvent dans un dispositif de création de signature_électronique qualifié, une mention l’indiquant, au moins sous une forme adaptée au traitement automatisé.

ANNEXE II

EXIGENCES APPLICABLES AUX DISPOSITIFS DE CRÉATION DE SIGNATURE ÉLECTRONIQUE QUALIFIÉS

Les dispositifs de création de signature_électronique qualifiés garantissent au moins, par des moyens techniques et des procédures appropriés, que:

a)	la confidentialité des données de création de signature_électronique utilisées pour créer la signature_électronique est suffisamment assurée;

b)	les données de création de signature_électronique utilisées pour créer la signature_électronique ne peuvent être pratiquement établies qu’une seule fois;

l’on peut avoir l’assurance suffisante que les données de création de signature_électronique utilisées pour créer la signature_électronique ne peuvent être trouvées par déduction et que la signature_électronique est protégée de manière fiable contre toute falsification par les moyens techniques actuellement disponibles;

d)	les données de création de signature_électronique utilisées pour créer la signature_électronique peuvent être protégées de manière fiable par le signataire légitime contre leur utilisation par d’autres.

Les dispositifs de création de signature_électronique qualifiés ne modifient pas les données à signer et n’empêchent pas la présentation de ces données au signataire avant la signature.

La génération ou la gestion de données de création de signature_électronique pour le compte du signataire peut être seulement confiée à un prestataire_de_services_de_confiance qualifié.

Sans préjudice du paragraphe 1, point d), un prestataire_de_services_de_confiance qualifié gérant des données de création de signature_électronique pour le compte d’un signataire ne peut reproduire les données de création de signature_électronique qu’à des fins de sauvegarde, sous réserve du respect des exigences suivantes:

a)	le niveau de sécurité des ensembles de données re produits doit être équivalent à celui des ensembles de données d’origine;

b)	le nombre d’ensembles de données re produits n’excède pas le minimum nécessaire pour assurer la continuité du service.

ANNEXE III

EXIGENCES APPLICABLES AUX CERTIFICATS QUALIFIÉS DE CACHET ÉLECTRONIQUE

Les certificats qualifiés de cachet_électronique contiennent:

a)	une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié de cachet_électronique;

—	pour une personne morale: le nom et, le cas échéant, le numéro d’immatriculation tels qu’ils figurent dans les registres officiels,

—	pour une personne physique: le nom de la personne;

c)	au moins le nom du créateur du cachet et, le cas échéant, son numéro d’immatriculation tels qu’ils figurent dans les registres officiels;

d)	des données_de_ validation du cachet_électronique, qui correspondent aux données de création du cachet_électronique;

e)	des précisions sur le début et la fin de la période de validité du certificat;

f)	le code d’identité du certificat, qui doit être unique pour le prestataire_de_services_de_confiance qualifié;

g)	la signature_électronique avancée ou le cachet_électronique avancé du prestataire_de_services_de_confiance qualifié délivrant le certificat;

h)	l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature_électronique avancée ou le cachet_électronique avancé mentionnés au point g);

i)	l’emplacement des services qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié;

j)	lorsque les données de création du cachet_électronique associées aux données_de_ validation du cachet_électronique se trouvent dans un dispositif de création de cachet_électronique qualifié, une mention l’indiquant, au moins sous une forme adaptée au traitement automatisé.

ANNEXE IV

EXIGENCES APPLICABLES AUX CERTIFICATS QUALIFIÉS D’AUTHENTIFICATION DE SITE INTERNET

Les certificats qualifiés d’ authentification de site internet contiennent:

a)	une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié d’ authentification de site internet;

—	pour une personne morale: le nom et, le cas échéant, le numéro d’immatriculation tels qu’ils figurent dans les registres officiels,

—	pour une personne physique: le nom de la personne;

pour les personnes physiques: au moins le nom de la personne à qui le certificat a été délivré, ou un pseudonyme. Si un pseudonyme est utilisé, cela est clairement indiqué;

pour les personnes morales: au moins le nom de la personne morale à laquelle le certificat est délivré et, le cas échéant, son numéro d’immatriculation, tels qu’ils figurent dans les registres officiels;

d)	des éléments de l’adresse, dont au moins la ville et l’État, de la personne physique ou morale à laquelle le certificat est délivré et, le cas échéant, ces éléments tels qu’ils figurent dans les registres officiels;

e)	le(s) nom(s) de domaine exploité(s) par la personne physique ou morale à laquelle le certificat est délivré;

f)	des précisions sur le début et la fin de la période de validité du certificat;

g)	le code d’identité du certificat, qui doit être unique pour le prestataire_de_services_de_confiance qualifié;

h)	la signature_électronique avancée ou le cachet_électronique avancé du prestataire_de_services_de_confiance qualifié délivrant le certificat;

i)	l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature_électronique avancée ou le cachet_électronique avancé visés au point h);

j)	l’emplacement des services de statut de validité des certificats qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié.

whereas

(11) Le présent règlement devrait être appliqué dans le respect total des principes relatifs à la protection des données à caractère personnel prévus dans la directive 95/46/CE du Parlement européen et du Conseil (7). À cet égard, compte tenu du principe de la reconnaissance mutuelle établi par le présent règlement, l’ authentification pour un service en ligne ne devrait concerner que le traitement des données d’identification qui sont adéquates, pertinentes et non excessives afin de permettre l’accès audit service en ligne.
En outre, il y a lieu que les prestataires de services de confiance et les organes de contrôle satisfassent aux exigences de confidentialité et de sécurité des traitements imposées par la directive 95/46/CE.

- = -

(16) Les niveaux de garantie devraient caractériser le niveau de fiabilité d’un moyen d’ identification_électronique pour établir l’identité d’une personne, garantissant ainsi que la personne revendiquant une identité particulière est bien la personne à laquelle cette identité a été attribuée.
Le niveau de garantie dépend du niveau de fiabilité que le moyen d’ identification_électronique accorde à l’identité revendiquée ou prétendue d’une personne en tenant compte des processus (par exemple, preuve et vérification d’identité, et authentification), des activités de gestion (par exemple, l’entité délivrant les moyens d’identification et la procédure de délivrance de ces moyens) et contrôles techniques mis en œuvres.
Il existe diverses définitions techniques et des descriptions des niveaux de garantie à la suite de projets pilotes à grande échelle financés au niveau de l’Union, d’activités internationales et de normalisation.
En particulier, le projet pilote à grande échelle STORK et la norme ISO 29115 mentionnent, entre autres, les niveaux 2, 3 et 4 qui devraient être pris scrupuleusement en compte pour établir les exigences techniques, les normes et les procédures minimales pour les niveaux de garantie faible, substantiel et élevé au sens du présent règlement, tout en garantissant une application cohérente du présent règlement, en particulier en ce qui concerne le niveau élevé de garantie pour la preuve de l’identité en vue de la délivrance de certificats qualifiés.
Les exigences établies devraient être neutres du point de vue de la technologie.
Il devrait être possible de répondre aux exigences de sécurité au moyen de différentes technologies.

- = -

(40) Pour permettre à la Commission et aux États membres d’évaluer l’efficacité du mécanisme de contrôle renforcé instauré par le présent règlement, il devrait être demandé aux organes de contrôle de rendre compte de leurs activités.
Cela serait déterminant pour faciliter l’échange de bonnes pratiques entre les organes de contrôle et permettrait de vérifier la mise en œuvre cohérente et efficace des exigences de contrôle essentielles dans tous les États membres.

- = -

(67) Les services d’ authentification de site internet sont un moyen permettant au visiteur d’un site internet de s’assurer que celui-ci est tenu par une entité véritable et légitime.
Ces services contribuent à instaurer un climat de confiance pour la réalisation de transactions commerciales en ligne, les utilisateurs tendant à se fier à un site internet qui a été authentifié.
La fourniture et l’utilisation de services d’ authentification de site internet se font entièrement sur une base volontaire.
Cependant, pour que l’ authentification de site internet s’affirme comme un moyen de renforcer la confiance, de fournir à l’utilisateur davantage d’expériences positives et de favoriser la croissance sur le marché intérieur, il convient que le présent règlement impose des obligations minimales de sécurité et de responsabilité aux prestataires et à leurs services. À cette fin, il a été tenu compte des résultats des initiatives en cours menées par le secteur, par exemple le «Certification Authorities/Browser Forum ‒ CA/B Forum» (Forum des autorités de certification/navigateurs internet).
En outre, le présent règlement ne devrait pas entraver l’utilisation d’autres moyens ou méthodes permettant d’authentifier un site internet ne relevant pas du présent règlement, ni empêcher des prestataires de services d’ authentification de site internet de pays tiers de fournir leurs services à des clients dans l’Union.
Toutefois, les services d’ authentification de site internet d’un prestataire d’un pays tiers ne devraient être reconnus comme étant qualifiés conformément au présent règlement que si une convention internationale a été conclue entre l’Union et le pays où ce prestataire est établi.

- = -

(72) Lorsqu’elle adopte des actes délégués ou d’exécution, la Commission devrait tenir dûment compte des normes et des spécifications techniques établies par des instances et organismes européens et internationaux de normalisation, notamment le Comité européen de normalisation (CEN), l’Institut européen de normalisation des télécommunications (IENT), l’Organisation internationale de normalisation (ISO) et l’Union internationale des télécommunications (UIT), en vue de garantir un niveau élevé de sécurité et d’interopérabilité pour l’ identification_électronique et les services de confiance.

- = -

keyboard_tab EIDAS 2014/0910 FR

EIDAS 2014/0910 FR