(14) Il convient de fixer dans le présent règlement certaines conditions, en ce qui concerne les moyens d’ identification_électronique qui doivent être reconnus et la façon dont les schémas d’ identification_électronique devraient être notifiés.
Ces conditions devraient permettre aux États membres de susciter la confiance nécessaire dans leurs schémas d’ identification_électronique respectifs et faciliter la reconnaissance mutuelle des moyens d’ identification_électronique relevant de leurs schémas notifiés.
Le principe de la reconnaissance mutuelle devrait s’appliquer si le schéma d’ identification_électronique de l’État membre notifiant remplit les conditions de notification et si la notification a été publiée au Journal officiel de l’Union européenne.
Toutefois, le principe de la reconnaissance mutuelle ne devrait concerner que l’ authentification pour un service en ligne.
L’accès à ces services en ligne et leur fourniture finale au demandeur devraient être étroitement liés au droit de recevoir de tels services dans les conditions fixées par la législation nationale.
- = -
(30) Il convient que les États membres désignent un ou des organes de contrôle chargés d’exécuter les activités de contrôle en application du présent règlement.
Les États membres devraient également pouvoir décider, d’un commun accord avec un autre État membre, de désigner un organe de contrôle sur le territoire de cet autre État membre.
- = -
(37) Le présent règlement devrait prévoir que tous les prestataires de services de confiance engagent leur responsabilité.
Il établit notamment le régime de responsabilité en vertu duquel tous les prestataires de services de confiance devraient être responsables des dommages causés à toute personne physique ou morale en raison d’un manquement aux obligations prévues par le présent règlement.
Afin de faciliter l’évaluation du risque financier que les prestataires de services de confiance pourraient devoir supporter ou qu’ils devraient couvrir au moyen d’une police d’assurance, le présent règlement les autorise à fixer des limites, sous certaines conditions, à l’utilisation des services qu’ils proposent et à ne pas être tenus pour responsables des dommages résultant de l’utilisation de services allant au-delà de ces limites.
Les clients devraient être dûment informés à l’avance des limites fixées.
Ces limites devraient être reconnaissables par un tiers, par exemple par l’insertion d’une notice relative à ces limites dans les conditions applicables au service fourni ou par d’autres moyens reconnaissables.
Afin de donner effet à ces principes, il convient que le présent règlement s’applique conformément aux règles nationales en matière de responsabilité.
Le présent règlement n’affecte donc pas ces règles nationales, par exemple celles relatives à la définition des dommages, au caractère intentionnel ou à la négligence, ou les règles procédurales applicables en la matière.
- = -
(42) Pour faciliter le contrôle des prestataires de services de confiance qualifiés, par exemple lorsqu’un prestataire fournit ses services sur le territoire d’un autre État membre dans lequel il n’est soumis à aucun contrôle ou lorsque les ordinateurs d’un prestataire sont situés sur le territoire d’un État membre autre que celui où il est établi, il convient que soit instauré un système d’assistance mutuelle entre les organes de contrôle des États membres.
- = -
(43) Afin d’assurer le respect des exigences énoncées dans le présent règlement par les prestataires de services de confiance qualifiés et les services qu’ils fournissent, une évaluation de la conformité devrait être effectuée par un organisme_d’évaluation_de_la_conformité, et les rapports d’évaluation de la conformité qui en résultent devraient être soumis par les prestataires de services de confiance qualifiés à l’organisme de contrôle.
Lorsqu’il exige qu’un prestataire_de_services_de_confiance qualifié lui soumette un rapport spécifique d’évaluation de la conformité, il convient que l’organe de contrôle applique, notamment, les principes de bonne administration, y compris l’obligation de motiver ses décisions, ainsi que le principe de proportionnalité.
Par conséquent, l’organe de contrôle devrait dûment justifier sa décision d’exiger une évaluation spécifique de la conformité.
- = -
(67) Les services d’ authentification de site internet sont un moyen permettant au visiteur d’un site internet de s’assurer que celui-ci est tenu par une entité véritable et légitime.
Ces services contribuent à instaurer un climat de confiance pour la réalisation de transactions commerciales en ligne, les utilisateurs tendant à se fier à un site internet qui a été authentifié.
La fourniture et l’utilisation de services d’ authentification de site internet se font entièrement sur une base volontaire.
Cependant, pour que l’ authentification de site internet s’affirme comme un moyen de renforcer la confiance, de fournir à l’utilisateur davantage d’expériences positives et de favoriser la croissance sur le marché intérieur, il convient que le présent règlement impose des obligations minimales de sécurité et de responsabilité aux prestataires et à leurs services. À cette fin, il a été tenu compte des résultats des initiatives en cours menées par le secteur, par exemple le «Certification Authorities/Browser Forum ‒ CA/B Forum» (Forum des autorités de certification/navigateurs internet).
En outre, le présent règlement ne devrait pas entraver l’utilisation d’autres moyens ou méthodes permettant d’authentifier un site internet ne relevant pas du présent règlement, ni empêcher des prestataires de services d’ authentification de site internet de pays tiers de fournir leurs services à des clients dans l’Union.
Toutefois, les services d’ authentification de site internet d’un prestataire d’un pays tiers ne devraient être reconnus comme étant qualifiés conformément au présent règlement que si une convention internationale a été conclue entre l’Union et le pays où ce prestataire est établi.
- = -
(70) Afin de compléter, de façon souple et rapide, certains aspects techniques précis du présent règlement, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne en ce qui concerne les critères que doivent remplir les organismes responsables de la certification des dispositifs de création de signature_électronique qualifiés.
Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts.
Il convient que lorsqu’elle prépare et élabore des actes délégués, la Commission veille à ce que les documents pertinents soient transmis simultanément, en temps utile et de façon appropriée, au Parlement européen et au Conseil.
- = -
(71) Afin d’assurer des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d’exécution à la Commission, notamment pour ce qui est de spécifier les numéros de référence des normes dont l’utilisation donnerait lieu à une présomption de conformité à certaines exigences fixées par le présent règlement.
Ces compétences devraient être exercées en conformité avec le règlement (UE) no 182/2011 du Parlement européen et du Conseil (12).
- = -
(74) Pour garantir la sécurité juridique aux opérateurs économiques qui utilisent déjà des certificats qualifiés délivrés à des personnes physiques conformément à la directive 1999/93/CE, il est nécessaire de prévoir un délai suffisant à des fins transitoires.
De même, il convient de prévoir des mesures transitoires pour les dispositifs sécurisés de création de signature dont la conformité a été déterminée conformément à la directive 1999/93/CE, ainsi que pour les prestataires de service de certification qui délivrent des certificats qualifiés avant le 1er juillet 2016.
Enfin, il est également nécessaire de doter la Commission des moyens d’adopter les actes d’exécution et les actes délégués avant cette date.
- = -