keyboard_tab EIDAS 2014/0910 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Article 8 Niveaux de garantie des schémas d’identification électronique
- 2 Article 9 Notification
- 1 Article 17 Organe de contrôle
- 5 Article 18 Assistance mutuelle
- 1 Article 20 Contrôle des prestataires de services de confiance qualifiés
- 1 Article 24 Exigences applicables aux prestataires de services de confiance qualifiés
CHAPITRE I
DISPOSITIONS GÉNÉRALES
CHAPITRE II
IDENTIFICATION ÉLECTRONIQUE
CHAPITRE III
SERVICES DE CONFIANCE
SECTION 1
Dispositions générales
SECTION 2
Contrôle
SECTION 3
Services de confiance qualifiés
SECTION 4
Signatures électroniques
SECTION 5
Cachets électroniques
SECTION 6
Horodatage électronique
SECTION 7
Services d’envoi recommandé électronique
SECTION 8
Authentification de site internet
CHAPITRE IV
DOCUMENTS ÉLECTRONIQUES
CHAPITRE V
DÉLÉGATIONS DE POUVOIR ET DISPOSITIONS D’EXÉCUTION
CHAPITRE VI
DISPOSITIONS FINALES
- identification électronique
- moyen d’identification électronique
- données d’identification personnelle
- schéma d’identification électronique
- authentification
- partie utilisatrice
- organismes du secteur public
- organisme de droit public
- signataire
- signature électronique
- signature électronique avancée
- signature électronique qualifiée
- données de création de signature électronique
- certificat de signature électronique
- certificat qualifié de signature électronique
- service de confiance
- service de confiance qualifié
- organisme d’évaluation de la conformité
- prestataire de services de confiance
- prestataire de services de confiance qualifié
- produit
- dispositif de création de signature électronique
- dispositif de création de signature électronique qualifié
- créateur de cachet
- cachet électronique
- cachet électronique avancé
- cachet électronique qualifié
- données de création de cachet électronique
- certificat de cachet électronique
- certificat qualifié de cachet électronique
- dispositif de création de cachet électronique
- dispositif de création de cachet électronique qualifié
- horodatage électronique
- horodatage électronique qualifié
- document électronique
- service d’envoi recommandé électronique
- service d’envoi recommandé électronique qualifié
- données de validation
- validation
- contrôle 37
- paragraphe 35
- confiance 28
- d’ 27
- services 26
- identification_électronique 25
- l’article 24
- qualifiés 23
- qualifié 21
- prestataires 20
- dans 18
- conformément 17
- l’organe 16
- données 16
- commission 14
- conformité 14
- personne 14
- sont 14
- moyen 13
- d’exécution 12
- garantie 12
- pour 11
- moyens 10
- schéma 10
- présent 10
- normes 10
- prestataire_de_services_de_confiance 10
- d’un 10
- exigences 10
- procédures 9
- techniques 9
- avec 9
- visée 9
- article 9
- informations 9
- peut 9
- organe 9
- activités 8
- l’identité 8
- statut 8
- certificat 8
- procédure 8
- membres 8
- qu’ils 8
- membre 8
- demande 7
- organes 7
- règlement 7
- fixées 7
- fournissent 7
Article 8
Niveaux de garantie des schémas d’ identification_électronique
1. Un schéma d’ identification_électronique notifié en vertu de l’article 9, paragraphe 1, détermine les spécifications des niveaux de garantie faible, substantiel et/ou élevé des moyens d’ identification_électronique délivrés dans le cadre dudit schéma.
2. Les niveaux de garantie faible, substantiel et élevé satisfont, respectivement, aux critères suivants:
| a) | le niveau de garantie faible renvoie à un moyen d’ identification_électronique dans le cadre d’un schéma d’ identification_électronique qui accorde un degré limité de fiabilité à l’identité revendiquée ou prétendue d’une personne, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l’objectif est de réduire le risque d’utilisation abusive ou d’altération de l’identité; |
| b) | le niveau de garantie substantiel renvoie à un moyen d’ identification_électronique dans le cadre d’un schéma d’ identification_électronique qui accorde un degré substantiel de fiabilité à l’identité revendiquée ou prétendue d’une personne, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l’objectif est de réduire substantiellement le risque d’utilisation abusive ou d’altération de l’identité; |
| c) | le niveau de garantie élevé renvoie à un moyen d’ identification_électronique dans le cadre d’un schéma d’ identification_électronique qui accorde un niveau de fiabilité à l’identité revendiquée ou prétendue d’une personne plus élevé qu’un moyen d’ identification_électronique ayant le niveau de garantie substantiel, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l’objectif est d’empêcher l’utilisation abusive ou l’altération de l’identité. |
3. Au plus tard le 18 septembre 2015, compte tenu des normes internationales pertinentes et sous réserve du paragraphe 2, la Commission fixe, au moyen d’actes d’exécution, les spécifications techniques, normes et procédures minimales sur la base desquelles les niveaux de garantie faible, substantiel et élevé sont spécifiés pour les moyens d’ identification_électronique aux fins du paragraphe 1.
Ces spécifications techniques, normes et procédures minimales sont fixées par référence à la fiabilité et à la qualité des éléments suivants:
| a) | la procédure visant à prouver et vérifier l’identité des personnes physiques ou morales demandant la délivrance de moyens d’ identification_électronique; |
| b) | la procédure de délivrance des moyens d’ identification_électronique demandés; |
| c) | le mécanisme d’ authentification au moyen duquel la personne physique ou morale utilise le moyen d’ identification_électronique pour confirmer son identité à une partie_utilisatrice; |
| d) | l’entité délivrant les moyens d’ identification_électronique; |
| e) | tout autre organisme associé à la demande de délivrance de moyens d’ identification_électronique; et |
| f) | les spécifications techniques et de sécurité des moyens d’ identification_électronique délivrés. |
Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 9
Notification
1. L’État membre notifiant notifie les informations suivantes à la Commission et lui communique toute modification ultérieure qui leur est apportée dans les meilleurs délais:
| a) | une description du schéma d’ identification_électronique, y compris ses niveaux de garantie et l’entité ou les entités qui délivrent les moyens d’ identification_électronique relevant de ce schéma; |
| b) | le régime de contrôle applicable et des informations sur la responsabilité en ce qui concerne les aspects suivants:
|
| c) | l’autorité ou les autorités responsables du schéma d’ identification_électronique; |
| d) | des informations sur l’entité ou les entités qui gèrent l’enregistrement des données_d’identification_personnelle uniques; |
| e) | une description de la façon dont il est satisfait aux exigences énoncées dans l’acte d’exécution visé à l’article 12, paragraphe 8; |
| f) | une description de l’ authentification visée à l’article 7, point f); |
| g) | les dispositions concernant la suspension ou la révocation du schéma d’ identification_électronique notifié, de l’ authentification ou des parties compromises concernées. |
2. Un an à compter de la date d’application des actes d’exécution visés à l’article 8, paragraphe 3, et à l’article 12, paragraphe 8, la Commission publie au Journal officiel de l’Union européenne la liste des schémas d’ identification_électronique qui ont été notifiés en vertu du paragraphe 1, et les informations essentielles à leur sujet.
3. Si la Commission reçoit une notification après expiration du délai visé au paragraphe 2, elle publie au Journal officiel de l’Union européenne les modifications apportées à la liste visée au paragraphe 2 dans les deux mois à compter de la date de réception de cette notification.
4. Un État membre peut soumettre à la Commission une demande visant à retirer de la liste visée au paragraphe 2 le schéma d’ identification_électronique qu’il a notifié. La Commission publie au Journal officiel de l’Union européenne les modifications correspondantes apportées à la liste dans un délai d’un mois à compter de la date de réception de la demande de l’État membre.
5. La Commission peut définir, au moyen d’actes d’exécution, les circonstances, les formats et les procédures pour les notifications au titre du paragraphe 1. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 17
Organe de contrôle
1. Les États membres désignent un organe de contrôle établi sur leur territoire ou, d’un commun accord avec un autre État membre, un organe de contrôle établi dans cet autre État membre. Cet organe est chargé des tâches de contrôle dans l’État membre qui a procédé à la désignation.
Les organes de contrôle sont investis des pouvoirs nécessaires et dotés des ressources adéquates pour l’exercice de leurs tâches.
2. Les États membres notifient à la Commission le nom et l’adresse de l’organe de contrôle qu’ils ont désigné.
3. Le rôle de l’organe de contrôle est le suivant:
| a) | contrôler les prestataires de services de confiance qualifiés établis sur le territoire de l’État membre qui a procédé à la désignation afin de s’assurer, par des activités de contrôle a priori et a posteriori, que ces prestataires de services de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent satisfont aux exigences fixées dans le présent règlement; |
| b) | prendre des mesures, si nécessaire, en ce qui concerne les prestataires de services de confiance non qualifiés établis sur le territoire de l’État membre qui a procédé à la désignation, par des activités de contrôle a posteriori, lorsqu’il est informé que ces prestataires de services de confiance non qualifiés ou les services de confiance qu’ils fournissent ne satisferaient pas aux exigences fixées dans le présent règlement. |
4. Aux fins du paragraphe 3 et sous réserve des limites qu’il prévoit, les tâches de l’organe de contrôle consistent notamment:
| a) | à coopérer avec d’autres organes de contrôle et à leur apporter assistance conformément à l’article 18; |
| b) | à analyser les rapports d’évaluation de la conformité visés à l’article 20, paragraphe 1, et à l’article 21, paragraphe 1; |
| c) | à informer d’autres organes de contrôle et le public d’atteintes à la sécurité ou de pertes d’intégrité conformément à l’article 19, paragraphe 2; |
| d) | à présenter un rapport à la Commission sur ses principales activités conformément au paragraphe 6 du présent article; |
| e) | à procéder à des audits ou à demander à un organisme_d’évaluation_de_la_conformité d’effectuer une évaluation de la conformité des prestataires de services de confiance qualifiés conformément à l’article 20, paragraphe 2; |
| f) | à coopérer avec les autorités chargées de la protection des données, en particulier en les informant, dans les meilleurs délais, des résultats des audits des prestataires de services de confiance qualifiés lorsqu’il apparaît que des règles en matière de protection des données à caractère personnel ont été violées; |
| g) | à accorder le statut qualifié aux prestataires de services de confiance et aux services qu’ils fournissent et à retirer ce statut conformément aux articles 20 et 21; |
| h) | à informer l’organisme chargé de la liste nationale de confiance visée à l’article 22, paragraphe 3, de ses décisions d’accorder ou de retirer le statut qualifié, à moins que cet organisme ne soit également l’organe de contrôle; |
| i) | à vérifier l’existence et l’application correcte de dispositions relatives aux plans d’arrêt d’activité lorsque le prestataire_de_services_de_confiance qualifié cesse son activité, y compris la façon dont les informations restent accessibles conformément à l’article 24, paragraphe 2, point h); |
| j) | à exiger que les prestataires de services de confiance corrigent tout manquement aux obligations fixées par le présent règlement. |
5. Les États membres peuvent exiger de l’organe de contrôle qu’il établisse, gère et actualise une infrastructure de confiance conformément aux conditions prévues par le droit national.
6. Au plus tard le 31 mars de chaque année, chaque organe de contrôle soumet à la Commission un rapport sur ses principales activités de l’année civile précédente, accompagné d’un résumé des notifications d’atteinte à la sécurité reçues de prestataires de services de confiance conformément à l’article 19, paragraphe 2.
7. La Commission met le rapport annuel visé au paragraphe 6 à la disposition des États membres.
8. La Commission peut définir, au moyen d’actes d’exécution, les formats et procédures applicables aux fins du rapport visé au paragraphe 6. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 18
Assistance mutuelle
1. Les organes de contrôle coopèrent en vue d’échanger des bonnes pratiques.
Un organe de contrôle fournit, après réception d’une demande justifiée d’un autre organe de contrôle, à cet organe une assistance afin que les activités des organes de contrôle puissent être exécutées de façon cohérente. L’assistance mutuelle peut notamment couvrir des demandes d’informations et des mesures de contrôle, telles que des demandes de procéder à des inspections liées aux rapports d’évaluation de la conformité visés aux articles 20 et 21.
2. Un organe de contrôle saisi d’une demande d’assistance peut refuser cette demande sur la base de l’un ou l’autre des motifs suivants:
| a) | l’organe de contrôle n’est pas compétent pour fournir l’assistance demandée; |
| b) | l’assistance demandée n’est pas proportionnée aux activités de contrôle de l’organe de contrôle effectuées conformément à l’article 17; |
| c) | la fourniture de l’assistance demandée serait incompatible avec le présent règlement. |
3. Le cas échéant, les États membres peuvent autoriser leurs organes de contrôle respectifs à mener des enquêtes conjointes faisant intervenir des membres des organes de contrôle d’autres États membres. Les modalités et procédures concernant ces actions conjointes sont approuvées et établies par les États membres concernés conformément à leur droit national.
Article 20
Contrôle des prestataires de services de confiance qualifiés
1. Les prestataires de services de confiance qualifiés font l’objet, au moins tous les vingt-quatre mois, d’un audit effectué à leurs frais par un organisme_d’évaluation_de_la_conformité. Le but de l’audit est de confirmer que les prestataires de services de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent remplissent les exigences fixées par le présent règlement. Les prestataires de services de confiance qualifiés transmettent le rapport d’évaluation de la conformité à l’organe de contrôle dans un délai de trois jours ouvrables qui suivent sa réception.
2. Sans préjudice du paragraphe 1, l’organe de contrôle peut à tout moment, soumettre les prestataires de services de confiance qualifiés à un audit ou demander à un organisme_d’évaluation_de_la_conformité de procéder à une évaluation de la conformité des prestataires de services de confiance qualifiés, aux frais de ces prestataires de services de confiance, afin de confirmer que les prestataires et les services de confiance qualifiés qu’ils fournissent remplissent les exigences fixées par le présent règlement. L’organe de contrôle informe les autorités chargées de la protection des données des résultats de ses audits lorsqu’il apparaît que les règles en matière de protection des données à caractère personnel ont été violées.
3. Lorsque l’organe de contrôle exige du prestataire_de_services_de_confiance qualifié qu’il corrige un manquement aux exigences prévues par le présent règlement et que le prestataire n’agit pas en conséquence, et le cas échéant dans un délai fixé par l’organe de contrôle, l’organe de contrôle, tenant compte, en particulier, de l’ampleur, de la durée et des conséquences de ce manquement, peut retirer à ce prestataire ou au service affecté le statut qualifié et informe l’organisme visé à l’article 22, paragraphe 3, aux fins de la mise à jour des listes de confiance visées à l’article 22, paragraphe 1. L’organe de contrôle informe le prestataire_de_services_de_confiance qualifié du retrait de son statut qualifié ou du retrait du statut qualifié du service concerné.
4. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes suivantes:
| a) | accréditation des organismes d’évaluation de la conformité et rapports d’évaluation de la conformité visés au paragraphe 1; |
| b) | règles d’audit en fonction desquelles les organismes d’évaluation de la conformité procéderont à leur évaluation de la conformité des prestataires de services de confiance qualifiés visés au paragraphe 1. |
Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 24
Exigences applicables aux prestataires de services de confiance qualifiés
1. Lorsqu’un prestataire_de_services_de_confiance qualifié délivre un certificat qualifié pour un service_de_confiance, il vérifie, par des moyens appropriés et conformément au droit national, l’identité et, le cas échéant, tous les attributs spécifiques de la personne physique ou morale à laquelle il délivre le certificat qualifié.
Les informations visées au premier alinéa sont vérifiées par le prestataire_de_services_de_confiance qualifié directement ou en en ayant recours à un tiers conformément au droit national:
| a) | par la présence en personne de la personne physique ou du représentant autorisé de la personne morale; ou |
| b) | à distance, à l’aide de moyens d’ identification_électronique pour lesquels, avant la délivrance du certificat qualifié, la personne physique ou un représentant autorisé de la personne morale s’est présenté en personne et qui satisfont aux exigences énoncées à l’article 8 en ce qui concerne les niveaux de garantie substantiel et élevé; ou |
| c) | au moyen d’un certificat de signature_électronique qualifié ou d’un cachet_électronique qualifié délivré conformément au point a) ou b); ou |
| d) | à l’aide d’autres méthodes d’identification reconnues au niveau national qui fournissent une garantie équivalente en termes de fiabilité à la présence en personne. La garantie équivalente est confirmée par un organisme_d’évaluation_de_la_conformité. |
2. Un prestataire_de_services_de_confiance qualifié qui fournit des services de confiance qualifiés:
| a) | informe l’organe de contrôle de toute modification dans la fourniture de ses services de confiance qualifiés et de son intention éventuelle de cesser ces activités; |
| b) | emploie du personnel et, le cas échéant, des sous-traitants qui possèdent l’expertise, la fiabilité, l’expérience et les qualifications nécessaires, qui ont reçu une formation appropriée en ce qui concerne les règles en matière de sécurité et de protection des données à caractère personnel et appliquent des procédures administratives et de gestion correspondant à des normes européennes ou internationales; |
| c) | en ce qui concerne le risque de responsabilité pour dommages conformément à l’article 13, maintient des ressources financières suffisantes et/ou contracte une assurance responsabilité appropriée, conformément au droit national; |
| d) | avant d’établir une relation contractuelle, informe, de manière claire et exhaustive, toute personne désireuse d’utiliser un service_de_confiance qualifié des conditions précises relatives à l’utilisation de ce service, y compris toute limite quant à son utilisation; |
| e) | utilise des systèmes et des produits fiables qui sont protégés contre les modifications et assure la sécurité technique et la fiabilité des processus qu’ils prennent en charge; |
| f) | utilise des systèmes fiables pour stocker les données qui lui sont fournies, sous une forme vérifiable de manière que:
|
| g) | prend des mesures appropriées contre la falsification et le vol de données; |
| h) | enregistre et maintient accessibles pour une durée appropriée, y compris après que les activités du prestataire_de_services_de_confiance qualifié ont cessé, toutes les informations pertinentes concernant les données délivrées et reçues par le prestataire_de_services_de_confiance qualifié, aux fins notamment de pouvoir fournir des preuves en justice et aux fins d’assurer la continuité du service. Ces enregistrements peuvent être effectués par voie électronique; |
| i) | a un plan actualisé d’arrêt d’activité afin d’assurer la continuité du service conformément aux dispositions vérifiées par l’organe de contrôle au titre de l’article 17, paragraphe 4, point i); |
| j) | assure le traitement licite de données à caractère personnel conformément à la directive 95/46/CE; |
| k) | au cas où le prestataire_de_services_de_confiance qualifié délivre des certificats qualifiés, établit et tient à jour une base de données relative aux certificats. |
3. Lorsqu’un prestataire_de_services_de_confiance qualifié qui délivre des certificats qualifiés décide de révoquer un certificat, il enregistre cette révocation dans sa base de données relative aux certificats et publie le statut de révocation du certificat en temps utile, et en tout état de cause dans les vingt-quatre heures suivant la réception de la demande. Cette révocation devient effective immédiatement dès sa publication.
4. En ce qui concerne le paragraphe 3, les prestataires de services de confiance qualifiés qui délivrent des certificats qualifiés fournissent à toute partie_utilisatrice des informations sur la validité ou le statut de révocation des certificats qualifiés qu’ils ont délivrés. Ces informations sont disponibles, au moins par certificat, à tout moment et au-delà de la période de validité du certificat, sous une forme automatisée qui est fiable, gratuite et efficace.
5. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux systèmes et produits fiables, qui satisfont aux exigences du paragraphe 2, points e) et f), du présent article. Les systèmes et les produits fiables sont présumés satisfaire aux exigences fixées au présent article lorsqu’ils respectent ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
SECTION 4
Signatures électroniques
whereas