EIDAS 2014/0910 FR

1. Le présent règlement s’applique aux schémas d’ identification_électronique qui ont été notifiés par un État membre et aux prestataires de services de confiance établis dans l’Union.

2. Le présent règlement ne s’applique pas à la fourniture de services de confiance utilisés exclusivement dans des systèmes fermés résultant du droit national ou d’accords au sein d’un ensemble défini de participants.

3. Le présent règlement n’affecte pas le droit national ou de l’Union relatif à la conclusion et à la validité des contrats ou d’autres obligations juridiques ou procédurales d’ordre formel.

Article 3

définitions

Aux fins du présent règlement, on entend par:

1.	« identification_électronique», le processus consistant à utiliser des données_d’identification_personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale;

2.	«moyen d’ identification_électronique», un élément matériel et/ou immatériel contenant des données_d’identification_personnelle et utilisé pour s’authentifier pour un service en ligne;

3.	« données_d’identification_personnelle», un ensemble de données permettant d’établir l’identité d’une personne physique ou morale, ou d’une personne physique représentant une personne morale;

4.	«schéma d’ identification_électronique», un système pour l’ identification_électronique en vertu duquel des moyens d’ identification_électronique sont délivrés à des personnes physiques ou morales, ou à des personnes physiques représentant des personnes morales;

5.	« authentification», un processus électronique qui permet de confirmer l’ identification_électronique d’une personne physique ou morale, ou l’origine et l’intégrité d’une donnée sous forme électronique;

6.	« partie_utilisatrice», une personne physique ou morale qui se fie à une identification_électronique ou à un service_de_confiance;

« organismes_du_secteur_public», un État, une autorité régionale ou locale, un organisme_de_droit_public ou une association constituée d’une ou de plusieurs de ces autorités ou d’un ou de plusieurs de ces organismes de droit public, ou une entité privée mandatée par au moins un ou une de ces autorités, organismes, ou associations pour fournir des services publics lorsqu’elle agit en vertu de ce mandat;

8.	« organisme_de_droit_public», un organisme au sens de l’article 2, paragraphe 1, point 4), de la directive 2014/24/UE du Parlement européen et du Conseil (15);

9.	« signataire», une personne physique qui crée une signature_électronique;

10.	« signature_électronique», des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer;

11.	« signature_électronique avancée», une signature_électronique qui satisfait aux exigences énoncées à l’article 26:

12.	« signature_électronique qualifiée», une signature_électronique avancée qui est créée à l’aide d’un dispositif de création de signature_électronique qualifié, et qui repose sur un certificat qualifié de signature_électronique;

13.	«données de création de signature_électronique», des données uniques qui sont utilisées par le signataire pour créer une signature_électronique;

14.	«certificat de signature_électronique», une attestation électronique qui associe les données_de_ validation d’une signature_électronique à une personne physique et confirme au moins le nom ou le pseudonyme de cette personne;

15.	«certificat qualifié de signature_électronique», un certificat de signature_électronique, qui est délivré par un prestataire_de_services_de_confiance qualifié et qui satisfait aux exigences fixées à l’annexe I;

16.

« service_de_confiance», un service électronique normalement fourni contre rémunération qui consiste:

a)	en la création, en la vérification et en la validation de signatures électroniques, de cachets électroniques ou d’horodatages électroniques, de services d’envoi recommandé électronique et de certificats relatifs à ces services; ou

b)	en la création, en la vérification et en la validation de certificats pour l’ authentification de site internet; ou

c)	en la conservation de signatures électroniques, de cachets électroniques ou des certificats relatifs à ces services;

17.	« service_de_confiance qualifié», un service_de_confiance qui satisfait aux exigences du présent règlement;

18.

« organisme_d’évaluation_de_la_conformité», un organisme défini à l’article 2, point 13), du règlement (CE) no 765/2008, qui est accrédité conformément audit règlement comme étant compétent pour effectuer l’évaluation de la conformité d’un prestataire_de_services_de_confiance qualifié et des services de confiance qualifiés qu’il fournit;

19.	« prestataire_de_services_de_confiance», une personne physique ou morale qui fournit un ou plusieurs services de confiance, en tant que prestataire_de_services_de_confiance qualifié ou non qualifié;

20.	« prestataire_de_services_de_confiance qualifié», un prestataire_de_services_de_confiance qui fournit un ou plusieurs services de confiance qualifiés et a obtenu de l’organe de contrôle le statut qualifié;

21.	« produit», un dispositif matériel ou logiciel, ou les composants correspondants du dispositif matériel ou logiciel, qui sont destinés à être utilisés pour la fourniture de services de confiance;

22.	«dispositif de création de signature_électronique», un dispositif logiciel ou matériel configuré servant à créer une signature_électronique;

23.	«dispositif de création de signature_électronique qualifié», un dispositif de création de signature_électronique qui satisfait aux exigences énoncées à l’annexe II;

24.	« créateur_de_cachet», une personne morale qui crée un cachet_électronique;

25.	« cachet_électronique», des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique pour garantir l’origine et l’intégrité de ces dernières;

26.	« cachet_électronique avancé», un cachet_électronique qui satisfait aux exigences énoncées à l’article 36;

27.	« cachet_électronique qualifié», un cachet_électronique avancé qui est créé à l’aide d’un dispositif de création de cachet_électronique qualifié et qui repose sur un certificat qualifié de cachet_électronique;

28.	«données de création de cachet_électronique», des données uniques qui sont utilisées par le créateur du cachet_électronique pour créer un cachet_électronique;

29.	«certificat de cachet_électronique», une attestation électronique qui associe les données_de_ validation d’un cachet_électronique à une personne morale et confirme le nom de cette personne;

30.	«certificat qualifié de cachet_électronique», un certificat de cachet_électronique, qui est délivré par un prestataire_de_services_de_confiance qualifié et qui satisfait aux exigences fixées à l’annexe III;

31.	«dispositif de création de cachet_électronique», un dispositif logiciel ou matériel configuré utilisé pour créer un cachet_électronique;

32.	«dispositif de création de cachet_électronique qualifié», un dispositif de création de cachet_électronique qui satisfait mutatis mutandis aux exigences fixées à l’annexe II;

33.	« horodatage_électronique», des données sous forme électronique qui associent d’autres données sous forme électronique à un instant particulier et établissent la preuve que ces dernières données existaient à cet instant;

34.	« horodatage_électronique qualifié», un horodatage_électronique qui satisfait aux exigences fixées à l’article 42;

35.	« document_électronique», tout contenu conservé sous forme électronique, notamment un texte ou un enregistrement sonore, visuel ou audiovisuel;

36.

« service_d’envoi_recommandé_électronique», un service qui permet de transmettre des données entre des tiers par voie électronique, qui fournit des preuves concernant le traitement des données transmises, y compris la preuve de leur envoi et de leur réception, et qui protège les données transmises contre les risques de perte, de vol, d’altération ou de toute modification non autorisée;

37.	« service_d’envoi_recommandé_électronique qualifié», un service_d’envoi_recommandé_électronique qui satisfait aux exigences fixées à l’article 44;

38.	«certificat d’ authentification de site internet«, une attestation qui permet d’authentifier un site internet et associe celui-ci à la personne physique ou morale à laquelle le certificat est délivré;

39.	«certificat qualifié d’ authentification de site internet«, un certificat d’ authentification de site internet, qui est délivré par un prestataire_de_services_de_confiance qualifié et qui satisfait aux exigences fixées à l’annexe IV;

40.	« données_de_ validation», des données qui servent à valider une signature_électronique ou un cachet_électronique;

41.	« validation», le processus de vérification et de confirmation de la validité d’une signature ou d’un cachet_électronique.

Article 7

Éligibilité pour la notification des schémas d’ identification_électronique

Un schéma d’ identification_électronique est éligible aux fins de notification en vertu de l’article 9, paragraphe 1, si toutes les conditions suivantes sont remplies:

les moyens d’ identification_électronique relevant du schéma d’ identification_électronique sont délivrés:

i)	par l’État membre notifiant;

ii)	dans le cadre d’un mandat de l’État membre notifiant; ou

iii)	indépendamment de l’État membre notifiant et sont reconnus par cet État membre;

b)	les moyens d’ identification_électronique relevant du schéma d’ identification_électronique peuvent être utilisés pour accéder au moins à un service qui est fourni par un organisme du secteur public et qui exige l’ identification_électronique dans l’État membre notifiant;

c)	le schéma d’ identification_électronique et les moyens d’ identification_électronique délivrés dans ce cadre répondent aux exigences d’au moins un des niveaux de garantie prévus dans l’acte d’exécution visé à l’article 8, paragraphe 3;

l’État membre notifiant veille à ce que les données_d’identification_personnelle représentant de manière univoque la personne en question soient attribuées conformément aux spécifications techniques, aux normes et aux procédures pour le niveau de garantie concerné prévues dans l’acte d’exécution visé à l’article 8, paragraphe 3, à la personne physique ou morale visée à l’article 3, point 1), au moment de la délivrance du moyen d’ identification_électronique relevant de ce schéma;

la partie délivrant le moyen d’ identification_électronique relevant de ce schéma veille à ce que le moyen d’ identification_électronique soit attribué à la personne visée au point d) du présent article conformément aux spécifications techniques, aux normes et aux procédures pour le niveau de garantie concerné prévues dans l’acte d’exécution visé à l’article 8, paragraphe 3;

l’État membre notifiant veille à ce qu’une authentification en ligne soit disponible afin de permettre à toute partie_utilisatrice établie sur le territoire d’un autre État membre de confirmer les données_d’identification_personnelle reçues sous forme électronique.

Pour les parties utilisatrices autres que des organismes_du_secteur_public, l’État membre notifiant peut définir les conditions d’accès à cette authentification. Cette authentification transfrontalière est fournie gratuitement lorsqu’elle est effectuée en liaison avec un service en ligne fourni par un organisme du secteur public.

Les États membres n’imposent aucune exigence technique disproportionnée aux parties utilisatrices qui envisagent de procéder à cette authentification, lorsque de telles exigences empêchent ou entravent sensiblement l’interopérabilité des schémas d’ identification_électronique notifiés;

six mois au moins avant la notification en vertu de l’article 9, paragraphe 1, l’État membre notifiant fournit aux autres États membres aux fins de l’obligation au titre de l’article 12, paragraphe 5, une description de ce schéma conformément aux modalités de procédure établies par les actes d’exécution visés à l’article 12, paragraphe 7.

h)	le schéma d’ identification_électronique satisfait aux exigences de l’acte d’exécution visé à l’article 12, paragraphe 8.

Article 9

Notification

1. L’État membre notifiant notifie les informations suivantes à la Commission et lui communique toute modification ultérieure qui leur est apportée dans les meilleurs délais:

a)	une description du schéma d’ identification_électronique, y compris ses niveaux de garantie et l’entité ou les entités qui délivrent les moyens d’ identification_électronique relevant de ce schéma;

le régime de contrôle applicable et des informations sur la responsabilité en ce qui concerne les aspects suivants:

i)	la partie qui délivre le moyen d’ identification_électronique; et

ii)	la partie qui gère la procédure d’ authentification;

c)	l’autorité ou les autorités responsables du schéma d’ identification_électronique;

d)	des informations sur l’entité ou les entités qui gèrent l’enregistrement des données_d’identification_personnelle uniques;

e)	une description de la façon dont il est satisfait aux exigences énoncées dans l’acte d’exécution visé à l’article 12, paragraphe 8;

f)	une description de l’ authentification visée à l’article 7, point f);

g)	les dispositions concernant la suspension ou la révocation du schéma d’ identification_électronique notifié, de l’ authentification ou des parties compromises concernées.

2. Un an à compter de la date d’application des actes d’exécution visés à l’article 8, paragraphe 3, et à l’article 12, paragraphe 8, la Commission publie au Journal officiel de l’Union européenne la liste des schémas d’ identification_électronique qui ont été notifiés en vertu du paragraphe 1, et les informations essentielles à leur sujet.

3. Si la Commission reçoit une notification après expiration du délai visé au paragraphe 2, elle publie au Journal officiel de l’Union européenne les modifications apportées à la liste visée au paragraphe 2 dans les deux mois à compter de la date de réception de cette notification.

4. Un État membre peut soumettre à la Commission une demande visant à retirer de la liste visée au paragraphe 2 le schéma d’ identification_électronique qu’il a notifié. La Commission publie au Journal officiel de l’Union européenne les modifications correspondantes apportées à la liste dans un délai d’un mois à compter de la date de réception de la demande de l’État membre.

5. La Commission peut définir, au moyen d’actes d’exécution, les circonstances, les formats et les procédures pour les notifications au titre du paragraphe 1. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 17

Organe de contrôle

1. Les États membres désignent un organe de contrôle établi sur leur territoire ou, d’un commun accord avec un autre État membre, un organe de contrôle établi dans cet autre État membre. Cet organe est chargé des tâches de contrôle dans l’État membre qui a procédé à la désignation.

Les organes de contrôle sont investis des pouvoirs nécessaires et dotés des ressources adéquates pour l’exercice de leurs tâches.

2. Les États membres notifient à la Commission le nom et l’adresse de l’organe de contrôle qu’ils ont désigné.

3. Le rôle de l’organe de contrôle est le suivant:

contrôler les prestataires de services de confiance qualifiés établis sur le territoire de l’État membre qui a procédé à la désignation afin de s’assurer, par des activités de contrôle a priori et a posteriori, que ces prestataires de services de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent satisfont aux exigences fixées dans le présent règlement;

prendre des mesures, si nécessaire, en ce qui concerne les prestataires de services de confiance non qualifiés établis sur le territoire de l’État membre qui a procédé à la désignation, par des activités de contrôle a posteriori, lorsqu’il est informé que ces prestataires de services de confiance non qualifiés ou les services de confiance qu’ils fournissent ne satisferaient pas aux exigences fixées dans le présent règlement.

4. Aux fins du paragraphe 3 et sous réserve des limites qu’il prévoit, les tâches de l’organe de contrôle consistent notamment:

a)	à coopérer avec d’autres organes de contrôle et à leur apporter assistance conformément à l’article 18;

b)	à analyser les rapports d’évaluation de la conformité visés à l’article 20, paragraphe 1, et à l’article 21, paragraphe 1;

c)	à informer d’autres organes de contrôle et le public d’atteintes à la sécurité ou de pertes d’intégrité conformément à l’article 19, paragraphe 2;

d)	à présenter un rapport à la Commission sur ses principales activités conformément au paragraphe 6 du présent article;

e)	à procéder à des audits ou à demander à un organisme_d’évaluation_de_la_conformité d’effectuer une évaluation de la conformité des prestataires de services de confiance qualifiés conformément à l’article 20, paragraphe 2;

à coopérer avec les autorités chargées de la protection des données, en particulier en les informant, dans les meilleurs délais, des résultats des audits des prestataires de services de confiance qualifiés lorsqu’il apparaît que des règles en matière de protection des données à caractère personnel ont été violées;

g)	à accorder le statut qualifié aux prestataires de services de confiance et aux services qu’ils fournissent et à retirer ce statut conformément aux articles 20 et 21;

h)	à informer l’organisme chargé de la liste nationale de confiance visée à l’article 22, paragraphe 3, de ses décisions d’accorder ou de retirer le statut qualifié, à moins que cet organisme ne soit également l’organe de contrôle;

i)	à vérifier l’existence et l’application correcte de dispositions relatives aux plans d’arrêt d’activité lorsque le prestataire_de_services_de_confiance qualifié cesse son activité, y compris la façon dont les informations restent accessibles conformément à l’article 24, paragraphe 2, point h);

j)	à exiger que les prestataires de services de confiance corrigent tout manquement aux obligations fixées par le présent règlement.

5. Les États membres peuvent exiger de l’organe de contrôle qu’il établisse, gère et actualise une infrastructure de confiance conformément aux conditions prévues par le droit national.

6. Au plus tard le 31 mars de chaque année, chaque organe de contrôle soumet à la Commission un rapport sur ses principales activités de l’année civile précédente, accompagné d’un résumé des notifications d’atteinte à la sécurité reçues de prestataires de services de confiance conformément à l’article 19, paragraphe 2.

7. La Commission met le rapport annuel visé au paragraphe 6 à la disposition des États membres.

8. La Commission peut définir, au moyen d’actes d’exécution, les formats et procédures applicables aux fins du rapport visé au paragraphe 6. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 19

Exigences de sécurité applicables aux prestataires de services de confiance

1. Les prestataires de services de confiance qualifiés et non qualifiés prennent les mesures techniques et organisationnelles adéquates pour gérer les risques liés à la sécurité des services de confiance qu’ils fournissent. Compte tenu des évolutions technologiques les plus récentes, ces mesures garantissent que le niveau de sécurité est proportionné au degré de risque. Des mesures sont notamment prises en vue de prévenir et de limiter les conséquences d’incidents liés à la sécurité et d’informer les parties concernées des effets préjudiciables de tels incidents.

2. Les prestataires de services de confiance qualifiés et non qualifiés notifient, dans les meilleurs délais et en tout état de cause dans un délai de vingt-quatre heures après en avoir eu connaissance, à l’organe de contrôle et, le cas échéant, à d’autres organismes concernés, tels que l’organisme national compétent en matière de sécurité de l’information ou l’autorité chargée de la protection des données, toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence importante sur le service_de_confiance fourni ou sur les données à caractère personnel qui y sont conservées.

Lorsque l’atteinte à la sécurité ou la perte d’intégrité est susceptible de porter préjudice à une personne physique ou morale à laquelle le service_de_confiance a été fourni, le prestataire_de_services_de_confiance notifie aussi, dans les meilleurs délais, à la personne physique ou morale l’atteinte à la sécurité ou la perte d’intégrité.

Le cas échéant, notamment lorsqu’une atteinte à la sécurité ou une perte d’intégrité concerne deux États membres ou plus, l’organe de contrôle notifié informe les organes de contrôle des autres États membres concernés ainsi que l'ENISA.

L’organe de contrôle notifié informe le public ou exige du prestataire_de_services_de_confiance qu’il le fasse, dès lors qu’il constate qu’il est dans l’intérêt public de divulguer l’atteinte à la sécurité ou la perte d’intégrité.

3. Une fois par an, l’organe de contrôle fournit à l'ENISA un résumé des notifications d’atteinte à la sécurité et de perte d’intégrité reçues de prestataires de services de confiance.

4. La Commission peut, au moyen d’actes d’exécution:

a)	préciser davantage les mesures visées au paragraphe 1; et

b)	définir les formats et procédures, y compris les délais, applicables aux fins du paragraphe 2.

Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

SECTION 3

Services de confiance qualifiés

Article 21

Lancement d’un service_de_confiance qualifié

1. Lorsque des prestataires de services de confiance, sans statut qualifié, ont l’intention de commencer à offrir des services de confiance qualifiés, ils soumettent à l’organe de contrôle une notification de leur intention accompagnée d’un rapport d’évaluation de la conformité délivré par un organisme_d’évaluation_de_la_conformité.

2. L’organe de contrôle vérifie que le prestataire_de_services_de_confiance et les services de confiance qu’il fournit respectent les exigences fixées par le présent règlement, en particulier les exigences en ce qui concerne les prestataires de services de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent.

Si l’organe de contrôle conclut que le prestataire_de_services_de_confiance et les services de confiance qu’il fournit respectent les exigences visées au premier alinéa, l’organe de contrôle accorde le statut qualifié au prestataire_de_services_de_confiance et aux services de confiance qu’il fournit et informe l’organisme visé à l’article 22, paragraphe 3, aux fins de la mise à jour des listes de confiance visées à l’article 22, paragraphe 1, au plus tard trois mois suivant la notification conformément au paragraphe 1 du présent article.

Si la vérification n’est pas terminée dans un délai de trois mois à compter de la notification, l’organe de contrôle en informe le prestataire_de_services_de_confiance en précisant les raisons du retard et le délai nécessaire pour terminer la vérification.

3. Les prestataires de services de confiance qualifiés peuvent commencer à fournir le service_de_confiance qualifié une fois que le statut qualifié est indiqué sur les listes de confiance visées à l’article 22, paragraphe 1.

4. La Commission peut définir, au moyen d’actes d’exécution, les formats et les procédures applicables aux fins des paragraphes 1 et 2. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 22

Listes de confiance

1. Chaque État membre établit, tient à jour et publie des listes de confiance, y compris des informations relatives aux prestataires de services de confiance qualifiés dont il est responsable, ainsi que des informations relatives aux services de confiance qualifiés qu’ils fournissent.

2. Les États membres établissent, tiennent à jour et publient, de façon sécurisée et sous une forme adaptée au traitement automatisé, les listes de confiance visées au paragraphe 1 portant une signature_électronique ou un cachet_électronique.

3. Les États membres communiquent à la Commission, dans les meilleurs délais, des informations relatives à l’organisme chargé d’établir, de tenir à jour et de publier les listes nationales de confiance, ainsi que des détails précisant où ces listes sont publiées, indiquant les certificats utilisés pour apposer une signature_électronique ou un cachet_électronique sur ces listes et signalant les modifications apportées à ces listes.

4. La Commission met à la disposition du public, par l’intermédiaire d’un canal sécurisé, les informations visées au paragraphe 3 sous une forme portant une signature_électronique ou un cachet_électronique adaptée au traitement automatisé.

5. Au plus tard le 18 septembre 2015, la Commission précise, au moyen d’actes d’exécution, les informations visées au paragraphe 1 et définit les spécifications techniques et les formats des listes de confiance applicables aux fins des paragraphes 1 à 4. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 27

Signatures électroniques dans les services publics

1. Si un État membre exige une signature_électronique avancée pour utiliser un service en ligne offert par un organisme du secteur public ou pour l’utiliser au nom de cet organisme, il reconnaît les signatures électroniques avancées, les signatures électroniques avancées qui reposent sur un certificat qualifié de signature_électronique et les signatures électroniques qualifiées au moins dans les formats ou utilisant les méthodes définis dans les actes d’exécution visés au paragraphe 5.

2. Si un État membre exige une signature_électronique avancée qui repose sur un certificat qualifié pour utiliser un service en ligne proposé par un organisme du secteur public ou pour l’utiliser au nom de cet organisme, il reconnaît les signatures électroniques avancées qui reposent sur un certificat qualifié et les signatures électroniques qualifiées au moins dans les formats ou utilisant les méthodes définis dans les actes d’exécution visés au paragraphe 5.

3. Les États membres n’exigent pas, pour une utilisation transfrontalière dans un service en ligne offert par un organisme du secteur public, de signature_électronique présentant un niveau de sécurité supérieur à celui de la signature_électronique qualifiée.

4. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux signatures électroniques avancées. Une signature_électronique avancée est présumée satisfaire aux exigences applicables aux signatures électroniques avancées visées aux paragraphes 1 et 2 du présent article et à l’article 26 lorsqu’elle respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

5. Au plus tard le 18 septembre 2015, et compte tenu des pratiques et des normes ainsi que des actes juridiques de l’Union en vigueur, la Commission définit, au moyen d’actes d’exécution, les formats de référence des signatures électroniques avancées ou les méthodes de référence lorsque d’autres formats sont utilisés. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 30

Certification des dispositifs de création de signature_électronique qualifiés

1. La conformité des dispositifs de création de signature_électronique qualifiés avec les exigences fixées à l’annexe II est certifiée par les organismes publics ou privés compétents désignés par les États membres.

2. Les États membres notifient à la Commission le nom et l’adresse de l’organisme public ou privé visé au paragraphe 1. La Commission met ces informations à la disposition des États membres.

3. La certification visée au paragraphe 1 est fondée sur l’un des éléments suivants:

a)	un processus d’évaluation de la sécurité mis en œuvre conformément à l’une des normes relatives à l’évaluation de la sécurité des produits informatiques figurant sur la liste établie conformément au deuxième alinéa; ou

un processus autre que le processus visé au point a), à condition qu’il recoure à des niveaux de sécurité comparables et que l’organisme public ou privé visé au paragraphe 1 notifie ce processus à la Commission. Ledit processus ne peut être utilisé qu’en l’absence des normes visées au point a) ou lorsqu’un processus d’évaluation de la sécurité visé au point a) est en cours.

La Commission établit, au moyen d’actes d’exécution, une liste de normes relatives à l’évaluation de la sécurité des produits informatiques visés au point a). Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

4. La Commission est habilitée à adopter des actes délégués, en conformité avec l’article 47, en ce qui concerne la définition de critères spécifiques que doivent respecter les organismes désignés visés au paragraphe 1 du présent article.

Article 31

Publication d’une liste des dispositifs de création de signature_électronique qualifiés certifiés

1. Les États membres notifient à la Commission, dans les meilleurs délais et au plus tard un mois après la conclusion de la certification, des informations sur les dispositifs de création de signature_électronique qualifiés qui ont été certifiés par les organismes visés à l’article 30, paragraphe 1. Ils notifient également à la Commission, dans les meilleurs délais et au plus tard un mois après l’annulation de la certification, des informations sur les dispositifs de création de signature_électronique qui ne sont plus certifiés.

2. Sur la base des informations reçues, la Commission établit, publie et met à jour une liste des dispositifs de création de signature_électronique qualifiés certifiés.

3. La Commission peut définir, au moyen d’actes d’exécution, les formats et les procédures applicables aux fins du paragraphe 1. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 37

Cachets électroniques dans les services publics

1. Si un État membre exige un cachet_électronique avancé pour utiliser un service en ligne offert par un organisme du secteur public ou pour l’utiliser au nom de cet organisme, il reconnaît les cachets électroniques avancés, les cachets électroniques avancés qui reposent sur un certificat qualifié de cachet_électronique et les cachets électroniques qualifiés au moins dans les formats ou utilisant les méthodes définis dans les actes d’exécutions visés au paragraphe 5.

2. Si un État membre exige un cachet_électronique avancé qui repose sur un certificat qualifié pour utiliser un service en ligne proposé par un organisme du secteur public ou pour l’utiliser au nom de cet organisme, il reconnaît les cachets électroniques avancés qui reposent sur un certificat qualifié et les cachets électroniques qualifiés au moins dans les formats ou utilisant les méthodes définis dans les actes d’exécution visés au paragraphe 5.

3. Les États membres n’exigent pas, pour l’utilisation transfrontalière dans un service en ligne offert par un organisme du secteur public, de cachet_électronique présentant un niveau de sécurité supérieur à celui du cachet_électronique qualifié.

4. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux cachets électroniques avancés. Un cachet_électronique avancé est présumé satisfaire aux exigences applicables aux cachets électroniques avancés visées aux paragraphes 1 et 2 du présent article et à l’article 36 lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

5. Au plus tard le 18 septembre 2015, et compte tenu des pratiques et des normes ainsi que des actes juridiques de l’Union en vigueur, la Commission définit, au moyen d’actes d’exécution, les formats de référence des cachets électroniques avancés ou les méthodes de référence lorsque d’autres formats sont utilisés. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

whereas

(16) Les niveaux de garantie devraient caractériser le niveau de fiabilité d’un moyen d’ identification_électronique pour établir l’identité d’une personne, garantissant ainsi que la personne revendiquant une identité particulière est bien la personne à laquelle cette identité a été attribuée.
Le niveau de garantie dépend du niveau de fiabilité que le moyen d’ identification_électronique accorde à l’identité revendiquée ou prétendue d’une personne en tenant compte des processus (par exemple, preuve et vérification d’identité, et authentification), des activités de gestion (par exemple, l’entité délivrant les moyens d’identification et la procédure de délivrance de ces moyens) et contrôles techniques mis en œuvres.
Il existe diverses définitions techniques et des descriptions des niveaux de garantie à la suite de projets pilotes à grande échelle financés au niveau de l’Union, d’activités internationales et de normalisation.
En particulier, le projet pilote à grande échelle STORK et la norme ISO 29115 mentionnent, entre autres, les niveaux 2, 3 et 4 qui devraient être pris scrupuleusement en compte pour établir les exigences techniques, les normes et les procédures minimales pour les niveaux de garantie faible, substantiel et élevé au sens du présent règlement, tout en garantissant une application cohérente du présent règlement, en particulier en ce qui concerne le niveau élevé de garantie pour la preuve de l’identité en vue de la délivrance de certificats qualifiés.
Les exigences établies devraient être neutres du point de vue de la technologie.
Il devrait être possible de répondre aux exigences de sécurité au moyen de différentes technologies.

- = -

(17) Les États membres devraient encourager le secteur privé à utiliser, sur une base volontaire, aux fins de l’identification exigée par des services en ligne ou des transactions électroniques, les moyens d’ identification_électronique relevant d’un schéma notifié.
La possibilité d’utiliser de tels moyens d’ identification_électronique permettrait au secteur privé de s’appuyer sur des fonctions d’identification et d’ authentification électroniques déjà largement utilisées dans de nombreux États membres, au moins pour les services publics, et de faciliter l’accès des entreprises et des particuliers à leurs services en ligne transfrontaliers.
Afin de faciliter l’utilisation transfrontalière de tels moyens d’ identification_électronique par le secteur privé, la possibilité d’ authentification prévue par un État membre devrait être accessible aux parties utilisatrices du secteur privé établies en dehors du territoire de cet État membre aux mêmes conditions que celles qui sont appliquées aux parties utilisatrices du secteur privé établies sur le territoire dudit État membre.
Dès lors, en ce qui concerne les parties utilisatrices du secteur privé, l’État membre notifiant peut définir des conditions d’accès aux moyens d’ authentification.
Ces conditions d’accès peuvent indiquer si le moyen d’ authentification relatif au schéma notifié est actuellement accessible aux parties utilisatrices du secteur privé.

- = -

(18) Le présent règlement devrait prévoir la responsabilité de l’État membre notifiant, de la partie qui délivre le moyen d’ identification_électronique et de la partie qui gère la procédure d’ authentification en cas de manquement aux obligations pertinentes au titre du présent règlement.
Le présent règlement devrait cependant s’appliquer conformément aux dispositions nationales en matière de responsabilité.
Il n’affecte donc pas ces règles nationales, par exemple, celles relatives à la définition des dommages ou aux règles procédurales applicables en la matière, y compris à la charge de la preuve.

- = -

(21) Le présent règlement devrait aussi instaurer un cadre juridique général concernant l’utilisation de services de confiance.
Toutefois, il ne devrait pas imposer d’obligation générale d’y recourir ou d’installer un point d’accès pour tous les services de confiance existants.
En particulier, il ne devrait pas couvrir la fourniture de services utilisés exclusivement dans des systèmes fermés au sein d’un ensemble défini de participants, qui n’ont pas d’effets sur des tiers.
Par exemple, les systèmes institués par des entreprises ou des administrations publiques pour gérer les procédures internes et utilisant des services de confiance ne devraient pas être soumis aux exigences du présent règlement.
Seuls les services de confiance fournis au public ayant des effets sur les tiers devraient remplir les exigences du présent règlement.
Le présent règlement ne devrait pas couvrir non plus les aspects relatifs à la conclusion et à la validité des contrats ou autres obligations juridiques lorsque des exigences d’ordre formel sont posées par le droit national ou de l’Union.
En outre, il ne devrait pas porter atteinte à des exigences d’ordre formel imposées au niveau national aux registres publics, notamment les registres du commerce et les registres fonciers.

- = -

(25) Les États membres devraient rester libres de définir d’autres types de services de confiance, en plus de ceux qui figurent sur la liste fermée des services de confiance prévus par le présent règlement, aux fins de leur reconnaissance au niveau national comme des services de confiance qualifiés.

- = -

(28) Pour accroître, en particulier, la confiance des petites et moyennes entreprises (PME) et des consommateurs dans le marché intérieur et pour promouvoir l’utilisation des services et produits de confiance, les notions de service_de_confiance qualifié et de prestataire_de_services_de_confiance qualifié devraient être introduites en vue de définir les exigences et obligations qui assurent un niveau élevé de sécurité de tous les services et produits de confiance qualifiés qui sont utilisés ou fournis.

- = -

(37) Le présent règlement devrait prévoir que tous les prestataires de services de confiance engagent leur responsabilité.
Il établit notamment le régime de responsabilité en vertu duquel tous les prestataires de services de confiance devraient être responsables des dommages causés à toute personne physique ou morale en raison d’un manquement aux obligations prévues par le présent règlement.
Afin de faciliter l’évaluation du risque financier que les prestataires de services de confiance pourraient devoir supporter ou qu’ils devraient couvrir au moyen d’une police d’assurance, le présent règlement les autorise à fixer des limites, sous certaines conditions, à l’utilisation des services qu’ils proposent et à ne pas être tenus pour responsables des dommages résultant de l’utilisation de services allant au-delà de ces limites.
Les clients devraient être dûment informés à l’avance des limites fixées.
Ces limites devraient être reconnaissables par un tiers, par exemple par l’insertion d’une notice relative à ces limites dans les conditions applicables au service fourni ou par d’autres moyens reconnaissables.
Afin de donner effet à ces principes, il convient que le présent règlement s’applique conformément aux règles nationales en matière de responsabilité.
Le présent règlement n’affecte donc pas ces règles nationales, par exemple celles relatives à la définition des dommages, au caractère intentionnel ou à la négligence, ou les règles procédurales applicables en la matière.

- = -

(49) Le présent règlement devrait établir le principe selon lequel une signature_électronique ne devrait pas se voir refuser un effet juridique au motif qu’elle se présente sous une forme électronique ou qu’elle ne satisfait pas à toutes les exigences de la signature_électronique qualifiée.
Toutefois, il appartient au droit national de définir l’effet juridique produit par les signatures électroniques, à l’exception de l’exigence prévue dans le présent règlement selon laquelle l’effet juridique d’une signature_électronique qualifiée devrait être équivalent à celui d’une signature manuscrite.

- = -

(57) Pour garantir la sécurité juridique concernant la validité de la signature, il est essentiel de préciser les éléments de la signature_électronique qualifiée que devrait vérifier la partie_utilisatrice effectuant la validation.
En outre, le fait de définir les exigences applicables aux prestataires de services de confiance qualifiés qui peuvent fournir un service de validation qualifié aux parties utilisatrices ne voulant ou ne pouvant pas effectuer elles-mêmes la validation de signatures électroniques qualifiées devrait inciter les secteurs privé et public à investir dans de tels services.
Les deux éléments devraient faire de la validation de signatures électroniques qualifiées une procédure aisée et adaptée à toutes les parties au niveau de l’Union.

- = -

keyboard_tab EIDAS 2014/0910 FR

EIDAS 2014/0910 FR