keyboard_tab EIDAS 2014/0910 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 6 Article 3 Définitions
- 1 Article 8 Niveaux de garantie des schémas d’identification électronique
- 3 Article 17 Organe de contrôle
- 2 Article 20 Contrôle des prestataires de services de confiance qualifiés
- 1 Article 21 Lancement d’un service de confiance qualifié
- 1 Article 24 Exigences applicables aux prestataires de services de confiance qualifiés
- 3 Article 28 Certificats qualifiés de signature électronique
- 2 Article 29 Exigences applicables aux dispositifs de création de signature électronique qualifiés
- 1 Article 30 Certification des dispositifs de création de signature électronique qualifiés
- 1 Article 32 Exigences applicables à la validation des signatures électroniques qualifiées
- 1 Article 33 Service de validation qualifié des signatures électroniques qualifiées
- 1 Article 34 Service de conservation qualifié des signatures électroniques qualifiées
- 3 Article 38 Certificats qualifiés de cachet électronique
- 1 Article 42 Exigences applicables aux horodatages électroniques qualifiés
- 2 Article 44 Exigences applicables aux services d’envoi recommandé électronique qualifiés
- 2 Article 45 Exigences applicables aux certificats qualifiés d’authentification de site internet
- 1 Article 47 Exercice de la délégation
CHAPITRE I
DISPOSITIONS GÉNÉRALES
CHAPITRE II
IDENTIFICATION ÉLECTRONIQUE
CHAPITRE III
SERVICES DE CONFIANCE
SECTION 1
Dispositions générales
SECTION 2
Contrôle
SECTION 3
Services de confiance qualifiés
SECTION 4
Signatures électroniques
SECTION 5
Cachets électroniques
SECTION 6
Horodatage électronique
SECTION 7
Services d’envoi recommandé électronique
SECTION 8
Authentification de site internet
CHAPITRE IV
DOCUMENTS ÉLECTRONIQUES
CHAPITRE V
DÉLÉGATIONS DE POUVOIR ET DISPOSITIONS D’EXÉCUTION
CHAPITRE VI
DISPOSITIONS FINALES
- identification électronique
- moyen d’identification électronique
- données d’identification personnelle
- schéma d’identification électronique
- authentification
- partie utilisatrice
- organismes du secteur public
- organisme de droit public
- signataire
- signature électronique
- signature électronique avancée
- signature électronique qualifiée
- données de création de signature électronique
- certificat de signature électronique
- certificat qualifié de signature électronique
- service de confiance
- service de confiance qualifié
- organisme d’évaluation de la conformité
- prestataire de services de confiance
- prestataire de services de confiance qualifié
- produit
- dispositif de création de signature électronique
- dispositif de création de signature électronique qualifié
- créateur de cachet
- cachet électronique
- cachet électronique avancé
- cachet électronique qualifié
- données de création de cachet électronique
- certificat de cachet électronique
- certificat qualifié de cachet électronique
- dispositif de création de cachet électronique
- dispositif de création de cachet électronique qualifié
- horodatage électronique
- horodatage électronique qualifié
- document électronique
- service d’envoi recommandé électronique
- service d’envoi recommandé électronique qualifié
- données de validation
- validation
- qualifié 67
- paragraphe 56
- qualifiés 55
- services 48
- données 48
- exigences 47
- confiance 46
- l’article 44
- signature_électronique 38
- sont 34
- fixées 32
- normes 31
- contrôle 31
- personne 30
- d’exécution 30
- certificat 30
- d’ 29
- cachet_électronique 28
- conformité 28
- commission 27
- prestataires 26
- prestataire_de_services_de_confiance 26
- certificats 25
- pour 25
- moyen 24
- article 23
- identification_électronique 22
- avec 22
- peut 21
- électroniques 21
- dans 21
- d’un 20
- électronique 19
- actes 19
- conformément 19
- l’organe 19
- service 19
- création 19
- la 18
- statut 18
- visée 18
- l’annexe 17
- procédure 17
- applicables 17
- validation 17
- les 16
- processus 15
- signatures 15
- présent 15
- d’actes 15
Article 3
Définitions
Aux fins du présent règlement, on entend par:
| 1. | « identification_électronique», le processus consistant à utiliser des données_d’identification_personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale; |
| 2. | «moyen d’ identification_électronique», un élément matériel et/ou immatériel contenant des données_d’identification_personnelle et utilisé pour s’authentifier pour un service en ligne; |
| 3. | « données_d’identification_personnelle», un ensemble de données permettant d’établir l’identité d’une personne physique ou morale, ou d’une personne physique représentant une personne morale; |
| 4. | «schéma d’ identification_électronique», un système pour l’ identification_électronique en vertu duquel des moyens d’ identification_électronique sont délivrés à des personnes physiques ou morales, ou à des personnes physiques représentant des personnes morales; |
| 5. | « authentification», un processus électronique qui permet de confirmer l’ identification_électronique d’une personne physique ou morale, ou l’origine et l’intégrité d’une donnée sous forme électronique; |
| 6. | « partie_utilisatrice», une personne physique ou morale qui se fie à une identification_électronique ou à un service_de_confiance; |
| 7. | « organismes_du_secteur_public», un État, une autorité régionale ou locale, un organisme_de_droit_public ou une association constituée d’une ou de plusieurs de ces autorités ou d’un ou de plusieurs de ces organismes de droit public, ou une entité privée mandatée par au moins un ou une de ces autorités, organismes, ou associations pour fournir des services publics lorsqu’elle agit en vertu de ce mandat; |
| 8. | « organisme_de_droit_public», un organisme au sens de l’article 2, paragraphe 1, point 4), de la directive 2014/24/UE du Parlement européen et du Conseil (15); |
| 9. | « signataire», une personne physique qui crée une signature_électronique; |
| 10. | « signature_électronique», des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer; |
| 11. | « signature_électronique avancée», une signature_électronique qui satisfait aux exigences énoncées à l’article 26: |
| 12. | « signature_électronique qualifiée», une signature_électronique avancée qui est créée à l’aide d’un dispositif de création de signature_électronique qualifié, et qui repose sur un certificat qualifié de signature_électronique; |
| 13. | «données de création de signature_électronique», des données uniques qui sont utilisées par le signataire pour créer une signature_électronique; |
| 14. | «certificat de signature_électronique», une attestation électronique qui associe les données_de_ validation d’une signature_électronique à une personne physique et confirme au moins le nom ou le pseudonyme de cette personne; |
| 15. | «certificat qualifié de signature_électronique», un certificat de signature_électronique, qui est délivré par un prestataire_de_services_de_confiance qualifié et qui satisfait aux exigences fixées à l’annexe I; |
| 16. | « service_de_confiance», un service électronique normalement fourni contre rémunération qui consiste:
|
| 17. | « service_de_confiance qualifié», un service_de_confiance qui satisfait aux exigences du présent règlement; |
| 18. | « organisme_d’évaluation_de_la_conformité», un organisme défini à l’article 2, point 13), du règlement (CE) no 765/2008, qui est accrédité conformément audit règlement comme étant compétent pour effectuer l’évaluation de la conformité d’un prestataire_de_services_de_confiance qualifié et des services de confiance qualifiés qu’il fournit; |
| 19. | « prestataire_de_services_de_confiance», une personne physique ou morale qui fournit un ou plusieurs services de confiance, en tant que prestataire_de_services_de_confiance qualifié ou non qualifié; |
| 20. | « prestataire_de_services_de_confiance qualifié», un prestataire_de_services_de_confiance qui fournit un ou plusieurs services de confiance qualifiés et a obtenu de l’organe de contrôle le statut qualifié; |
| 21. | « produit», un dispositif matériel ou logiciel, ou les composants correspondants du dispositif matériel ou logiciel, qui sont destinés à être utilisés pour la fourniture de services de confiance; |
| 22. | «dispositif de création de signature_électronique», un dispositif logiciel ou matériel configuré servant à créer une signature_électronique; |
| 23. | «dispositif de création de signature_électronique qualifié», un dispositif de création de signature_électronique qui satisfait aux exigences énoncées à l’annexe II; |
| 24. | « créateur_de_cachet», une personne morale qui crée un cachet_électronique; |
| 25. | « cachet_électronique», des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique pour garantir l’origine et l’intégrité de ces dernières; |
| 26. | « cachet_électronique avancé», un cachet_électronique qui satisfait aux exigences énoncées à l’article 36; |
| 27. | « cachet_électronique qualifié», un cachet_électronique avancé qui est créé à l’aide d’un dispositif de création de cachet_électronique qualifié et qui repose sur un certificat qualifié de cachet_électronique; |
| 28. | «données de création de cachet_électronique», des données uniques qui sont utilisées par le créateur du cachet_électronique pour créer un cachet_électronique; |
| 29. | «certificat de cachet_électronique», une attestation électronique qui associe les données_de_ validation d’un cachet_électronique à une personne morale et confirme le nom de cette personne; |
| 30. | «certificat qualifié de cachet_électronique», un certificat de cachet_électronique, qui est délivré par un prestataire_de_services_de_confiance qualifié et qui satisfait aux exigences fixées à l’annexe III; |
| 31. | «dispositif de création de cachet_électronique», un dispositif logiciel ou matériel configuré utilisé pour créer un cachet_électronique; |
| 32. | «dispositif de création de cachet_électronique qualifié», un dispositif de création de cachet_électronique qui satisfait mutatis mutandis aux exigences fixées à l’annexe II; |
| 33. | « horodatage_électronique», des données sous forme électronique qui associent d’autres données sous forme électronique à un instant particulier et établissent la preuve que ces dernières données existaient à cet instant; |
| 34. | « horodatage_électronique qualifié», un horodatage_électronique qui satisfait aux exigences fixées à l’article 42; |
| 35. | « document_électronique», tout contenu conservé sous forme électronique, notamment un texte ou un enregistrement sonore, visuel ou audiovisuel; |
| 36. | « service_d’envoi_recommandé_électronique», un service qui permet de transmettre des données entre des tiers par voie électronique, qui fournit des preuves concernant le traitement des données transmises, y compris la preuve de leur envoi et de leur réception, et qui protège les données transmises contre les risques de perte, de vol, d’altération ou de toute modification non autorisée; |
| 37. | « service_d’envoi_recommandé_électronique qualifié», un service_d’envoi_recommandé_électronique qui satisfait aux exigences fixées à l’article 44; |
| 38. | «certificat d’ authentification de site internet«, une attestation qui permet d’authentifier un site internet et associe celui-ci à la personne physique ou morale à laquelle le certificat est délivré; |
| 39. | «certificat qualifié d’ authentification de site internet«, un certificat d’ authentification de site internet, qui est délivré par un prestataire_de_services_de_confiance qualifié et qui satisfait aux exigences fixées à l’annexe IV; |
| 40. | « données_de_ validation», des données qui servent à valider une signature_électronique ou un cachet_électronique; |
| 41. | « validation», le processus de vérification et de confirmation de la validité d’une signature ou d’un cachet_électronique. |
Article 8
Niveaux de garantie des schémas d’ identification_électronique
1. Un schéma d’ identification_électronique notifié en vertu de l’article 9, paragraphe 1, détermine les spécifications des niveaux de garantie faible, substantiel et/ou élevé des moyens d’ identification_électronique délivrés dans le cadre dudit schéma.
2. Les niveaux de garantie faible, substantiel et élevé satisfont, respectivement, aux critères suivants:
| a) | le niveau de garantie faible renvoie à un moyen d’ identification_électronique dans le cadre d’un schéma d’ identification_électronique qui accorde un degré limité de fiabilité à l’identité revendiquée ou prétendue d’une personne, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l’objectif est de réduire le risque d’utilisation abusive ou d’altération de l’identité; |
| b) | le niveau de garantie substantiel renvoie à un moyen d’ identification_électronique dans le cadre d’un schéma d’ identification_électronique qui accorde un degré substantiel de fiabilité à l’identité revendiquée ou prétendue d’une personne, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l’objectif est de réduire substantiellement le risque d’utilisation abusive ou d’altération de l’identité; |
| c) | le niveau de garantie élevé renvoie à un moyen d’ identification_électronique dans le cadre d’un schéma d’ identification_électronique qui accorde un niveau de fiabilité à l’identité revendiquée ou prétendue d’une personne plus élevé qu’un moyen d’ identification_électronique ayant le niveau de garantie substantiel, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l’objectif est d’empêcher l’utilisation abusive ou l’altération de l’identité. |
3. Au plus tard le 18 septembre 2015, compte tenu des normes internationales pertinentes et sous réserve du paragraphe 2, la Commission fixe, au moyen d’actes d’exécution, les spécifications techniques, normes et procédures minimales sur la base desquelles les niveaux de garantie faible, substantiel et élevé sont spécifiés pour les moyens d’ identification_électronique aux fins du paragraphe 1.
Ces spécifications techniques, normes et procédures minimales sont fixées par référence à la fiabilité et à la qualité des éléments suivants:
| a) | la procédure visant à prouver et vérifier l’identité des personnes physiques ou morales demandant la délivrance de moyens d’ identification_électronique; |
| b) | la procédure de délivrance des moyens d’ identification_électronique demandés; |
| c) | le mécanisme d’ authentification au moyen duquel la personne physique ou morale utilise le moyen d’ identification_électronique pour confirmer son identité à une partie_utilisatrice; |
| d) | l’entité délivrant les moyens d’ identification_électronique; |
| e) | tout autre organisme associé à la demande de délivrance de moyens d’ identification_électronique; et |
| f) | les spécifications techniques et de sécurité des moyens d’ identification_électronique délivrés. |
Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 17
Organe de contrôle
1. Les États membres désignent un organe de contrôle établi sur leur territoire ou, d’un commun accord avec un autre État membre, un organe de contrôle établi dans cet autre État membre. Cet organe est chargé des tâches de contrôle dans l’État membre qui a procédé à la désignation.
Les organes de contrôle sont investis des pouvoirs nécessaires et dotés des ressources adéquates pour l’exercice de leurs tâches.
2. Les États membres notifient à la Commission le nom et l’adresse de l’organe de contrôle qu’ils ont désigné.
3. Le rôle de l’organe de contrôle est le suivant:
| a) | contrôler les prestataires de services de confiance qualifiés établis sur le territoire de l’État membre qui a procédé à la désignation afin de s’assurer, par des activités de contrôle a priori et a posteriori, que ces prestataires de services de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent satisfont aux exigences fixées dans le présent règlement; |
| b) | prendre des mesures, si nécessaire, en ce qui concerne les prestataires de services de confiance non qualifiés établis sur le territoire de l’État membre qui a procédé à la désignation, par des activités de contrôle a posteriori, lorsqu’il est informé que ces prestataires de services de confiance non qualifiés ou les services de confiance qu’ils fournissent ne satisferaient pas aux exigences fixées dans le présent règlement. |
4. Aux fins du paragraphe 3 et sous réserve des limites qu’il prévoit, les tâches de l’organe de contrôle consistent notamment:
| a) | à coopérer avec d’autres organes de contrôle et à leur apporter assistance conformément à l’article 18; |
| b) | à analyser les rapports d’évaluation de la conformité visés à l’article 20, paragraphe 1, et à l’article 21, paragraphe 1; |
| c) | à informer d’autres organes de contrôle et le public d’atteintes à la sécurité ou de pertes d’intégrité conformément à l’article 19, paragraphe 2; |
| d) | à présenter un rapport à la Commission sur ses principales activités conformément au paragraphe 6 du présent article; |
| e) | à procéder à des audits ou à demander à un organisme_d’évaluation_de_la_conformité d’effectuer une évaluation de la conformité des prestataires de services de confiance qualifiés conformément à l’article 20, paragraphe 2; |
| f) | à coopérer avec les autorités chargées de la protection des données, en particulier en les informant, dans les meilleurs délais, des résultats des audits des prestataires de services de confiance qualifiés lorsqu’il apparaît que des règles en matière de protection des données à caractère personnel ont été violées; |
| g) | à accorder le statut qualifié aux prestataires de services de confiance et aux services qu’ils fournissent et à retirer ce statut conformément aux articles 20 et 21; |
| h) | à informer l’organisme chargé de la liste nationale de confiance visée à l’article 22, paragraphe 3, de ses décisions d’accorder ou de retirer le statut qualifié, à moins que cet organisme ne soit également l’organe de contrôle; |
| i) | à vérifier l’existence et l’application correcte de dispositions relatives aux plans d’arrêt d’activité lorsque le prestataire_de_services_de_confiance qualifié cesse son activité, y compris la façon dont les informations restent accessibles conformément à l’article 24, paragraphe 2, point h); |
| j) | à exiger que les prestataires de services de confiance corrigent tout manquement aux obligations fixées par le présent règlement. |
5. Les États membres peuvent exiger de l’organe de contrôle qu’il établisse, gère et actualise une infrastructure de confiance conformément aux conditions prévues par le droit national.
6. Au plus tard le 31 mars de chaque année, chaque organe de contrôle soumet à la Commission un rapport sur ses principales activités de l’année civile précédente, accompagné d’un résumé des notifications d’atteinte à la sécurité reçues de prestataires de services de confiance conformément à l’article 19, paragraphe 2.
7. La Commission met le rapport annuel visé au paragraphe 6 à la disposition des États membres.
8. La Commission peut définir, au moyen d’actes d’exécution, les formats et procédures applicables aux fins du rapport visé au paragraphe 6. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 20
Contrôle des prestataires de services de confiance qualifiés
1. Les prestataires de services de confiance qualifiés font l’objet, au moins tous les vingt-quatre mois, d’un audit effectué à leurs frais par un organisme_d’évaluation_de_la_conformité. Le but de l’audit est de confirmer que les prestataires de services de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent remplissent les exigences fixées par le présent règlement. Les prestataires de services de confiance qualifiés transmettent le rapport d’évaluation de la conformité à l’organe de contrôle dans un délai de trois jours ouvrables qui suivent sa réception.
2. Sans préjudice du paragraphe 1, l’organe de contrôle peut à tout moment, soumettre les prestataires de services de confiance qualifiés à un audit ou demander à un organisme_d’évaluation_de_la_conformité de procéder à une évaluation de la conformité des prestataires de services de confiance qualifiés, aux frais de ces prestataires de services de confiance, afin de confirmer que les prestataires et les services de confiance qualifiés qu’ils fournissent remplissent les exigences fixées par le présent règlement. L’organe de contrôle informe les autorités chargées de la protection des données des résultats de ses audits lorsqu’il apparaît que les règles en matière de protection des données à caractère personnel ont été violées.
3. Lorsque l’organe de contrôle exige du prestataire_de_services_de_confiance qualifié qu’il corrige un manquement aux exigences prévues par le présent règlement et que le prestataire n’agit pas en conséquence, et le cas échéant dans un délai fixé par l’organe de contrôle, l’organe de contrôle, tenant compte, en particulier, de l’ampleur, de la durée et des conséquences de ce manquement, peut retirer à ce prestataire ou au service affecté le statut qualifié et informe l’organisme visé à l’article 22, paragraphe 3, aux fins de la mise à jour des listes de confiance visées à l’article 22, paragraphe 1. L’organe de contrôle informe le prestataire_de_services_de_confiance qualifié du retrait de son statut qualifié ou du retrait du statut qualifié du service concerné.
4. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes suivantes:
| a) | accréditation des organismes d’évaluation de la conformité et rapports d’évaluation de la conformité visés au paragraphe 1; |
| b) | règles d’audit en fonction desquelles les organismes d’évaluation de la conformité procéderont à leur évaluation de la conformité des prestataires de services de confiance qualifiés visés au paragraphe 1. |
Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 21
Lancement d’un service_de_confiance qualifié
1. Lorsque des prestataires de services de confiance, sans statut qualifié, ont l’intention de commencer à offrir des services de confiance qualifiés, ils soumettent à l’organe de contrôle une notification de leur intention accompagnée d’un rapport d’évaluation de la conformité délivré par un organisme_d’évaluation_de_la_conformité.
2. L’organe de contrôle vérifie que le prestataire_de_services_de_confiance et les services de confiance qu’il fournit respectent les exigences fixées par le présent règlement, en particulier les exigences en ce qui concerne les prestataires de services de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent.
Si l’organe de contrôle conclut que le prestataire_de_services_de_confiance et les services de confiance qu’il fournit respectent les exigences visées au premier alinéa, l’organe de contrôle accorde le statut qualifié au prestataire_de_services_de_confiance et aux services de confiance qu’il fournit et informe l’organisme visé à l’article 22, paragraphe 3, aux fins de la mise à jour des listes de confiance visées à l’article 22, paragraphe 1, au plus tard trois mois suivant la notification conformément au paragraphe 1 du présent article.
Si la vérification n’est pas terminée dans un délai de trois mois à compter de la notification, l’organe de contrôle en informe le prestataire_de_services_de_confiance en précisant les raisons du retard et le délai nécessaire pour terminer la vérification.
3. Les prestataires de services de confiance qualifiés peuvent commencer à fournir le service_de_confiance qualifié une fois que le statut qualifié est indiqué sur les listes de confiance visées à l’article 22, paragraphe 1.
4. La Commission peut définir, au moyen d’actes d’exécution, les formats et les procédures applicables aux fins des paragraphes 1 et 2. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 24
Exigences applicables aux prestataires de services de confiance qualifiés
1. Lorsqu’un prestataire_de_services_de_confiance qualifié délivre un certificat qualifié pour un service_de_confiance, il vérifie, par des moyens appropriés et conformément au droit national, l’identité et, le cas échéant, tous les attributs spécifiques de la personne physique ou morale à laquelle il délivre le certificat qualifié.
Les informations visées au premier alinéa sont vérifiées par le prestataire_de_services_de_confiance qualifié directement ou en en ayant recours à un tiers conformément au droit national:
| a) | par la présence en personne de la personne physique ou du représentant autorisé de la personne morale; ou |
| b) | à distance, à l’aide de moyens d’ identification_électronique pour lesquels, avant la délivrance du certificat qualifié, la personne physique ou un représentant autorisé de la personne morale s’est présenté en personne et qui satisfont aux exigences énoncées à l’article 8 en ce qui concerne les niveaux de garantie substantiel et élevé; ou |
| c) | au moyen d’un certificat de signature_électronique qualifié ou d’un cachet_électronique qualifié délivré conformément au point a) ou b); ou |
| d) | à l’aide d’autres méthodes d’identification reconnues au niveau national qui fournissent une garantie équivalente en termes de fiabilité à la présence en personne. La garantie équivalente est confirmée par un organisme_d’évaluation_de_la_conformité. |
2. Un prestataire_de_services_de_confiance qualifié qui fournit des services de confiance qualifiés:
| a) | informe l’organe de contrôle de toute modification dans la fourniture de ses services de confiance qualifiés et de son intention éventuelle de cesser ces activités; |
| b) | emploie du personnel et, le cas échéant, des sous-traitants qui possèdent l’expertise, la fiabilité, l’expérience et les qualifications nécessaires, qui ont reçu une formation appropriée en ce qui concerne les règles en matière de sécurité et de protection des données à caractère personnel et appliquent des procédures administratives et de gestion correspondant à des normes européennes ou internationales; |
| c) | en ce qui concerne le risque de responsabilité pour dommages conformément à l’article 13, maintient des ressources financières suffisantes et/ou contracte une assurance responsabilité appropriée, conformément au droit national; |
| d) | avant d’établir une relation contractuelle, informe, de manière claire et exhaustive, toute personne désireuse d’utiliser un service_de_confiance qualifié des conditions précises relatives à l’utilisation de ce service, y compris toute limite quant à son utilisation; |
| e) | utilise des systèmes et des produits fiables qui sont protégés contre les modifications et assure la sécurité technique et la fiabilité des processus qu’ils prennent en charge; |
| f) | utilise des systèmes fiables pour stocker les données qui lui sont fournies, sous une forme vérifiable de manière que:
|
| g) | prend des mesures appropriées contre la falsification et le vol de données; |
| h) | enregistre et maintient accessibles pour une durée appropriée, y compris après que les activités du prestataire_de_services_de_confiance qualifié ont cessé, toutes les informations pertinentes concernant les données délivrées et reçues par le prestataire_de_services_de_confiance qualifié, aux fins notamment de pouvoir fournir des preuves en justice et aux fins d’assurer la continuité du service. Ces enregistrements peuvent être effectués par voie électronique; |
| i) | a un plan actualisé d’arrêt d’activité afin d’assurer la continuité du service conformément aux dispositions vérifiées par l’organe de contrôle au titre de l’article 17, paragraphe 4, point i); |
| j) | assure le traitement licite de données à caractère personnel conformément à la directive 95/46/CE; |
| k) | au cas où le prestataire_de_services_de_confiance qualifié délivre des certificats qualifiés, établit et tient à jour une base de données relative aux certificats. |
3. Lorsqu’un prestataire_de_services_de_confiance qualifié qui délivre des certificats qualifiés décide de révoquer un certificat, il enregistre cette révocation dans sa base de données relative aux certificats et publie le statut de révocation du certificat en temps utile, et en tout état de cause dans les vingt-quatre heures suivant la réception de la demande. Cette révocation devient effective immédiatement dès sa publication.
4. En ce qui concerne le paragraphe 3, les prestataires de services de confiance qualifiés qui délivrent des certificats qualifiés fournissent à toute partie_utilisatrice des informations sur la validité ou le statut de révocation des certificats qualifiés qu’ils ont délivrés. Ces informations sont disponibles, au moins par certificat, à tout moment et au-delà de la période de validité du certificat, sous une forme automatisée qui est fiable, gratuite et efficace.
5. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux systèmes et produits fiables, qui satisfont aux exigences du paragraphe 2, points e) et f), du présent article. Les systèmes et les produits fiables sont présumés satisfaire aux exigences fixées au présent article lorsqu’ils respectent ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
SECTION 4
Signatures électroniques
Article 28
Certificats qualifiés de signature_électronique
1. Les certificats qualifiés de signature_électronique satisfont aux exigences fixées à l’annexe I.
2. Les certificats qualifiés de signature_électronique ne font l’objet d’aucune exigence obligatoire allant au-delà des exigences fixées à l’annexe I.
3. Les certificats qualifiés de signature_électronique peuvent comprendre des attributs spécifiques supplémentaires non obligatoires. Ces attributs n’affectent pas l’interopérabilité et la reconnaissance des signatures électroniques qualifiées.
4. Si un certificat qualifié de signature_électronique a été révoqué après la première activation, il perd sa validité à compter du moment de sa révocation et il ne peut en aucun cas recouvrer son statut antérieur.
5. Sous réserve des conditions suivantes, les États membres peuvent établir des règles nationales relatives à la suspension temporaire d’un certificat qualifié de signature_électronique:
| a) | si un certificat qualifié de signature_électronique a été temporairement suspendu, ce certificat perd sa validité pendant la période de suspension. |
| b) | la période de suspension est clairement indiquée dans la base de données relative aux certificats et le statut de suspension est visible, pendant la période de suspension, auprès du service fournissant les informations sur le statut du certificat. |
6. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux certificats qualifiés de signature_électronique. Un certificat qualifié de signature_électronique est présumé satisfaire aux exigences fixées à l’annexe I lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 29
Exigences applicables aux dispositifs de création de signature_électronique qualifiés
1. Les dispositifs de création de signature_électronique qualifiés respectent les exigences fixées à l’annexe II.
2. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux dispositifs de création de signature_électronique qualifiés. Un dispositif de création de signature_électronique qualifié est présumé satisfaire aux exigences fixées à l’annexe II lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 30
Certification des dispositifs de création de signature_électronique qualifiés
1. La conformité des dispositifs de création de signature_électronique qualifiés avec les exigences fixées à l’annexe II est certifiée par les organismes publics ou privés compétents désignés par les États membres.
2. Les États membres notifient à la Commission le nom et l’adresse de l’organisme public ou privé visé au paragraphe 1. La Commission met ces informations à la disposition des États membres.
3. La certification visée au paragraphe 1 est fondée sur l’un des éléments suivants:
| a) | un processus d’évaluation de la sécurité mis en œuvre conformément à l’une des normes relatives à l’évaluation de la sécurité des produits informatiques figurant sur la liste établie conformément au deuxième alinéa; ou |
| b) | un processus autre que le processus visé au point a), à condition qu’il recoure à des niveaux de sécurité comparables et que l’organisme public ou privé visé au paragraphe 1 notifie ce processus à la Commission. Ledit processus ne peut être utilisé qu’en l’absence des normes visées au point a) ou lorsqu’un processus d’évaluation de la sécurité visé au point a) est en cours. |
La Commission établit, au moyen d’actes d’exécution, une liste de normes relatives à l’évaluation de la sécurité des produits informatiques visés au point a). Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
4. La Commission est habilitée à adopter des actes délégués, en conformité avec l’article 47, en ce qui concerne la définition de critères spécifiques que doivent respecter les organismes désignés visés au paragraphe 1 du présent article.
Article 32
Exigences applicables à la validation des signatures électroniques qualifiées
1. Le processus de validation d’une signature_électronique qualifiée confirme la validité d’une signature_électronique qualifiée à condition que:
| a) | le certificat sur lequel repose la signature ait été, au moment de la signature, un certificat qualifié de signature_électronique conforme à l’annexe I; |
| b) | le certificat qualifié ait été délivré par un prestataire_de_services_de_confiance qualifié et était valide au moment de la signature; |
| c) | les données_de_ validation de la signature correspondent aux données communiquées à la partie_utilisatrice; |
| d) | l’ensemble unique de données représentant le signataire dans le certificat soit correctement fourni à la partie_utilisatrice; |
| e) | l’utilisation d’un pseudonyme soit clairement indiquée à la partie_utilisatrice, si un pseudonyme a été utilisé au moment de la signature; |
| f) | la signature_électronique ait été créée par un dispositif de création de signature_électronique qualifié; |
| g) | l’intégrité des données signées n’ait pas été compromise; |
| h) | les exigences prévues à l’article 26 aient été satisfaites au moment de la signature. |
2. Le système utilisé pour valider la signature_électronique qualifiée fournit à la partie_utilisatrice le résultat correct du processus de validation et permet à celle-ci de détecter tout problème pertinent relatif à la sécurité.
3. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables à la validation des signatures électroniques qualifiées. La validation des signatures électroniques qualifiées est présumée satisfaire aux exigences fixées au paragraphe 1 lorsqu’elle respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 33
Service de validation qualifié des signatures électroniques qualifiées
1. Un service de validation qualifié des signatures électroniques qualifiées ne peut être fourni que par un prestataire_de_services_de_confiance qualifié qui:
| a) | fournit une validation en conformité avec l’article 32, paragraphe 1; et |
| b) | permet aux parties utilisatrices de recevoir le résultat du processus de validation d’une manière automatisée, fiable, efficace et portant la signature_électronique avancée ou le cachet_électronique avancé du prestataire qui fournit le service de validation qualifié. |
2. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables au service de validation qualifié visé au paragraphe 1. Le service de validation de signatures électroniques qualifiées est présumé satisfaire aux exigences fixées au paragraphe 1 lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 34
Service de conservation qualifié des signatures électroniques qualifiées
1. Un service de conservation qualifié des signatures électroniques qualifiées ne peut être fourni que par un prestataire_de_services_de_confiance qualifié qui utilise des procédures et des technologies permettant d’étendre la fiabilité des signatures électroniques qualifiées au-delà de la période de validité technologique.
2. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables au service de conservation qualifié des signatures électroniques qualifiées. Le service de conservation qualifié des signatures électroniques qualifiées est présumé satisfaire aux exigences fixées au paragraphe 1 lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
SECTION 5
Cachets électroniques
Article 38
Certificats qualifiés de cachet_électronique
1. Les certificats qualifiés de cachet_électronique satisfont aux exigences fixées à l’annexe III.
2. Les certificats qualifiés de cachet_électronique ne font l’objet d’aucune exigence obligatoire allant au-delà des exigences fixées à l’annexe III.
3. Les certificats qualifiés de cachet_électronique peuvent comprendre des attributs spécifiques supplémentaires non obligatoires. Ces attributs n’affectent pas l’interopérabilité et la reconnaissance des cachets électroniques qualifiés.
4. Si un certificat qualifié de cachet_électronique a été révoqué après la première activation, il perd sa validité à compter du moment de sa révocation et il ne peut en aucun cas recouvrer son statut antérieur.
5. Sous réserve des conditions suivantes, les États membres peuvent établir des règles nationales relatives à la suspension temporaire de certificats qualifiés de cachet_électronique:
| a) | si un certificat qualifié de cachet_électronique a été temporairement suspendu, ce certificat perd sa validité pendant la période de suspension; |
| b) | la période de suspension est clairement indiquée dans la base de données relative aux certificats et le statut de suspension est visible, pendant la période de suspension, auprès du service fournissant les informations sur le statut du certificat. |
6. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux certificats qualifiés de cachet_électronique. Un certificat qualifié de cachet_électronique est présumé satisfaire aux exigences fixées à l’annexe III lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 42
Exigences applicables aux horodatages électroniques qualifiés
1. Un horodatage_électronique qualifié satisfait aux exigences suivantes:
| a) | il lie la date et l’heure aux données de manière à raisonnablement exclure la possibilité de modification indétectable des données; |
| b) | il est fondé sur une horloge exacte liée au temps universel coordonné; et |
| c) | il est signé au moyen d’une signature_électronique avancée ou cacheté au moyen d’un cachet_électronique avancé du prestataire_de_services_de_confiance qualifié, ou par une méthode équivalente. |
2. La Commission peut, au moyen d’actes d’exécution, établir les numéros de référence des normes en ce qui concerne l’établissement du lien entre la date et l’heure et les données, et les horloges exactes. L’établissement du lien entre la date et l’heure et les données et les horloges exactes sont présumés satisfaire aux exigences fixées au paragraphe 1 lorsqu’ils respectent ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
SECTION 7
Services d’envoi recommandé électronique
Article 44
Exigences applicables aux services d’envoi recommandé électronique qualifiés
1. Les services d’envoi recommandé électronique qualifiés satisfont aux exigences suivantes:
| a) | ils sont fournis par un ou plusieurs prestataires de services de confiance qualifiés; |
| b) | ils garantissent l’identification de l’expéditeur avec un degré de confiance élevé; |
| c) | ils garantissent l’identification du destinataire avant la fourniture des données; |
| d) | l’envoi et la réception de données sont sécurisés par une signature_électronique avancée ou par un cachet_électronique avancé d’un prestataire_de_services_de_confiance qualifié, de manière à exclure toute possibilité de modification indétectable des données; |
| e) | toute modification des données nécessaire pour l’envoi ou la réception de celles-ci est clairement signalée à l’expéditeur et au destinataire des données; |
| f) | la date et l’heure d’envoi, de réception et toute modification des données sont indiquées par un horodatage_électronique qualifié. |
Dans le cas où les données sont transférées entre deux prestataires de services de confiance qualifiés ou plus, les exigences fixées aux points a) à f) s’appliquent à tous les prestataires de services de confiance qualifiés.
2. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux processus d’envoi et de réception de données. Le processus d’envoi et de réception de données est présumé satisfaire aux exigences fixées au paragraphe 1 lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
SECTION 8
Authentification de site internet
Article 45
Exigences applicables aux certificats qualifiés d’ authentification de site internet
1. Les certificats qualifiés d’ authentification de site internet satisfont aux exigences fixées à l’annexe IV.
2. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux certificats qualifiés d’ authentification de site internet. Un certificat qualifié d’ authentification de site internet est présumé satisfaire aux exigences fixées à l’annexe IV lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
CHAPITRE IV
DOCUMENTS ÉLECTRONIQUES
Article 47
Exercice de la délégation
1. Le pouvoir d’adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.
2. Le pouvoir d’adopter des actes délégués visé à l’article 30, paragraphe 4, est conféré à la Commission pour une durée indéterminée à compter du 17 septembre 2014.
3. La délégation de pouvoir visée à l’article 30, paragraphe 4, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l’Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.
4. Aussitôt qu’elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.
5. Un acte délégué adopté en vertu de l’article 30, paragraphe 4, n’entre en vigueur que si le Parlement européen ou le Conseil n’a pas exprimé d’objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l’expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d’objections. Ce délai est prolongé de deux mois à l’initiative du Parlement européen ou du Conseil.
whereas