EIDAS 2014/0910 FR

1. Le présent règlement s’applique aux schémas d’ identification_électronique qui ont été notifiés par un État membre et aux prestataires de services de confiance établis dans l’Union.

2. Le présent règlement ne s’applique pas à la fourniture de services de confiance utilisés exclusivement dans des systèmes fermés résultant du droit national ou d’accords au sein d’un ensemble défini de participants.

3. Le présent règlement n’affecte pas le droit national ou de l’Union relatif à la conclusion et à la validité des contrats ou d’autres obligations juridiques ou procédurales d’ordre formel.

Article 3

Définitions

Aux fins du présent règlement, on entend par:

1.	« identification_électronique», le processus consistant à utiliser des données_d’identification_personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale;

2.	«moyen d’ identification_électronique», un élément matériel et/ou immatériel contenant des données_d’identification_personnelle et utilisé pour s’authentifier pour un service en ligne;

3.	« données_d’identification_personnelle», un ensemble de données permettant d’établir l’identité d’une personne physique ou morale, ou d’une personne physique représentant une personne morale;

4.	«schéma d’ identification_électronique», un système pour l’ identification_électronique en vertu duquel des moyens d’ identification_électronique sont délivrés à des personnes physiques ou morales, ou à des personnes physiques représentant des personnes morales;

5.	« authentification», un processus électronique qui permet de confirmer l’ identification_électronique d’une personne physique ou morale, ou l’origine et l’intégrité d’une donnée sous forme électronique;

6.	« partie_utilisatrice», une personne physique ou morale qui se fie à une identification_électronique ou à un service_de_confiance;

« organismes_du_secteur_public», un État, une autorité régionale ou locale, un organisme_de_droit_public ou une association constituée d’une ou de plusieurs de ces autorités ou d’un ou de plusieurs de ces organismes de droit public, ou une entité privée mandatée par au moins un ou une de ces autorités, organismes, ou associations pour fournir des services publics lorsqu’elle agit en vertu de ce mandat;

8.	« organisme_de_droit_public», un organisme au sens de l’article 2, paragraphe 1, point 4), de la directive 2014/24/UE du Parlement européen et du Conseil (15);

9.	« signataire», une personne physique qui crée une signature_électronique;

10.	« signature_électronique», des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer;

11.	« signature_électronique avancée», une signature_électronique qui satisfait aux exigences énoncées à l’article 26:

12.	« signature_électronique qualifiée», une signature_électronique avancée qui est créée à l’aide d’un dispositif de création de signature_électronique qualifié, et qui repose sur un certificat qualifié de signature_électronique;

13.	«données de création de signature_électronique», des données uniques qui sont utilisées par le signataire pour créer une signature_électronique;

14.	«certificat de signature_électronique», une attestation électronique qui associe les données_de_ validation d’une signature_électronique à une personne physique et confirme au moins le nom ou le pseudonyme de cette personne;

15.	«certificat qualifié de signature_électronique», un certificat de signature_électronique, qui est délivré par un prestataire_de_services_de_confiance qualifié et qui satisfait aux exigences fixées à l’annexe I;

16.

« service_de_confiance», un service électronique normalement fourni contre rémunération qui consiste:

a)	en la création, en la vérification et en la validation de signatures électroniques, de cachets électroniques ou d’horodatages électroniques, de services d’envoi recommandé électronique et de certificats relatifs à ces services; ou

b)	en la création, en la vérification et en la validation de certificats pour l’ authentification de site internet; ou

c)	en la conservation de signatures électroniques, de cachets électroniques ou des certificats relatifs à ces services;

17.	« service_de_confiance qualifié», un service_de_confiance qui satisfait aux exigences du présent règlement;

18.

« organisme_d’évaluation_de_la_conformité», un organisme défini à l’article 2, point 13), du règlement (CE) no 765/2008, qui est accrédité conformément audit règlement comme étant compétent pour effectuer l’évaluation de la conformité d’un prestataire_de_services_de_confiance qualifié et des services de confiance qualifiés qu’il fournit;

19.	« prestataire_de_services_de_confiance», une personne physique ou morale qui fournit un ou plusieurs services de confiance, en tant que prestataire_de_services_de_confiance qualifié ou non qualifié;

20.	« prestataire_de_services_de_confiance qualifié», un prestataire_de_services_de_confiance qui fournit un ou plusieurs services de confiance qualifiés et a obtenu de l’organe de contrôle le statut qualifié;

21.	« produit», un dispositif matériel ou logiciel, ou les composants correspondants du dispositif matériel ou logiciel, qui sont destinés à être utilisés pour la fourniture de services de confiance;

22.	«dispositif de création de signature_électronique», un dispositif logiciel ou matériel configuré servant à créer une signature_électronique;

23.	«dispositif de création de signature_électronique qualifié», un dispositif de création de signature_électronique qui satisfait aux exigences énoncées à l’annexe II;

24.	« créateur_de_cachet», une personne morale qui crée un cachet_électronique;

25.	« cachet_électronique», des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique pour garantir l’origine et l’intégrité de ces dernières;

26.	« cachet_électronique avancé», un cachet_électronique qui satisfait aux exigences énoncées à l’article 36;

27.	« cachet_électronique qualifié», un cachet_électronique avancé qui est créé à l’aide d’un dispositif de création de cachet_électronique qualifié et qui repose sur un certificat qualifié de cachet_électronique;

28.	«données de création de cachet_électronique», des données uniques qui sont utilisées par le créateur du cachet_électronique pour créer un cachet_électronique;

29.	«certificat de cachet_électronique», une attestation électronique qui associe les données_de_ validation d’un cachet_électronique à une personne morale et confirme le nom de cette personne;

30.	«certificat qualifié de cachet_électronique», un certificat de cachet_électronique, qui est délivré par un prestataire_de_services_de_confiance qualifié et qui satisfait aux exigences fixées à l’annexe III;

31.	«dispositif de création de cachet_électronique», un dispositif logiciel ou matériel configuré utilisé pour créer un cachet_électronique;

32.	«dispositif de création de cachet_électronique qualifié», un dispositif de création de cachet_électronique qui satisfait mutatis mutandis aux exigences fixées à l’annexe II;

33.	« horodatage_électronique», des données sous forme électronique qui associent d’autres données sous forme électronique à un instant particulier et établissent la preuve que ces dernières données existaient à cet instant;

34.	« horodatage_électronique qualifié», un horodatage_électronique qui satisfait aux exigences fixées à l’article 42;

35.	« document_électronique», tout contenu conservé sous forme électronique, notamment un texte ou un enregistrement sonore, visuel ou audiovisuel;

36.

« service_d’envoi_recommandé_électronique», un service qui permet de transmettre des données entre des tiers par voie électronique, qui fournit des preuves concernant le traitement des données transmises, y compris la preuve de leur envoi et de leur réception, et qui protège les données transmises contre les risques de perte, de vol, d’altération ou de toute modification non autorisée;

37.	« service_d’envoi_recommandé_électronique qualifié», un service_d’envoi_recommandé_électronique qui satisfait aux exigences fixées à l’article 44;

38.	«certificat d’ authentification de site internet«, une attestation qui permet d’authentifier un site internet et associe celui-ci à la personne physique ou morale à laquelle le certificat est délivré;

39.	«certificat qualifié d’ authentification de site internet«, un certificat d’ authentification de site internet, qui est délivré par un prestataire_de_services_de_confiance qualifié et qui satisfait aux exigences fixées à l’annexe IV;

40.	« données_de_ validation», des données qui servent à valider une signature_électronique ou un cachet_électronique;

41.	« validation», le processus de vérification et de confirmation de la validité d’une signature ou d’un cachet_électronique.

Article 4

Principe du marché intérieur

1. Il n’y a pas de restriction à la fourniture de services de confiance, sur le territoire d’un État membre, par un prestataire_de_services_de_confiance établi dans un autre État membre pour des raisons qui relèvent des domaines couverts par le présent règlement.

2. Les produits et les services de confiance qui sont conformes au présent règlement sont autorisés à circuler librement au sein du marché intérieur.

Article 7

Éligibilité pour la notification des schémas d’ identification_électronique

Un schéma d’ identification_électronique est éligible aux fins de notification en vertu de l’article 9, paragraphe 1, si toutes les conditions suivantes sont remplies:

les moyens d’ identification_électronique relevant du schéma d’ identification_électronique sont délivrés:

i)	par l’État membre notifiant;

ii)	dans le cadre d’un mandat de l’État membre notifiant; ou

iii)	indépendamment de l’État membre notifiant et sont reconnus par cet État membre;

b)	les moyens d’ identification_électronique relevant du schéma d’ identification_électronique peuvent être utilisés pour accéder au moins à un service qui est fourni par un organisme du secteur public et qui exige l’ identification_électronique dans l’État membre notifiant;

c)	le schéma d’ identification_électronique et les moyens d’ identification_électronique délivrés dans ce cadre répondent aux exigences d’au moins un des niveaux de garantie prévus dans l’acte d’exécution visé à l’article 8, paragraphe 3;

l’État membre notifiant veille à ce que les données_d’identification_personnelle représentant de manière univoque la personne en question soient attribuées conformément aux spécifications techniques, aux normes et aux procédures pour le niveau de garantie concerné prévues dans l’acte d’exécution visé à l’article 8, paragraphe 3, à la personne physique ou morale visée à l’article 3, point 1), au moment de la délivrance du moyen d’ identification_électronique relevant de ce schéma;

la partie délivrant le moyen d’ identification_électronique relevant de ce schéma veille à ce que le moyen d’ identification_électronique soit attribué à la personne visée au point d) du présent article conformément aux spécifications techniques, aux normes et aux procédures pour le niveau de garantie concerné prévues dans l’acte d’exécution visé à l’article 8, paragraphe 3;

l’État membre notifiant veille à ce qu’une authentification en ligne soit disponible afin de permettre à toute partie_utilisatrice établie sur le territoire d’un autre État membre de confirmer les données_d’identification_personnelle reçues sous forme électronique.

Pour les parties utilisatrices autres que des organismes_du_secteur_public, l’État membre notifiant peut définir les conditions d’accès à cette authentification. Cette authentification transfrontalière est fournie gratuitement lorsqu’elle est effectuée en liaison avec un service en ligne fourni par un organisme du secteur public.

Les États membres n’imposent aucune exigence technique disproportionnée aux parties utilisatrices qui envisagent de procéder à cette authentification, lorsque de telles exigences empêchent ou entravent sensiblement l’interopérabilité des schémas d’ identification_électronique notifiés;

six mois au moins avant la notification en vertu de l’article 9, paragraphe 1, l’État membre notifiant fournit aux autres États membres aux fins de l’obligation au titre de l’article 12, paragraphe 5, une description de ce schéma conformément aux modalités de procédure établies par les actes d’exécution visés à l’article 12, paragraphe 7.

h)	le schéma d’ identification_électronique satisfait aux exigences de l’acte d’exécution visé à l’article 12, paragraphe 8.

Article 18

Assistance mutuelle

1. Les organes de contrôle coopèrent en vue d’échanger des bonnes pratiques.

Un organe de contrôle fournit, après réception d’une demande justifiée d’un autre organe de contrôle, à cet organe une assistance afin que les activités des organes de contrôle puissent être exécutées de façon cohérente. L’assistance mutuelle peut notamment couvrir des demandes d’informations et des mesures de contrôle, telles que des demandes de procéder à des inspections liées aux rapports d’évaluation de la conformité visés aux articles 20 et 21.

2. Un organe de contrôle saisi d’une demande d’assistance peut refuser cette demande sur la base de l’un ou l’autre des motifs suivants:

a)	l’organe de contrôle n’est pas compétent pour fournir l’assistance demandée;

b)	l’assistance demandée n’est pas proportionnée aux activités de contrôle de l’organe de contrôle effectuées conformément à l’article 17;

c)	la fourniture de l’assistance demandée serait incompatible avec le présent règlement.

3. Le cas échéant, les États membres peuvent autoriser leurs organes de contrôle respectifs à mener des enquêtes conjointes faisant intervenir des membres des organes de contrôle d’autres États membres. Les modalités et procédures concernant ces actions conjointes sont approuvées et établies par les États membres concernés conformément à leur droit national.

Article 19

Exigences de sécurité applicables aux prestataires de services de confiance

1. Les prestataires de services de confiance qualifiés et non qualifiés prennent les mesures techniques et organisationnelles adéquates pour gérer les risques liés à la sécurité des services de confiance qu’ils fournissent. Compte tenu des évolutions technologiques les plus récentes, ces mesures garantissent que le niveau de sécurité est proportionné au degré de risque. Des mesures sont notamment prises en vue de prévenir et de limiter les conséquences d’incidents liés à la sécurité et d’informer les parties concernées des effets préjudiciables de tels incidents.

2. Les prestataires de services de confiance qualifiés et non qualifiés notifient, dans les meilleurs délais et en tout état de cause dans un délai de vingt-quatre heures après en avoir eu connaissance, à l’organe de contrôle et, le cas échéant, à d’autres organismes concernés, tels que l’organisme national compétent en matière de sécurité de l’information ou l’autorité chargée de la protection des données, toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence importante sur le service_de_confiance fourni ou sur les données à caractère personnel qui y sont conservées.

Lorsque l’atteinte à la sécurité ou la perte d’intégrité est susceptible de porter préjudice à une personne physique ou morale à laquelle le service_de_confiance a été fourni, le prestataire_de_services_de_confiance notifie aussi, dans les meilleurs délais, à la personne physique ou morale l’atteinte à la sécurité ou la perte d’intégrité.

Le cas échéant, notamment lorsqu’une atteinte à la sécurité ou une perte d’intégrité concerne deux États membres ou plus, l’organe de contrôle notifié informe les organes de contrôle des autres États membres concernés ainsi que l'ENISA.

L’organe de contrôle notifié informe le public ou exige du prestataire_de_services_de_confiance qu’il le fasse, dès lors qu’il constate qu’il est dans l’intérêt public de divulguer l’atteinte à la sécurité ou la perte d’intégrité.

3. Une fois par an, l’organe de contrôle fournit à l'ENISA un résumé des notifications d’atteinte à la sécurité et de perte d’intégrité reçues de prestataires de services de confiance.

4. La Commission peut, au moyen d’actes d’exécution:

a)	préciser davantage les mesures visées au paragraphe 1; et

b)	définir les formats et procédures, y compris les délais, applicables aux fins du paragraphe 2.

Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

SECTION 3

Services de confiance qualifiés

Article 21

Lancement d’un service_de_confiance qualifié

1. Lorsque des prestataires de services de confiance, sans statut qualifié, ont l’intention de commencer à offrir des services de confiance qualifiés, ils soumettent à l’organe de contrôle une notification de leur intention accompagnée d’un rapport d’évaluation de la conformité délivré par un organisme_d’évaluation_de_la_conformité.

2. L’organe de contrôle vérifie que le prestataire_de_services_de_confiance et les services de confiance qu’il fournit respectent les exigences fixées par le présent règlement, en particulier les exigences en ce qui concerne les prestataires de services de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent.

Si l’organe de contrôle conclut que le prestataire_de_services_de_confiance et les services de confiance qu’il fournit respectent les exigences visées au premier alinéa, l’organe de contrôle accorde le statut qualifié au prestataire_de_services_de_confiance et aux services de confiance qu’il fournit et informe l’organisme visé à l’article 22, paragraphe 3, aux fins de la mise à jour des listes de confiance visées à l’article 22, paragraphe 1, au plus tard trois mois suivant la notification conformément au paragraphe 1 du présent article.

Si la vérification n’est pas terminée dans un délai de trois mois à compter de la notification, l’organe de contrôle en informe le prestataire_de_services_de_confiance en précisant les raisons du retard et le délai nécessaire pour terminer la vérification.

3. Les prestataires de services de confiance qualifiés peuvent commencer à fournir le service_de_confiance qualifié une fois que le statut qualifié est indiqué sur les listes de confiance visées à l’article 22, paragraphe 1.

4. La Commission peut définir, au moyen d’actes d’exécution, les formats et les procédures applicables aux fins des paragraphes 1 et 2. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 24

Exigences applicables aux prestataires de services de confiance qualifiés

1. Lorsqu’un prestataire_de_services_de_confiance qualifié délivre un certificat qualifié pour un service_de_confiance, il vérifie, par des moyens appropriés et conformément au droit national, l’identité et, le cas échéant, tous les attributs spécifiques de la personne physique ou morale à laquelle il délivre le certificat qualifié.

Les informations visées au premier alinéa sont vérifiées par le prestataire_de_services_de_confiance qualifié directement ou en en ayant recours à un tiers conformément au droit national:

a)	par la présence en personne de la personne physique ou du représentant autorisé de la personne morale; ou

à distance, à l’aide de moyens d’ identification_électronique pour lesquels, avant la délivrance du certificat qualifié, la personne physique ou un représentant autorisé de la personne morale s’est présenté en personne et qui satisfont aux exigences énoncées à l’article 8 en ce qui concerne les niveaux de garantie substantiel et élevé; ou

c)	au moyen d’un certificat de signature_électronique qualifié ou d’un cachet_électronique qualifié délivré conformément au point a) ou b); ou

d)	à l’aide d’autres méthodes d’identification reconnues au niveau national qui fournissent une garantie équivalente en termes de fiabilité à la présence en personne. La garantie équivalente est confirmée par un organisme_d’évaluation_de_la_conformité.

2. Un prestataire_de_services_de_confiance qualifié qui fournit des services de confiance qualifiés:

a)	informe l’organe de contrôle de toute modification dans la fourniture de ses services de confiance qualifiés et de son intention éventuelle de cesser ces activités;

emploie du personnel et, le cas échéant, des sous-traitants qui possèdent l’expertise, la fiabilité, l’expérience et les qualifications nécessaires, qui ont reçu une formation appropriée en ce qui concerne les règles en matière de sécurité et de protection des données à caractère personnel et appliquent des procédures administratives et de gestion correspondant à des normes européennes ou internationales;

c)	en ce qui concerne le risque de responsabilité pour dommages conformément à l’article 13, maintient des ressources financières suffisantes et/ou contracte une assurance responsabilité appropriée, conformément au droit national;

d)	avant d’établir une relation contractuelle, informe, de manière claire et exhaustive, toute personne désireuse d’utiliser un service_de_confiance qualifié des conditions précises relatives à l’utilisation de ce service, y compris toute limite quant à son utilisation;

e)	utilise des systèmes et des produits fiables qui sont protégés contre les modifications et assure la sécurité technique et la fiabilité des processus qu’ils prennent en charge;

utilise des systèmes fiables pour stocker les données qui lui sont fournies, sous une forme vérifiable de manière que:

i)	les données ne soient publiquement disponibles pour des traitements qu’après avoir obtenu le consentement de la personne concernée par ces données;

ii)	seules des personnes autorisées puissent introduire des données et modifier les données conservées;

iii)	l’authenticité des données puisse être vérifiée;

g)	prend des mesures appropriées contre la falsification et le vol de données;

enregistre et maintient accessibles pour une durée appropriée, y compris après que les activités du prestataire_de_services_de_confiance qualifié ont cessé, toutes les informations pertinentes concernant les données délivrées et reçues par le prestataire_de_services_de_confiance qualifié, aux fins notamment de pouvoir fournir des preuves en justice et aux fins d’assurer la continuité du service. Ces enregistrements peuvent être effectués par voie électronique;

i)	a un plan actualisé d’arrêt d’activité afin d’assurer la continuité du service conformément aux dispositions vérifiées par l’organe de contrôle au titre de l’article 17, paragraphe 4, point i);

j)	assure le traitement licite de données à caractère personnel conformément à la directive 95/46/CE;

k)	au cas où le prestataire_de_services_de_confiance qualifié délivre des certificats qualifiés, établit et tient à jour une base de données relative aux certificats.

3. Lorsqu’un prestataire_de_services_de_confiance qualifié qui délivre des certificats qualifiés décide de révoquer un certificat, il enregistre cette révocation dans sa base de données relative aux certificats et publie le statut de révocation du certificat en temps utile, et en tout état de cause dans les vingt-quatre heures suivant la réception de la demande. Cette révocation devient effective immédiatement dès sa publication.

4. En ce qui concerne le paragraphe 3, les prestataires de services de confiance qualifiés qui délivrent des certificats qualifiés fournissent à toute partie_utilisatrice des informations sur la validité ou le statut de révocation des certificats qualifiés qu’ils ont délivrés. Ces informations sont disponibles, au moins par certificat, à tout moment et au-delà de la période de validité du certificat, sous une forme automatisée qui est fiable, gratuite et efficace.

5. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux systèmes et produits fiables, qui satisfont aux exigences du paragraphe 2, points e) et f), du présent article. Les systèmes et les produits fiables sont présumés satisfaire aux exigences fixées au présent article lorsqu’ils respectent ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

SECTION 4

Signatures électroniques

Article 32

Exigences applicables à la validation des signatures électroniques qualifiées

1. Le processus de validation d’une signature_électronique qualifiée confirme la validité d’une signature_électronique qualifiée à condition que:

a)	le certificat sur lequel repose la signature ait été, au moment de la signature, un certificat qualifié de signature_électronique conforme à l’annexe I;

b)	le certificat qualifié ait été délivré par un prestataire_de_services_de_confiance qualifié et était valide au moment de la signature;

c)	les données_de_ validation de la signature correspondent aux données communiquées à la partie_utilisatrice;

d)	l’ensemble unique de données représentant le signataire dans le certificat soit correctement fourni à la partie_utilisatrice;

e)	l’utilisation d’un pseudonyme soit clairement indiquée à la partie_utilisatrice, si un pseudonyme a été utilisé au moment de la signature;

f)	la signature_électronique ait été créée par un dispositif de création de signature_électronique qualifié;

g)	l’intégrité des données signées n’ait pas été compromise;

h)	les exigences prévues à l’article 26 aient été satisfaites au moment de la signature.

2. Le système utilisé pour valider la signature_électronique qualifiée fournit à la partie_utilisatrice le résultat correct du processus de validation et permet à celle-ci de détecter tout problème pertinent relatif à la sécurité.

3. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables à la validation des signatures électroniques qualifiées. La validation des signatures électroniques qualifiées est présumée satisfaire aux exigences fixées au paragraphe 1 lorsqu’elle respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 33

Service de validation qualifié des signatures électroniques qualifiées

1. Un service de validation qualifié des signatures électroniques qualifiées ne peut être fourni que par un prestataire_de_services_de_confiance qualifié qui:

a)	fournit une validation en conformité avec l’article 32, paragraphe 1; et

b)	permet aux parties utilisatrices de recevoir le résultat du processus de validation d’une manière automatisée, fiable, efficace et portant la signature_électronique avancée ou le cachet_électronique avancé du prestataire qui fournit le service de validation qualifié.

2. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables au service de validation qualifié visé au paragraphe 1. Le service de validation de signatures électroniques qualifiées est présumé satisfaire aux exigences fixées au paragraphe 1 lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 44

Exigences applicables aux services d’envoi recommandé électronique qualifiés

1. Les services d’envoi recommandé électronique qualifiés satisfont aux exigences suivantes:

a)	ils sont fournis par un ou plusieurs prestataires de services de confiance qualifiés;

b)	ils garantissent l’identification de l’expéditeur avec un degré de confiance élevé;

c)	ils garantissent l’identification du destinataire avant la fourniture des données;

d)	l’envoi et la réception de données sont sécurisés par une signature_électronique avancée ou par un cachet_électronique avancé d’un prestataire_de_services_de_confiance qualifié, de manière à exclure toute possibilité de modification indétectable des données;

e)	toute modification des données nécessaire pour l’envoi ou la réception de celles-ci est clairement signalée à l’expéditeur et au destinataire des données;

f)	la date et l’heure d’envoi, de réception et toute modification des données sont indiquées par un horodatage_électronique qualifié.

Dans le cas où les données sont transférées entre deux prestataires de services de confiance qualifiés ou plus, les exigences fixées aux points a) à f) s’appliquent à tous les prestataires de services de confiance qualifiés.

2. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux processus d’envoi et de réception de données. Le processus d’envoi et de réception de données est présumé satisfaire aux exigences fixées au paragraphe 1 lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

SECTION 8

Authentification de site internet

whereas

(6) Dans ses conclusions du 27 mai 2011, le Conseil a invité la Commission à contribuer à la mise en place du marché unique numérique en créant les conditions appropriées pour la reconnaissance mutuelle des outils clés entre les pays, tels que l’ identification_électronique, les documents électroniques, les signatures électroniques et les services de fourniture électronique, ainsi que pour la mise au point de services interopérables d’administration en ligne dans toute l’Union européenne.

- = -

(9) Dans la plupart des cas, les citoyens ne peuvent pas utiliser leur identification_électronique pour s’authentifier dans un autre État membre parce que les schémas nationaux d’ identification_électronique de leur pays ne sont pas reconnus dans d’autres États membres.
Cet obstacle numérique empêche les prestataires de services de tirer tous les bénéfices du marché intérieur.
La reconnaissance mutuelle des moyens d’ identification_électronique facilitera la fourniture transfrontalière de nombreux services dans le marché intérieur et permettra aux entreprises de mener des activités transfrontalières sans faire face à de nombreux obstacles dans leurs relations avec les pouvoirs publics.

- = -

(13) Les États membres devraient rester libres, aux fins de l’ identification_électronique, d’utiliser ou d’introduire des moyens d’accès aux services en ligne.
Ils devraient également pouvoir décider d’impliquer ou non le secteur privé dans la fourniture de ces moyens.
Les États membres ne devraient pas être tenus de notifier leurs schémas d’ identification_électronique à la Commission.
Il appartient aux États membres de choisir de notifier à la Commission la totalité ou une partie, ou de ne notifier aucun des schémas d’ identification_électronique utilisés au niveau national pour accéder, au moins, aux services publics en ligne ou à des services spécifiques.

- = -

(14) Il convient de fixer dans le présent règlement certaines conditions, en ce qui concerne les moyens d’ identification_électronique qui doivent être reconnus et la façon dont les schémas d’ identification_électronique devraient être notifiés.
Ces conditions devraient permettre aux États membres de susciter la confiance nécessaire dans leurs schémas d’ identification_électronique respectifs et faciliter la reconnaissance mutuelle des moyens d’ identification_électronique relevant de leurs schémas notifiés.
Le principe de la reconnaissance mutuelle devrait s’appliquer si le schéma d’ identification_électronique de l’État membre notifiant remplit les conditions de notification et si la notification a été publiée au Journal officiel de l’Union européenne.
Toutefois, le principe de la reconnaissance mutuelle ne devrait concerner que l’ authentification pour un service en ligne.
L’accès à ces services en ligne et leur fourniture finale au demandeur devraient être étroitement liés au droit de recevoir de tels services dans les conditions fixées par la législation nationale.

- = -

(21) Le présent règlement devrait aussi instaurer un cadre juridique général concernant l’utilisation de services de confiance.
Toutefois, il ne devrait pas imposer d’obligation générale d’y recourir ou d’installer un point d’accès pour tous les services de confiance existants.
En particulier, il ne devrait pas couvrir la fourniture de services utilisés exclusivement dans des systèmes fermés au sein d’un ensemble défini de participants, qui n’ont pas d’effets sur des tiers.
Par exemple, les systèmes institués par des entreprises ou des administrations publiques pour gérer les procédures internes et utilisant des services de confiance ne devraient pas être soumis aux exigences du présent règlement.
Seuls les services de confiance fournis au public ayant des effets sur les tiers devraient remplir les exigences du présent règlement.
Le présent règlement ne devrait pas couvrir non plus les aspects relatifs à la conclusion et à la validité des contrats ou autres obligations juridiques lorsque des exigences d’ordre formel sont posées par le droit national ou de l’Union.
En outre, il ne devrait pas porter atteinte à des exigences d’ordre formel imposées au niveau national aux registres publics, notamment les registres du commerce et les registres fonciers.

- = -

(31) Les organes de contrôle devraient coopérer avec les autorités chargées de la protection des données, par exemple en les informant des résultats des audits des prestataires de services de confiance qualifiés, lorsqu’il apparaît que des règles en matière de protection des données à caractère personnel ont été violées.
Cette fourniture d’informations devrait, notamment, porter sur les incidents liés à la sécurité et aux atteintes aux données à caractère personnel.

- = -

(42) Pour faciliter le contrôle des prestataires de services de confiance qualifiés, par exemple lorsqu’un prestataire fournit ses services sur le territoire d’un autre État membre dans lequel il n’est soumis à aucun contrôle ou lorsque les ordinateurs d’un prestataire sont situés sur le territoire d’un État membre autre que celui où il est établi, il convient que soit instauré un système d’assistance mutuelle entre les organes de contrôle des États membres.

- = -

(45) Afin de permettre un processus de lancement efficace, qui devrait conduire à l’inscription de prestataires de services de confiance qualifiés et des services de confiance qualifiés qu’ils fournissent sur des listes de confiance, il faudrait encourager des échanges préliminaires entre des prestataires de services de confiance qualifiés potentiels et l’organe de contrôle compétent en vue de faciliter les vérifications préalables à la fourniture de services de confiance qualifiés.

- = -

(67) Les services d’ authentification de site internet sont un moyen permettant au visiteur d’un site internet de s’assurer que celui-ci est tenu par une entité véritable et légitime.
Ces services contribuent à instaurer un climat de confiance pour la réalisation de transactions commerciales en ligne, les utilisateurs tendant à se fier à un site internet qui a été authentifié.
La fourniture et l’utilisation de services d’ authentification de site internet se font entièrement sur une base volontaire.
Cependant, pour que l’ authentification de site internet s’affirme comme un moyen de renforcer la confiance, de fournir à l’utilisateur davantage d’expériences positives et de favoriser la croissance sur le marché intérieur, il convient que le présent règlement impose des obligations minimales de sécurité et de responsabilité aux prestataires et à leurs services. À cette fin, il a été tenu compte des résultats des initiatives en cours menées par le secteur, par exemple le «Certification Authorities/Browser Forum ‒ CA/B Forum» (Forum des autorités de certification/navigateurs internet).
En outre, le présent règlement ne devrait pas entraver l’utilisation d’autres moyens ou méthodes permettant d’authentifier un site internet ne relevant pas du présent règlement, ni empêcher des prestataires de services d’ authentification de site internet de pays tiers de fournir leurs services à des clients dans l’Union.
Toutefois, les services d’ authentification de site internet d’un prestataire d’un pays tiers ne devraient être reconnus comme étant qualifiés conformément au présent règlement que si une convention internationale a été conclue entre l’Union et le pays où ce prestataire est établi.

- = -

keyboard_tab EIDAS 2014/0910 FR

EIDAS 2014/0910 FR