EIDAS 2014/0910 FR

1. Lorsqu’une identification_électronique à l’aide d’un moyen d’ identification_électronique et d’une authentification est exigée en vertu du droit national ou de pratiques administratives nationales pour accéder à un service en ligne fourni par un organisme du secteur public dans un État membre, le moyen d’ identification_électronique délivré dans un autre État membre est reconnu dans le premier État membre aux fins de l’ authentification transfrontalière pour ce service en ligne, à condition que les conditions suivantes soient remplies:

a)	la délivrance de ce moyen d’ identification_électronique relève d’un schéma d’ identification_électronique qui figure sur la liste publiée par la Commission en vertu de l’article 9;

le niveau de garantie de ce moyen d’ identification_électronique correspond à un niveau de garantie égal ou supérieur à celui requis par l’organisme du secteur public concerné pour accéder à ce service en ligne dans le premier État membre, à condition que le niveau de garantie de ce moyen d’ identification_électronique corresponde au niveau de garantie substantiel ou élevé;

c)	l’organisme du secteur public concerné utilise le niveau de garantie substantiel ou élevé pour ce qui concerne l’accès à ce service en ligne.

Cette reconnaissance intervient au plus tard douze mois après la publication par la Commission de la liste visée au point a) du premier alinéa.

2. Un moyen d’ identification_électronique dont la délivrance relève d’un schéma d’ identification_électronique figurant sur la liste publiée par la Commission en vertu de l’article 9 et qui correspond au niveau de garantie faible peut être reconnu par des organismes_du_secteur_public aux fins de l’ authentification transfrontalière du service fourni en ligne par ces organismes.

Article 12

Coopération et interopérabilité

1. Les schémas nationaux d’ identification_électronique notifiés en vertu de l’article 9, paragraphe 1, sont interopérables.

2. Aux fins du paragraphe 1, un cadre d’interopérabilité est établi.

3. Le cadre d’interopérabilité satisfait aux critères suivants:

a)	il vise à être neutre du point de vue technologique et n’opère pas de discrimination entre l’une ou l’autre des solutions techniques nationales particulières destinées à l’ identification_électronique au sein d’un État membre;

b)	il suit les normes européennes et internationales, dans la mesure du possible;

c)	il facilite la mise en œuvre du principe du respect de la vie privée dès la conception; et

d)	il garantit que les données à caractère personnel sont traitées conformément à la directive 95/46/CE.

4. Le cadre d’interopérabilité est composé:

a)	d’une référence aux exigences techniques minimales liées aux niveaux de garantie prévus à l’article 8;

b)	d’une table de correspondance entre les niveaux de garantie nationaux des schémas d’ identification_électronique notifiés et les niveaux de garantie au titre de l’article 8;

c)	d’une référence aux exigences techniques minimales en matière d’interopérabilité;

d)	d’une référence à un ensemble minimal de données_d’identification_personnelle représentant de manière univoque une personne physique ou morale, qui est disponible dans les schémas d’ identification_électronique;

e)	de règles de procédure;

f)	de dispositions pour le règlement des litiges; et

g)	de normes opérationnelles communes de sécurité.

5. Les États membres coopèrent en ce qui concerne:

a)	l’interopérabilité des schémas d’ identification_électronique notifiés en application de l’article 9, paragraphe 1, et des schémas d’ identification_électronique que les États membres entendent notifier; et

b)	la sécurité des schémas d’ identification_électronique.

6. La coopération entre les États membres consiste:

a)	en un échange d’informations, d’expériences et de bonnes pratiques en ce qui concerne les schémas d’ identification_électronique, notamment les exigences techniques liées à l’interopérabilité et aux niveaux de garantie;

b)	en un échange d’informations, d’expériences et de bonnes pratiques en ce qui concerne l’utilisation des niveaux de garantie des schémas d’ identification_électronique prévus à l’article 8;

c)	en une évaluation par les pairs des schémas d’ identification_électronique relevant du présent règlement; et

d)	en un examen des évolutions pertinentes dans le secteur de l’ identification_électronique.

7. Au plus tard le 18 mars 2015, la Commission fixe, au moyen d’actes d’exécution, les modalités de procédure nécessaires pour faciliter la coopération entre les États membres visée aux paragraphes 5 et 6, en vue de favoriser un niveau élevé de confiance et de sécurité approprié au degré de risque.

8. Au plus tard le 18 septembre 2015, aux fins de fixer des conditions uniformes d’exécution de l’obligation prévue au paragraphe 1, la Commission adopte, sous réserve des critères énoncés au paragraphe 3 et compte tenu des résultats de la coopération entre les États membres, des actes d’exécution sur le cadre d’interopérabilité énoncé au paragraphe 4.

9. Les actes d’exécution visés aux paragraphes 7 et 8 du présent article sont adoptés en conformité avec la procédure d’examen visés à l’article 48, paragraphe 2.

CHAPITRE III

SERVICES DE CONFIANCE

SECTION 1

Dispositions générales

Article 18

Assistance mutuelle

1. Les organes de contrôle coopèrent en vue d’échanger des bonnes pratiques.

Un organe de contrôle fournit, après réception d’une demande justifiée d’un autre organe de contrôle, à cet organe une assistance afin que les activités des organes de contrôle puissent être exécutées de façon cohérente. L’assistance mutuelle peut notamment couvrir des demandes d’informations et des mesures de contrôle, telles que des demandes de procéder à des inspections liées aux rapports d’évaluation de la conformité visés aux articles 20 et 21.

2. Un organe de contrôle saisi d’une demande d’assistance peut refuser cette demande sur la base de l’un ou l’autre des motifs suivants:

a)	l’organe de contrôle n’est pas compétent pour fournir l’assistance demandée;

b)	l’assistance demandée n’est pas proportionnée aux activités de contrôle de l’organe de contrôle effectuées conformément à l’article 17;

c)	la fourniture de l’assistance demandée serait incompatible avec le présent règlement.

3. Le cas échéant, les États membres peuvent autoriser leurs organes de contrôle respectifs à mener des enquêtes conjointes faisant intervenir des membres des organes de contrôle d’autres États membres. Les modalités et procédures concernant ces actions conjointes sont approuvées et établies par les États membres concernés conformément à leur droit national.

Article 19

Exigences de sécurité applicables aux prestataires de services de confiance

1. Les prestataires de services de confiance qualifiés et non qualifiés prennent les mesures techniques et organisationnelles adéquates pour gérer les risques liés à la sécurité des services de confiance qu’ils fournissent. Compte tenu des évolutions technologiques les plus récentes, ces mesures garantissent que le niveau de sécurité est proportionné au degré de risque. Des mesures sont notamment prises en vue de prévenir et de limiter les conséquences d’incidents liés à la sécurité et d’informer les parties concernées des effets préjudiciables de tels incidents.

2. Les prestataires de services de confiance qualifiés et non qualifiés notifient, dans les meilleurs délais et en tout état de cause dans un délai de vingt-quatre heures après en avoir eu connaissance, à l’organe de contrôle et, le cas échéant, à d’autres organismes concernés, tels que l’organisme national compétent en matière de sécurité de l’information ou l’autorité chargée de la protection des données, toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence importante sur le service_de_confiance fourni ou sur les données à caractère personnel qui y sont conservées.

Lorsque l’atteinte à la sécurité ou la perte d’intégrité est susceptible de porter préjudice à une personne physique ou morale à laquelle le service_de_confiance a été fourni, le prestataire_de_services_de_confiance notifie aussi, dans les meilleurs délais, à la personne physique ou morale l’atteinte à la sécurité ou la perte d’intégrité.

Le cas échéant, notamment lorsqu’une atteinte à la sécurité ou une perte d’intégrité concerne deux États membres ou plus, l’organe de contrôle notifié informe les organes de contrôle des autres États membres concernés ainsi que l'ENISA.

L’organe de contrôle notifié informe le public ou exige du prestataire_de_services_de_confiance qu’il le fasse, dès lors qu’il constate qu’il est dans l’intérêt public de divulguer l’atteinte à la sécurité ou la perte d’intégrité.

3. Une fois par an, l’organe de contrôle fournit à l'ENISA un résumé des notifications d’atteinte à la sécurité et de perte d’intégrité reçues de prestataires de services de confiance.

4. La Commission peut, au moyen d’actes d’exécution:

a)	préciser davantage les mesures visées au paragraphe 1; et

b)	définir les formats et procédures, y compris les délais, applicables aux fins du paragraphe 2.

Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

SECTION 3

Services de confiance qualifiés

Article 22

Listes de confiance

1. Chaque État membre établit, tient à jour et publie des listes de confiance, y compris des informations relatives aux prestataires de services de confiance qualifiés dont il est responsable, ainsi que des informations relatives aux services de confiance qualifiés qu’ils fournissent.

2. Les États membres établissent, tiennent à jour et publient, de façon sécurisée et sous une forme adaptée au traitement automatisé, les listes de confiance visées au paragraphe 1 portant une signature_électronique ou un cachet_électronique.

3. Les États membres communiquent à la Commission, dans les meilleurs délais, des informations relatives à l’organisme chargé d’établir, de tenir à jour et de publier les listes nationales de confiance, ainsi que des détails précisant où ces listes sont publiées, indiquant les certificats utilisés pour apposer une signature_électronique ou un cachet_électronique sur ces listes et signalant les modifications apportées à ces listes.

4. La Commission met à la disposition du public, par l’intermédiaire d’un canal sécurisé, les informations visées au paragraphe 3 sous une forme portant une signature_électronique ou un cachet_électronique adaptée au traitement automatisé.

5. Au plus tard le 18 septembre 2015, la Commission précise, au moyen d’actes d’exécution, les informations visées au paragraphe 1 et définit les spécifications techniques et les formats des listes de confiance applicables aux fins des paragraphes 1 à 4. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 26

Exigences relatives à une signature_électronique avancée

Une signature_électronique avancée satisfait aux exigences suivantes:

a)	être liée au signataire de manière univoque;

b)	permettre d’identifier le signataire;

c)	avoir été créée à l’aide de données de création de signature_électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif; et

d)	être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.

Article 35

Effets juridiques des cachets électroniques

1. L’effet juridique et la recevabilité d’un cachet_électronique comme preuve en justice ne peuvent être refusés au seul motif que ce cachet se présente sous une forme électronique ou qu’il ne satisfait pas aux exigences du cachet_électronique qualifié.

2. Un cachet_électronique qualifié bénéficie d’une présomption d’intégrité des données et d’exactitude de l’origine des données auxquelles le cachet_électronique qualifié est lié.

3. Un cachet_électronique qualifié qui repose sur un certificat qualifié délivré dans un État membre est reconnu en tant que cachet_électronique qualifié dans tous les autres États membres.

Article 36

Exigences du cachet_électronique avancé

Un cachet_électronique avancé satisfait aux exigences suivantes:

a)	être lié au créateur du cachet de manière univoque;

b)	permettre d’identifier le créateur du cachet;

c)	avoir été créé à l’aide de données de création de cachet_électronique que le créateur du cachet peut, avec un niveau de confiance élevé, utiliser sous son contrôle pour créer un cachet_électronique; et

d)	être lié aux données auxquelles il est associé de telle sorte que toute modification ultérieure des données soit détectable.

Article 42

Exigences applicables aux horodatages électroniques qualifiés

1. Un horodatage_électronique qualifié satisfait aux exigences suivantes:

a)	il lie la date et l’heure aux données de manière à raisonnablement exclure la possibilité de modification indétectable des données;

b)	il est fondé sur une horloge exacte liée au temps universel coordonné; et

c)	il est signé au moyen d’une signature_électronique avancée ou cacheté au moyen d’un cachet_électronique avancé du prestataire_de_services_de_confiance qualifié, ou par une méthode équivalente.

2. La Commission peut, au moyen d’actes d’exécution, établir les numéros de référence des normes en ce qui concerne l’établissement du lien entre la date et l’heure et les données, et les horloges exactes. L’établissement du lien entre la date et l’heure et les données et les horloges exactes sont présumés satisfaire aux exigences fixées au paragraphe 1 lorsqu’ils respectent ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

SECTION 7

Services d’envoi recommandé électronique

Article 52

Entrée en vigueur

1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

2. Le présent règlement est applicable à partir du 1er juillet 2016, à l’exception des dispositions suivantes:

l’article 8, paragraphe 3, l’article 9, paragraphe 5, l’article 12, paragraphes 2 à 9, l’article 17, paragraphe 8, l’article 19, paragraphe 4, l’article 20, paragraphe 4, l’article 21, paragraphe 4, l’article 22, paragraphe 5, l’article 23, paragraphe 3, l’article 24, paragraphe 5, l’article 27, paragraphes 4 et 5, l’article 28, paragraphe 6, l’article 29, paragraphe 2, l’article 30, paragraphes 3 et 4, l’article 31, paragraphe 3, l’article 32, paragraphe 3, l’article 33, paragraphe 2, l’article 34, paragraphe 2, l’article 37, paragraphes 4 et 5, l’article 38, paragraphe 6, l’article 42, paragraphe 2, l’article 44, paragraphe 2, l’article 45, paragraphe 2, et les articles 47 et 48 sont applicables à partir du 17 septembre 2014;

b)	l’article 7, l’article 8, paragraphes 1 et 2, les articles 9, 10, 11, et l’article 12, paragraphe 1, sont applicables à compter de la date d’application des actes d’exécution visés à l’article 8, paragraphe 3, et à l’article 12, paragraphe 8;

c)	l’article 6 s’applique après trois ans à compter de la date d’application des actes d’exécution visés à l’article 8, paragraphe 3 et à l’article 12, paragraphe 8.

3. Lorsque le schéma d’ identification_électronique notifié est inscrit sur la liste publiée par la Commission en application de l’article 9 avant la date visée au paragraphe 2, point c), du présent article, la reconnaissance des moyens d’ identification_électronique dans le cadre de ce schéma en application de l’article 6 a lieu au plus tard douze mois après la publication dudit schéma, mais pas avant la date visée au paragraphe 2, point c), du présent article.

4. Nonobstant le paragraphe 2, point c), du présent article, un État membre peut décider que des moyens d’ identification_électronique relevant d’un schéma d’ identification_électronique notifié en application de l’article 9, paragraphe 1, par un autre État membre sont reconnus dans le premier État membre à compter de la date d’application des actes d’exécution visés à l’article 8, paragraphe 3, et à l’article 12, paragraphe 8. Les États membres concernés informent la Commission. La Commission rend publiques ces informations.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 23 juillet 2014.

Par le Parlement européen

Le président

M. SCHULZ

Par le Conseil

Le président

S. GOZI

(1) JO C 351 du 15.11.2012, p. 73.

(2) Position du Parlement européen du 3 avril 2014 (non encore parue au Journal officiel) et décision du Conseil du 23 juillet 2014.

(3) Directive 1999/93/CE du Parlement européen et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques (JO L 13 du 19.1.2000, p. 12).

(4) JO C 50 E du 21.2.2012, p. 1.

(5) Directive 2006/123/CE du Parlement européen et du Conseil du 12 décembre 2006 relative aux services dans le marché intérieur (JO L 376 du 27.12.2006, p. 36).

(6) Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers (JO L 88 du 4.4.2011, p. 45).

(7) Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31).

(8) Décision 2010/48/CE du Conseil du 26 novembre 2009 concernant la conclusion, par la Communauté européenne, de la convention des Nations unies relative aux droits des personnes handicapées (JO L 23 du 27.1.2010, p. 35).

(9) Règlement (CE) no 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) no 339/93 du Conseil (JO L 218 du 13.8.2008, p. 30).

(10) Décision 2009/767/CE de la Commission du 16 octobre 2009 établissant des mesures destinées à faciliter l’exécution de procédures par voie électronique par l’intermédiaire des «guichets uniques» conformément à la directive 2006/123/CE du Parlement européen et du Conseil relative aux services dans le marché intérieur (JO L 274 du 20.10.2009, p. 36).

(11) Décision 2011/130/UE de la Commission du 25 février 2011 établissant des exigences minimales pour le traitement transfrontalier des documents signés électroniquement par les autorités compétentes conformément à la directive 2006/123/CE du Parlement européen et du Conseil relative aux services dans le marché intérieur (JO L 53 du 26.2.2011, p. 66).

(12) Règlement (UE) no 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).

(13) Règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).

(14) JO C 28 du 30.1.2013, p. 6.

(15) Directive 2014/24/UE du Parlement européen et du Conseil du 26 février 2014 sur la passation des marchés publics et abrogeant la directive 2004/18/CE (JO L 94 du 28.3.2014, p. 65).

ANNEXE I

EXIGENCES APPLICABLES AUX CERTIFICATS QUALIFIÉS DE SIGNATURE ÉLECTRONIQUE

Les certificats qualifiés de signature_électronique contiennent:

a)	une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié de signature_électronique;

un ensemble de données représentant sans ambiguïté le prestataire_de_services_de_confiance qualifié délivrant les certificats qualifiés, comprenant au moins l’État membre dans lequel ce prestataire est établi, et:

—	pour une personne morale: le nom et, le cas échéant, le numéro d’immatriculation tels qu’ils figurent dans les registres officiels,

—	pour une personne physique: le nom de la personne;

c)	au moins le nom du signataire ou un pseudonyme; si un pseudonyme est utilisé, cela est clairement indiqué;

d)	des données_de_ validation de la signature_électronique qui correspondent aux données de création de la signature_électronique;

e)	des précisions sur le début et la fin de la période de validité du certificat;

f)	le code d’identité du certificat, qui doit être unique pour le prestataire_de_services_de_confiance qualifié;

g)	la signature_électronique avancée ou le cachet_électronique avancé du prestataire_de_services_de_confiance qualifié délivrant le certificat;

h)	l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature_électronique avancée ou le cachet_électronique avancé mentionnés au point g);

i)	l’emplacement des services qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié;

j)	lorsque les données de création de la signature_électronique associées aux données_de_ validation de la signature_électronique se trouvent dans un dispositif de création de signature_électronique qualifié, une mention l’indiquant, au moins sous une forme adaptée au traitement automatisé.

ANNEXE II

EXIGENCES APPLICABLES AUX DISPOSITIFS DE CRÉATION DE SIGNATURE ÉLECTRONIQUE QUALIFIÉS

Les dispositifs de création de signature_électronique qualifiés garantissent au moins, par des moyens techniques et des procédures appropriés, que:

a)	la confidentialité des données de création de signature_électronique utilisées pour créer la signature_électronique est suffisamment assurée;

b)	les données de création de signature_électronique utilisées pour créer la signature_électronique ne peuvent être pratiquement établies qu’une seule fois;

l’on peut avoir l’assurance suffisante que les données de création de signature_électronique utilisées pour créer la signature_électronique ne peuvent être trouvées par déduction et que la signature_électronique est protégée de manière fiable contre toute falsification par les moyens techniques actuellement disponibles;

d)	les données de création de signature_électronique utilisées pour créer la signature_électronique peuvent être protégées de manière fiable par le signataire légitime contre leur utilisation par d’autres.

Les dispositifs de création de signature_électronique qualifiés ne modifient pas les données à signer et n’empêchent pas la présentation de ces données au signataire avant la signature.

La génération ou la gestion de données de création de signature_électronique pour le compte du signataire peut être seulement confiée à un prestataire_de_services_de_confiance qualifié.

Sans préjudice du paragraphe 1, point d), un prestataire_de_services_de_confiance qualifié gérant des données de création de signature_électronique pour le compte d’un signataire ne peut reproduire les données de création de signature_électronique qu’à des fins de sauvegarde, sous réserve du respect des exigences suivantes:

a)	le niveau de sécurité des ensembles de données re produits doit être équivalent à celui des ensembles de données d’origine;

b)	le nombre d’ensembles de données re produits n’excède pas le minimum nécessaire pour assurer la continuité du service.

ANNEXE III

EXIGENCES APPLICABLES AUX CERTIFICATS QUALIFIÉS DE CACHET ÉLECTRONIQUE

Les certificats qualifiés de cachet_électronique contiennent:

a)	une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié de cachet_électronique;

—	pour une personne morale: le nom et, le cas échéant, le numéro d’immatriculation tels qu’ils figurent dans les registres officiels,

—	pour une personne physique: le nom de la personne;

c)	au moins le nom du créateur du cachet et, le cas échéant, son numéro d’immatriculation tels qu’ils figurent dans les registres officiels;

d)	des données_de_ validation du cachet_électronique, qui correspondent aux données de création du cachet_électronique;

e)	des précisions sur le début et la fin de la période de validité du certificat;

f)	le code d’identité du certificat, qui doit être unique pour le prestataire_de_services_de_confiance qualifié;

g)	la signature_électronique avancée ou le cachet_électronique avancé du prestataire_de_services_de_confiance qualifié délivrant le certificat;

h)	l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature_électronique avancée ou le cachet_électronique avancé mentionnés au point g);

i)	l’emplacement des services qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié;

j)	lorsque les données de création du cachet_électronique associées aux données_de_ validation du cachet_électronique se trouvent dans un dispositif de création de cachet_électronique qualifié, une mention l’indiquant, au moins sous une forme adaptée au traitement automatisé.

ANNEXE IV

EXIGENCES APPLICABLES AUX CERTIFICATS QUALIFIÉS D’AUTHENTIFICATION DE SITE INTERNET

Les certificats qualifiés d’ authentification de site internet contiennent:

a)	une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié d’ authentification de site internet;

—	pour une personne morale: le nom et, le cas échéant, le numéro d’immatriculation tels qu’ils figurent dans les registres officiels,

—	pour une personne physique: le nom de la personne;

pour les personnes physiques: au moins le nom de la personne à qui le certificat a été délivré, ou un pseudonyme. Si un pseudonyme est utilisé, cela est clairement indiqué;

pour les personnes morales: au moins le nom de la personne morale à laquelle le certificat est délivré et, le cas échéant, son numéro d’immatriculation, tels qu’ils figurent dans les registres officiels;

d)	des éléments de l’adresse, dont au moins la ville et l’État, de la personne physique ou morale à laquelle le certificat est délivré et, le cas échéant, ces éléments tels qu’ils figurent dans les registres officiels;

e)	le(s) nom(s) de domaine exploité(s) par la personne physique ou morale à laquelle le certificat est délivré;

f)	des précisions sur le début et la fin de la période de validité du certificat;

g)	le code d’identité du certificat, qui doit être unique pour le prestataire_de_services_de_confiance qualifié;

h)	la signature_électronique avancée ou le cachet_électronique avancé du prestataire_de_services_de_confiance qualifié délivrant le certificat;

i)	l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature_électronique avancée ou le cachet_électronique avancé visés au point h);

j)	l’emplacement des services de statut de validité des certificats qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié.

whereas

(14) Il convient de fixer dans le présent règlement certaines conditions, en ce qui concerne les moyens d’ identification_électronique qui doivent être reconnus et la façon dont les schémas d’ identification_électronique devraient être notifiés.
Ces conditions devraient permettre aux États membres de susciter la confiance nécessaire dans leurs schémas d’ identification_électronique respectifs et faciliter la reconnaissance mutuelle des moyens d’ identification_électronique relevant de leurs schémas notifiés.
Le principe de la reconnaissance mutuelle devrait s’appliquer si le schéma d’ identification_électronique de l’État membre notifiant remplit les conditions de notification et si la notification a été publiée au Journal officiel de l’Union européenne.
Toutefois, le principe de la reconnaissance mutuelle ne devrait concerner que l’ authentification pour un service en ligne.
L’accès à ces services en ligne et leur fourniture finale au demandeur devraient être étroitement liés au droit de recevoir de tels services dans les conditions fixées par la législation nationale.

- = -

(31) Les organes de contrôle devraient coopérer avec les autorités chargées de la protection des données, par exemple en les informant des résultats des audits des prestataires de services de confiance qualifiés, lorsqu’il apparaît que des règles en matière de protection des données à caractère personnel ont été violées.
Cette fourniture d’informations devrait, notamment, porter sur les incidents liés à la sécurité et aux atteintes aux données à caractère personnel.

- = -

(55) Une certification de sécurité informatique fondée sur des normes internationales, tels que la norme ISO 15408 et les méthodes d’évaluation et accords de reconnaissance mutuelle qui y sont liés, est un outil important pour vérifier la sécurité de dispositifs de création de signature_électronique qualifiés et devrait être encouragée.
Cependant, des solutions et des services innovants, comme la signature mobile et la signature en mode informatique en nuage, nécessitent une solution technique et organisationnelle pour les dispositifs de création de signature_électronique qualifiés pour lesquels des normes de sécurité peuvent ne pas encore exister ou pour lesquels la première certification de sécurité informatique est en cours d’examen.
Le niveau de sécurité de ces dispositifs de création de signature_électronique qualifiés ne pourrait être évalué en utilisant d’autres processus que lorsque ces normes de sécurité n’existent pas ou que la première certification de sécurité informatique est en cours d’examen.
Ces processus devraient être comparables aux normes de certification de sécurité informatique, dans la mesure où leurs niveaux de sécurité sont équivalents.
Ces processus pourraient être facilités grâce à un examen par les pairs.

- = -

keyboard_tab EIDAS 2014/0910 FR

EIDAS 2014/0910 FR