keyboard_tab EIDAS 2014/0910 FR

whereas moment:

• whereas (46) 1

definitions:

• identification électronique
• moyen d’identification électronique
• données d’identification personnelle
• schéma d’identification électronique
• authentification
• partie utilisatrice
• organismes du secteur public
• organisme de droit public
• signataire
• signature électronique
• signature électronique avancée
• signature électronique qualifiée
• données de création de signature électronique
• certificat de signature électronique
• certificat qualifié de signature électronique
• service de confiance
• service de confiance qualifié
• organisme d’évaluation de la conformité
• prestataire de services de confiance
• prestataire de services de confiance qualifié
• produit
• dispositif de création de signature électronique
• dispositif de création de signature électronique qualifié
• créateur de cachet
• cachet électronique
• cachet électronique avancé
• cachet électronique qualifié
• données de création de cachet électronique
• certificat de cachet électronique
• certificat qualifié de cachet électronique
• dispositif de création de cachet électronique
• dispositif de création de cachet électronique qualifié
• horodatage électronique
• horodatage électronique qualifié
• document électronique
• service d’envoi recommandé électronique
• service d’envoi recommandé électronique qualifié
• données de validation
• validation

Article 7

Éligibilité pour la notification des schémas d’ identification_électronique

Un schéma d’ identification_électronique est éligible aux fins de notification en vertu de l’article 9, paragraphe 1, si toutes les conditions suivantes sont remplies:

a)	les moyens d’ identification_électronique relevant du schéma d’ identification_électronique sont délivrés: i) par l’État membre notifiant; ii) dans le cadre d’un mandat de l’État membre notifiant; ou iii) indépendamment de l’État membre notifiant et sont reconnus par cet État membre;

b)	les moyens d’ identification_électronique relevant du schéma d’ identification_électronique peuvent être utilisés pour accéder au moins à un service qui est fourni par un organisme du secteur public et qui exige l’ identification_électronique dans l’État membre notifiant;

c)	le schéma d’ identification_électronique et les moyens d’ identification_électronique délivrés dans ce cadre répondent aux exigences d’au moins un des niveaux de garantie prévus dans l’acte d’exécution visé à l’article 8, paragraphe 3;

d)

l’État membre notifiant veille à ce que les données_d’identification_personnelle représentant de manière univoque la personne en question soient attribuées conformément aux spécifications techniques, aux normes et aux procédures pour le niveau de garantie concerné prévues dans l’acte d’exécution visé à l’article 8, paragraphe 3, à la personne physique ou morale visée à l’article 3, point 1), au moment de la délivrance du moyen d’ identification_électronique relevant de ce schéma;

e)

la partie délivrant le moyen d’ identification_électronique relevant de ce schéma veille à ce que le moyen d’ identification_électronique soit attribué à la personne visée au point d) du présent article conformément aux spécifications techniques, aux normes et aux procédures pour le niveau de garantie concerné prévues dans l’acte d’exécution visé à l’article 8, paragraphe 3;

f)

l’État membre notifiant veille à ce qu’une authentification en ligne soit disponible afin de permettre à toute partie_utilisatrice établie sur le territoire d’un autre État membre de confirmer les données_d’identification_personnelle reçues sous forme électronique. Pour les parties utilisatrices autres que des organismes_du_secteur_public, l’État membre notifiant peut définir les conditions d’accès à cette authentification. Cette authentification transfrontalière est fournie gratuitement lorsqu’elle est effectuée en liaison avec un service en ligne fourni par un organisme du secteur public. Les États membres n’imposent aucune exigence technique disproportionnée aux parties utilisatrices qui envisagent de procéder à cette authentification, lorsque de telles exigences empêchent ou entravent sensiblement l’interopérabilité des schémas d’ identification_électronique notifiés;

g)

six mois au moins avant la notification en vertu de l’article 9, paragraphe 1, l’État membre notifiant fournit aux autres États membres aux fins de l’obligation au titre de l’article 12, paragraphe 5, une description de ce schéma conformément aux modalités de procédure établies par les actes d’exécution visés à l’article 12, paragraphe 7.

h)	le schéma d’ identification_électronique satisfait aux exigences de l’acte d’exécution visé à l’article 12, paragraphe 8.

Article 20

Contrôle des prestataires de services de confiance qualifiés

1.   Les prestataires de services de confiance qualifiés font l’objet, au moins tous les vingt-quatre mois, d’un audit effectué à leurs frais par un organisme_d’évaluation_de_la_conformité. Le but de l’audit est de confirmer que les prestataires de services de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent remplissent les exigences fixées par le présent règlement. Les prestataires de services de confiance qualifiés transmettent le rapport d’évaluation de la conformité à l’organe de contrôle dans un délai de trois jours ouvrables qui suivent sa réception.

2.   Sans préjudice du paragraphe 1, l’organe de contrôle peut à tout moment, soumettre les prestataires de services de confiance qualifiés à un audit ou demander à un organisme_d’évaluation_de_la_conformité de procéder à une évaluation de la conformité des prestataires de services de confiance qualifiés, aux frais de ces prestataires de services de confiance, afin de confirmer que les prestataires et les services de confiance qualifiés qu’ils fournissent remplissent les exigences fixées par le présent règlement. L’organe de contrôle informe les autorités chargées de la protection des données des résultats de ses audits lorsqu’il apparaît que les règles en matière de protection des données à caractère personnel ont été violées.

3.   Lorsque l’organe de contrôle exige du prestataire_de_services_de_confiance qualifié qu’il corrige un manquement aux exigences prévues par le présent règlement et que le prestataire n’agit pas en conséquence, et le cas échéant dans un délai fixé par l’organe de contrôle, l’organe de contrôle, tenant compte, en particulier, de l’ampleur, de la durée et des conséquences de ce manquement, peut retirer à ce prestataire ou au service affecté le statut qualifié et informe l’organisme visé à l’article 22, paragraphe 3, aux fins de la mise à jour des listes de confiance visées à l’article 22, paragraphe 1. L’organe de contrôle informe le prestataire_de_services_de_confiance qualifié du retrait de son statut qualifié ou du retrait du statut qualifié du service concerné.

4.   La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes suivantes:

a)	accréditation des organismes d’évaluation de la conformité et rapports d’évaluation de la conformité visés au paragraphe 1;

b)	règles d’audit en fonction desquelles les organismes d’évaluation de la conformité procéderont à leur évaluation de la conformité des prestataires de services de confiance qualifiés visés au paragraphe 1.

Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 24

Exigences applicables aux prestataires de services de confiance qualifiés

1.   Lorsqu’un prestataire_de_services_de_confiance qualifié délivre un certificat qualifié pour un service_de_confiance, il vérifie, par des moyens appropriés et conformément au droit national, l’identité et, le cas échéant, tous les attributs spécifiques de la personne physique ou morale à laquelle il délivre le certificat qualifié.

Les informations visées au premier alinéa sont vérifiées par le prestataire_de_services_de_confiance qualifié directement ou en en ayant recours à un tiers conformément au droit national:

a)	par la présence en personne de la personne physique ou du représentant autorisé de la personne morale; ou

b)

à distance, à l’aide de moyens d’ identification_électronique pour lesquels, avant la délivrance du certificat qualifié, la personne physique ou un représentant autorisé de la personne morale s’est présenté en personne et qui satisfont aux exigences énoncées à l’article 8 en ce qui concerne les niveaux de garantie substantiel et élevé; ou

c)	au moyen d’un certificat de signature_électronique qualifié ou d’un cachet_électronique qualifié délivré conformément au point a) ou b); ou

d)	à l’aide d’autres méthodes d’identification reconnues au niveau national qui fournissent une garantie équivalente en termes de fiabilité à la présence en personne. La garantie équivalente est confirmée par un organisme_d’évaluation_de_la_conformité.

2.   Un prestataire_de_services_de_confiance qualifié qui fournit des services de confiance qualifiés:

a)	informe l’organe de contrôle de toute modification dans la fourniture de ses services de confiance qualifiés et de son intention éventuelle de cesser ces activités;

b)

emploie du personnel et, le cas échéant, des sous-traitants qui possèdent l’expertise, la fiabilité, l’expérience et les qualifications nécessaires, qui ont reçu une formation appropriée en ce qui concerne les règles en matière de sécurité et de protection des données à caractère personnel et appliquent des procédures administratives et de gestion correspondant à des normes européennes ou internationales;

c)	en ce qui concerne le risque de responsabilité pour dommages conformément à l’article 13, maintient des ressources financières suffisantes et/ou contracte une assurance responsabilité appropriée, conformément au droit national;

d)	avant d’établir une relation contractuelle, informe, de manière claire et exhaustive, toute personne désireuse d’utiliser un service_de_confiance qualifié des conditions précises relatives à l’utilisation de ce service, y compris toute limite quant à son utilisation;

e)	utilise des systèmes et des produits fiables qui sont protégés contre les modifications et assure la sécurité technique et la fiabilité des processus qu’ils prennent en charge;

f)

utilise des systèmes fiables pour stocker les données qui lui sont fournies, sous une forme vérifiable de manière que: i) les données ne soient publiquement disponibles pour des traitements qu’après avoir obtenu le consentement de la personne concernée par ces données; ii) seules des personnes autorisées puissent introduire des données et modifier les données conservées; iii) l’authenticité des données puisse être vérifiée;

g)	prend des mesures appropriées contre la falsification et le vol de données;

h)

enregistre et maintient accessibles pour une durée appropriée, y compris après que les activités du prestataire_de_services_de_confiance qualifié ont cessé, toutes les informations pertinentes concernant les données délivrées et reçues par le prestataire_de_services_de_confiance qualifié, aux fins notamment de pouvoir fournir des preuves en justice et aux fins d’assurer la continuité du service. Ces enregistrements peuvent être effectués par voie électronique;

i)	a un plan actualisé d’arrêt d’activité afin d’assurer la continuité du service conformément aux dispositions vérifiées par l’organe de contrôle au titre de l’article 17, paragraphe 4, point i);

j)	assure le traitement licite de données à caractère personnel conformément à la directive 95/46/CE;

k)	au cas où le prestataire_de_services_de_confiance qualifié délivre des certificats qualifiés, établit et tient à jour une base de données relative aux certificats.

3.   Lorsqu’un prestataire_de_services_de_confiance qualifié qui délivre des certificats qualifiés décide de révoquer un certificat, il enregistre cette révocation dans sa base de données relative aux certificats et publie le statut de révocation du certificat en temps utile, et en tout état de cause dans les vingt-quatre heures suivant la réception de la demande. Cette révocation devient effective immédiatement dès sa publication.

4.   En ce qui concerne le paragraphe 3, les prestataires de services de confiance qualifiés qui délivrent des certificats qualifiés fournissent à toute partie_utilisatrice des informations sur la validité ou le statut de révocation des certificats qualifiés qu’ils ont délivrés. Ces informations sont disponibles, au moins par certificat, à tout moment et au-delà de la période de validité du certificat, sous une forme automatisée qui est fiable, gratuite et efficace.

5.   La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux systèmes et produits fiables, qui satisfont aux exigences du paragraphe 2, points e) et f), du présent article. Les systèmes et les produits fiables sont présumés satisfaire aux exigences fixées au présent article lorsqu’ils respectent ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

SECTION 4

Signatures électroniques

Article 28

Certificats qualifiés de signature_électronique

1.   Les certificats qualifiés de signature_électronique satisfont aux exigences fixées à l’annexe I.

2.   Les certificats qualifiés de signature_électronique ne font l’objet d’aucune exigence obligatoire allant au-delà des exigences fixées à l’annexe I.

3.   Les certificats qualifiés de signature_électronique peuvent comprendre des attributs spécifiques supplémentaires non obligatoires. Ces attributs n’affectent pas l’interopérabilité et la reconnaissance des signatures électroniques qualifiées.

4.   Si un certificat qualifié de signature_électronique a été révoqué après la première activation, il perd sa validité à compter du moment de sa révocation et il ne peut en aucun cas recouvrer son statut antérieur.

5.   Sous réserve des conditions suivantes, les États membres peuvent établir des règles nationales relatives à la suspension temporaire d’un certificat qualifié de signature_électronique:

a)	si un certificat qualifié de signature_électronique a été temporairement suspendu, ce certificat perd sa validité pendant la période de suspension.

b)	la période de suspension est clairement indiquée dans la base de données relative aux certificats et le statut de suspension est visible, pendant la période de suspension, auprès du service fournissant les informations sur le statut du certificat.

6.   La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux certificats qualifiés de signature_électronique. Un certificat qualifié de signature_électronique est présumé satisfaire aux exigences fixées à l’annexe I lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 32

Exigences applicables à la validation des signatures électroniques qualifiées

1.   Le processus de validation d’une signature_électronique qualifiée confirme la validité d’une signature_électronique qualifiée à condition que:

a)	le certificat sur lequel repose la signature ait été, au moment de la signature, un certificat qualifié de signature_électronique conforme à l’annexe I;

b)	le certificat qualifié ait été délivré par un prestataire_de_services_de_confiance qualifié et était valide au moment de la signature;

c)	les données_de_ validation de la signature correspondent aux données communiquées à la partie_utilisatrice;

d)	l’ensemble unique de données représentant le signataire dans le certificat soit correctement fourni à la partie_utilisatrice;

e)	l’utilisation d’un pseudonyme soit clairement indiquée à la partie_utilisatrice, si un pseudonyme a été utilisé au moment de la signature;

f)	la signature_électronique ait été créée par un dispositif de création de signature_électronique qualifié;

g)	l’intégrité des données signées n’ait pas été compromise;

h)	les exigences prévues à l’article 26 aient été satisfaites au moment de la signature.

2.   Le système utilisé pour valider la signature_électronique qualifiée fournit à la partie_utilisatrice le résultat correct du processus de validation et permet à celle-ci de détecter tout problème pertinent relatif à la sécurité.

3.   La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables à la validation des signatures électroniques qualifiées. La validation des signatures électroniques qualifiées est présumée satisfaire aux exigences fixées au paragraphe 1 lorsqu’elle respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 38

Certificats qualifiés de cachet_électronique

1.   Les certificats qualifiés de cachet_électronique satisfont aux exigences fixées à l’annexe III.

2.   Les certificats qualifiés de cachet_électronique ne font l’objet d’aucune exigence obligatoire allant au-delà des exigences fixées à l’annexe III.

3.   Les certificats qualifiés de cachet_électronique peuvent comprendre des attributs spécifiques supplémentaires non obligatoires. Ces attributs n’affectent pas l’interopérabilité et la reconnaissance des cachets électroniques qualifiés.

4.   Si un certificat qualifié de cachet_électronique a été révoqué après la première activation, il perd sa validité à compter du moment de sa révocation et il ne peut en aucun cas recouvrer son statut antérieur.

5.   Sous réserve des conditions suivantes, les États membres peuvent établir des règles nationales relatives à la suspension temporaire de certificats qualifiés de cachet_électronique:

a)	si un certificat qualifié de cachet_électronique a été temporairement suspendu, ce certificat perd sa validité pendant la période de suspension;

b)	la période de suspension est clairement indiquée dans la base de données relative aux certificats et le statut de suspension est visible, pendant la période de suspension, auprès du service fournissant les informations sur le statut du certificat.

6.   La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux certificats qualifiés de cachet_électronique. Un certificat qualifié de cachet_électronique est présumé satisfaire aux exigences fixées à l’annexe III lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 47

Exercice de la délégation

1.   Le pouvoir d’adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

2.   Le pouvoir d’adopter des actes délégués visé à l’article 30, paragraphe 4, est conféré à la Commission pour une durée indéterminée à compter du 17 septembre 2014.

3.   La délégation de pouvoir visée à l’article 30, paragraphe 4, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l’Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.

4.   Aussitôt qu’elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.

5.   Un acte délégué adopté en vertu de l’article 30, paragraphe 4, n’entre en vigueur que si le Parlement européen ou le Conseil n’a pas exprimé d’objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l’expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d’objections. Ce délai est prolongé de deux mois à l’initiative du Parlement européen ou du Conseil.