EIDAS 2014/0910 FR

Un schéma d’ identification_électronique est éligible aux fins de notification en vertu de l’article 9, paragraphe 1, si toutes les conditions suivantes sont remplies:

les moyens d’ identification_électronique relevant du schéma d’ identification_électronique sont délivrés:

i)	par l’État membre notifiant;

ii)	dans le cadre d’un mandat de l’État membre notifiant; ou

iii)	indépendamment de l’État membre notifiant et sont reconnus par cet État membre;

b)	les moyens d’ identification_électronique relevant du schéma d’ identification_électronique peuvent être utilisés pour accéder au moins à un service qui est fourni par un organisme du secteur public et qui exige l’ identification_électronique dans l’État membre notifiant;

c)	le schéma d’ identification_électronique et les moyens d’ identification_électronique délivrés dans ce cadre répondent aux exigences d’au moins un des niveaux de garantie prévus dans l’acte d’exécution visé à l’article 8, paragraphe 3;

l’État membre notifiant veille à ce que les données_d’identification_personnelle représentant de manière univoque la personne en question soient attribuées conformément aux spécifications techniques, aux normes et aux procédures pour le niveau de garantie concerné prévues dans l’acte d’exécution visé à l’article 8, paragraphe 3, à la personne physique ou morale visée à l’article 3, point 1), au moment de la délivrance du moyen d’ identification_électronique relevant de ce schéma;

la partie délivrant le moyen d’ identification_électronique relevant de ce schéma veille à ce que le moyen d’ identification_électronique soit attribué à la personne visée au point d) du présent article conformément aux spécifications techniques, aux normes et aux procédures pour le niveau de garantie concerné prévues dans l’acte d’exécution visé à l’article 8, paragraphe 3;

l’État membre notifiant veille à ce qu’une authentification en ligne soit disponible afin de permettre à toute partie_utilisatrice établie sur le territoire d’un autre État membre de confirmer les données_d’identification_personnelle reçues sous forme électronique.

Pour les parties utilisatrices autres que des organismes_du_secteur_public, l’État membre notifiant peut définir les conditions d’accès à cette authentification. Cette authentification transfrontalière est fournie gratuitement lorsqu’elle est effectuée en liaison avec un service en ligne fourni par un organisme du secteur public.

Les États membres n’imposent aucune exigence technique disproportionnée aux parties utilisatrices qui envisagent de procéder à cette authentification, lorsque de telles exigences empêchent ou entravent sensiblement l’interopérabilité des schémas d’ identification_électronique notifiés;

six mois au moins avant la notification en vertu de l’article 9, paragraphe 1, l’État membre notifiant fournit aux autres États membres aux fins de l’obligation au titre de l’article 12, paragraphe 5, une description de ce schéma conformément aux modalités de procédure établies par les actes d’exécution visés à l’article 12, paragraphe 7.

h)	le schéma d’ identification_électronique satisfait aux exigences de l’acte d’exécution visé à l’article 12, paragraphe 8.

Article 8

niveaux de garantie des schémas d’ identification_électronique

1. Un schéma d’ identification_électronique notifié en vertu de l’article 9, paragraphe 1, détermine les spécifications des niveaux de garantie faible, substantiel et/ou élevé des moyens d’ identification_électronique délivrés dans le cadre dudit schéma.

2. Les niveaux de garantie faible, substantiel et élevé satisfont, respectivement, aux critères suivants:

le niveau de garantie faible renvoie à un moyen d’ identification_électronique dans le cadre d’un schéma d’ identification_électronique qui accorde un degré limité de fiabilité à l’identité revendiquée ou prétendue d’une personne, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l’objectif est de réduire le risque d’utilisation abusive ou d’altération de l’identité;

le niveau de garantie substantiel renvoie à un moyen d’ identification_électronique dans le cadre d’un schéma d’ identification_électronique qui accorde un degré substantiel de fiabilité à l’identité revendiquée ou prétendue d’une personne, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l’objectif est de réduire substantiellement le risque d’utilisation abusive ou d’altération de l’identité;

le niveau de garantie élevé renvoie à un moyen d’ identification_électronique dans le cadre d’un schéma d’ identification_électronique qui accorde un niveau de fiabilité à l’identité revendiquée ou prétendue d’une personne plus élevé qu’un moyen d’ identification_électronique ayant le niveau de garantie substantiel, et est caractérisé sur la base de spécifications techniques, de normes et de procédures y afférents, y compris les contrôles techniques, dont l’objectif est d’empêcher l’utilisation abusive ou l’altération de l’identité.

3. Au plus tard le 18 septembre 2015, compte tenu des normes internationales pertinentes et sous réserve du paragraphe 2, la Commission fixe, au moyen d’actes d’exécution, les spécifications techniques, normes et procédures minimales sur la base desquelles les niveaux de garantie faible, substantiel et élevé sont spécifiés pour les moyens d’ identification_électronique aux fins du paragraphe 1.

Ces spécifications techniques, normes et procédures minimales sont fixées par référence à la fiabilité et à la qualité des éléments suivants:

a)	la procédure visant à prouver et vérifier l’identité des personnes physiques ou morales demandant la délivrance de moyens d’ identification_électronique;

b)	la procédure de délivrance des moyens d’ identification_électronique demandés;

c)	le mécanisme d’ authentification au moyen duquel la personne physique ou morale utilise le moyen d’ identification_électronique pour confirmer son identité à une partie_utilisatrice;

d)	l’entité délivrant les moyens d’ identification_électronique;

e)	tout autre organisme associé à la demande de délivrance de moyens d’ identification_électronique; et

f)	les spécifications techniques et de sécurité des moyens d’ identification_électronique délivrés.

Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 9

Notification

1. L’État membre notifiant notifie les informations suivantes à la Commission et lui communique toute modification ultérieure qui leur est apportée dans les meilleurs délais:

a)	une description du schéma d’ identification_électronique, y compris ses niveaux de garantie et l’entité ou les entités qui délivrent les moyens d’ identification_électronique relevant de ce schéma;

le régime de contrôle applicable et des informations sur la responsabilité en ce qui concerne les aspects suivants:

i)	la partie qui délivre le moyen d’ identification_électronique; et

ii)	la partie qui gère la procédure d’ authentification;

c)	l’autorité ou les autorités responsables du schéma d’ identification_électronique;

d)	des informations sur l’entité ou les entités qui gèrent l’enregistrement des données_d’identification_personnelle uniques;

e)	une description de la façon dont il est satisfait aux exigences énoncées dans l’acte d’exécution visé à l’article 12, paragraphe 8;

f)	une description de l’ authentification visée à l’article 7, point f);

g)	les dispositions concernant la suspension ou la révocation du schéma d’ identification_électronique notifié, de l’ authentification ou des parties compromises concernées.

2. Un an à compter de la date d’application des actes d’exécution visés à l’article 8, paragraphe 3, et à l’article 12, paragraphe 8, la Commission publie au Journal officiel de l’Union européenne la liste des schémas d’ identification_électronique qui ont été notifiés en vertu du paragraphe 1, et les informations essentielles à leur sujet.

3. Si la Commission reçoit une notification après expiration du délai visé au paragraphe 2, elle publie au Journal officiel de l’Union européenne les modifications apportées à la liste visée au paragraphe 2 dans les deux mois à compter de la date de réception de cette notification.

4. Un État membre peut soumettre à la Commission une demande visant à retirer de la liste visée au paragraphe 2 le schéma d’ identification_électronique qu’il a notifié. La Commission publie au Journal officiel de l’Union européenne les modifications correspondantes apportées à la liste dans un délai d’un mois à compter de la date de réception de la demande de l’État membre.

5. La Commission peut définir, au moyen d’actes d’exécution, les circonstances, les formats et les procédures pour les notifications au titre du paragraphe 1. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 12

Coopération et interopérabilité

1. Les schémas nationaux d’ identification_électronique notifiés en vertu de l’article 9, paragraphe 1, sont interopérables.

2. Aux fins du paragraphe 1, un cadre d’interopérabilité est établi.

3. Le cadre d’interopérabilité satisfait aux critères suivants:

a)	il vise à être neutre du point de vue technologique et n’opère pas de discrimination entre l’une ou l’autre des solutions techniques nationales particulières destinées à l’ identification_électronique au sein d’un État membre;

b)	il suit les normes européennes et internationales, dans la mesure du possible;

c)	il facilite la mise en œuvre du principe du respect de la vie privée dès la conception; et

d)	il garantit que les données à caractère personnel sont traitées conformément à la directive 95/46/CE.

4. Le cadre d’interopérabilité est composé:

a)	d’une référence aux exigences techniques minimales liées aux niveaux de garantie prévus à l’article 8;

b)	d’une table de correspondance entre les niveaux de garantie nationaux des schémas d’ identification_électronique notifiés et les niveaux de garantie au titre de l’article 8;

c)	d’une référence aux exigences techniques minimales en matière d’interopérabilité;

d)	d’une référence à un ensemble minimal de données_d’identification_personnelle représentant de manière univoque une personne physique ou morale, qui est disponible dans les schémas d’ identification_électronique;

e)	de règles de procédure;

f)	de dispositions pour le règlement des litiges; et

g)	de normes opérationnelles communes de sécurité.

5. Les États membres coopèrent en ce qui concerne:

a)	l’interopérabilité des schémas d’ identification_électronique notifiés en application de l’article 9, paragraphe 1, et des schémas d’ identification_électronique que les États membres entendent notifier; et

b)	la sécurité des schémas d’ identification_électronique.

6. La coopération entre les États membres consiste:

a)	en un échange d’informations, d’expériences et de bonnes pratiques en ce qui concerne les schémas d’ identification_électronique, notamment les exigences techniques liées à l’interopérabilité et aux niveaux de garantie;

b)	en un échange d’informations, d’expériences et de bonnes pratiques en ce qui concerne l’utilisation des niveaux de garantie des schémas d’ identification_électronique prévus à l’article 8;

c)	en une évaluation par les pairs des schémas d’ identification_électronique relevant du présent règlement; et

d)	en un examen des évolutions pertinentes dans le secteur de l’ identification_électronique.

7. Au plus tard le 18 mars 2015, la Commission fixe, au moyen d’actes d’exécution, les modalités de procédure nécessaires pour faciliter la coopération entre les États membres visée aux paragraphes 5 et 6, en vue de favoriser un niveau élevé de confiance et de sécurité approprié au degré de risque.

8. Au plus tard le 18 septembre 2015, aux fins de fixer des conditions uniformes d’exécution de l’obligation prévue au paragraphe 1, la Commission adopte, sous réserve des critères énoncés au paragraphe 3 et compte tenu des résultats de la coopération entre les États membres, des actes d’exécution sur le cadre d’interopérabilité énoncé au paragraphe 4.

9. Les actes d’exécution visés aux paragraphes 7 et 8 du présent article sont adoptés en conformité avec la procédure d’examen visés à l’article 48, paragraphe 2.

CHAPITRE III

SERVICES DE CONFIANCE

SECTION 1

Dispositions générales

Article 24

Exigences applicables aux prestataires de services de confiance qualifiés

1. Lorsqu’un prestataire_de_services_de_confiance qualifié délivre un certificat qualifié pour un service_de_confiance, il vérifie, par des moyens appropriés et conformément au droit national, l’identité et, le cas échéant, tous les attributs spécifiques de la personne physique ou morale à laquelle il délivre le certificat qualifié.

Les informations visées au premier alinéa sont vérifiées par le prestataire_de_services_de_confiance qualifié directement ou en en ayant recours à un tiers conformément au droit national:

a)	par la présence en personne de la personne physique ou du représentant autorisé de la personne morale; ou

à distance, à l’aide de moyens d’ identification_électronique pour lesquels, avant la délivrance du certificat qualifié, la personne physique ou un représentant autorisé de la personne morale s’est présenté en personne et qui satisfont aux exigences énoncées à l’article 8 en ce qui concerne les niveaux de garantie substantiel et élevé; ou

c)	au moyen d’un certificat de signature_électronique qualifié ou d’un cachet_électronique qualifié délivré conformément au point a) ou b); ou

d)	à l’aide d’autres méthodes d’identification reconnues au niveau national qui fournissent une garantie équivalente en termes de fiabilité à la présence en personne. La garantie équivalente est confirmée par un organisme_d’évaluation_de_la_conformité.

2. Un prestataire_de_services_de_confiance qualifié qui fournit des services de confiance qualifiés:

a)	informe l’organe de contrôle de toute modification dans la fourniture de ses services de confiance qualifiés et de son intention éventuelle de cesser ces activités;

emploie du personnel et, le cas échéant, des sous-traitants qui possèdent l’expertise, la fiabilité, l’expérience et les qualifications nécessaires, qui ont reçu une formation appropriée en ce qui concerne les règles en matière de sécurité et de protection des données à caractère personnel et appliquent des procédures administratives et de gestion correspondant à des normes européennes ou internationales;

c)	en ce qui concerne le risque de responsabilité pour dommages conformément à l’article 13, maintient des ressources financières suffisantes et/ou contracte une assurance responsabilité appropriée, conformément au droit national;

d)	avant d’établir une relation contractuelle, informe, de manière claire et exhaustive, toute personne désireuse d’utiliser un service_de_confiance qualifié des conditions précises relatives à l’utilisation de ce service, y compris toute limite quant à son utilisation;

e)	utilise des systèmes et des produits fiables qui sont protégés contre les modifications et assure la sécurité technique et la fiabilité des processus qu’ils prennent en charge;

utilise des systèmes fiables pour stocker les données qui lui sont fournies, sous une forme vérifiable de manière que:

i)	les données ne soient publiquement disponibles pour des traitements qu’après avoir obtenu le consentement de la personne concernée par ces données;

ii)	seules des personnes autorisées puissent introduire des données et modifier les données conservées;

iii)	l’authenticité des données puisse être vérifiée;

g)	prend des mesures appropriées contre la falsification et le vol de données;

enregistre et maintient accessibles pour une durée appropriée, y compris après que les activités du prestataire_de_services_de_confiance qualifié ont cessé, toutes les informations pertinentes concernant les données délivrées et reçues par le prestataire_de_services_de_confiance qualifié, aux fins notamment de pouvoir fournir des preuves en justice et aux fins d’assurer la continuité du service. Ces enregistrements peuvent être effectués par voie électronique;

i)	a un plan actualisé d’arrêt d’activité afin d’assurer la continuité du service conformément aux dispositions vérifiées par l’organe de contrôle au titre de l’article 17, paragraphe 4, point i);

j)	assure le traitement licite de données à caractère personnel conformément à la directive 95/46/CE;

k)	au cas où le prestataire_de_services_de_confiance qualifié délivre des certificats qualifiés, établit et tient à jour une base de données relative aux certificats.

3. Lorsqu’un prestataire_de_services_de_confiance qualifié qui délivre des certificats qualifiés décide de révoquer un certificat, il enregistre cette révocation dans sa base de données relative aux certificats et publie le statut de révocation du certificat en temps utile, et en tout état de cause dans les vingt-quatre heures suivant la réception de la demande. Cette révocation devient effective immédiatement dès sa publication.

4. En ce qui concerne le paragraphe 3, les prestataires de services de confiance qualifiés qui délivrent des certificats qualifiés fournissent à toute partie_utilisatrice des informations sur la validité ou le statut de révocation des certificats qualifiés qu’ils ont délivrés. Ces informations sont disponibles, au moins par certificat, à tout moment et au-delà de la période de validité du certificat, sous une forme automatisée qui est fiable, gratuite et efficace.

5. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux systèmes et produits fiables, qui satisfont aux exigences du paragraphe 2, points e) et f), du présent article. Les systèmes et les produits fiables sont présumés satisfaire aux exigences fixées au présent article lorsqu’ils respectent ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

SECTION 4

Signatures électroniques

Article 30

Certification des dispositifs de création de signature_électronique qualifiés

1. La conformité des dispositifs de création de signature_électronique qualifiés avec les exigences fixées à l’annexe II est certifiée par les organismes publics ou privés compétents désignés par les États membres.

2. Les États membres notifient à la Commission le nom et l’adresse de l’organisme public ou privé visé au paragraphe 1. La Commission met ces informations à la disposition des États membres.

3. La certification visée au paragraphe 1 est fondée sur l’un des éléments suivants:

a)	un processus d’évaluation de la sécurité mis en œuvre conformément à l’une des normes relatives à l’évaluation de la sécurité des produits informatiques figurant sur la liste établie conformément au deuxième alinéa; ou

un processus autre que le processus visé au point a), à condition qu’il recoure à des niveaux de sécurité comparables et que l’organisme public ou privé visé au paragraphe 1 notifie ce processus à la Commission. Ledit processus ne peut être utilisé qu’en l’absence des normes visées au point a) ou lorsqu’un processus d’évaluation de la sécurité visé au point a) est en cours.

La Commission établit, au moyen d’actes d’exécution, une liste de normes relatives à l’évaluation de la sécurité des produits informatiques visés au point a). Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

4. La Commission est habilitée à adopter des actes délégués, en conformité avec l’article 47, en ce qui concerne la définition de critères spécifiques que doivent respecter les organismes désignés visés au paragraphe 1 du présent article.

whereas

(16) Les niveaux de garantie devraient caractériser le niveau de fiabilité d’un moyen d’ identification_électronique pour établir l’identité d’une personne, garantissant ainsi que la personne revendiquant une identité particulière est bien la personne à laquelle cette identité a été attribuée.
Le niveau de garantie dépend du niveau de fiabilité que le moyen d’ identification_électronique accorde à l’identité revendiquée ou prétendue d’une personne en tenant compte des processus (par exemple, preuve et vérification d’identité, et authentification), des activités de gestion (par exemple, l’entité délivrant les moyens d’identification et la procédure de délivrance de ces moyens) et contrôles techniques mis en œuvres.
Il existe diverses définitions techniques et des descriptions des niveaux de garantie à la suite de projets pilotes à grande échelle financés au niveau de l’Union, d’activités internationales et de normalisation.
En particulier, le projet pilote à grande échelle STORK et la norme ISO 29115 mentionnent, entre autres, les niveaux 2, 3 et 4 qui devraient être pris scrupuleusement en compte pour établir les exigences techniques, les normes et les procédures minimales pour les niveaux de garantie faible, substantiel et élevé au sens du présent règlement, tout en garantissant une application cohérente du présent règlement, en particulier en ce qui concerne le niveau élevé de garantie pour la preuve de l’identité en vue de la délivrance de certificats qualifiés.
Les exigences établies devraient être neutres du point de vue de la technologie.
Il devrait être possible de répondre aux exigences de sécurité au moyen de différentes technologies.

- = -

(55) Une certification de sécurité informatique fondée sur des normes internationales, tels que la norme ISO 15408 et les méthodes d’évaluation et accords de reconnaissance mutuelle qui y sont liés, est un outil important pour vérifier la sécurité de dispositifs de création de signature_électronique qualifiés et devrait être encouragée.
Cependant, des solutions et des services innovants, comme la signature mobile et la signature en mode informatique en nuage, nécessitent une solution technique et organisationnelle pour les dispositifs de création de signature_électronique qualifiés pour lesquels des normes de sécurité peuvent ne pas encore exister ou pour lesquels la première certification de sécurité informatique est en cours d’examen.
Le niveau de sécurité de ces dispositifs de création de signature_électronique qualifiés ne pourrait être évalué en utilisant d’autres processus que lorsque ces normes de sécurité n’existent pas ou que la première certification de sécurité informatique est en cours d’examen.
Ces processus devraient être comparables aux normes de certification de sécurité informatique, dans la mesure où leurs niveaux de sécurité sont équivalents.
Ces processus pourraient être facilités grâce à un examen par les pairs.

- = -

keyboard_tab EIDAS 2014/0910 FR

EIDAS 2014/0910 FR