keyboard_tab EIDAS 2014/0910 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Article 17 Organe de contrôle
- 1 Article 19 Exigences de sécurité applicables aux prestataires de services de confiance
- 1 Article 30 Certification des dispositifs de création de signature électronique qualifiés
- 2 Article 31 Publication d’une liste des dispositifs de création de signature électronique qualifiés certifiés
CHAPITRE I
DISPOSITIONS GÉNÉRALES
CHAPITRE II
IDENTIFICATION ÉLECTRONIQUE
CHAPITRE III
SERVICES DE CONFIANCE
SECTION 1
Dispositions générales
SECTION 2
Contrôle
SECTION 3
Services de confiance qualifiés
SECTION 4
Signatures électroniques
SECTION 5
Cachets électroniques
SECTION 6
Horodatage électronique
SECTION 7
Services d’envoi recommandé électronique
SECTION 8
Authentification de site internet
CHAPITRE IV
DOCUMENTS ÉLECTRONIQUES
CHAPITRE V
DÉLÉGATIONS DE POUVOIR ET DISPOSITIONS D’EXÉCUTION
CHAPITRE VI
DISPOSITIONS FINALES
- identification électronique
- moyen d’identification électronique
- données d’identification personnelle
- schéma d’identification électronique
- authentification
- partie utilisatrice
- organismes du secteur public
- organisme de droit public
- signataire
- signature électronique
- signature électronique avancée
- signature électronique qualifiée
- données de création de signature électronique
- certificat de signature électronique
- certificat qualifié de signature électronique
- service de confiance
- service de confiance qualifié
- organisme d’évaluation de la conformité
- prestataire de services de confiance
- prestataire de services de confiance qualifié
- produit
- dispositif de création de signature électronique
- dispositif de création de signature électronique qualifié
- créateur de cachet
- cachet électronique
- cachet électronique avancé
- cachet électronique qualifié
- données de création de cachet électronique
- certificat de cachet électronique
- certificat qualifié de cachet électronique
- dispositif de création de cachet électronique
- dispositif de création de cachet électronique qualifié
- horodatage électronique
- horodatage électronique qualifié
- document électronique
- service d’envoi recommandé électronique
- service d’envoi recommandé électronique qualifié
- données de validation
- validation
- paragraphe 23
- contrôle 20
- confiance 19
- services 18
- sécurité 18
- qualifiés 17
- commission 15
- l’article 14
- prestataires 13
- dans 11
- membres 10
- États 10
- conformément 10
- avec 9
- l’organe 9
- sont 8
- conformité 8
- d’intégrité 7
- d’exécution 7
- la 7
- les 7
- article 6
- délais 6
- signature_électronique 6
- création 6
- dispositifs 6
- plus 6
- perte 6
- visé 6
- visée 6
- qu’il 6
- processus 6
- mesures 5
- informations 5
- actes 5
- point 5
- public 5
- présent 5
- organe 5
- qu’ils 5
- liste 5
- membre 5
- notifient 5
- meilleurs 5
- certifiés 4
- rapport 4
- fixées 4
- visés 4
- données 4
- exigences 4
Article 17
Organe de contrôle
1. Les États membres désignent un organe de contrôle établi sur leur territoire ou, d’un commun accord avec un autre État membre, un organe de contrôle établi dans cet autre État membre. Cet organe est chargé des tâches de contrôle dans l’État membre qui a procédé à la désignation.
Les organes de contrôle sont investis des pouvoirs nécessaires et dotés des ressources adéquates pour l’exercice de leurs tâches.
2. Les États membres notifient à la Commission le nom et l’adresse de l’organe de contrôle qu’ils ont désigné.
3. Le rôle de l’organe de contrôle est le suivant:
| a) | contrôler les prestataires de services de confiance qualifiés établis sur le territoire de l’État membre qui a procédé à la désignation afin de s’assurer, par des activités de contrôle a priori et a posteriori, que ces prestataires de services de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent satisfont aux exigences fixées dans le présent règlement; |
| b) | prendre des mesures, si nécessaire, en ce qui concerne les prestataires de services de confiance non qualifiés établis sur le territoire de l’État membre qui a procédé à la désignation, par des activités de contrôle a posteriori, lorsqu’il est informé que ces prestataires de services de confiance non qualifiés ou les services de confiance qu’ils fournissent ne satisferaient pas aux exigences fixées dans le présent règlement. |
4. Aux fins du paragraphe 3 et sous réserve des limites qu’il prévoit, les tâches de l’organe de contrôle consistent notamment:
| a) | à coopérer avec d’autres organes de contrôle et à leur apporter assistance conformément à l’article 18; |
| b) | à analyser les rapports d’évaluation de la conformité visés à l’article 20, paragraphe 1, et à l’article 21, paragraphe 1; |
| c) | à informer d’autres organes de contrôle et le public d’atteintes à la sécurité ou de pertes d’intégrité conformément à l’article 19, paragraphe 2; |
| d) | à présenter un rapport à la Commission sur ses principales activités conformément au paragraphe 6 du présent article; |
| e) | à procéder à des audits ou à demander à un organisme_d’évaluation_de_la_conformité d’effectuer une évaluation de la conformité des prestataires de services de confiance qualifiés conformément à l’article 20, paragraphe 2; |
| f) | à coopérer avec les autorités chargées de la protection des données, en particulier en les informant, dans les meilleurs délais, des résultats des audits des prestataires de services de confiance qualifiés lorsqu’il apparaît que des règles en matière de protection des données à caractère personnel ont été violées; |
| g) | à accorder le statut qualifié aux prestataires de services de confiance et aux services qu’ils fournissent et à retirer ce statut conformément aux articles 20 et 21; |
| h) | à informer l’organisme chargé de la liste nationale de confiance visée à l’article 22, paragraphe 3, de ses décisions d’accorder ou de retirer le statut qualifié, à moins que cet organisme ne soit également l’organe de contrôle; |
| i) | à vérifier l’existence et l’application correcte de dispositions relatives aux plans d’arrêt d’activité lorsque le prestataire_de_services_de_confiance qualifié cesse son activité, y compris la façon dont les informations restent accessibles conformément à l’article 24, paragraphe 2, point h); |
| j) | à exiger que les prestataires de services de confiance corrigent tout manquement aux obligations fixées par le présent règlement. |
5. Les États membres peuvent exiger de l’organe de contrôle qu’il établisse, gère et actualise une infrastructure de confiance conformément aux conditions prévues par le droit national.
6. Au plus tard le 31 mars de chaque année, chaque organe de contrôle soumet à la Commission un rapport sur ses principales activités de l’année civile précédente, accompagné d’un résumé des notifications d’atteinte à la sécurité reçues de prestataires de services de confiance conformément à l’article 19, paragraphe 2.
7. La Commission met le rapport annuel visé au paragraphe 6 à la disposition des États membres.
8. La Commission peut définir, au moyen d’actes d’exécution, les formats et procédures applicables aux fins du rapport visé au paragraphe 6. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 19
Exigences de sécurité applicables aux prestataires de services de confiance
1. Les prestataires de services de confiance qualifiés et non qualifiés prennent les mesures techniques et organisationnelles adéquates pour gérer les risques liés à la sécurité des services de confiance qu’ils fournissent. Compte tenu des évolutions technologiques les plus récentes, ces mesures garantissent que le niveau de sécurité est proportionné au degré de risque. Des mesures sont notamment prises en vue de prévenir et de limiter les conséquences d’incidents liés à la sécurité et d’informer les parties concernées des effets préjudiciables de tels incidents.
2. Les prestataires de services de confiance qualifiés et non qualifiés notifient, dans les meilleurs délais et en tout état de cause dans un délai de vingt-quatre heures après en avoir eu connaissance, à l’organe de contrôle et, le cas échéant, à d’autres organismes concernés, tels que l’organisme national compétent en matière de sécurité de l’information ou l’autorité chargée de la protection des données, toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence importante sur le service_de_confiance fourni ou sur les données à caractère personnel qui y sont conservées.
Lorsque l’atteinte à la sécurité ou la perte d’intégrité est susceptible de porter préjudice à une personne physique ou morale à laquelle le service_de_confiance a été fourni, le prestataire_de_services_de_confiance notifie aussi, dans les meilleurs délais, à la personne physique ou morale l’atteinte à la sécurité ou la perte d’intégrité.
Le cas échéant, notamment lorsqu’une atteinte à la sécurité ou une perte d’intégrité concerne deux États membres ou plus, l’organe de contrôle notifié informe les organes de contrôle des autres États membres concernés ainsi que l'ENISA.
L’organe de contrôle notifié informe le public ou exige du prestataire_de_services_de_confiance qu’il le fasse, dès lors qu’il constate qu’il est dans l’intérêt public de divulguer l’atteinte à la sécurité ou la perte d’intégrité.
3. Une fois par an, l’organe de contrôle fournit à l'ENISA un résumé des notifications d’atteinte à la sécurité et de perte d’intégrité reçues de prestataires de services de confiance.
4. La Commission peut, au moyen d’actes d’exécution:
| a) | préciser davantage les mesures visées au paragraphe 1; et |
| b) | définir les formats et procédures, y compris les délais, applicables aux fins du paragraphe 2. |
Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
SECTION 3
Services de confiance qualifiés
Article 30
Certification des dispositifs de création de signature_électronique qualifiés
1. La conformité des dispositifs de création de signature_électronique qualifiés avec les exigences fixées à l’annexe II est certifiée par les organismes publics ou privés compétents désignés par les États membres.
2. Les États membres notifient à la Commission le nom et l’adresse de l’organisme public ou privé visé au paragraphe 1. La Commission met ces informations à la disposition des États membres.
3. La certification visée au paragraphe 1 est fondée sur l’un des éléments suivants:
| a) | un processus d’évaluation de la sécurité mis en œuvre conformément à l’une des normes relatives à l’évaluation de la sécurité des produits informatiques figurant sur la liste établie conformément au deuxième alinéa; ou |
| b) | un processus autre que le processus visé au point a), à condition qu’il recoure à des niveaux de sécurité comparables et que l’organisme public ou privé visé au paragraphe 1 notifie ce processus à la Commission. Ledit processus ne peut être utilisé qu’en l’absence des normes visées au point a) ou lorsqu’un processus d’évaluation de la sécurité visé au point a) est en cours. |
La Commission établit, au moyen d’actes d’exécution, une liste de normes relatives à l’évaluation de la sécurité des produits informatiques visés au point a). Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
4. La Commission est habilitée à adopter des actes délégués, en conformité avec l’article 47, en ce qui concerne la définition de critères spécifiques que doivent respecter les organismes désignés visés au paragraphe 1 du présent article.
Article 31
Publication d’une liste des dispositifs de création de signature_électronique qualifiés certifiés
1. Les États membres notifient à la Commission, dans les meilleurs délais et au plus tard un mois après la conclusion de la certification, des informations sur les dispositifs de création de signature_électronique qualifiés qui ont été certifiés par les organismes visés à l’article 30, paragraphe 1. Ils notifient également à la Commission, dans les meilleurs délais et au plus tard un mois après l’annulation de la certification, des informations sur les dispositifs de création de signature_électronique qui ne sont plus certifiés.
2. Sur la base des informations reçues, la Commission établit, publie et met à jour une liste des dispositifs de création de signature_électronique qualifiés certifiés.
3. La Commission peut définir, au moyen d’actes d’exécution, les formats et les procédures applicables aux fins du paragraphe 1. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
whereas