keyboard_tab EIDAS 2014/0910 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Article 7 Éligibilité pour la notification des schémas d’identification électronique
- 1 Article 9 Notification
- 1 Article 11 Responsabilité
- 1 Article 19 Exigences de sécurité applicables aux prestataires de services de confiance
- 1 Article 33 Service de validation qualifié des signatures électroniques qualifiées
CHAPITRE I
DISPOSITIONS GÉNÉRALES
CHAPITRE II
IDENTIFICATION ÉLECTRONIQUE
CHAPITRE III
SERVICES DE CONFIANCE
SECTION 1
Dispositions générales
SECTION 2
Contrôle
SECTION 3
Services de confiance qualifiés
SECTION 4
Signatures électroniques
SECTION 5
Cachets électroniques
SECTION 6
Horodatage électronique
SECTION 7
Services d’envoi recommandé électronique
SECTION 8
Authentification de site internet
CHAPITRE IV
DOCUMENTS ÉLECTRONIQUES
CHAPITRE V
DÉLÉGATIONS DE POUVOIR ET DISPOSITIONS D’EXÉCUTION
CHAPITRE VI
DISPOSITIONS FINALES
- identification électronique
- moyen d’identification électronique
- données d’identification personnelle
- schéma d’identification électronique
- authentification
- partie utilisatrice
- organismes du secteur public
- organisme de droit public
- signataire
- signature électronique
- signature électronique avancée
- signature électronique qualifiée
- données de création de signature électronique
- certificat de signature électronique
- certificat qualifié de signature électronique
- service de confiance
- service de confiance qualifié
- organisme d’évaluation de la conformité
- prestataire de services de confiance
- prestataire de services de confiance qualifié
- produit
- dispositif de création de signature électronique
- dispositif de création de signature électronique qualifié
- créateur de cachet
- cachet électronique
- cachet électronique avancé
- cachet électronique qualifié
- données de création de cachet électronique
- certificat de cachet électronique
- certificat qualifié de cachet électronique
- dispositif de création de cachet électronique
- dispositif de création de cachet électronique qualifié
- horodatage électronique
- horodatage électronique qualifié
- document électronique
- service d’envoi recommandé électronique
- service d’envoi recommandé électronique qualifié
- données de validation
- validation
- paragraphe 25
- d’ 25
- identification_électronique 24
- l’article 21
- dans 17
- schéma 14
- membre 14
- d’exécution 12
- sécurité 11
- notifiant 10
- l’État 9
- sont 9
- visée 9
- authentification 9
- moyen 8
- personne 8
- pour 8
- commission 8
- visé 7
- validation 7
- toute 7
- service 7
- physique 6
- morale 6
- contrôle 6
- procédure 6
- services 6
- peut 6
- exigences 6
- article 6
- parties 6
- confiance 6
- d’intégrité 6
- perte 6
- vertu 6
- notification 6
- relevant 6
- qualifiés 5
- fourni 5
- moyens 5
- l’acte 5
- point 5
- actes 5
- avec 5
- la 5
- notifié 5
- partie 5
- qualifié 5
- d’un 5
- procédures 4
Article 7
Éligibilité pour la notification des schémas d’ identification_électronique
Un schéma d’ identification_électronique est éligible aux fins de notification en vertu de l’article 9, paragraphe 1, si toutes les conditions suivantes sont remplies:
| a) | les moyens d’ identification_électronique relevant du schéma d’ identification_électronique sont délivrés:
|
| b) | les moyens d’ identification_électronique relevant du schéma d’ identification_électronique peuvent être utilisés pour accéder au moins à un service qui est fourni par un organisme du secteur public et qui exige l’ identification_électronique dans l’État membre notifiant; |
| c) | le schéma d’ identification_électronique et les moyens d’ identification_électronique délivrés dans ce cadre répondent aux exigences d’au moins un des niveaux de garantie prévus dans l’acte d’exécution visé à l’article 8, paragraphe 3; |
| d) | l’État membre notifiant veille à ce que les données_d’identification_personnelle représentant de manière univoque la personne en question soient attribuées conformément aux spécifications techniques, aux normes et aux procédures pour le niveau de garantie concerné prévues dans l’acte d’exécution visé à l’article 8, paragraphe 3, à la personne physique ou morale visée à l’article 3, point 1), au moment de la délivrance du moyen d’ identification_électronique relevant de ce schéma; |
| e) | la partie délivrant le moyen d’ identification_électronique relevant de ce schéma veille à ce que le moyen d’ identification_électronique soit attribué à la personne visée au point d) du présent article conformément aux spécifications techniques, aux normes et aux procédures pour le niveau de garantie concerné prévues dans l’acte d’exécution visé à l’article 8, paragraphe 3; |
| f) | l’État membre notifiant veille à ce qu’une authentification en ligne soit disponible afin de permettre à toute partie_utilisatrice établie sur le territoire d’un autre État membre de confirmer les données_d’identification_personnelle reçues sous forme électronique. Pour les parties utilisatrices autres que des organismes_du_secteur_public, l’État membre notifiant peut définir les conditions d’accès à cette authentification. Cette authentification transfrontalière est fournie gratuitement lorsqu’elle est effectuée en liaison avec un service en ligne fourni par un organisme du secteur public. Les États membres n’imposent aucune exigence technique disproportionnée aux parties utilisatrices qui envisagent de procéder à cette authentification, lorsque de telles exigences empêchent ou entravent sensiblement l’interopérabilité des schémas d’ identification_électronique notifiés; |
| g) | six mois au moins avant la notification en vertu de l’article 9, paragraphe 1, l’État membre notifiant fournit aux autres États membres aux fins de l’obligation au titre de l’article 12, paragraphe 5, une description de ce schéma conformément aux modalités de procédure établies par les actes d’exécution visés à l’article 12, paragraphe 7. |
| h) | le schéma d’ identification_électronique satisfait aux exigences de l’acte d’exécution visé à l’article 12, paragraphe 8. |
Article 9
Notification
1. L’État membre notifiant notifie les informations suivantes à la Commission et lui communique toute modification ultérieure qui leur est apportée dans les meilleurs délais:
| a) | une description du schéma d’ identification_électronique, y compris ses niveaux de garantie et l’entité ou les entités qui délivrent les moyens d’ identification_électronique relevant de ce schéma; |
| b) | le régime de contrôle applicable et des informations sur la responsabilité en ce qui concerne les aspects suivants:
|
| c) | l’autorité ou les autorités responsables du schéma d’ identification_électronique; |
| d) | des informations sur l’entité ou les entités qui gèrent l’enregistrement des données_d’identification_personnelle uniques; |
| e) | une description de la façon dont il est satisfait aux exigences énoncées dans l’acte d’exécution visé à l’article 12, paragraphe 8; |
| f) | une description de l’ authentification visée à l’article 7, point f); |
| g) | les dispositions concernant la suspension ou la révocation du schéma d’ identification_électronique notifié, de l’ authentification ou des parties compromises concernées. |
2. Un an à compter de la date d’application des actes d’exécution visés à l’article 8, paragraphe 3, et à l’article 12, paragraphe 8, la Commission publie au Journal officiel de l’Union européenne la liste des schémas d’ identification_électronique qui ont été notifiés en vertu du paragraphe 1, et les informations essentielles à leur sujet.
3. Si la Commission reçoit une notification après expiration du délai visé au paragraphe 2, elle publie au Journal officiel de l’Union européenne les modifications apportées à la liste visée au paragraphe 2 dans les deux mois à compter de la date de réception de cette notification.
4. Un État membre peut soumettre à la Commission une demande visant à retirer de la liste visée au paragraphe 2 le schéma d’ identification_électronique qu’il a notifié. La Commission publie au Journal officiel de l’Union européenne les modifications correspondantes apportées à la liste dans un délai d’un mois à compter de la date de réception de la demande de l’État membre.
5. La Commission peut définir, au moyen d’actes d’exécution, les circonstances, les formats et les procédures pour les notifications au titre du paragraphe 1. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
Article 11
Responsabilité
1. L’État membre notifiant est responsable du dommage causé intentionnellement ou par négligence à toute personne physique ou morale en raison d’un manquement aux obligations qui lui incombent en vertu de l’article 7, points d) et f), dans le cas d’une transaction transfrontalière.
2. La partie qui délivre le moyen d’ identification_électronique est responsable du dommage causé intentionnellement ou par négligence à toute personne physique ou morale en raison d’un manquement aux obligations qui lui incombent en vertu de l’article 7, point e), dans le cas d’une transaction transfrontalière.
3. La partie qui gère la procédure d’ authentification est responsable du dommage causé intentionnellement ou par négligence à toute personne physique ou morale pour ne pas avoir assuré la gestion correcte de l’ authentification visée à l’article 7, point f), dans le cas d’une transaction transfrontalière.
4. Les paragraphes 1, 2 et 3 s’appliquent conformément aux dispositions nationales en matière de responsabilité.
5. Les paragraphes 1, 2 et 3 sont sans préjudice de la responsabilité incombant, au titre du droit national, aux parties à une transaction effectuée à l’aide de moyens d’ identification_électronique relevant du schéma d’ identification_électronique notifié en vertu de l’article 9, paragraphe 1.
Article 19
Exigences de sécurité applicables aux prestataires de services de confiance
1. Les prestataires de services de confiance qualifiés et non qualifiés prennent les mesures techniques et organisationnelles adéquates pour gérer les risques liés à la sécurité des services de confiance qu’ils fournissent. Compte tenu des évolutions technologiques les plus récentes, ces mesures garantissent que le niveau de sécurité est proportionné au degré de risque. Des mesures sont notamment prises en vue de prévenir et de limiter les conséquences d’incidents liés à la sécurité et d’informer les parties concernées des effets préjudiciables de tels incidents.
2. Les prestataires de services de confiance qualifiés et non qualifiés notifient, dans les meilleurs délais et en tout état de cause dans un délai de vingt-quatre heures après en avoir eu connaissance, à l’organe de contrôle et, le cas échéant, à d’autres organismes concernés, tels que l’organisme national compétent en matière de sécurité de l’information ou l’autorité chargée de la protection des données, toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence importante sur le service_de_confiance fourni ou sur les données à caractère personnel qui y sont conservées.
Lorsque l’atteinte à la sécurité ou la perte d’intégrité est susceptible de porter préjudice à une personne physique ou morale à laquelle le service_de_confiance a été fourni, le prestataire_de_services_de_confiance notifie aussi, dans les meilleurs délais, à la personne physique ou morale l’atteinte à la sécurité ou la perte d’intégrité.
Le cas échéant, notamment lorsqu’une atteinte à la sécurité ou une perte d’intégrité concerne deux États membres ou plus, l’organe de contrôle notifié informe les organes de contrôle des autres États membres concernés ainsi que l'ENISA.
L’organe de contrôle notifié informe le public ou exige du prestataire_de_services_de_confiance qu’il le fasse, dès lors qu’il constate qu’il est dans l’intérêt public de divulguer l’atteinte à la sécurité ou la perte d’intégrité.
3. Une fois par an, l’organe de contrôle fournit à l'ENISA un résumé des notifications d’atteinte à la sécurité et de perte d’intégrité reçues de prestataires de services de confiance.
4. La Commission peut, au moyen d’actes d’exécution:
| a) | préciser davantage les mesures visées au paragraphe 1; et |
| b) | définir les formats et procédures, y compris les délais, applicables aux fins du paragraphe 2. |
Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
SECTION 3
Services de confiance qualifiés
Article 33
Service de validation qualifié des signatures électroniques qualifiées
1. Un service de validation qualifié des signatures électroniques qualifiées ne peut être fourni que par un prestataire_de_services_de_confiance qualifié qui:
| a) | fournit une validation en conformité avec l’article 32, paragraphe 1; et |
| b) | permet aux parties utilisatrices de recevoir le résultat du processus de validation d’une manière automatisée, fiable, efficace et portant la signature_électronique avancée ou le cachet_électronique avancé du prestataire qui fournit le service de validation qualifié. |
2. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables au service de validation qualifié visé au paragraphe 1. Le service de validation de signatures électroniques qualifiées est présumé satisfaire aux exigences fixées au paragraphe 1 lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.
whereas