EIDAS 2014/0910 FR

1. Le présent règlement s’applique aux schémas d’ identification_électronique qui ont été notifiés par un État membre et aux prestataires de services de confiance établis dans l’Union.

2. Le présent règlement ne s’applique pas à la fourniture de services de confiance utilisés exclusivement dans des systèmes fermés résultant du droit national ou d’accords au sein d’un ensemble défini de participants.

3. Le présent règlement n’affecte pas le droit national ou de l’Union relatif à la conclusion et à la validité des contrats ou d’autres obligations juridiques ou procédurales d’ordre formel.

Article 13

Responsabilité et charge de la preuve

1. Sans préjudice du paragraphe 2, les prestataires de services de confiance sont responsables des dommages causés intentionnellement ou par négligence à toute personne physique ou morale en raison d’un manquement aux obligations prévues par le présent règlement.

Il incombe à la personne physique ou morale qui invoque les dommages visés au premier alinéa de prouver que le prestataire_de_services_de_confiance non qualifié a agi intentionnellement ou par négligence.

Un prestataire_de_services_de_confiance qualifié est présumé avoir agi intentionnellement ou par négligence, à moins qu’il ne prouve que les dommages visés au premier alinéa ont été causés sans intention ni négligence de sa part.

2. Lorsque les prestataires de services de confiance informent dûment leurs clients au préalable des limites qui existent à l’utilisation des services qu’ils fournissent et que ces limites peuvent être reconnues par des tiers, les prestataires de services de confiance ne peuvent être tenus responsables des dommages découlant de l’utilisation des services au-delà des limites indiquées.

3. Les paragraphes 1 et 2 s’appliquent conformément aux règles nationales en matière de responsabilité.

Article 14

Aspects internationaux

1. Les services de confiance fournis par des prestataires de services de confiance établis dans un pays tiers sont reconnus comme équivalents, sur le plan juridique, à des services de confiance qualifiés fournis par des prestataires de services de confiance qualifiés établis dans l’Union lorsque les services de confiance provenant du pays tiers sont reconnus en vertu d’un accord conclu entre l’Union et le pays tiers concerné ou une organisation internationale conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne.

2. Les accords visés au paragraphe 1 garantissent, en particulier, que:

les exigences applicables aux prestataires de services de confiance qualifiés établis dans l’Union et les services de confiance qualifiés qu’ils fournissent sont respectés par les prestataires de services de confiance dans le pays tiers ou par les organisations internationales avec lesquels l’accord est conclu, et par les services de confiance qu’ils fournissent;

les services de confiance qualifiés fournis par des prestataires de services de confiance qualifiés établis dans l’Union sont reconnus comme équivalents, sur le plan juridique, à des services de confiance fournis par des prestataires de services de confiance dans le pays tiers ou par l’organisation internationale avec lequels l’accord est conclu.

Article 17

Organe de contrôle

1. Les États membres désignent un organe de contrôle établi sur leur territoire ou, d’un commun accord avec un autre État membre, un organe de contrôle établi dans cet autre État membre. Cet organe est chargé des tâches de contrôle dans l’État membre qui a procédé à la désignation.

Les organes de contrôle sont investis des pouvoirs nécessaires et dotés des ressources adéquates pour l’exercice de leurs tâches.

2. Les États membres notifient à la Commission le nom et l’adresse de l’organe de contrôle qu’ils ont désigné.

3. Le rôle de l’organe de contrôle est le suivant:

contrôler les prestataires de services de confiance qualifiés établis sur le territoire de l’État membre qui a procédé à la désignation afin de s’assurer, par des activités de contrôle a priori et a posteriori, que ces prestataires de services de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent satisfont aux exigences fixées dans le présent règlement;

prendre des mesures, si nécessaire, en ce qui concerne les prestataires de services de confiance non qualifiés établis sur le territoire de l’État membre qui a procédé à la désignation, par des activités de contrôle a posteriori, lorsqu’il est informé que ces prestataires de services de confiance non qualifiés ou les services de confiance qu’ils fournissent ne satisferaient pas aux exigences fixées dans le présent règlement.

4. Aux fins du paragraphe 3 et sous réserve des limites qu’il prévoit, les tâches de l’organe de contrôle consistent notamment:

a)	à coopérer avec d’autres organes de contrôle et à leur apporter assistance conformément à l’article 18;

b)	à analyser les rapports d’évaluation de la conformité visés à l’article 20, paragraphe 1, et à l’article 21, paragraphe 1;

c)	à informer d’autres organes de contrôle et le public d’atteintes à la sécurité ou de pertes d’intégrité conformément à l’article 19, paragraphe 2;

d)	à présenter un rapport à la Commission sur ses principales activités conformément au paragraphe 6 du présent article;

e)	à procéder à des audits ou à demander à un organisme_d’évaluation_de_la_conformité d’effectuer une évaluation de la conformité des prestataires de services de confiance qualifiés conformément à l’article 20, paragraphe 2;

à coopérer avec les autorités chargées de la protection des données, en particulier en les informant, dans les meilleurs délais, des résultats des audits des prestataires de services de confiance qualifiés lorsqu’il apparaît que des règles en matière de protection des données à caractère personnel ont été violées;

g)	à accorder le statut qualifié aux prestataires de services de confiance et aux services qu’ils fournissent et à retirer ce statut conformément aux articles 20 et 21;

h)	à informer l’organisme chargé de la liste nationale de confiance visée à l’article 22, paragraphe 3, de ses décisions d’accorder ou de retirer le statut qualifié, à moins que cet organisme ne soit également l’organe de contrôle;

i)	à vérifier l’existence et l’application correcte de dispositions relatives aux plans d’arrêt d’activité lorsque le prestataire_de_services_de_confiance qualifié cesse son activité, y compris la façon dont les informations restent accessibles conformément à l’article 24, paragraphe 2, point h);

j)	à exiger que les prestataires de services de confiance corrigent tout manquement aux obligations fixées par le présent règlement.

5. Les États membres peuvent exiger de l’organe de contrôle qu’il établisse, gère et actualise une infrastructure de confiance conformément aux conditions prévues par le droit national.

6. Au plus tard le 31 mars de chaque année, chaque organe de contrôle soumet à la Commission un rapport sur ses principales activités de l’année civile précédente, accompagné d’un résumé des notifications d’atteinte à la sécurité reçues de prestataires de services de confiance conformément à l’article 19, paragraphe 2.

7. La Commission met le rapport annuel visé au paragraphe 6 à la disposition des États membres.

8. La Commission peut définir, au moyen d’actes d’exécution, les formats et procédures applicables aux fins du rapport visé au paragraphe 6. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 19

Exigences de sécurité applicables aux prestataires de services de confiance

1. Les prestataires de services de confiance qualifiés et non qualifiés prennent les mesures techniques et organisationnelles adéquates pour gérer les risques liés à la sécurité des services de confiance qu’ils fournissent. Compte tenu des évolutions technologiques les plus récentes, ces mesures garantissent que le niveau de sécurité est proportionné au degré de risque. Des mesures sont notamment prises en vue de prévenir et de limiter les conséquences d’incidents liés à la sécurité et d’informer les parties concernées des effets préjudiciables de tels incidents.

2. Les prestataires de services de confiance qualifiés et non qualifiés notifient, dans les meilleurs délais et en tout état de cause dans un délai de vingt-quatre heures après en avoir eu connaissance, à l’organe de contrôle et, le cas échéant, à d’autres organismes concernés, tels que l’organisme national compétent en matière de sécurité de l’information ou l’autorité chargée de la protection des données, toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence importante sur le service_de_confiance fourni ou sur les données à caractère personnel qui y sont conservées.

Lorsque l’atteinte à la sécurité ou la perte d’intégrité est susceptible de porter préjudice à une personne physique ou morale à laquelle le service_de_confiance a été fourni, le prestataire_de_services_de_confiance notifie aussi, dans les meilleurs délais, à la personne physique ou morale l’atteinte à la sécurité ou la perte d’intégrité.

Le cas échéant, notamment lorsqu’une atteinte à la sécurité ou une perte d’intégrité concerne deux États membres ou plus, l’organe de contrôle notifié informe les organes de contrôle des autres États membres concernés ainsi que l'ENISA.

L’organe de contrôle notifié informe le public ou exige du prestataire_de_services_de_confiance qu’il le fasse, dès lors qu’il constate qu’il est dans l’intérêt public de divulguer l’atteinte à la sécurité ou la perte d’intégrité.

3. Une fois par an, l’organe de contrôle fournit à l'ENISA un résumé des notifications d’atteinte à la sécurité et de perte d’intégrité reçues de prestataires de services de confiance.

4. La Commission peut, au moyen d’actes d’exécution:

a)	préciser davantage les mesures visées au paragraphe 1; et

b)	définir les formats et procédures, y compris les délais, applicables aux fins du paragraphe 2.

Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

SECTION 3

Services de confiance qualifiés

Article 20

Contrôle des prestataires de services de confiance qualifiés

1. Les prestataires de services de confiance qualifiés font l’objet, au moins tous les vingt-quatre mois, d’un audit effectué à leurs frais par un organisme_d’évaluation_de_la_conformité. Le but de l’audit est de confirmer que les prestataires de services de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent remplissent les exigences fixées par le présent règlement. Les prestataires de services de confiance qualifiés transmettent le rapport d’évaluation de la conformité à l’organe de contrôle dans un délai de trois jours ouvrables qui suivent sa réception.

2. Sans préjudice du paragraphe 1, l’organe de contrôle peut à tout moment, soumettre les prestataires de services de confiance qualifiés à un audit ou demander à un organisme_d’évaluation_de_la_conformité de procéder à une évaluation de la conformité des prestataires de services de confiance qualifiés, aux frais de ces prestataires de services de confiance, afin de confirmer que les prestataires et les services de confiance qualifiés qu’ils fournissent remplissent les exigences fixées par le présent règlement. L’organe de contrôle informe les autorités chargées de la protection des données des résultats de ses audits lorsqu’il apparaît que les règles en matière de protection des données à caractère personnel ont été violées.

3. Lorsque l’organe de contrôle exige du prestataire_de_services_de_confiance qualifié qu’il corrige un manquement aux exigences prévues par le présent règlement et que le prestataire n’agit pas en conséquence, et le cas échéant dans un délai fixé par l’organe de contrôle, l’organe de contrôle, tenant compte, en particulier, de l’ampleur, de la durée et des conséquences de ce manquement, peut retirer à ce prestataire ou au service affecté le statut qualifié et informe l’organisme visé à l’article 22, paragraphe 3, aux fins de la mise à jour des listes de confiance visées à l’article 22, paragraphe 1. L’organe de contrôle informe le prestataire_de_services_de_confiance qualifié du retrait de son statut qualifié ou du retrait du statut qualifié du service concerné.

4. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes suivantes:

a)	accréditation des organismes d’évaluation de la conformité et rapports d’évaluation de la conformité visés au paragraphe 1;

b)	règles d’audit en fonction desquelles les organismes d’évaluation de la conformité procéderont à leur évaluation de la conformité des prestataires de services de confiance qualifiés visés au paragraphe 1.

Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 21

Lancement d’un service_de_confiance qualifié

1. Lorsque des prestataires de services de confiance, sans statut qualifié, ont l’intention de commencer à offrir des services de confiance qualifiés, ils soumettent à l’organe de contrôle une notification de leur intention accompagnée d’un rapport d’évaluation de la conformité délivré par un organisme_d’évaluation_de_la_conformité.

2. L’organe de contrôle vérifie que le prestataire_de_services_de_confiance et les services de confiance qu’il fournit respectent les exigences fixées par le présent règlement, en particulier les exigences en ce qui concerne les prestataires de services de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent.

Si l’organe de contrôle conclut que le prestataire_de_services_de_confiance et les services de confiance qu’il fournit respectent les exigences visées au premier alinéa, l’organe de contrôle accorde le statut qualifié au prestataire_de_services_de_confiance et aux services de confiance qu’il fournit et informe l’organisme visé à l’article 22, paragraphe 3, aux fins de la mise à jour des listes de confiance visées à l’article 22, paragraphe 1, au plus tard trois mois suivant la notification conformément au paragraphe 1 du présent article.

Si la vérification n’est pas terminée dans un délai de trois mois à compter de la notification, l’organe de contrôle en informe le prestataire_de_services_de_confiance en précisant les raisons du retard et le délai nécessaire pour terminer la vérification.

3. Les prestataires de services de confiance qualifiés peuvent commencer à fournir le service_de_confiance qualifié une fois que le statut qualifié est indiqué sur les listes de confiance visées à l’article 22, paragraphe 1.

4. La Commission peut définir, au moyen d’actes d’exécution, les formats et les procédures applicables aux fins des paragraphes 1 et 2. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 22

Listes de confiance

1. Chaque État membre établit, tient à jour et publie des listes de confiance, y compris des informations relatives aux prestataires de services de confiance qualifiés dont il est responsable, ainsi que des informations relatives aux services de confiance qualifiés qu’ils fournissent.

2. Les États membres établissent, tiennent à jour et publient, de façon sécurisée et sous une forme adaptée au traitement automatisé, les listes de confiance visées au paragraphe 1 portant une signature_électronique ou un cachet_électronique.

3. Les États membres communiquent à la Commission, dans les meilleurs délais, des informations relatives à l’organisme chargé d’établir, de tenir à jour et de publier les listes nationales de confiance, ainsi que des détails précisant où ces listes sont publiées, indiquant les certificats utilisés pour apposer une signature_électronique ou un cachet_électronique sur ces listes et signalant les modifications apportées à ces listes.

4. La Commission met à la disposition du public, par l’intermédiaire d’un canal sécurisé, les informations visées au paragraphe 3 sous une forme portant une signature_électronique ou un cachet_électronique adaptée au traitement automatisé.

5. Au plus tard le 18 septembre 2015, la Commission précise, au moyen d’actes d’exécution, les informations visées au paragraphe 1 et définit les spécifications techniques et les formats des listes de confiance applicables aux fins des paragraphes 1 à 4. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 23

Label de confiance de l’Union pour les services de confiance qualifiés

1. Une fois que le statut qualifié visé à l’article 21, paragraphe 2, deuxième alinéa, a été indiqué sur la liste de confiance visée à l’article 22, paragraphe 1, les prestataires de service_de_confiance qualifiés peuvent utiliser le label de confiance de l’Union pour indiquer d’une manière simple, claire et reconnaissable les services de confiance qualifiés qu’ils fournissent.

2. Lorsqu’ils utilisent le label de confiance de l’Union pour les services de confiance qualifiés visé au paragraphe 1, les prestataires de services de confiance qualifiés veillent à ce qu’un lien vers la liste de confiance concernée soit disponible sur leur site internet.

3. Au plus tard le 1er juillet 2015, la Commission prévoit, au moyen d’actes d’exécution, les spécifications relatives à la forme et notamment à la présentation, à la composition, à la taille et à la conception du label de confiance de l’Union pour les services de confiance qualifiés. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

Article 24

Exigences applicables aux prestataires de services de confiance qualifiés

1. Lorsqu’un prestataire_de_services_de_confiance qualifié délivre un certificat qualifié pour un service_de_confiance, il vérifie, par des moyens appropriés et conformément au droit national, l’identité et, le cas échéant, tous les attributs spécifiques de la personne physique ou morale à laquelle il délivre le certificat qualifié.

Les informations visées au premier alinéa sont vérifiées par le prestataire_de_services_de_confiance qualifié directement ou en en ayant recours à un tiers conformément au droit national:

a)	par la présence en personne de la personne physique ou du représentant autorisé de la personne morale; ou

à distance, à l’aide de moyens d’ identification_électronique pour lesquels, avant la délivrance du certificat qualifié, la personne physique ou un représentant autorisé de la personne morale s’est présenté en personne et qui satisfont aux exigences énoncées à l’article 8 en ce qui concerne les niveaux de garantie substantiel et élevé; ou

c)	au moyen d’un certificat de signature_électronique qualifié ou d’un cachet_électronique qualifié délivré conformément au point a) ou b); ou

d)	à l’aide d’autres méthodes d’identification reconnues au niveau national qui fournissent une garantie équivalente en termes de fiabilité à la présence en personne. La garantie équivalente est confirmée par un organisme_d’évaluation_de_la_conformité.

2. Un prestataire_de_services_de_confiance qualifié qui fournit des services de confiance qualifiés:

a)	informe l’organe de contrôle de toute modification dans la fourniture de ses services de confiance qualifiés et de son intention éventuelle de cesser ces activités;

emploie du personnel et, le cas échéant, des sous-traitants qui possèdent l’expertise, la fiabilité, l’expérience et les qualifications nécessaires, qui ont reçu une formation appropriée en ce qui concerne les règles en matière de sécurité et de protection des données à caractère personnel et appliquent des procédures administratives et de gestion correspondant à des normes européennes ou internationales;

c)	en ce qui concerne le risque de responsabilité pour dommages conformément à l’article 13, maintient des ressources financières suffisantes et/ou contracte une assurance responsabilité appropriée, conformément au droit national;

d)	avant d’établir une relation contractuelle, informe, de manière claire et exhaustive, toute personne désireuse d’utiliser un service_de_confiance qualifié des conditions précises relatives à l’utilisation de ce service, y compris toute limite quant à son utilisation;

e)	utilise des systèmes et des produits fiables qui sont protégés contre les modifications et assure la sécurité technique et la fiabilité des processus qu’ils prennent en charge;

utilise des systèmes fiables pour stocker les données qui lui sont fournies, sous une forme vérifiable de manière que:

i)	les données ne soient publiquement disponibles pour des traitements qu’après avoir obtenu le consentement de la personne concernée par ces données;

ii)	seules des personnes autorisées puissent introduire des données et modifier les données conservées;

iii)	l’authenticité des données puisse être vérifiée;

g)	prend des mesures appropriées contre la falsification et le vol de données;

enregistre et maintient accessibles pour une durée appropriée, y compris après que les activités du prestataire_de_services_de_confiance qualifié ont cessé, toutes les informations pertinentes concernant les données délivrées et reçues par le prestataire_de_services_de_confiance qualifié, aux fins notamment de pouvoir fournir des preuves en justice et aux fins d’assurer la continuité du service. Ces enregistrements peuvent être effectués par voie électronique;

i)	a un plan actualisé d’arrêt d’activité afin d’assurer la continuité du service conformément aux dispositions vérifiées par l’organe de contrôle au titre de l’article 17, paragraphe 4, point i);

j)	assure le traitement licite de données à caractère personnel conformément à la directive 95/46/CE;

k)	au cas où le prestataire_de_services_de_confiance qualifié délivre des certificats qualifiés, établit et tient à jour une base de données relative aux certificats.

3. Lorsqu’un prestataire_de_services_de_confiance qualifié qui délivre des certificats qualifiés décide de révoquer un certificat, il enregistre cette révocation dans sa base de données relative aux certificats et publie le statut de révocation du certificat en temps utile, et en tout état de cause dans les vingt-quatre heures suivant la réception de la demande. Cette révocation devient effective immédiatement dès sa publication.

4. En ce qui concerne le paragraphe 3, les prestataires de services de confiance qualifiés qui délivrent des certificats qualifiés fournissent à toute partie_utilisatrice des informations sur la validité ou le statut de révocation des certificats qualifiés qu’ils ont délivrés. Ces informations sont disponibles, au moins par certificat, à tout moment et au-delà de la période de validité du certificat, sous une forme automatisée qui est fiable, gratuite et efficace.

5. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux systèmes et produits fiables, qui satisfont aux exigences du paragraphe 2, points e) et f), du présent article. Les systèmes et les produits fiables sont présumés satisfaire aux exigences fixées au présent article lorsqu’ils respectent ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

SECTION 4

Signatures électroniques

Article 44

Exigences applicables aux services d’envoi recommandé électronique qualifiés

1. Les services d’envoi recommandé électronique qualifiés satisfont aux exigences suivantes:

a)	ils sont fournis par un ou plusieurs prestataires de services de confiance qualifiés;

b)	ils garantissent l’identification de l’expéditeur avec un degré de confiance élevé;

c)	ils garantissent l’identification du destinataire avant la fourniture des données;

d)	l’envoi et la réception de données sont sécurisés par une signature_électronique avancée ou par un cachet_électronique avancé d’un prestataire_de_services_de_confiance qualifié, de manière à exclure toute possibilité de modification indétectable des données;

e)	toute modification des données nécessaire pour l’envoi ou la réception de celles-ci est clairement signalée à l’expéditeur et au destinataire des données;

f)	la date et l’heure d’envoi, de réception et toute modification des données sont indiquées par un horodatage_électronique qualifié.

Dans le cas où les données sont transférées entre deux prestataires de services de confiance qualifiés ou plus, les exigences fixées aux points a) à f) s’appliquent à tous les prestataires de services de confiance qualifiés.

2. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux processus d’envoi et de réception de données. Le processus d’envoi et de réception de données est présumé satisfaire aux exigences fixées au paragraphe 1 lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

SECTION 8

Authentification de site internet

whereas

(9) Dans la plupart des cas, les citoyens ne peuvent pas utiliser leur identification_électronique pour s’authentifier dans un autre État membre parce que les schémas nationaux d’ identification_électronique de leur pays ne sont pas reconnus dans d’autres États membres.
Cet obstacle numérique empêche les prestataires de services de tirer tous les bénéfices du marché intérieur.
La reconnaissance mutuelle des moyens d’ identification_électronique facilitera la fourniture transfrontalière de nombreux services dans le marché intérieur et permettra aux entreprises de mener des activités transfrontalières sans faire face à de nombreux obstacles dans leurs relations avec les pouvoirs publics.

- = -

(11) Le présent règlement devrait être appliqué dans le respect total des principes relatifs à la protection des données à caractère personnel prévus dans la directive 95/46/CE du Parlement européen et du Conseil (7). À cet égard, compte tenu du principe de la reconnaissance mutuelle établi par le présent règlement, l’ authentification pour un service en ligne ne devrait concerner que le traitement des données d’identification qui sont adéquates, pertinentes et non excessives afin de permettre l’accès audit service en ligne.
En outre, il y a lieu que les prestataires de services de confiance et les organes de contrôle satisfassent aux exigences de confidentialité et de sécurité des traitements imposées par la directive 95/46/CE.

- = -

(31) Les organes de contrôle devraient coopérer avec les autorités chargées de la protection des données, par exemple en les informant des résultats des audits des prestataires de services de confiance qualifiés, lorsqu’il apparaît que des règles en matière de protection des données à caractère personnel ont été violées.
Cette fourniture d’informations devrait, notamment, porter sur les incidents liés à la sécurité et aux atteintes aux données à caractère personnel.

- = -

(32) Il devrait incomber à tous les prestataires de services de confiance d’appliquer de bonnes pratiques de sécurité, adaptées aux risques inhérents à leurs activités, afin d’accroître la confiance des utilisateurs dans le marché unique.

- = -

(35) Tous les prestataires de services de confiance devraient être soumis aux exigences du présent règlement, notamment en matière de sécurité et de responsabilité, pour assurer une diligence appropriée, la transparence et la responsabilité quant à leurs activités et à leurs services.
Toutefois, eu égard au type de services fournis par les prestataires de services de confiance, il y a lieu de faire une distinction, au niveau de ces exigences, entre, d’une part, les prestataires de services de confiance qualifiés et, d’autre part, les prestataires de services de confiance non qualifiés.

- = -

(36) La mise en place d’un régime de contrôle pour tous les prestataires de services de confiance devrait assurer des conditions de concurrence équitables pour ce qui est de la sécurité et de la responsabilité quant à leurs activités et à leurs services et contribuer ainsi à la protection des utilisateurs et au fonctionnement du marché intérieur.
Les prestataires de services de confiance non qualifiés devraient être soumis à un contrôle a posteriori allégé et réactif justifié par la nature de leurs services et activités.
L’organe de contrôle devrait dès lors ne pas avoir d’obligation générale de contrôler des prestataires de services non qualifiés.
L’organe de contrôle ne devrait intervenir que lorsqu’il est informé (par exemple, par le prestataire_de_services_de_confiance non qualifié lui-même, par un autre organe de contrôle, par une notification émanant d’un utilisateur ou d’un partenaire économique ou sur la base de ses propres investigations) qu’un prestataire_de_services_de_confiance non qualifié ne satisfait pas aux exigences du présent règlement.

- = -

(37) Le présent règlement devrait prévoir que tous les prestataires de services de confiance engagent leur responsabilité.
Il établit notamment le régime de responsabilité en vertu duquel tous les prestataires de services de confiance devraient être responsables des dommages causés à toute personne physique ou morale en raison d’un manquement aux obligations prévues par le présent règlement.
Afin de faciliter l’évaluation du risque financier que les prestataires de services de confiance pourraient devoir supporter ou qu’ils devraient couvrir au moyen d’une police d’assurance, le présent règlement les autorise à fixer des limites, sous certaines conditions, à l’utilisation des services qu’ils proposent et à ne pas être tenus pour responsables des dommages résultant de l’utilisation de services allant au-delà de ces limites.
Les clients devraient être dûment informés à l’avance des limites fixées.
Ces limites devraient être reconnaissables par un tiers, par exemple par l’insertion d’une notice relative à ces limites dans les conditions applicables au service fourni ou par d’autres moyens reconnaissables.
Afin de donner effet à ces principes, il convient que le présent règlement s’applique conformément aux règles nationales en matière de responsabilité.
Le présent règlement n’affecte donc pas ces règles nationales, par exemple celles relatives à la définition des dommages, au caractère intentionnel ou à la négligence, ou les règles procédurales applicables en la matière.

- = -

(41) Pour assurer la pérennité et la durabilité des services de confiance qualifiés et pour accroître la confiance des utilisateurs dans la continuité de ces services, les organes de contrôle devraient vérifier l’existence et l’application correcte de dispositions relatives aux plans d’arrêt d’activité dans les cas où des prestataires de services de confiance qualifiés cessent leurs activités.

- = -

(42) Pour faciliter le contrôle des prestataires de services de confiance qualifiés, par exemple lorsqu’un prestataire fournit ses services sur le territoire d’un autre État membre dans lequel il n’est soumis à aucun contrôle ou lorsque les ordinateurs d’un prestataire sont situés sur le territoire d’un État membre autre que celui où il est établi, il convient que soit instauré un système d’assistance mutuelle entre les organes de contrôle des États membres.

- = -

(43) Afin d’assurer le respect des exigences énoncées dans le présent règlement par les prestataires de services de confiance qualifiés et les services qu’ils fournissent, une évaluation de la conformité devrait être effectuée par un organisme_d’évaluation_de_la_conformité, et les rapports d’évaluation de la conformité qui en résultent devraient être soumis par les prestataires de services de confiance qualifiés à l’organisme de contrôle.
Lorsqu’il exige qu’un prestataire_de_services_de_confiance qualifié lui soumette un rapport spécifique d’évaluation de la conformité, il convient que l’organe de contrôle applique, notamment, les principes de bonne administration, y compris l’obligation de motiver ses décisions, ainsi que le principe de proportionnalité.
Par conséquent, l’organe de contrôle devrait dûment justifier sa décision d’exiger une évaluation spécifique de la conformité.

- = -

(45) Afin de permettre un processus de lancement efficace, qui devrait conduire à l’inscription de prestataires de services de confiance qualifiés et des services de confiance qualifiés qu’ils fournissent sur des listes de confiance, il faudrait encourager des échanges préliminaires entre des prestataires de services de confiance qualifiés potentiels et l’organe de contrôle compétent en vue de faciliter les vérifications préalables à la fourniture de services de confiance qualifiés.

- = -

(47) La confiance dans les services en ligne et leur commodité sont essentiels pour que les utilisateurs tirent pleinement avantage des services électroniques et qu’ils s’y fient en connaissance de cause. À cet effet, un label de confiance de l’Union devrait être créé pour identifier les services de confiance qualifiés fournis par des prestataires de services de confiance qualifiés.
Un tel label de confiance de l’Union distinguerait clairement les services de confiance qualifiés d’autres services de confiance, contribuant ainsi à la transparence du marché.
L’utilisation d’un label de confiance de l’Union par les prestataires de services de confiance qualifiés devrait se faire sur une base volontaire et ne devrait pas entraîner d’autres exigences que celles prévues dans le présent règlement.

- = -

(52) La création de signatures électroniques à distance, système dans lequel l’environnement de création de signatures électroniques est géré par un prestataire_de_services_de_confiance au nom du signataire, est appelée à se développer en raison de ses multiples avantages économiques.
Toutefois, afin que ces signatures électroniques reçoivent la même reconnaissance juridique que les signatures électroniques créées avec un environnement entièrement géré par l’utilisateur, les prestataires offrant des services de signature_électronique à distance devraient appliquer des procédures de sécurité spécifiques en matière de gestion et d’administration et utiliser des systèmes et des produits fiables, notamment des canaux de communication électronique sécurisés, afin de garantir que l’environnement de création de signatures électroniques est fiable et qu’il est utilisé sous le contrôle exclusif du signataire.
Dans le cas de la création d’une signature_électronique qualifiée à l’aide d’un dispositif de création de signature_électronique à distance, les exigences applicables aux prestataires de services de confiance qualifiés énoncées dans le présent règlement devraient s’appliquer.

- = -

(53) La suspension de certificats qualifiés est, dans un certain nombre d’États membres, une pratique opérationnelle établie des prestataires de services de confiance qui est différente de la révocation et entraîne une perte temporaire de validité d’un certificat.
La sécurité juridique impose que le statut de suspension d’un certificat soit toujours clairement indiqué. À cet effet, les prestataires de services de confiance devraient avoir la responsabilité de clairement indiquer le statut du certificat et, s’il est suspendu, la période précise de temps durant laquelle le certificat est suspendu.
Le présent règlement ne devrait pas imposer aux prestataires de services de confiance ou aux États membres de recourir à la suspension, mais devrait prévoir des règles en matière de transparence, dans les cas où cette pratique est disponible.

- = -

(57) Pour garantir la sécurité juridique concernant la validité de la signature, il est essentiel de préciser les éléments de la signature_électronique qualifiée que devrait vérifier la partie_utilisatrice effectuant la validation.
En outre, le fait de définir les exigences applicables aux prestataires de services de confiance qualifiés qui peuvent fournir un service de validation qualifié aux parties utilisatrices ne voulant ou ne pouvant pas effectuer elles-mêmes la validation de signatures électroniques qualifiées devrait inciter les secteurs privé et public à investir dans de tels services.
Les deux éléments devraient faire de la validation de signatures électroniques qualifiées une procédure aisée et adaptée à toutes les parties au niveau de l’Union.

- = -

(60) Les prestataires de services de confiance délivrant des certificats qualifiés de cachet_électronique devraient mettre en œuvre les mesures nécessaires afin de pouvoir établir l’identité de la personne physique représentant la personne morale à laquelle le certificat qualifié de cachet_électronique est fourni, lorsque cette identification est nécessaire au niveau national dans le cadre d’une procédure judiciaire ou administrative.

- = -

(66) Il est essentiel de prévoir un cadre juridique en vue de faciliter la reconnaissance transfrontalière entre les systèmes juridiques nationaux existants en matière de services d’envoi recommandé électronique.
Ce cadre pourrait également ouvrir de nouvelles possibilités de commercialisation permettant aux prestataires de services de confiance de l’Union d’offrir de nouveaux services d’envoi recommandé électronique paneuropéens.

- = -

(67) Les services d’ authentification de site internet sont un moyen permettant au visiteur d’un site internet de s’assurer que celui-ci est tenu par une entité véritable et légitime.
Ces services contribuent à instaurer un climat de confiance pour la réalisation de transactions commerciales en ligne, les utilisateurs tendant à se fier à un site internet qui a été authentifié.
La fourniture et l’utilisation de services d’ authentification de site internet se font entièrement sur une base volontaire.
Cependant, pour que l’ authentification de site internet s’affirme comme un moyen de renforcer la confiance, de fournir à l’utilisateur davantage d’expériences positives et de favoriser la croissance sur le marché intérieur, il convient que le présent règlement impose des obligations minimales de sécurité et de responsabilité aux prestataires et à leurs services. À cette fin, il a été tenu compte des résultats des initiatives en cours menées par le secteur, par exemple le «Certification Authorities/Browser Forum ‒ CA/B Forum» (Forum des autorités de certification/navigateurs internet).
En outre, le présent règlement ne devrait pas entraver l’utilisation d’autres moyens ou méthodes permettant d’authentifier un site internet ne relevant pas du présent règlement, ni empêcher des prestataires de services d’ authentification de site internet de pays tiers de fournir leurs services à des clients dans l’Union.
Toutefois, les services d’ authentification de site internet d’un prestataire d’un pays tiers ne devraient être reconnus comme étant qualifiés conformément au présent règlement que si une convention internationale a été conclue entre l’Union et le pays où ce prestataire est établi.

- = -

(74) Pour garantir la sécurité juridique aux opérateurs économiques qui utilisent déjà des certificats qualifiés délivrés à des personnes physiques conformément à la directive 1999/93/CE, il est nécessaire de prévoir un délai suffisant à des fins transitoires.
De même, il convient de prévoir des mesures transitoires pour les dispositifs sécurisés de création de signature dont la conformité a été déterminée conformément à la directive 1999/93/CE, ainsi que pour les prestataires de service de certification qui délivrent des certificats qualifiés avant le 1er juillet 2016.
Enfin, il est également nécessaire de doter la Commission des moyens d’adopter les actes d’exécution et les actes délégués avant cette date.

- = -

keyboard_tab EIDAS 2014/0910 FR

EIDAS 2014/0910 FR