EIDAS 2014/0910 FR

1.	« identification_électronique», le processus consistant à utiliser des données_d’identification_personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale;

2.	«moyen d’ identification_électronique», un élément matériel et/ou immatériel contenant des données_d’identification_personnelle et utilisé pour s’authentifier pour un service en ligne;

3.	« données_d’identification_personnelle», un ensemble de données permettant d’établir l’identité d’une personne physique ou morale, ou d’une personne physique représentant une personne morale;

4.	«schéma d’ identification_électronique», un système pour l’ identification_électronique en vertu duquel des moyens d’ identification_électronique sont délivrés à des personnes physiques ou morales, ou à des personnes physiques représentant des personnes morales;

5.	« authentification», un processus électronique qui permet de confirmer l’ identification_électronique d’une personne physique ou morale, ou l’origine et l’intégrité d’une donnée sous forme électronique;

6.	« partie_utilisatrice», une personne physique ou morale qui se fie à une identification_électronique ou à un service_de_confiance;

« organismes_du_secteur_public», un État, une autorité régionale ou locale, un organisme_de_droit_public ou une association constituée d’une ou de plusieurs de ces autorités ou d’un ou de plusieurs de ces organismes de droit public, ou une entité privée mandatée par au moins un ou une de ces autorités, organismes, ou associations pour fournir des services publics lorsqu’elle agit en vertu de ce mandat;

8.	« organisme_de_droit_public», un organisme au sens de l’article 2, paragraphe 1, point 4), de la directive 2014/24/UE du Parlement européen et du Conseil (15);

9.	« signataire», une personne physique qui crée une signature_électronique;

10.	« signature_électronique», des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer;

11.	« signature_électronique avancée», une signature_électronique qui satisfait aux exigences énoncées à l’article 26:

12.	« signature_électronique qualifiée», une signature_électronique avancée qui est créée à l’aide d’un dispositif de création de signature_électronique qualifié, et qui repose sur un certificat qualifié de signature_électronique;

13.	«données de création de signature_électronique», des données uniques qui sont utilisées par le signataire pour créer une signature_électronique;

14.	«certificat de signature_électronique», une attestation électronique qui associe les données_de_ validation d’une signature_électronique à une personne physique et confirme au moins le nom ou le pseudonyme de cette personne;

15.	«certificat qualifié de signature_électronique», un certificat de signature_électronique, qui est délivré par un prestataire_de_services_de_confiance qualifié et qui satisfait aux exigences fixées à l’annexe I;

16.

« service_de_confiance», un service électronique normalement fourni contre rémunération qui consiste:

a)	en la création, en la vérification et en la validation de signatures électroniques, de cachets électroniques ou d’horodatages électroniques, de services d’envoi recommandé électronique et de certificats relatifs à ces services; ou

b)	en la création, en la vérification et en la validation de certificats pour l’ authentification de site internet; ou

c)	en la conservation de signatures électroniques, de cachets électroniques ou des certificats relatifs à ces services;

17.	« service_de_confiance qualifié», un service_de_confiance qui satisfait aux exigences du présent règlement;

18.

« organisme_d’évaluation_de_la_conformité», un organisme défini à l’article 2, point 13), du règlement (CE) no 765/2008, qui est accrédité conformément audit règlement comme étant compétent pour effectuer l’évaluation de la conformité d’un prestataire_de_services_de_confiance qualifié et des services de confiance qualifiés qu’il fournit;

19.	« prestataire_de_services_de_confiance», une personne physique ou morale qui fournit un ou plusieurs services de confiance, en tant que prestataire_de_services_de_confiance qualifié ou non qualifié;

20.	« prestataire_de_services_de_confiance qualifié», un prestataire_de_services_de_confiance qui fournit un ou plusieurs services de confiance qualifiés et a obtenu de l’organe de contrôle le statut qualifié;

21.	« produit», un dispositif matériel ou logiciel, ou les composants correspondants du dispositif matériel ou logiciel, qui sont destinés à être utilisés pour la fourniture de services de confiance;

22.	«dispositif de création de signature_électronique», un dispositif logiciel ou matériel configuré servant à créer une signature_électronique;

23.	«dispositif de création de signature_électronique qualifié», un dispositif de création de signature_électronique qui satisfait aux exigences énoncées à l’annexe II;

24.	« créateur_de_cachet», une personne morale qui crée un cachet_électronique;

25.	« cachet_électronique», des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique pour garantir l’origine et l’intégrité de ces dernières;

26.	« cachet_électronique avancé», un cachet_électronique qui satisfait aux exigences énoncées à l’article 36;

27.	« cachet_électronique qualifié», un cachet_électronique avancé qui est créé à l’aide d’un dispositif de création de cachet_électronique qualifié et qui repose sur un certificat qualifié de cachet_électronique;

28.	«données de création de cachet_électronique», des données uniques qui sont utilisées par le créateur du cachet_électronique pour créer un cachet_électronique;

29.	«certificat de cachet_électronique», une attestation électronique qui associe les données_de_ validation d’un cachet_électronique à une personne morale et confirme le nom de cette personne;

30.	«certificat qualifié de cachet_électronique», un certificat de cachet_électronique, qui est délivré par un prestataire_de_services_de_confiance qualifié et qui satisfait aux exigences fixées à l’annexe III;

31.	«dispositif de création de cachet_électronique», un dispositif logiciel ou matériel configuré utilisé pour créer un cachet_électronique;

32.	«dispositif de création de cachet_électronique qualifié», un dispositif de création de cachet_électronique qui satisfait mutatis mutandis aux exigences fixées à l’annexe II;

33.	« horodatage_électronique», des données sous forme électronique qui associent d’autres données sous forme électronique à un instant particulier et établissent la preuve que ces dernières données existaient à cet instant;

34.	« horodatage_électronique qualifié», un horodatage_électronique qui satisfait aux exigences fixées à l’article 42;

35.	« document_électronique», tout contenu conservé sous forme électronique, notamment un texte ou un enregistrement sonore, visuel ou audiovisuel;

36.

« service_d’envoi_recommandé_électronique», un service qui permet de transmettre des données entre des tiers par voie électronique, qui fournit des preuves concernant le traitement des données transmises, y compris la preuve de leur envoi et de leur réception, et qui protège les données transmises contre les risques de perte, de vol, d’altération ou de toute modification non autorisée;

37.	« service_d’envoi_recommandé_électronique qualifié», un service_d’envoi_recommandé_électronique qui satisfait aux exigences fixées à l’article 44;

38.	«certificat d’ authentification de site internet«, une attestation qui permet d’authentifier un site internet et associe celui-ci à la personne physique ou morale à laquelle le certificat est délivré;

39.	«certificat qualifié d’ authentification de site internet«, un certificat d’ authentification de site internet, qui est délivré par un prestataire_de_services_de_confiance qualifié et qui satisfait aux exigences fixées à l’annexe IV;

40.	« données_de_ validation», des données qui servent à valider une signature_électronique ou un cachet_électronique;

41.	« validation», le processus de vérification et de confirmation de la validité d’une signature ou d’un cachet_électronique.

Article 13

Responsabilité et charge de la preuve

1. Sans préjudice du paragraphe 2, les prestataires de services de confiance sont responsables des dommages causés intentionnellement ou par négligence à toute personne physique ou morale en raison d’un manquement aux obligations prévues par le présent règlement.

Il incombe à la personne physique ou morale qui invoque les dommages visés au premier alinéa de prouver que le prestataire_de_services_de_confiance non qualifié a agi intentionnellement ou par négligence.

Un prestataire_de_services_de_confiance qualifié est présumé avoir agi intentionnellement ou par négligence, à moins qu’il ne prouve que les dommages visés au premier alinéa ont été causés sans intention ni négligence de sa part.

2. Lorsque les prestataires de services de confiance informent dûment leurs clients au préalable des limites qui existent à l’utilisation des services qu’ils fournissent et que ces limites peuvent être reconnues par des tiers, les prestataires de services de confiance ne peuvent être tenus responsables des dommages découlant de l’utilisation des services au-delà des limites indiquées.

3. Les paragraphes 1 et 2 s’appliquent conformément aux règles nationales en matière de responsabilité.

Article 24

Exigences applicables aux prestataires de services de confiance qualifiés

1. Lorsqu’un prestataire_de_services_de_confiance qualifié délivre un certificat qualifié pour un service_de_confiance, il vérifie, par des moyens appropriés et conformément au droit national, l’identité et, le cas échéant, tous les attributs spécifiques de la personne physique ou morale à laquelle il délivre le certificat qualifié.

Les informations visées au premier alinéa sont vérifiées par le prestataire_de_services_de_confiance qualifié directement ou en en ayant recours à un tiers conformément au droit national:

a)	par la présence en personne de la personne physique ou du représentant autorisé de la personne morale; ou

à distance, à l’aide de moyens d’ identification_électronique pour lesquels, avant la délivrance du certificat qualifié, la personne physique ou un représentant autorisé de la personne morale s’est présenté en personne et qui satisfont aux exigences énoncées à l’article 8 en ce qui concerne les niveaux de garantie substantiel et élevé; ou

c)	au moyen d’un certificat de signature_électronique qualifié ou d’un cachet_électronique qualifié délivré conformément au point a) ou b); ou

d)	à l’aide d’autres méthodes d’identification reconnues au niveau national qui fournissent une garantie équivalente en termes de fiabilité à la présence en personne. La garantie équivalente est confirmée par un organisme_d’évaluation_de_la_conformité.

2. Un prestataire_de_services_de_confiance qualifié qui fournit des services de confiance qualifiés:

a)	informe l’organe de contrôle de toute modification dans la fourniture de ses services de confiance qualifiés et de son intention éventuelle de cesser ces activités;

emploie du personnel et, le cas échéant, des sous-traitants qui possèdent l’expertise, la fiabilité, l’expérience et les qualifications nécessaires, qui ont reçu une formation appropriée en ce qui concerne les règles en matière de sécurité et de protection des données à caractère personnel et appliquent des procédures administratives et de gestion correspondant à des normes européennes ou internationales;

c)	en ce qui concerne le risque de responsabilité pour dommages conformément à l’article 13, maintient des ressources financières suffisantes et/ou contracte une assurance responsabilité appropriée, conformément au droit national;

d)	avant d’établir une relation contractuelle, informe, de manière claire et exhaustive, toute personne désireuse d’utiliser un service_de_confiance qualifié des conditions précises relatives à l’utilisation de ce service, y compris toute limite quant à son utilisation;

e)	utilise des systèmes et des produits fiables qui sont protégés contre les modifications et assure la sécurité technique et la fiabilité des processus qu’ils prennent en charge;

utilise des systèmes fiables pour stocker les données qui lui sont fournies, sous une forme vérifiable de manière que:

i)	les données ne soient publiquement disponibles pour des traitements qu’après avoir obtenu le consentement de la personne concernée par ces données;

ii)	seules des personnes autorisées puissent introduire des données et modifier les données conservées;

iii)	l’authenticité des données puisse être vérifiée;

g)	prend des mesures appropriées contre la falsification et le vol de données;

enregistre et maintient accessibles pour une durée appropriée, y compris après que les activités du prestataire_de_services_de_confiance qualifié ont cessé, toutes les informations pertinentes concernant les données délivrées et reçues par le prestataire_de_services_de_confiance qualifié, aux fins notamment de pouvoir fournir des preuves en justice et aux fins d’assurer la continuité du service. Ces enregistrements peuvent être effectués par voie électronique;

i)	a un plan actualisé d’arrêt d’activité afin d’assurer la continuité du service conformément aux dispositions vérifiées par l’organe de contrôle au titre de l’article 17, paragraphe 4, point i);

j)	assure le traitement licite de données à caractère personnel conformément à la directive 95/46/CE;

k)	au cas où le prestataire_de_services_de_confiance qualifié délivre des certificats qualifiés, établit et tient à jour une base de données relative aux certificats.

3. Lorsqu’un prestataire_de_services_de_confiance qualifié qui délivre des certificats qualifiés décide de révoquer un certificat, il enregistre cette révocation dans sa base de données relative aux certificats et publie le statut de révocation du certificat en temps utile, et en tout état de cause dans les vingt-quatre heures suivant la réception de la demande. Cette révocation devient effective immédiatement dès sa publication.

4. En ce qui concerne le paragraphe 3, les prestataires de services de confiance qualifiés qui délivrent des certificats qualifiés fournissent à toute partie_utilisatrice des informations sur la validité ou le statut de révocation des certificats qualifiés qu’ils ont délivrés. Ces informations sont disponibles, au moins par certificat, à tout moment et au-delà de la période de validité du certificat, sous une forme automatisée qui est fiable, gratuite et efficace.

5. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux systèmes et produits fiables, qui satisfont aux exigences du paragraphe 2, points e) et f), du présent article. Les systèmes et les produits fiables sont présumés satisfaire aux exigences fixées au présent article lorsqu’ils respectent ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

SECTION 4

Signatures électroniques

Article 25

Effets juridiques des signatures électroniques

1. L’effet juridique et la recevabilité d’une signature_électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature_électronique qualifiée.

2. L’effet juridique d’une signature_électronique qualifiée est équivalent à celui d’une signature manuscrite.

3. Une signature_électronique qualifiée qui repose sur un certificat qualifié délivré dans un État membre est reconnue en tant que signature_électronique qualifiée dans tous les autres États membres.

Article 35

Effets juridiques des cachets électroniques

1. L’effet juridique et la recevabilité d’un cachet_électronique comme preuve en justice ne peuvent être refusés au seul motif que ce cachet se présente sous une forme électronique ou qu’il ne satisfait pas aux exigences du cachet_électronique qualifié.

2. Un cachet_électronique qualifié bénéficie d’une présomption d’intégrité des données et d’exactitude de l’origine des données auxquelles le cachet_électronique qualifié est lié.

3. Un cachet_électronique qualifié qui repose sur un certificat qualifié délivré dans un État membre est reconnu en tant que cachet_électronique qualifié dans tous les autres États membres.

Article 41

Effet juridique des horodatages électroniques

1. L’effet juridique et la recevabilité d’un horodatage_électronique comme preuve en justice ne peuvent être refusés au seul motif que cet horodatage se présente sous une forme électronique ou qu’il ne satisfait pas aux exigences de l’ horodatage_électronique qualifié.

2. Un horodatage_électronique qualifié bénéficie d’une présomption d’exactitude de la date et de l’heure qu’il indique et d’intégrité des données auxquelles se rapportent cette date et cette heure.

3. Un horodatage_électronique qualifié délivré dans un État membre est reconnu en tant qu’ horodatage_électronique qualifié dans tous les États membres.

Article 43

Effet juridique d’un service_d’envoi_recommandé_électronique

1. L’effet juridique et la recevabilité des données envoyées et reçues à l’aide d’un service_d’envoi_recommandé_électronique comme preuves en justice ne peuvent être refusés au seul motif que ce service se présente sous une forme électronique ou qu’il ne satisfait pas aux exigences du service_d’envoi_recommandé_électronique qualifié.

2. Les données envoyées et reçues au moyen d’un service_d’envoi_recommandé_électronique qualifié bénéficient d’une présomption quant à l’intégrité des données, à l’envoi de ces données par l’expéditeur identifié et à leur réception par le destinataire identifié, et à l’exactitude de la date et de l’heure de l’envoi et de la réception indiquées par le service_d’envoi_recommandé_électronique qualifié.

Article 46

Effets juridiques des documents électroniques

L’effet juridique et la recevabilité d’un document_électronique comme preuve en justice ne peuvent être refusés au seul motif que ce document se présente sous une forme électronique.

CHAPITRE V

DÉLÉGATIONS DE POUVOIR ET DISPOSITIONS D’EXÉCUTION

whereas

(16) Les niveaux de garantie devraient caractériser le niveau de fiabilité d’un moyen d’ identification_électronique pour établir l’identité d’une personne, garantissant ainsi que la personne revendiquant une identité particulière est bien la personne à laquelle cette identité a été attribuée.
Le niveau de garantie dépend du niveau de fiabilité que le moyen d’ identification_électronique accorde à l’identité revendiquée ou prétendue d’une personne en tenant compte des processus (par exemple, preuve et vérification d’identité, et authentification), des activités de gestion (par exemple, l’entité délivrant les moyens d’identification et la procédure de délivrance de ces moyens) et contrôles techniques mis en œuvres.
Il existe diverses définitions techniques et des descriptions des niveaux de garantie à la suite de projets pilotes à grande échelle financés au niveau de l’Union, d’activités internationales et de normalisation.
En particulier, le projet pilote à grande échelle STORK et la norme ISO 29115 mentionnent, entre autres, les niveaux 2, 3 et 4 qui devraient être pris scrupuleusement en compte pour établir les exigences techniques, les normes et les procédures minimales pour les niveaux de garantie faible, substantiel et élevé au sens du présent règlement, tout en garantissant une application cohérente du présent règlement, en particulier en ce qui concerne le niveau élevé de garantie pour la preuve de l’identité en vue de la délivrance de certificats qualifiés.
Les exigences établies devraient être neutres du point de vue de la technologie.
Il devrait être possible de répondre aux exigences de sécurité au moyen de différentes technologies.

- = -

(18) Le présent règlement devrait prévoir la responsabilité de l’État membre notifiant, de la partie qui délivre le moyen d’ identification_électronique et de la partie qui gère la procédure d’ authentification en cas de manquement aux obligations pertinentes au titre du présent règlement.
Le présent règlement devrait cependant s’appliquer conformément aux dispositions nationales en matière de responsabilité.
Il n’affecte donc pas ces règles nationales, par exemple, celles relatives à la définition des dommages ou aux règles procédurales applicables en la matière, y compris à la charge de la preuve.

- = -

(22) Afin de contribuer à l’utilisation transfrontalière généralisée des services de confiance, il devrait être possible de les utiliser comme moyen de preuve en justice dans tous les États membres.
Il appartient au droit national de préciser les effets juridiques des services de confiance, sauf disposition contraire dans le présent règlement.

- = -

keyboard_tab EIDAS 2014/0910 FR

EIDAS 2014/0910 FR