EIDAS 2014/0910 FR

2. Sans préjudice de l’effet juridique donné aux pseudonymes au titre du droit national, l’utilisation de pseudonymes dans les transactions électroniques n’est pas interdite.

CHAPITRE II

IDENTIFICATION ÉLECTRONIQUE

Article 12

Coopération et interopérabilité

1. Les schémas nationaux d’ identification_électronique notifiés en vertu de l’article 9, paragraphe 1, sont interopérables.

2. Aux fins du paragraphe 1, un cadre d’interopérabilité est établi.

3. Le cadre d’interopérabilité satisfait aux critères suivants:

a)	il vise à être neutre du point de vue technologique et n’opère pas de discrimination entre l’une ou l’autre des solutions techniques nationales particulières destinées à l’ identification_électronique au sein d’un État membre;

b)	il suit les normes européennes et internationales, dans la mesure du possible;

c)	il facilite la mise en œuvre du principe du respect de la vie privée dès la conception; et

d)	il garantit que les données à caractère personnel sont traitées conformément à la directive 95/46/CE.

4. Le cadre d’interopérabilité est composé:

a)	d’une référence aux exigences techniques minimales liées aux niveaux de garantie prévus à l’article 8;

b)	d’une table de correspondance entre les niveaux de garantie nationaux des schémas d’ identification_électronique notifiés et les niveaux de garantie au titre de l’article 8;

c)	d’une référence aux exigences techniques minimales en matière d’interopérabilité;

d)	d’une référence à un ensemble minimal de données_d’identification_personnelle représentant de manière univoque une personne physique ou morale, qui est disponible dans les schémas d’ identification_électronique;

e)	de règles de procédure;

f)	de dispositions pour le règlement des litiges; et

g)	de normes opérationnelles communes de sécurité.

5. Les États membres coopèrent en ce qui concerne:

a)	l’interopérabilité des schémas d’ identification_électronique notifiés en application de l’article 9, paragraphe 1, et des schémas d’ identification_électronique que les États membres entendent notifier; et

b)	la sécurité des schémas d’ identification_électronique.

6. La coopération entre les États membres consiste:

a)	en un échange d’informations, d’expériences et de bonnes pratiques en ce qui concerne les schémas d’ identification_électronique, notamment les exigences techniques liées à l’interopérabilité et aux niveaux de garantie;

b)	en un échange d’informations, d’expériences et de bonnes pratiques en ce qui concerne l’utilisation des niveaux de garantie des schémas d’ identification_électronique prévus à l’article 8;

c)	en une évaluation par les pairs des schémas d’ identification_électronique relevant du présent règlement; et

d)	en un examen des évolutions pertinentes dans le secteur de l’ identification_électronique.

7. Au plus tard le 18 mars 2015, la Commission fixe, au moyen d’actes d’exécution, les modalités de procédure nécessaires pour faciliter la coopération entre les États membres visée aux paragraphes 5 et 6, en vue de favoriser un niveau élevé de confiance et de sécurité approprié au degré de risque.

8. Au plus tard le 18 septembre 2015, aux fins de fixer des conditions uniformes d’exécution de l’obligation prévue au paragraphe 1, la Commission adopte, sous réserve des critères énoncés au paragraphe 3 et compte tenu des résultats de la coopération entre les États membres, des actes d’exécution sur le cadre d’interopérabilité énoncé au paragraphe 4.

9. Les actes d’exécution visés aux paragraphes 7 et 8 du présent article sont adoptés en conformité avec la procédure d’examen visés à l’article 48, paragraphe 2.

CHAPITRE III

SERVICES DE CONFIANCE

section 1

Dispositions générales

Article 16

Sanctions

Les États membres fixent le régime des sanctions applicables aux violations du présent règlement. Les sanctions prévues sont effectives, proportionnées et dissuasives.

section 2

Contrôle

Article 19

Exigences de sécurité applicables aux prestataires de services de confiance

1. Les prestataires de services de confiance qualifiés et non qualifiés prennent les mesures techniques et organisationnelles adéquates pour gérer les risques liés à la sécurité des services de confiance qu’ils fournissent. Compte tenu des évolutions technologiques les plus récentes, ces mesures garantissent que le niveau de sécurité est proportionné au degré de risque. Des mesures sont notamment prises en vue de prévenir et de limiter les conséquences d’incidents liés à la sécurité et d’informer les parties concernées des effets préjudiciables de tels incidents.

2. Les prestataires de services de confiance qualifiés et non qualifiés notifient, dans les meilleurs délais et en tout état de cause dans un délai de vingt-quatre heures après en avoir eu connaissance, à l’organe de contrôle et, le cas échéant, à d’autres organismes concernés, tels que l’organisme national compétent en matière de sécurité de l’information ou l’autorité chargée de la protection des données, toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence importante sur le service_de_confiance fourni ou sur les données à caractère personnel qui y sont conservées.

Lorsque l’atteinte à la sécurité ou la perte d’intégrité est susceptible de porter préjudice à une personne physique ou morale à laquelle le service_de_confiance a été fourni, le prestataire_de_services_de_confiance notifie aussi, dans les meilleurs délais, à la personne physique ou morale l’atteinte à la sécurité ou la perte d’intégrité.

Le cas échéant, notamment lorsqu’une atteinte à la sécurité ou une perte d’intégrité concerne deux États membres ou plus, l’organe de contrôle notifié informe les organes de contrôle des autres États membres concernés ainsi que l'ENISA.

L’organe de contrôle notifié informe le public ou exige du prestataire_de_services_de_confiance qu’il le fasse, dès lors qu’il constate qu’il est dans l’intérêt public de divulguer l’atteinte à la sécurité ou la perte d’intégrité.

3. Une fois par an, l’organe de contrôle fournit à l'ENISA un résumé des notifications d’atteinte à la sécurité et de perte d’intégrité reçues de prestataires de services de confiance.

4. La Commission peut, au moyen d’actes d’exécution:

a)	préciser davantage les mesures visées au paragraphe 1; et

b)	définir les formats et procédures, y compris les délais, applicables aux fins du paragraphe 2.

Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

section 3

Services de confiance qualifiés

Article 24

Exigences applicables aux prestataires de services de confiance qualifiés

1. Lorsqu’un prestataire_de_services_de_confiance qualifié délivre un certificat qualifié pour un service_de_confiance, il vérifie, par des moyens appropriés et conformément au droit national, l’identité et, le cas échéant, tous les attributs spécifiques de la personne physique ou morale à laquelle il délivre le certificat qualifié.

Les informations visées au premier alinéa sont vérifiées par le prestataire_de_services_de_confiance qualifié directement ou en en ayant recours à un tiers conformément au droit national:

a)	par la présence en personne de la personne physique ou du représentant autorisé de la personne morale; ou

à distance, à l’aide de moyens d’ identification_électronique pour lesquels, avant la délivrance du certificat qualifié, la personne physique ou un représentant autorisé de la personne morale s’est présenté en personne et qui satisfont aux exigences énoncées à l’article 8 en ce qui concerne les niveaux de garantie substantiel et élevé; ou

c)	au moyen d’un certificat de signature_électronique qualifié ou d’un cachet_électronique qualifié délivré conformément au point a) ou b); ou

d)	à l’aide d’autres méthodes d’identification reconnues au niveau national qui fournissent une garantie équivalente en termes de fiabilité à la présence en personne. La garantie équivalente est confirmée par un organisme_d’évaluation_de_la_conformité.

2. Un prestataire_de_services_de_confiance qualifié qui fournit des services de confiance qualifiés:

a)	informe l’organe de contrôle de toute modification dans la fourniture de ses services de confiance qualifiés et de son intention éventuelle de cesser ces activités;

emploie du personnel et, le cas échéant, des sous-traitants qui possèdent l’expertise, la fiabilité, l’expérience et les qualifications nécessaires, qui ont reçu une formation appropriée en ce qui concerne les règles en matière de sécurité et de protection des données à caractère personnel et appliquent des procédures administratives et de gestion correspondant à des normes européennes ou internationales;

c)	en ce qui concerne le risque de responsabilité pour dommages conformément à l’article 13, maintient des ressources financières suffisantes et/ou contracte une assurance responsabilité appropriée, conformément au droit national;

d)	avant d’établir une relation contractuelle, informe, de manière claire et exhaustive, toute personne désireuse d’utiliser un service_de_confiance qualifié des conditions précises relatives à l’utilisation de ce service, y compris toute limite quant à son utilisation;

e)	utilise des systèmes et des produits fiables qui sont protégés contre les modifications et assure la sécurité technique et la fiabilité des processus qu’ils prennent en charge;

utilise des systèmes fiables pour stocker les données qui lui sont fournies, sous une forme vérifiable de manière que:

i)	les données ne soient publiquement disponibles pour des traitements qu’après avoir obtenu le consentement de la personne concernée par ces données;

ii)	seules des personnes autorisées puissent introduire des données et modifier les données conservées;

iii)	l’authenticité des données puisse être vérifiée;

g)	prend des mesures appropriées contre la falsification et le vol de données;

enregistre et maintient accessibles pour une durée appropriée, y compris après que les activités du prestataire_de_services_de_confiance qualifié ont cessé, toutes les informations pertinentes concernant les données délivrées et reçues par le prestataire_de_services_de_confiance qualifié, aux fins notamment de pouvoir fournir des preuves en justice et aux fins d’assurer la continuité du service. Ces enregistrements peuvent être effectués par voie électronique;

i)	a un plan actualisé d’arrêt d’activité afin d’assurer la continuité du service conformément aux dispositions vérifiées par l’organe de contrôle au titre de l’article 17, paragraphe 4, point i);

j)	assure le traitement licite de données à caractère personnel conformément à la directive 95/46/CE;

k)	au cas où le prestataire_de_services_de_confiance qualifié délivre des certificats qualifiés, établit et tient à jour une base de données relative aux certificats.

3. Lorsqu’un prestataire_de_services_de_confiance qualifié qui délivre des certificats qualifiés décide de révoquer un certificat, il enregistre cette révocation dans sa base de données relative aux certificats et publie le statut de révocation du certificat en temps utile, et en tout état de cause dans les vingt-quatre heures suivant la réception de la demande. Cette révocation devient effective immédiatement dès sa publication.

4. En ce qui concerne le paragraphe 3, les prestataires de services de confiance qualifiés qui délivrent des certificats qualifiés fournissent à toute partie_utilisatrice des informations sur la validité ou le statut de révocation des certificats qualifiés qu’ils ont délivrés. Ces informations sont disponibles, au moins par certificat, à tout moment et au-delà de la période de validité du certificat, sous une forme automatisée qui est fiable, gratuite et efficace.

5. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux systèmes et produits fiables, qui satisfont aux exigences du paragraphe 2, points e) et f), du présent article. Les systèmes et les produits fiables sont présumés satisfaire aux exigences fixées au présent article lorsqu’ils respectent ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

section 4

Signatures électroniques

Article 34

Service de conservation qualifié des signatures électroniques qualifiées

1. Un service de conservation qualifié des signatures électroniques qualifiées ne peut être fourni que par un prestataire_de_services_de_confiance qualifié qui utilise des procédures et des technologies permettant d’étendre la fiabilité des signatures électroniques qualifiées au-delà de la période de validité technologique.

2. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables au service de conservation qualifié des signatures électroniques qualifiées. Le service de conservation qualifié des signatures électroniques qualifiées est présumé satisfaire aux exigences fixées au paragraphe 1 lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

section 5

Cachets électroniques

Article 40

Validation et conservation des cachets électroniques qualifiés

Les articles 32, 33 et 34 s’appliquent mutatis mutandis à la validation et à la conservation des cachets électroniques qualifiés.

section 6

Horodatage électronique

Article 42

Exigences applicables aux horodatages électroniques qualifiés

1. Un horodatage_électronique qualifié satisfait aux exigences suivantes:

a)	il lie la date et l’heure aux données de manière à raisonnablement exclure la possibilité de modification indétectable des données;

b)	il est fondé sur une horloge exacte liée au temps universel coordonné; et

c)	il est signé au moyen d’une signature_électronique avancée ou cacheté au moyen d’un cachet_électronique avancé du prestataire_de_services_de_confiance qualifié, ou par une méthode équivalente.

2. La Commission peut, au moyen d’actes d’exécution, établir les numéros de référence des normes en ce qui concerne l’établissement du lien entre la date et l’heure et les données, et les horloges exactes. L’établissement du lien entre la date et l’heure et les données et les horloges exactes sont présumés satisfaire aux exigences fixées au paragraphe 1 lorsqu’ils respectent ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

section 7

Services d’envoi recommandé électronique

Article 44

Exigences applicables aux services d’envoi recommandé électronique qualifiés

1. Les services d’envoi recommandé électronique qualifiés satisfont aux exigences suivantes:

a)	ils sont fournis par un ou plusieurs prestataires de services de confiance qualifiés;

b)	ils garantissent l’identification de l’expéditeur avec un degré de confiance élevé;

c)	ils garantissent l’identification du destinataire avant la fourniture des données;

d)	l’envoi et la réception de données sont sécurisés par une signature_électronique avancée ou par un cachet_électronique avancé d’un prestataire_de_services_de_confiance qualifié, de manière à exclure toute possibilité de modification indétectable des données;

e)	toute modification des données nécessaire pour l’envoi ou la réception de celles-ci est clairement signalée à l’expéditeur et au destinataire des données;

f)	la date et l’heure d’envoi, de réception et toute modification des données sont indiquées par un horodatage_électronique qualifié.

Dans le cas où les données sont transférées entre deux prestataires de services de confiance qualifiés ou plus, les exigences fixées aux points a) à f) s’appliquent à tous les prestataires de services de confiance qualifiés.

2. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux processus d’envoi et de réception de données. Le processus d’envoi et de réception de données est présumé satisfaire aux exigences fixées au paragraphe 1 lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

section 8

Authentification de site internet

Article 45

Exigences applicables aux certificats qualifiés d’ authentification de site internet

1. Les certificats qualifiés d’ authentification de site internet satisfont aux exigences fixées à l’annexe IV.

2. La Commission peut, au moyen d’actes d’exécution, déterminer les numéros de référence des normes applicables aux certificats qualifiés d’ authentification de site internet. Un certificat qualifié d’ authentification de site internet est présumé satisfaire aux exigences fixées à l’annexe IV lorsqu’il respecte ces normes. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.

CHAPITRE IV

DOCUMENTS ÉLECTRONIQUES

Article 46

Effets juridiques des documents électroniques

L’effet juridique et la recevabilité d’un document_électronique comme preuve en justice ne peuvent être refusés au seul motif que ce document se présente sous une forme électronique.

CHAPITRE V

DÉLÉGATIONS DE POUVOIR ET DISPOSITIONS D’EXÉCUTION

Article 48

Comité

1. La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) no 182/2011.

2. Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) no 182/2011 s’applique.

CHAPITRE VI

DISPOSITIONS FINALES

whereas

keyboard_tab EIDAS 2014/0910 FR

EIDAS 2014/0910 FR