FR EN

ACTUALITE

News, dossiers, interviews, évènements... Découvrez toute l'actualité la Fédération des Tiers de Confiance Numérique.

Le texte final du règlement eIDAS 3 avril 2014.

Lien du parlement européen : http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0282+0+DOC+XML+V0//FR&language=FR

Procédure : 2012/0146(COD)
Cycle de vie en séance
Cycle relatif au document : A7-0365/2013

Textes déposés :

A7-0365/2013

Débats :

PV 02/04/2014 - 16
CRE 02/04/2014 - 16

Votes :

PV 03/04/2014 - 7.6

Textes adoptés :

P7_TA(2014)0282

Textes adoptés  
Jeudi 3 avril 2014 - Bruxelles Edition provisoire
Identification électronique et services de confiance pour les transactions électroniques au sein du marché intérieur ***I
P7_TA-PROV(2014)0282 A7-0365/2013
Résolution
  Texte consolidé
  Annexe
  Annexe
  Annexe
  Annexe

Résolution législative du Parlement européen du 3 avril 2014 sur la proposition de règlement du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (COM(2012)0238 – C7-0133/2012 – 2012/0146(COD)) (Procédure législative ordinaire: première lecture)

Le Parlement européen ,

–  vu la proposition de la Commission au Parlement européen et au Conseil (COM(2012)0238),

–  vu l'article 294, paragraphe 2, et l'article 114 du traité sur le fonctionnement de l'Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C7-0133/2012),

–  vu l'article 294, paragraphe 3, du traité sur le fonctionnement de l'Union européenne,

–  vu l'avis du Comité économique et social européen du 18 septembre 2012(1) ,

–  vu l'engagement pris par le représentant du Conseil, par lettre du 28 février 2014, d'approuver la position du Parlement européen, conformément à l'article 294, paragraphe 4, du traité sur le fonctionnement de l'Union européenne,

–  vu l'article 55 de son règlement,

–  vu le rapport de la commission de l'industrie, de la recherche et de l'énergie ainsi que les avis de la commission du marché intérieur et de la protection des consommateurs, de la commission des affaires juridiques et de la commission des libertés civiles, de la justice et des affaires intérieures (A7-0365/2013),

1.  arrête la position en première lecture figurant ci-après;

2.  demande à la Commission de le saisir à nouveau, si elle entend modifier de manière substantielle sa proposition ou la remplacer par un autre texte;

3.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu'aux parlements nationaux.

(1) JO C 351 du 15.11.2012, p. 73.

Position du Parlement européen arrêtée en première lecture le 3 avril 2014 en vue de l'adoption du règlement (UE) n° .../2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (1)
?
P7_TC1-COD(2012)0146

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 114,

vu la proposition de la Commission européenne,

après transmission du projet d'acte législatif aux parlements nationaux,

vu l'avis du Comité économique et social européen(2) ,

après consultation du contrôleur européen de la protection des données(3) ,

statuant conformément à la procédure législative ordinaire(4) ,

considérant ce qui suit:

(1)  Instaurer un climat de confiance dans l'environnement en ligne est essentiel au développement économique et social . En effet, si les consommateurs, les entreprises et les administrations n'ont pas confiance, notamment en raison d'un sentiment d'insécurité juridique, ils hésiteront à effectuer des transactions par voie électronique et à adopter de nouveaux services.

(2)  Le présent règlement vise à susciter une confiance accrue dans les transactions électroniques au sein du marché intérieur en fournissant un socle commun pour des interactions électroniques ? sûres entre les entreprises, les particuliers et les pouvoirs publics et en accroissant ainsi l'efficacité des services en ligne publics et privés, ainsi que de l'activité économique et du commerce électroniques dans l'Union.

(3)  La directive 1999/93/CE du Parlement européen et du Conseil(5) couvrait essentiellement les signatures électroniques sans fournir de cadre transnational et intersectoriel complet pour des transactions électroniques sûres, fiables et aisées. Le présent règlement renforce et développe l'acquis que représente la directive.

(4)  Dans sa communication du 26 août 2010 intitulée «Une stratégie numérique pour l'Europe ? , la Commission a désigné la fragmentation du marché du numérique, le manque d'interopérabilité et l'augmentation de la cybercriminalité comme les principaux obstacles au cercle vertueux de l'économie numérique. Dans son rapport 2010 sur la citoyenneté de l'Union , intitulé «Lever les obstacles à l'exercice des droits des citoyens de l'Union…, la Commission a également souligné la nécessité de résoudre les principaux problèmes empêchant les citoyens européens de profiter des avantages d'un marché unique du numérique et des services numériques transfrontaliers ? .

(5)  Dans ses conclusions du 4 février 2011 et du 23 octobre 2011, le Conseil européen a invité la Commission à créer un marché unique du numérique d'ici 2015 ? , à progresser rapidement dans les domaines clés de l'économie numérique et à favoriser la mise en place d'un marché unique numérique pleinement intégré ? en facilitant l'utilisation transnationale des services en ligne et, en particulier, l'identification et l'authentification électroniques sécurisées.

(6)  Le Conseil a invité la Commission à contribuer à la mise en place du marché unique du numérique en créant les conditions propices à la reconnaissance mutuelle, entre les pays, d'outils clés tels que l'identification électronique, les documents électroniques, les signatures électroniques et les services de fourniture électronique, ainsi qu'à la mise au point de services interopérables d'administration en ligne dans toute l'Union européenne(6) .

(7)  Le Parlement européen a souligné l'importance de la sécurité des services électroniques, en particulier des signatures électroniques, et la nécessité de créer une infrastructure à clé publique au niveau paneuropéen, et il a invité la Commission à mettre en place un point d'accès pour les autorités européennes de validation afin d'assurer l'interopérabilité transnationale des signatures électroniques et d'accroître la sécurité des transactions réalisées au moyen de l'internet(7) .

(8)  La directive 2006/123/CE du Parlement européen et du Conseil?(8) exige des États membres qu'ils créent des guichets uniques pour que toutes les procédures et formalités relatives à l'accès à une activité de service et à son exercice puissent être effectuées facilement, à distance et par voie électronique, par l'intermédiaire du guichet unique concerné, auprès des autorités compétentes. Or, de nombreux services en ligne accessibles par guichet unique exigent une identification, une authentification et une signature électroniques.

(9)  Dans la plupart des cas, les citoyens ne peuvent pas utiliser leur identification électronique pour s'authentifier dans un autre État membre parce que les systèmes nationaux d'identification électronique de leur pays ne sont pas reconnus ? dans d'autres États membres. Cet obstacle numérique empêche les prestataires de services de tirer tous les bénéfices du marché intérieur. La reconnaissance ? mutuelle des moyens d'identification électronique facilitera la fourniture transnationale de nombreux services dans le marché intérieur et permettra aux entreprises d'étendre leurs activités à l'étranger sans rencontrer beaucoup d'obstacles dans leurs relations avec les pouvoirs publics.

(10)  La directive 2011/24/UE du Parlement européen et du Conseil ?(9) instaure un réseau d'autorités nationales chargées de la santé en ligne. Pour assurer la sécurité et la continuité des soins de santé transnationaux, ce réseau est tenu d'établir des orientations concernant l'accès transnational aux données et services électroniques de santé, y compris en soutenant des « mesures communes d'identification et d'authentification, afin de faciliter la transférabilité des données dans le cadre de soins de santé transfrontaliers…. La reconnaissance ? mutuelle de l'identification et de l'authentification électroniques est essentielle pour que les soins de santé transnationaux deviennent une réalité pour les Européens. Lorsque ces derniers doivent se déplacer pour subir un traitement, il faut que leur dossier médical soit accessible dans le pays où les soins sont dispensés, ce qui exige un cadre solide, sûr et fiable en matière d'identification électronique.

(11)  Le présent règlement devrait être appliqué dans le respect total des principes relatifs à la protection des données à caractère personnel énoncés dans la directive 95/46/CE du Parlement européen et du Conseil (10) . À cet égard, lorsqu'il s'agit du principe de la reconnaissance mutuelle établi par le présent règlement, l'authentification pour un service en ligne ne devrait concerner que le traitement des données d'identification qui sont adéquates, pertinentes et non excessives afin de permettre l'accès audit service en ligne. Par ailleurs, il y a lieu que les prestataires de services de confiance et l'organe de contrôle satisfassent aux exigences de confidentialité et de sécurité des traitements imposées par la directive 95/46/CE.

(12)  Un des objectifs du présent règlement est de lever les obstacles existants à l'utilisation transnationale des moyens d'identification électronique employés dans les États membres à des fins d'authentification au moins pour les services publics. Le présent règlement ne vise pas à influer sur les systèmes de gestion de l'identité électronique et les infrastructures associées établis dans les États membres. Il a pour but de faire en sorte que, concernant l'accès aux services en ligne transnationaux proposés par les États membres, il soit possible de sécuriser l'identification et l'authentification électroniques.

(13)  Les États membres devraient rester libres, aux fins de l'identification électronique, d'utiliser ou d'introduire des moyens d'accès aux services en ligne. Ils devraient également pouvoir décider d'impliquer ou non le secteur privé dans la fourniture de ces moyens. Les États membres ne devraient pas être tenus de notifier leurs systèmes d'identification électronique. Il appartient aux États membres de choisir de notifier la totalité ou une partie, ou de ne notifier aucun des systèmes d'identification électronique utilisés au niveau national pour accéder, au moins, aux services publics en ligne ou à des services précis.

(14)  Il faut fixer dans le règlement certaines conditions, en ce qui concerne les moyens d'identification électronique qui doivent être reconnus et la façon dont les systèmes devraient être notifiés. Ces conditions devraient permettre aux États membres de susciter la confiance nécessaire dans leurs systèmes d'identification électronique respectifs et faciliter la reconnaissance ?mutuelle des moyens d'identification électronique relevant de leurs systèmes notifiés. Le principe de la reconnaissance ? mutuelle devrait s'appliquer si le système d'identification électronique de l'État membre notifiant remplit les conditions de notification et si la notification a été publiée au Journal officiel de l'Union européenne. Toutefois, le principe de la reconnaissance mutuelle ne devrait concerner que l'authentification d'un service en ligne . L 'accès à ces services en ligne et leur fourniture finale au demandeur devraient être étroitement liés au droit de recevoir de tels services dans les conditions fixées par la législation nationale.

(15)  L'obligation de reconnaître des moyens d'identification électronique se rapporte uniquement aux moyens dont le niveau de garantie de l'identité correspond à un niveau égal ou supérieur au niveau requis pour le service en ligne en question. En outre, l'obligation ne devrait s'appliquer que lorsque l'organisme du secteur public en question utilise le niveau de garantie «substantiel… ou «élevé… en rapport avec l'accès audit service en ligne. Les États membres devraient demeurer libres, conformément au droit de l'Union, de reconnaître des moyens d'identification électronique possédant un niveau inférieur de garantie de l'identité.

(16)  Les niveaux de garantie devraient caractériser le niveau de fiabilité d'un moyen d'authentification électronique pour établir l'identité d'une personne, garantissant ainsi que la personne revendiquant une identité particulière est bien la personne à laquelle cette identité a été attribuée. Le type de niveau de garantie dépend du niveau de fiabilité que le moyen d'identification électronique accorde à l'identité revendiquée ou prétendue d'une personne en tenant compte des processus (par exemple, contrôle et vérification d'identité, authentification), des activités de gestion (par exemple, entité délivrant les moyens d'identification, procédure de délivrance de ces moyens) et contrôles techniques mis en œuvres. Il existe diverses définitions techniques et une description des niveaux de garantie à la suite des projets pilotes à grande échelle financés au niveau européen, des activités internationales et de normalisation. En particulier, le projet pilote à grande échelle STORK et ISO 29115 mentionnent entre autres les niveaux 2, 3 et 4 qui devraient être pris scrupuleusement en compte pour établir les exigences techniques, les normes et les procédures minimales pour les niveaux de garantie faible, important et élevé au sens du présent règlement, tout en garantissant une application cohérente du présent règlement en particulier en ce qui concerne le niveau élevé de garantie pour le contrôle de l'identité en vue de la délivrance de certificats qualifiés. Les exigences établies devraient être neutres du point de vue de la technologie. Il devrait être possible de répondre aux exigences de sécurité au moyen de différentes technologies.

(17)  Les États membres devraient encourager le secteur privé à utiliser sur une base volontaire , aux fins de l'identification exigée par des services en ligne ou des transactions électroniques, les moyens d'identification électronique relevant d'un système notifié. La possibilité d'utiliser de tels moyens d'identification électronique permettrait au secteur privé de s'appuyer sur des fonctions d'identification et d'authentification électroniques déjà largement utilisées dans de nombreux États membres, au moins pour les services publics, et de faciliter l'accès des entreprises et des particuliers à leurs services en ligne transnationaux. Afin de faciliter l'utilisation transnationale de tels moyens d'identification électronique par le secteur privé, la possibilité d'authentification prévue par un État membre devrait être offerte aux parties utilisatrices du secteur privé établies en dehors du territoire de cet État membre aux mêmes conditions que celles qui sont appliquées aux parties utilisatrices du secteur privé établies sur le territoire dudit État membre. Dès lors, en ce qui concerne les parties utilisatrices du secteur privé, l'État membre notifiant peut définir des conditions d'accès aux moyens d'authentification. Ces conditions d'accès peuvent indiquer si le moyen d'authentification relatif au système notifié est actuellement accessible aux parties utilisatrices du secteur privé .

(18)  Le présent règlement prévoit la responsabilité de l'État membre notifiant, de la partie qui délivre le moyen d'identification électronique et de la partie qui gère la procédure d'authentification en raison d'un manquement aux obligations pertinentes au titre du présent règlement. Il devrait cependant s'appliquer conformément aux dispositions nationales en matière de responsabilité. Il n'affecte donc pas ces règles, par exemple, celles relatives à la définition des dommages ou aux règles procédurales applicables en la matière, y compris les règles relatives à la charge de la preuve.

(19)  La sécurité des systèmes d'identification électronique est capitale pour assurer la fiabilité de la reconnaissance mutuelle transnationale des moyens d'identification électronique. À cet égard , les États membres devraient coopérer pour ce qui est de la sécurité et de l'interopérabilité des systèmes d'identification électronique au niveau de l'Union. Chaque fois qu'un système d'identification électronique peut exiger des parties utilisatrices qu'elles utilisent un matériel ou un logiciel particulier au niveau national, l'interopérabilité transnationale requiert que les États membres n'imposent pas cette exigence et les coûts qui y sont associés aux parties utilisatrices établies en dehors de leur territoire. Dans ce cas, il y a lieu d'envisager et d'élaborer des solutions appropriées dans les limites du cadre d'interopérabilité. En revanche, il est inévitable de poser des exigences techniques découlant des spécifications inhérentes aux moyens nationaux d'identification électronique et susceptibles d'affecter les détenteurs de tels moyens électroniques (les cartes à puce, par exemple).

(20)  La coopération des États membres devrait contribuer à l'interopérabilité technique des systèmes d'identification électronique notifiés en vue de garantir un niveau élevé de confiance et de sécurité, adapté au degré de risque. L'échange d'informations et des bonnes pratiques entre les États membres en vue de la reconnaissance mutuelle de ces systèmes devrait faciliter une telle coopération.

(21)  Le présent règlement devrait aussi instaurer un cadre juridique général concernant l'utilisation des services de confiance électroniques. Toutefois, il ne devrait pas imposer d'obligation générale d'y recourir ou d'installer un point d'accès pour tous les services de confiance électroniques existants . En particulier, il ne devrait pas couvrir la fourniture de services utilisés exclusivement dans des systèmes fermés entre un ensemble défini de participants et qui n'ont pas d'effets sur les tiers. Par exemple, les systèmes institués par des entreprises ou des administrations publiques pour gérer les procédures internes et utilisant des services de confiance ne devraient pas être soumis aux exigences du présent règlement. Seuls les services de confiance fournis au public ayant des effets sur les tiers devraient remplir les exigences énoncées dans le présent règlement. Le présent règlement ne devrait pas couvrir non plus les aspects relatifs à la conclusion et à la validité des contrats ou autres obligations juridiques lorsque des exigences d'ordre formel sont posées par le droit national ou de l'Union. Il ne devrait pas non plus porter atteinte à des exigences d'ordre formel imposées au niveau national aux registres publics, notamment les registres du commerce et les registres fonciers.

(22)  Afin de contribuer à l'utilisation transnationale généralisée des services de confiance électroniques, il devrait être possible de les utiliser comme preuve en justice dans tous les États membres. Il appartient au droit national de préciser les effets de droit des services de confiance, sauf disposition contraire dans le présent règlement.

(23)  Dans la mesure où le présent règlement rend obligatoire la reconnaissance d'un service de confiance, celle-ci ne peut être refusée que si le destinataire est incapable de le lire ou de le vérifier pour des raisons techniques qui échappent au contrôle immédiat du destinataire. Toutefois, cette obligation de reconnaissance ne devrait pas imposer, par elle-même, à un organisme public qu'il se dote du matériel ou du logiciel nécessaire afin d'assurer la lisibilité technique de tous les services de confiance existants.

(24)  Les États membres peuvent conserver ou instaurer des dispositions nationales, conformes au droit de l'Union, ayant trait aux services de confiance, pour autant que ces services ne soient pas complètement harmonisés par le présent règlement. Cependant, les services de confiance qui sont conformes au présent règlement devraient pouvoir circuler librement au sein du marché intérieur.

(25)  Les États membres devraient rester libres de définir d'autres types de services de confiance, outre ceux qui figurent sur la liste fermée des services de confiance prévus par le présent règlement, aux fins de leur reconnaissance au niveau national comme des services de confiance qualifiés.

(26)  Vu la rapidité de l'évolution technologique, le présent règlement devrait consacrer une approche qui soit ouverte aux innovations.

(27)  Le présent règlement devrait être neutre du point de vue de la technologie. Les effets de droit qu'il confère devraient pouvoir être obtenus par tout moyen technique, pour autant que les exigences posées par le présent règlement soient satisfaites.

(28)  Pour accroître en particulier la confiance des petites ou moyennes entreprises (PME) et des consommateurs dans le marché intérieur et pour promouvoir l'utilisation des services et produits de confiance, les notions de service de confiance qualifié et de prestataire de services de confiance qualifié devraient être introduites en vue de définir les exigences et obligations à respecter pour assurer un niveau élevé de sécurité de tous les services et produits de confiance qualifiés qui sont utilisés ou fournis.

(29)  Conformément aux obligations découlant de la convention des Nations unies relative aux droits des personnes handicapées, qui a été approuvée par la décision 2010/48/CE du Conseil (11) , et notamment son article 9, les personnes handicapées devraient pouvoir utiliser les services de confiance, ainsi que les produits destinés à l'utilisateur final qui servent à fournir ces services, dans les mêmes conditions que les autres consommateurs. Les services de confiance fournis, ainsi que les produits destinés à l'utilisateur final qui servent à fournir ces services, devraient donc être accessibles aux personnes handicapées dans la mesure du possible. L'évaluation de la faisabilité devrait notamment inclure des considérations d'ordre technique et économique.

?

(30)  Il convient que les États membres désignent un ou des organe(s) de contrôle chargé(s) d'exécuter les activités de contrôle en application du présent règlement. Les États membres devraient également pouvoir statuer, d'un commun accord avec un autre État membre, pour désigner un organe de contrôle sur le territoire dudit autre État membre.

(31)  Les organes de contrôle devraient coopérer ? avec les autorités chargées de la protection des données, par exemple en les informant des résultats des audits des prestataires de services de confiance qualifiés, lorsqu'il apparaît que des règles en matière de protection des données à caractère personnel ont été violées. Cette fourniture d'informations devrait porter, en particulier, sur les incidents liés à la sécurité et les violations de données à caractère personnel.

(32)  Il devrait incomber à tous les prestataires de services de confiance d'appliquer de bonnes pratiques de sécurité, adaptées aux risques inhérents à leurs activités, afin d'accroître la confiance des utilisateurs dans le marché unique.

(33)  Les dispositions relatives à l'utilisation de pseudonymes dans des certificats ne devraient pas empêcher les États membres d'exiger l'identification des personnes conformément au droit national ou au droit de l'Union.

(34)  Tous les États membres devraient satisfaire à des exigences essentielles communes de contrôle afin d'assurer un niveau de sécurité comparable en matière de services de confiance qualifiés. Pour permettre l'application cohérente de ces exigences dans l'Union, les États membres devraient adopter des procédures comparables et échanger des informations sur leurs activités de contrôle et les meilleures pratiques dans ce domaine.

(35)  Tous les prestataires de services de confiance devraient être soumis aux exigences du présent règlement, notamment en matière de sécurité et de responsabilité, pour assurer la diligence raisonnable, la transparence et la responsabilité liées à leurs activités et à leurs services. Toutefois, eu égard au type de services fournis par les prestataires de services de confiance, il y a lieu de faire une distinction, au niveau de ces exigences, entre d'une part les prestataires de services de confiance qualifiés et, d'autre part, les prestataires de services de confiance non qualifiés.

(36)  La mise en place d'un régime de contrôle pour tous les prestataires de services de confiance devrait assurer des conditions de concurrence équitables pour ce qui est de la sécurité et de la responsabilité liées à leurs activités et à leurs services et contribuer ainsi à la protection des utilisateurs et au bon fonctionnement du marché intérieur. Les prestataires de services de confiance non qualifiés devraient être soumis à un contrôle a posteriori souple et réactif justifié par la nature de leurs services et activités. L'organe de contrôle devrait dès lors ne pas avoir d'obligation générale de contrôler des prestataires de services non qualifiés. Il ne devrait intervenir que lorsqu'il est informé (par le prestataire de services de confiance non qualifié lui-même, par un autre organe de contrôle, par une notification émanant d'un utilisateur ou d'un partenaire économique ou sur la base de ses propres investigations, par exemple) qu'un prestataire de services de confiance non qualifié ne satisfait pas aux exigences du présent règlement.

(37)  Le présent règlement prévoit que tous les prestataires de services de confiance engagent leur responsabilité. Il établit notamment le régime de responsabilité en vertu duquel tous les prestataires de services de confiance devraient être responsables des dommages causés à toute personne physique ou morale en raison d'un manquement aux obligations prévues par le présent règlement. Afin de faciliter l'évaluation du risque financier que les prestataires de services de confiance pourraient devoir supporter ou qu'ils devraient couvrir au moyen d'une police d'assurance, le présent règlement les autorise à fixer des limites, sous certaines conditions, à l'utilisation des services qu'ils proposent et à ne pas être tenus pour responsables des dommages résultant de l'utilisation de services allant au-delà de ces limites. Les clients devraient être dûment informés à l'avance des limites fixées. Celles-ci devraient être reconnaissables par un tiers, par exemple par l'insertion d'une notice à leur sujet dans les conditions applicables au service fourni ou par d'autres moyens reconnaissables. Afin de donner effet à ces principes, il convient que le présent règlement s'applique conformément aux dispositions nationales en matière de responsabilité. Le présent règlement n'affecte donc pas ces dispositions, par exemple celles relatives à la définition des dommages, du caractère intentionnel ou de la négligence ou aux règles procédurales applicables en la matière.

(38)  La notification des atteintes à la sécurité et de l'analyse des risques pour la sécurité est essentielle pour que les informations adéquates puissent être fournies aux parties concernées en cas d'atteinte à la sécurité ou de perte d'intégrité.

(39)  Pour permettre à la Commission et aux États membres d'évaluer l'efficacité du mécanisme de notification des atteintes à la sécurité instauré par le présent règlement, il devrait être demandé aux organes de contrôle de fournir des informations succinctes à la Commission et à l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA).

?

(40)  Pour permettre à la Commission et aux États membres d'évaluer l'efficacité du mécanisme de contrôle renforcé instauré par le présent règlement, il devrait être demandé aux organes de contrôle de rendre compte de leurs activités. Cela serait déterminant pour faciliter l'échange de bonnes pratiques entre les organes de contrôle et permettrait de vérifier qu'il est satisfait de façon cohérente et efficace dans tous les États membres aux exigences de contrôle essentielles.

(41)  Pour assurer la pérennité des services de confiance qualifiés et pour accroître la confiance des utilisateurs dans la continuité de ces services, les organes de contrôle devraient vérifier l'existence et l'application correcte de dispositions relatives aux plans en cas de résiliation si les ?prestataires de services de confiance qualifiés venaient à cesser leurs activités .

(42)  Pour faciliter le contrôle des prestataires de services de confiance qualifiés, par exemple lorsqu'un prestataire fournit ses services sur le territoire d'un autre État membre dans lequel il n'est soumis à aucun contrôle ou lorsque les ordinateurs d'un prestataire sont situés sur le territoire d'un État membre autre que celui où il est établi, il convient que soit instauré un système d'assistance mutuelle entre les organes de contrôle des États membres.

(43)  Afin d'assurer le respect des exigences énoncées dans le présent règlement par les prestataires de services de confiance qualifiés et les services qu'ils offrent, il convient que des évaluations de la conformité soient effectuées par un organisme d'évaluation de la conformité et que les rapports d'évaluation de la conformité qui en résultent soient soumis par les prestataires de services de confiance qualifiés à l'organisme de contrôle. Lorsqu'il exige qu'un prestataire de services de confiance qualifié lui soumette un rapport spécifique d'évaluation de la conformité, il convient que l'organe de contrôle applique notamment le principe de bonne administration, y compris l'obligation de motiver ses décisions, ainsi que le principe de proportionnalité. Par conséquent, l'organe de contrôle devrait motiver dûment sa décision d'exiger une évaluation spécifique de la conformité.

(44)  Le présent règlement vise à établir un cadre cohérent en vue d'offrir un niveau élevé de sécurité et de sécurité juridique aux services de confiance électroniques. À cet égard, lorsqu'elle aborde la question de l'évaluation de la conformité de produits et de services, la Commission devrait, le cas échéant, rechercher des synergies avec des systèmes européens et internationaux pertinents existants, tels que le règlement (CE) n° 765/2008 du Parlement européen et du Conseil (12) fixant les prescriptions relatives à l'accréditation et à la surveillance du marché.

(45)  Afin de permettre un processus de lancement efficace, qui devrait conduire à l'inscription de prestataires de services de confiance qualifiés et des services de confiance qualifiés qu'ils fournissent sur des listes de confiance, il faudrait encourager des échanges préliminaires entre des prestataires potentiels de services de confiance qualifiés et l'organe de contrôle compétent en vue de faciliter la vérification préalable à la fourniture de services de confiance qualifiés.

(46)  Il est essentiel de disposer de listes de confiance pour susciter la confiance des opérateurs économiques, car elles indiquent le statut qualifié du prestataire de service au moment du contrôle?.

?

(47)  La confiance dans les services en ligne et leur caractère pratique sont essentiels pour que les utilisateurs tirent pleinement avantage des services électroniques et qu'ils s'y fient en connaissance de cause. À cet effet, un label de confiance de l'Union devrait être créé pour identifier les services de confiance qualifiés fournis par des prestataires de services de confiance qualifiés. Un tel label de confiance de l'Union distinguerait clairement les services de confiance qualifiés des autres services de confiance, contribuant ainsi à améliorer la transparence du marché. L'utilisation d'un label de confiance par les prestataires de services de confiance qualifiés devrait se faire sur une base volontaire et ne devrait pas entraîner d'autres exigences que celles déjà prévues dans le présent règlement.

(48)  Un niveau de sécurité élevé est nécessaire pour garantir la reconnaissance mutuelle des signatures électroniques, mais, dans certains cas particuliers, comme dans le contexte de la décision 2009/767/CE de la Commission?(13) , des signatures électroniques offrant une garantie de sécurité moindre devraient également être acceptées.

(49)  Le présent règlement établit le principe selon lequel on ne saurait nier qu'une signature électronique produit des effets de droit au motif qu'elle se présente sous une forme électronique ou qu'elle ne satisfait pas à toutes les exigences de la signature électronique qualifiée. Toutefois, il appartient au droit national de définir les effets de droit produits par les signatures électroniques, à l'exception de l'exigence prévue dans le présent règlement selon laquelle l'effet de droit d'une signature électronique qualifiée devrait être équivalent à celui d'une signature manuscrite.

(50)  Comme les autorités compétentes dans les États membres utilisent actuellement différents formats de signature électronique avancée pour signer électroniquement leurs documents, il faut faire en sorte que les États membres, lorsqu'ils reçoivent des documents signés électroniquement, puissent prendre en charge techniquement un nombre minimal de formats de signature électronique avancée. De même, lorsque les autorités compétentes dans les États membres utilisent des cachets électroniques avancés, il faudrait veiller à ce qu'elles prennent en charge un nombre minimal de formats de cachet électronique avancé.

(51)  Les dispositifs de création de signatures électroniques qualifiées devraient pouvoir être confiés par le signataire aux soins d'un tiers pour autant que les mécanismes et procédures appropriés soient appliqués pour garantir que le signataire a le contrôle exclusif de l'utilisation de ses données de création de signatures électroniques, et que l'utilisation du dispositif satisfait aux exigences en matière de signature qualifiée.

(52)  La création de signatures électroniques à distance, système dans lequel l'environnement de création de signature électronique est géré par un prestataire de services de confiance au nom du signataire, est appelée à se développer en raison de ses multiples avantages économiques. Toutefois, afin que ces signatures électroniques reçoivent la même reconnaissance juridique que les signatures électroniques créées avec un environnement entièrement géré par l'utilisateur, les prestataires offrant des services de signature à distance devraient appliquer des procédures de sécurité spécifiques en matière de gestion et d'administration et utiliser des systèmes et des produits fiables, notamment des canaux de communication électroniques sécurisés, afin de garantir que l'environnement de création de signatures électroniques est fiable et qu'il est utilisé sous le contrôle exclusif du signataire. Dans le cas de la création d'une signature électronique qualifiée à l'aide d'un dispositif de création de signature électronique à distance, les exigences applicables aux prestataires de services de confiance qualifiés énoncées dans le présent règlement devraient s'appliquer.

(53)  La suspension de certificats qualifiés est, dans un certain nombre d'États membres, une pratique opérationnelle établie des prestataires de services de confiance qui est différente de la révocation et entraîne une perte temporaire de validité d'un certificat. La sécurité juridique impose que le statut de suspension d'un certificat soit toujours clairement indiqué. À cet effet, il devrait appartenir aux prestataires de services de confiance de clairement indiquer le statut du certificat et, s'il est suspendu, la période précise de temps durant laquelle le certificat est suspendu. Le présent règlement ne devrait pas imposer aux prestataires de services de confiance ou aux États membres de recourir à la suspension, mais devrait prévoir des règles en matière de transparence, dans les cas où cette pratique est disponible.

(54)  L'interopérabilité et la reconnaissance transnationales des certificats qualifiés sont une condition préalable en vue de la reconnaissance transnationale des signatures électroniques qualifiées. Dès lors, les certificats qualifiés ne devraient faire l'objet d'aucune exigence allant au-delà des exigences énoncées dans le présent règlement. Cependant, il devrait être permis, au niveau national, d'inclure dans les certificats qualifiés des qualités spécifiques, telles que des identificateurs uniques, pour autant que ces qualités spécifiques n'entravent pas l'interopérabilité et la reconnaissance transnationales des certificats et des signatures électroniques qualifiés.

(55)  Une certification de sécurité informatique fondée sur des normes internationales (comme ISO 15408 et les méthodes d'évaluation et dispositifs de reconnaissance mutuelle concernés) est un outil important pour vérifier la sécurité de dispositifs de création de signature électronique qualifiés et devrait être encouragée. Cependant, des solutions et des services innovants (comme la signature mo


Share |